Kľúčové podniky zlepšujú svoju ochranu pred kyberhrozbami

Spoločnosti dodávajúce vodu, elektrinu či poskytujúce finančné služby sa musia registrovať do zoznamu základných alebo digitálnych služieb Národného bezpečnostného úradu (NBÚ). Cieľom je zvýšiť ochranu kľúčových sektorov hospodárstva pred hrozbami kybernetických útokov.

Do zoznamu sa už mali prihlásiť nemocnice, banky, poisťovne, energetické podniky a ďalšie firmy, ktorých činnosť má výrazný vplyv na ľudí, firmy či chod štátu. Napríklad spravujú kritickú infraštruktúru, zhromažďujú citlivé informácie alebo zásobujú ľudí a firmy strategickými surovinami. Spraviť tak mali do konca vlaňajšieho septembra. Nariadil im to zákon o kybernetickej bezpečnosti, ktorý platí od apríla 2018 a včlenil pod seba aj európsku smernicu NIS (smernica Európskeho parlamentu a rady o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii).

Povinnosť si treba preveriť

V súčasnosti je v zoznamoch základných alebo digitálnych služieb, ktoré vedie NBÚ ako kritickú infraštruktúru, približne 150 spoločností či inštitúcií. Podľa Igora Straku, audítora spoločnosti TÜV SÜD Slovakia, by tento počet ešte nemal byť konečný. „Situácia s implementovaním smernice o kybernetickej bezpečnosti je veľmi podobná ako pri GDPR. Existuje viacero povinností a opatrení, ktoré treba podľa zákona a príslušných vyhlášok splniť,“ tvrdí.

Zámerom NIS je preventívne ochrániť infraštruktúru pred kybernútokmi. Zavedenie prevencie síce nie je lacné, ale v konečnom dôsledku pomôže ušetriť firmám a inštitúciám veľa peňazí. Napríklad v podobne „výkupného“ útočníkom či odškodného pre odberateľov, ktorým nedokázali dodať elektrickú energiu, v čoho dôsledku museli napríklad prerušiť výrobu.

Jedným z dôvodov, prečo môžu niektoré z firiem či inštitúcií meškať s registráciou je aj fakt, že si túto povinnosť nepreverili. Robiť by tak mali priebežne, keďže NBÚ môže kritériá na zaradenie do zoznamu meniť. Je preto dôležité sledovať jeho rozhodnutia a prihlásiť sa hneď, ako zistia, že sa ich začal zákon o kybernetickej bezpečnosti dotýkať. Pokuta za neprihlásenie sa či iné nedodržiavanie zákona sa môže vyšplhať až do 300-tisíc eur. Tí, ktorí sa už zaregistrovali, mali šesťmesačnú lehotu na to, aby prijali bezpečnostné opatrenia. Od januára 2019 platí vyhláška, ktorá určila, aké náležitosti majú bezpečnostné oparenia spĺňať.

NIS sa netreba báť, existujú pomôcky

Splnenie NIS sa podobne ako v prípade GDPR môže javiť ako veľmi zložitý proces, no netreba sa ho obávať. Aj pri NIS (a teda aj zákona o kyberbezpečnosti) existujú nástroje, ktoré jej implementáciu uľahčujú. Podľa audítora Igora Straku sa firmy môžu odraziť od normy, ktorú má väčšina z nich zavedenú. Ide o systém riadenia informačnej bezpečnosti - ISO 27001. „Vytvorili sme metodiku na zavedenie súladu so zákonom o kybernetickej bezpečnosti. Táto metodika veci nekomplikuje, ale zjednodušuje. Celý rozsah povinností a opatrení sme zadelili do piatich jednoduchých funkčných oblastí, ktoré chápe každý a dajú sa jednoducho riadiť. Sú to „Detekcia, Ochrana, Monitoring, Odozva a Obnova,“ vysvetľuje Straka.

Pri tvorbe metodiky sa inšpirovali americkým štandardom NIST CSF na ochranu kritickej infraštruktúry s napojením na štandard práve na ISO normu. „ISO 27001 sa v Európe využíva v každom podniku, v niektorom viac a v niektorom menej. Nebuduje sa nový stream, ale rozširujeme niečo, čo už existuje. Pri testovaní metodiky sme vyhodnotili ako najkľúčovejšie procesy riadenie rizík, monitorovanie a vyhodnocovanie udalostí a incidentov a zabezpečenie kontinuity činností,“ uzatvára Igor Straka.