Ako by sa mestá a obce (ne)mali chystať na audit kyberbezpečnosti

Počet kyberútokov vo svete aj u nás rastie a nevyhýbajú sa ani mestám či obciam. Povinnosť chrániť sa pred nimi im preto ukladá okrem Zákona č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a jeho vyhlášok aj Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti. Ten prvý ich zaväzuje k dodržiavaniu bezpečnostných opatrení a ten druhý im určuje, že musia absolvovať audit kybernetickej bezpečnosti. Ako by teda slovenské mestá a obce mali chrániť svoje dáta, čím treba začať, či ako sa vyvarovať neférovým až podvodným ponukám, radia riaditeľ centra kybernetickej bezpečnosti Void SOC Martin Lohnert a vedúci oddelenia IT Poradenstva Dávid Dvořák.

Ako by ste zhodnotili stav kyberbezpečnosti slovenských miest a obcí?

Martin Lohnert: Keď si človek predstaví katastrofálnu situáciu a ešte ju veľmi zhorší, tak zhruba tak. Spomínam si, ako mi raz v jednom meste povedali: „Kybernetická bezpečnosť? Tak tým sme sa ešte nikdy nezaoberali.“ Samozrejme, sú aj svetlé výnimky, no vo všeobecnosti je kybernetická bezpečnosť mimo ich záujem.

Dávid Dvořák: Pre mestá a obce – podobne ako napríklad pre nemocnice– je táto téma veľmi vzdialená. To je prvý dôvod, prečo je stav taký zlý. Druhý dôvod je nedostatok financií. Majú totiž veľmi limitované rozpočty a keďže kyberbezpečnosť nevnímajú ako dôležitú, ani na ňu nevyčleňujú peniaze. No a tretí dôvod je nedostatok odborníkov v regiónoch. Nájsť tam ľudí, ktorí tejto téme aspoň ako-tak rozumejú, je priam nadľudský výkon. Napríklad všetci certifikovaní kybernetickí audítori sú koncentrovaní v Bratislave.

Nedostatok peňazí je asi niečo, čo sa len tak nezmení. Vedia mestá a obce spraviť niečo pre bezpečnosť svojich dát aj s obmedzenými rozpočtami?

ML: Určite áno. Už tým, že sa to pre ne stane témou. Ak odskočím od technických aspektov, tak najslabším článkom vždy bývajú ľudia. Ak chceme výrazne zvyšovať kybernetickú bezpečnosť, mali by sme sa venovať zvyšovaniu povedomia a vzdelávaniu ľudí, ktorí v miestnych samosprávach pracujú. Zorganizovať napríklad školenia, na ktorých im ukážeme, na aké maily neklikať alebo ako rozpoznať falošnú faktúru. A to si nevyžaduje astronomické investície. Rovnako tak napríklad zmeny konfigurácie, nastavení či implementácia technických riešení, ktoré môžu byť primerané veľkosti mesta a jeho finančným možnostiam.

DD: Často sa stretávame s tým, že keď sa aj nejaké mesto či obec rozhodne kybernetickú bezpečnosť riešiť, hľadá najjednoduchšie riešenie. Buď si kúpia „zázračnú krabičku“, alebo ešte horšie – kúpia si iba dokumentáciu, ktorú založia do zakladača. Bez toho, aby pre bezpečnosť skutočne niečo spravili. Kupovať si dokumenty pritom môže byť vo finále drahšie ako skutočné riešenie.

Nestáva sa to aj preto, že sa spoliehajú na zhovievavosť NBÚ a na to, že pokutu nakoniec nedostanú?

ML: Je to možné, no zaoberať by sa tým obce mali bez ohľadu na legislatívu. Majú totiž povinnosť voči občanom. Tí sa spoliehajú, že samospráva ich dáta ochráni. To, že jej to ukladá aj zákon a že jej hrozia pokuty, by mala byť iba posledná skladačka do mozaiky dôvodov, prečo sa kyberbezpečnosťou zaoberať.

Vraveli ste, že najslabšie ohnivko sú ľudia, preto ich treba vzdelávať. Nenarážame tu ale na problém s nedostatkom odborníkov, ktorý ste sami identifikovali?

DD: Je pravda, že nám chýbajú desiatky tisíc odborníkov v regiónoch, no nemôžeme čakať, kým ich vychováme – to bude trvať ešte veľmi dlho. Musíme pracovať s tými, ktorých máme. Mestá a obce sa môžu spojiť (napríklad v rámci okresov, krajov, či Združenia miest a obcí Slovenska) a spoločne si nejakých odborníkov zavolať – či už z firiem, univerzít alebo štátnych inštitúcií. Odkiaľkoľvek sa im podarí. Keď sa mestá spoja, môžu zdieľať nielen know-how, ale aj náklady, aby ich nenieslo každé jedno mesto samo.

Takže by to mali mestá a obce riešiť spoločne?

ML: Určite. Keby to mala komplexne riešiť každá obec sama, nezvládne to. Ani finančne, ani časovo, ani organizačne, ani kapacitne. Jediná rozumná cesta je spojiť sa, zdieľať skúsenosti zároveň využiť komerčnú ponuku. Keď sa akékoľvek služby, aj tie súvisiacie s kybernetickou bezpečnosťou, robia pre desiatky či stovky subjektov, tak je jednotková cena výrazne nižšia.

Mnohé mestá a obce kyberbezpečnosť neriešia, pretože sú presvedčené, že ich sa to netýka. Nie je to však pravda. Prečo sú pre útočníkov zaujímavé aj samosprávy a s akými najčastejšími útokmi sa stretávate?

ML: Situácia je rovnaká ako pri malých firmách. Často si myslia, že útočníkov nezaujímajú. Treba si však uvedomiť dve veci. Po prvé – nevyhnú sa plošným útokom, pri ktorých program útočníka automaticky hľadá zraniteľné miesta bez toho, aby na niekoho priamo cielil. Pri nich je jedno, či server vlastní advokátska kancelária, malé mesto alebo veľká firma. Po druhé – na Slovensku už vieme aj o cielených útokoch na mestá a obce. Z technického hľadiska sú zväčša triviálne, no pre nízku úroveň zabezpečenia a povedomia často úspešné. Napríklad podvodné e-maily alebo falošné faktúry, ktoré mestá uhradia, pretože sa tvária ako od ich dodávateľov. Bežný je aj phishing či ransomware, teda vydieračský vírus.

DD: Nie vždy za tým musí byť takýto viditeľný finančný dopad. Ak sa dostane útočník k citlivým dátam, možno ešte horšie je, že nevieme, ako, kto a kedy tieto údaje zneužije.

Ak sa nejaká samospráva rozhodne „dobehnúť zameškané“ v kybernetickej bezpečnosti, čím by mala začať?

ML: Výberom kompetentného a spoľahlivého partnera, ktorý jej v tom poradí. Pri tomto výbere partnera by ale mali byť dostatočne nároční. Raz nám totiž v jednom meste povedali, že dostali výhodnú ponuku na „komplexné riešenie“. Riešenie údajne obsahovalo obecnú webstránku, kyberbezpečnosť „na kľúč,“ splnenie zákonných povinností ZoKB a GDPR. Všetko za 25 eur mesačne, čo znelo ako fantastická ponuka. Neskôr sa ukázalo, že ponuku predkladá živnostník bez skúseností, ktorý začal podnikať len pár mesiacov predtým. To by asi nemala byť autorita na ktorú sa v oblasti bezpečnosti spoľahnúť. Obce sa v tom ale neorientujú, a to celú situáciu komplikuje.

Ako teda rozoznajú dobrú ponuku?

ML: Zapojením kritického myslenia. Je to podobné, ako keď napríklad staviam dom. Ak by mi dala ponuku stavebná firma, ktorá vznikla pred niekoľkými mesiacmi, budem mať pochybnosti – či má referencie, či mi na to bude vedieť dať záruku a podobne. Treba to posudzovať ešte citlivejšie, ako akúkoľvek inú ponuku, keďže sa v tejto oblasti obce nevyznajú. Existujú však aj nekomerčné združenia – napríklad Asociácia kybernetickej bezpečnosti – na ktoré sa môžu obrátiť s prosbou o odporúčanie či pomoc s posúdením ponuky.

DD: Môžu si napríklad najať odborného konzultanta – špecialistu, ktorý im pomôže overiť daného dodávateľa alebo určité milníky pri realizovaní projektu. Stačí, ak ho zaplatia iba na malú časť projektu, nie na celý, keďže takýto odborník by bol pre mestá na celý čas asi príliš nákladný. Podobne ako pri spomínanej stavbe domu. Väčšina bežných ľudí, ktorí výstavbe nerozumejú, si tiež najímajú stavebný dozor.

Ďakujeme za rozhovor.

REDAKCIA SOITRON SA BAVILA S:

Martin Lohnert

Security Operations Center Manager

martin.lohnert@soitron.com

David Dvořák, CISA, CISM, CRISC, CDPSE

IT Advisory Manager

david.dvorak@soitron.com

MÁTE ĎALŠIE OTÁZKY?

Potrebujete pomôcť s kybernetickou bezpečnosťou vo vašej spoločnosti? Naši IT špecialisti vám radi ochotne poradia, čo všetko budete naň potrebovať.