Ako by sa mestá a obce (ne)mali chystať na audit kyberbezpečnosti

Počet kyberútokov vo svete aj u nás rastie a nevyhýbajú sa ani mestám či obciam. Povinnosť chrániť sa pred nimi im preto ukladá okrem Zákona č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a jeho vyhlášok aj Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti. Ten prvý ich zaväzuje k dodržiavaniu bezpečnostných opatrení a ten druhý im určuje, že musia absolvovať audit kybernetickej bezpečnosti. Ako by teda slovenské mestá a obce mali chrániť svoje dáta, čím treba začať, či ako sa vyvarovať neférovým až podvodným ponukám, radia riaditeľ centra kybernetickej bezpečnosti Void SOC Martin Lohnert a vedúci oddelenia IT Poradenstva Dávid Dvořák.

Ako by ste zhodnotili stav kyberbezpečnosti slovenských miest a obcí?

Martin Lohnert: Keď si človek predstaví katastrofálnu situáciu a ešte ju veľmi zhorší, tak zhruba tak. Spomínam si, ako mi raz v jednom meste povedali: „Kybernetická bezpečnosť? Tak tým sme sa ešte nikdy nezaoberali.“ Samozrejme, sú aj svetlé výnimky, no vo všeobecnosti je kybernetická bezpečnosť mimo ich záujem.

Dávid Dvořák: Pre mestá a obce – podobne ako napríklad pre nemocnice– je táto téma veľmi vzdialená. To je prvý dôvod, prečo je stav taký zlý. Druhý dôvod je nedostatok financií. Majú totiž veľmi limitované rozpočty a keďže kyberbezpečnosť nevnímajú ako dôležitú, ani na ňu nevyčleňujú peniaze. No a tretí dôvod je nedostatok odborníkov v regiónoch. Nájsť tam ľudí, ktorí tejto téme aspoň ako-tak rozumejú, je priam nadľudský výkon. Napríklad všetci certifikovaní kybernetickí audítori sú koncentrovaní v Bratislave.

Nedostatok peňazí je asi niečo, čo sa len tak nezmení. Vedia mestá a obce spraviť niečo pre bezpečnosť svojich dát aj s obmedzenými rozpočtami?

ML: Určite áno. Už tým, že sa to pre ne stane témou. Ak odskočím od technických aspektov, tak najslabším článkom vždy bývajú ľudia. Ak chceme výrazne zvyšovať kybernetickú bezpečnosť, mali by sme sa venovať zvyšovaniu povedomia a vzdelávaniu ľudí, ktorí v miestnych samosprávach pracujú. Zorganizovať napríklad školenia, na ktorých im ukážeme, na aké maily neklikať alebo ako rozpoznať falošnú faktúru. A to si nevyžaduje astronomické investície. Rovnako tak napríklad zmeny konfigurácie, nastavení či implementácia technických riešení, ktoré môžu byť primerané veľkosti mesta a jeho finančným možnostiam.

DD: Často sa stretávame s tým, že keď sa aj nejaké mesto či obec rozhodne kybernetickú bezpečnosť riešiť, hľadá najjednoduchšie riešenie. Buď si kúpia „zázračnú krabičku“, alebo ešte horšie – kúpia si iba dokumentáciu, ktorú založia do zakladača. Bez toho, aby pre bezpečnosť skutočne niečo spravili. Kupovať si dokumenty pritom môže byť vo finále drahšie ako skutočné riešenie.

Nestáva sa to aj preto, že sa spoliehajú na zhovievavosť NBÚ a na to, že pokutu nakoniec nedostanú?

ML: Je to možné, no zaoberať by sa tým obce mali bez ohľadu na legislatívu. Majú totiž povinnosť voči občanom. Tí sa spoliehajú, že samospráva ich dáta ochráni. To, že jej to ukladá aj zákon a že jej hrozia pokuty, by mala byť iba posledná skladačka do mozaiky dôvodov, prečo sa kyberbezpečnosťou zaoberať.

Vraveli ste, že najslabšie ohnivko sú ľudia, preto ich treba vzdelávať. Nenarážame tu ale na problém s nedostatkom odborníkov, ktorý ste sami identifikovali?

DD: Je pravda, že nám chýbajú desiatky tisíc odborníkov v regiónoch, no nemôžeme čakať, kým ich vychováme – to bude trvať ešte veľmi dlho. Musíme pracovať s tými, ktorých máme. Mestá a obce sa môžu spojiť (napríklad v rámci okresov, krajov, či Združenia miest a obcí Slovenska) a spoločne si nejakých odborníkov zavolať – či už z firiem, univerzít alebo štátnych inštitúcií. Odkiaľkoľvek sa im podarí. Keď sa mestá spoja, môžu zdieľať nielen know-how, ale aj náklady, aby ich nenieslo každé jedno mesto samo.

Takže by to mali mestá a obce riešiť spoločne?

ML: Určite. Keby to mala komplexne riešiť každá obec sama, nezvládne to. Ani finančne, ani časovo, ani organizačne, ani kapacitne. Jediná rozumná cesta je spojiť sa, zdieľať skúsenosti zároveň využiť komerčnú ponuku. Keď sa akékoľvek služby, aj tie súvisiacie s kybernetickou bezpečnosťou, robia pre desiatky či stovky subjektov, tak je jednotková cena výrazne nižšia.

Mnohé mestá a obce kyberbezpečnosť neriešia, pretože sú presvedčené, že ich sa to netýka. Nie je to však pravda. Prečo sú pre útočníkov zaujímavé aj samosprávy a s akými najčastejšími útokmi sa stretávate?

ML: Situácia je rovnaká ako pri malých firmách. Často si myslia, že útočníkov nezaujímajú. Treba si však uvedomiť dve veci. Po prvé – nevyhnú sa plošným útokom, pri ktorých program útočníka automaticky hľadá zraniteľné miesta bez toho, aby na niekoho priamo cielil. Pri nich je jedno, či server vlastní advokátska kancelária, malé mesto alebo veľká firma. Po druhé – na Slovensku už vieme aj o cielených útokoch na mestá a obce. Z technického hľadiska sú zväčša triviálne, no pre nízku úroveň zabezpečenia a povedomia často úspešné. Napríklad podvodné e-maily alebo falošné faktúry, ktoré mestá uhradia, pretože sa tvária ako od ich dodávateľov. Bežný je aj phishing či ransomware, teda vydieračský vírus.

DD: Nie vždy za tým musí byť takýto viditeľný finančný dopad. Ak sa dostane útočník k citlivým dátam, možno ešte horšie je, že nevieme, ako, kto a kedy tieto údaje zneužije.

Ak sa nejaká samospráva rozhodne „dobehnúť zameškané“ v kybernetickej bezpečnosti, čím by mala začať?

ML: Výberom kompetentného a spoľahlivého partnera, ktorý jej v tom poradí. Pri tomto výbere partnera by ale mali byť dostatočne nároční. Raz nám totiž v jednom meste povedali, že dostali výhodnú ponuku na „komplexné riešenie“. Riešenie údajne obsahovalo obecnú webstránku, kyberbezpečnosť „na kľúč,“ splnenie zákonných povinností ZoKB a GDPR. Všetko za 25 eur mesačne, čo znelo ako fantastická ponuka. Neskôr sa ukázalo, že ponuku predkladá živnostník bez skúseností, ktorý začal podnikať len pár mesiacov predtým. To by asi nemala byť autorita na ktorú sa v oblasti bezpečnosti spoľahnúť. Obce sa v tom ale neorientujú, a to celú situáciu komplikuje.

Ako teda rozoznajú dobrú ponuku?

ML: Zapojením kritického myslenia. Je to podobné, ako keď napríklad staviam dom. Ak by mi dala ponuku stavebná firma, ktorá vznikla pred niekoľkými mesiacmi, budem mať pochybnosti – či má referencie, či mi na to bude vedieť dať záruku a podobne. Treba to posudzovať ešte citlivejšie, ako akúkoľvek inú ponuku, keďže sa v tejto oblasti obce nevyznajú. Existujú však aj nekomerčné združenia – napríklad Asociácia kybernetickej bezpečnosti – na ktoré sa môžu obrátiť s prosbou o odporúčanie či pomoc s posúdením ponuky.

DD: Môžu si napríklad najať odborného konzultanta – špecialistu, ktorý im pomôže overiť daného dodávateľa alebo určité milníky pri realizovaní projektu. Stačí, ak ho zaplatia iba na malú časť projektu, nie na celý, keďže takýto odborník by bol pre mestá na celý čas asi príliš nákladný. Podobne ako pri spomínanej stavbe domu. Väčšina bežných ľudí, ktorí výstavbe nerozumejú, si tiež najímajú stavebný dozor.

Ďakujeme za rozhovor.

REDAKCIA SOITRON SA BAVILA S:

Martin Lohnert

Security Operations Center Manager

martin.lohnert@soitron.com

David Dvořák, CISA, CISM, CRISC, CDPSE

IT Advisory Manager

david.dvorak@soitron.com

MÁTE ĎALŠIE OTÁZKY?

Potrebujete pomôcť s kybernetickou bezpečnosťou vo vašej spoločnosti? Naši IT špecialisti vám radi ochotne poradia, čo všetko budete naň potrebovať.

Ste pripravení na audit kybernetickej bezpečnosti?

DAVID DVOŘÁK

Významné slovenské firmy, štátne či finančné inštitúcie sú povinné prejsť auditom kybernetickej bezpečnosti a záverečnú správu o ňom predložiť Národnému bezpečnostnému úradu. Ukladá im to zákon o kybernetickej bezpečnosti. Koho presne sa táto povinnosť týka, ako sa na ňu pripraviť, kto audity vykonáva a koľko času si na to vyhradiť?

Audit kybernetickej bezpečnosti si musia zabezpečiť prevádzkovatelia základných služieb. Patria sem napríklad bankový sektor, priemysel, telekomunikačné spoločnosti, pošta, energetika, výrobcovia liekov, zdravotné kliniky či nemocnice, samosprávy nad 1000 obyvateľov, ale aj mnohé ďalšie. Príloha zákona definuje presne 11 odvetví (napr. doprava, digitálna infraštruktúra, elektronické komunikácie, infraštruktúra finančných trhov, voda a atmosféra, verejná správa a i.), z ktorých subjekty musia prejsť týmto auditom. Ide teda o povinnosť, ktorá sa týka tisícok rôznych subjektov. Skontrolujte si preto vo vlastnom záujme, či nie ste náhodou medzi nimi.

DEADLINE ZA DVERAMI

Termín splnenia tejto zákonnej povinnosti sa už nezadržateľne blíži. Všetky subjekty zapísané Národným bezpečnostným úradom do zoznamu prevádzkovateľov pred 9.11.2018, musia stihnúť audit do 9.11.2021 podľa dátumu zápisu (3 roky po zápise). Subjekty zapísané po 9.11.2018 musia vykonať svoj audit do 2 rokov od príslušného dátumu zápisu do registra.

O ČO ŠTÁTU IDE?

Počet kybernetických útokov u nás i vo svete rastie, aj samotné ataky sú komplexnejšie a zložitejšie. Dôkazom toho je aj nedávny útok na spoločnosť Garmin ako aj pribúdajúce útoky na rôzne nemocnice. Cieľom zákona o kybernetickej bezpečnosti je preto pripraviť a zabezpečiť, aby boli kľúčové slovenské firmy viac odolné voči kyberútokom. Snahou auditu je overiť, či dané firmy, samosprávy či iné subjekty zo zoznamu prevádzkovateľov základných služieb spĺňajú všetko to, čo od nich žiada zákon o kybernetickej bezpečnosti. Ide o množstvo rôznych povinností a bezpečnostných opatrení. Pred samotným auditom je teda potrebné ich najskôr všetky implementovať.

ČAS JE KĽÚČOVÝ

Kým niektorí prevádzkovatelia mnohé z opatrení už dnes spĺňajú a  audit bude pre nich „malina“, množstvo slovenských firiem na bezpečnosť a odolnosť voči hackerom dlhé roky zabúdala. Z vlastných skúseností vieme, že mnohé firmy kybernetickú bezpečnosť vôbec neriešia, čakajú až na povinné audity. Z pohľadu bezpečnosti sú zanedbané hlavne priemyselné odvetvia, zdravotnícke zariadenia a samosprávy. V ich prípade je ideálne, aby s implementáciou začali čím skôr. Hoci z pohľadu zákonných lehôt je ešte trochu času, implementácia opatrení môže byť pre niektorých poskytovateľov dlhšia. Môžu ju „natiahnuť“ rôzne nečakané zistenia, prípadné obstarávanie novej techniky alebo nedostatok špecialistov.

AUDÍTOROV JE STÁLE MÁLO

Audity môžu u prevádzkovateľov vykonať iba audítori certifikovaní Kompetenčným a certifikačným centrom kybernetickej bezpečnosti (KCCKB). Aktuálny zoznam certifikovaných audítorov kybernetickej bezpečnosti môžete nájsť na stránke KCCKB. Keďže nároky na nich sú pomerne vysoké, ich počet stúpa iba veľmi pomaly. Aj preto je dobré, ak sa firmy na blížiaci sa termín auditov začnú pripravovať s dostatočným časovým predstihom.

Dodržiavanie požiadaviek na kyberbezpečnosť kontroluje Národný bezpečnostný úrad. Ak zistí, že prevádzkovateľ zákon nedodržiava, môže mu udeliť pokutu od 300 do 300 000 eur. Oveľa väčšou hrozbou sú však škody spôsobené samotným kyberútokom. Tie sa podľa štatistík môžu vyšplhať v priemere až do výšky pol milióna eur.

Čoraz väčšia vynaliezavosť kyberútočníkov, ale aj rozširujúce sa spektrum možných rizík spôsobuje, že ani tá najväčšia firma nie je schopná brániť sa takýmto hrozbám úplne sama. Mnoho firiem sa preto pri implementácii opatrení spolieha na externých odborníkov, ktorých je ale žalostne málo.

ZAUJALA VÁS TÉMA KYBERNETICKÁ BEZPEČNOSŤ?

Prečítajte si naše ďalšie články na túto tému:

MÁTE ĎALŠIE OTÁZKY?

Potrebujete pomôcť s prípravou na audit kybernetickej bezpečnosti? Naši IT špecialisti vám radi ochotne poradia, čo všetko budete naň potrebovať.

David Dvořák, CISA, CISM, CRISC, CDPSE

IT Advisory Manager

david.dvorak@soitron.com