Európska únia si ako veľkú prioritu stanovila kybernetickú bezpečnosť. Zdá sa však, že firmy a inštitúcie to do veľkej miery posúvajú na vedľajšiu koľaj.
Na kybernetickú bezpečnosť sú firmy pripravené horšie ako na GDPR. A ani tam to nie je veľmi dobré.
Kybernetické hrozby narastajú geometrickým radom. Akcelerujú ich cloudové služby, nové technológie mobilnej siete 5G, internet vecí a Industry 4.0. Toto všetko zvyšuje aktivitu v kybernetickom priestore a to nielen užívateľov, ale aj hackerov.
V čom je hlavný problém?
Manažéri spoločností si nepripúšťajú skutočnosť, že kybernetický útok je reálna hrozba ohrozujúca ich biznis. Nepripúšťajú možnosť, že práve ich spoločnosť môže byť zaujímavá pre hackerov. V prípade kybernetického útoku nedokážu dostatočne reagovať a obnoviť poskytovanie služieb v akceptovateľnom čase. Takáto nedostupnosť služieb môže firme spôsobiť finančný alebo reputačný dopad.
Nemajú firmy povinnosť mať zabezpečené informačné systémy podľa zákona o Kybernetickej bezpečnosti?
Táto povinnosť sa týka výhradne kritickej infraštruktúry štátu. Sú to napríklad elektrárne, spoločnosti zabezpečujúce dodávky vody, energie, sietí, doprava, finančné služby alebo poskytovanie zdravotnej starostlivosti. Zabezpečenie týchto a ďalších kritických funkcií je nevyhnutné na udržanie fungovania štátu. Je to približne 300 podnikov. Tieto spoločnosti sa museli do konca vlaňajšieho septembra zahlásiť do registrov Národného bezpečnostného úradu a následne plniť definované úlohy na zabezpečenie kybernetickej bezpečnosti.
A čo ostatné spoločnosti?
Práve to je ďalší rozmer problému. Čo s veľkými a strednými podnikmi, ktoré nie sú súčasťou kritickej infraštruktúry? Neexistuje žiaden logický dôvod, aby sa terčom hackerských útokov nestali aj spoločnosti mimo rozsahu kritickej infraštruktúry štátu. Neexistuje žiaden legislatívny tlak, aby sa tieto spoločnosti zaoberali kybernetickými hrozbami. Je to len na zodpovednosti a prístupe manažmentu firiem ku kybernetickým hrozbám.
Ak hovoríme o tom, že firmy nie sú pripravené na kybernetickú bezpečnosť, čo by mali zmeniť?
Doposiaľ bol kladený najväčší dôraz na ochranu sieťovej infraštruktúry a prvkov ICT. Pri aplikovaní štandardných technických opatrení sa útok nepripúšťal. Doba sa však zásadne zmenila. Dnes už nie je aktuálna otázka či niekto bude alebo nebude hacknutý. Dnes je aktuálna otázka, kedy sa to stane. Zavádza sa nový pojem „Kybernetická odolnosť“. Je to schopnosť zotavenia sa spoločnosti z kybernetického útoku vrátane obnovy poskytovania služieb do času, ktorý ešte nie je pre firmu kritický. Preto je potrebné upraviť prístup k riadeniu informačnej bezpečnosti. Treba posilniť schopnosť detegovať kybernetické útoky a mať pripravené scenáre pre obnovenie služieb po úspešnom kybernetickom útoku. Celá aktivita potom vyúsťuje k zavedeniu procesov biznis kontinuity, ktoré by mala mať vybudovaná každá zodpovedná spoločnosť.
Ako to má fungovať?
V TÜV SÜD prichádzame s riešením v podobe štandardu riadenia kybernetickej bezpečnosti. Ten nevytvára izolovaný systém na riadenie kybernetickej bezpečnosti, ale dopĺňa zavedené systémy informačnej bezpečnosti podľa ISO 27001. Výrazne tým šetrí náklady na implementáciu a skracuje dobu zosúladenia so zákonnými požiadavkami. Po vzore amerického štandardu pre kybernetickú bezpečnosť NIST CSF celý rozsah kybernetickej bezpečnosti rozčleňuje do jednotlivých funkčných oblastí (Identifikácia, Zabezpečenie, Detekcia, Reakcia a Obnova). Takéto členenie ponúka spoločnostiam uchopiteľnosť systému a možnosť riadenia jednotlivých oblastí. Implementačný štandard nie je určený len pre spoločnosti kritickej infraštruktúry štátu, ale pre každú spoločnosť, ktorá berie kybernetické hrozby vážne.
