DAVID DVOŘÁK
Významné slovenské firmy, štátne či finančné inštitúcie sú povinné prejsť auditom kybernetickej bezpečnosti a záverečnú správu o ňom predložiť Národnému bezpečnostnému úradu. Ukladá im to zákon o kybernetickej bezpečnosti. Koho presne sa táto povinnosť týka, ako sa na ňu pripraviť, kto audity vykonáva a koľko času si na to vyhradiť?
Audit kybernetickej bezpečnosti si musia zabezpečiť prevádzkovatelia základných služieb. Patria sem napríklad bankový sektor, priemysel, telekomunikačné spoločnosti, pošta, energetika, výrobcovia liekov, zdravotné kliniky či nemocnice, samosprávy nad 1000 obyvateľov, ale aj mnohé ďalšie. Príloha zákona definuje presne 11 odvetví (napr. doprava, digitálna infraštruktúra, elektronické komunikácie, infraštruktúra finančných trhov, voda a atmosféra, verejná správa a i.), z ktorých subjekty musia prejsť týmto auditom. Ide teda o povinnosť, ktorá sa týka tisícok rôznych subjektov. Skontrolujte si preto vo vlastnom záujme, či nie ste náhodou medzi nimi.
Termín splnenia tejto zákonnej povinnosti sa už nezadržateľne blíži. Všetky subjekty zapísané Národným bezpečnostným úradom do zoznamu prevádzkovateľov pred 9.11.2018, musia stihnúť audit do 9.11.2021 podľa dátumu zápisu (3 roky po zápise). Subjekty zapísané po 9.11.2018 musia vykonať svoj audit do 2 rokov od príslušného dátumu zápisu do registra.
Počet kybernetických útokov u nás i vo svete rastie, aj samotné ataky sú komplexnejšie a zložitejšie. Dôkazom toho je aj nedávny útok na spoločnosť Garmin ako aj pribúdajúce útoky na rôzne nemocnice. Cieľom zákona o kybernetickej bezpečnosti je preto pripraviť a zabezpečiť, aby boli kľúčové slovenské firmy viac odolné voči kyberútokom. Snahou auditu je overiť, či dané firmy, samosprávy či iné subjekty zo zoznamu prevádzkovateľov základných služieb spĺňajú všetko to, čo od nich žiada zákon o kybernetickej bezpečnosti. Ide o množstvo rôznych povinností a bezpečnostných opatrení. Pred samotným auditom je teda potrebné ich najskôr všetky implementovať.
Kým niektorí prevádzkovatelia mnohé z opatrení už dnes spĺňajú a audit bude pre nich „malina“, množstvo slovenských firiem na bezpečnosť a odolnosť voči hackerom dlhé roky zabúdala. Z vlastných skúseností vieme, že mnohé firmy kybernetickú bezpečnosť vôbec neriešia, čakajú až na povinné audity. Z pohľadu bezpečnosti sú zanedbané hlavne priemyselné odvetvia, zdravotnícke zariadenia a samosprávy. V ich prípade je ideálne, aby s implementáciou začali čím skôr. Hoci z pohľadu zákonných lehôt je ešte trochu času, implementácia opatrení môže byť pre niektorých poskytovateľov dlhšia. Môžu ju „natiahnuť“ rôzne nečakané zistenia, prípadné obstarávanie novej techniky alebo nedostatok špecialistov.
Audity môžu u prevádzkovateľov vykonať iba audítori certifikovaní Kompetenčným a certifikačným centrom kybernetickej bezpečnosti (KCCKB). Aktuálny zoznam certifikovaných audítorov kybernetickej bezpečnosti môžete nájsť na stránke KCCKB. Keďže nároky na nich sú pomerne vysoké, ich počet stúpa iba veľmi pomaly. Aj preto je dobré, ak sa firmy na blížiaci sa termín auditov začnú pripravovať s dostatočným časovým predstihom.
Dodržiavanie požiadaviek na kyberbezpečnosť kontroluje Národný bezpečnostný úrad. Ak zistí, že prevádzkovateľ zákon nedodržiava, môže mu udeliť pokutu od 300 do 300 000 eur. Oveľa väčšou hrozbou sú však škody spôsobené samotným kyberútokom. Tie sa podľa štatistík môžu vyšplhať v priemere až do výšky pol milióna eur.
Čoraz väčšia vynaliezavosť kyberútočníkov, ale aj rozširujúce sa spektrum možných rizík spôsobuje, že ani tá najväčšia firma nie je schopná brániť sa takýmto hrozbám úplne sama. Mnoho firiem sa preto pri implementácii opatrení spolieha na externých odborníkov, ktorých je ale žalostne málo.
Prečítajte si naše ďalšie články na túto tému:
Potrebujete pomôcť s prípravou na audit kybernetickej bezpečnosti? Naši IT špecialisti vám radi ochotne poradia, čo všetko budete naň potrebovať.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
