Stovky firiem na Slovensku sa musia kvôli kyberbezpečnosti prihlásiť na NBÚ

Ilustračný obrázok (Kybernetické hry v Kolíne). [EPA/Oliver Berg]

Do konca septembra sa poskytovatelia základných a digitálnych služieb musia registrovať na Nárdonom bezpečnostnom úrade. Slovensko sa tak posúva o krok vpred v napĺňaní záväzkov v kyberbezpečnosti voči Bruselu.

Nový zákon o kybernetickej bezpečnosti vstúpil na Slovensku do platnosti začiatkom marca tohto roka, účinný je od 1. apríla. Legislatíva, ktorá je z väčšej časti transponovaná z nariadení a odporúčaní Bruselu, teraz vyžaduje, aby sa vybrané firmy a verejné organizácie registrovali na Národnom bezpečnostnom úrade do 1. októbra.

Firmy, ktoré sú poskytovateľmi základných a digitálnych služieb a svoju povinnosť si zatiaľ nesplnili, by mali v najbližších dňoch preveriť identifikačné kritériá, na základe ktorých zistia, či sa ich registračná povinnosť týka.

„Ide napríklad o počet používateľov služby, trhový podiel prevádzkovateľa, geografické rozšírenie z hľadiska oblasti, ktorú by kybernetický bezpečnostný incident mohol postihnúť, alebo vplyv, ktorý by mohli mať prípadné incidenty na fungovanie štátu a jeho bezpečnosť,“ približuje Ivan Makatura, predseda správnej rady Asociácie kybernetickej bezpečnosti.

Kybernetických útokov pribúda, tretine krajín Únie už ohrozili kritickú infraštruktúru

Najnovšia štúdia Europolu tvrdí, že útoky na internete sú svojou sofistikovanosťou, no zároveň lepšou dostupnosťou stále ťažšie rozpoznateľné. Najviac útokov na európske krajiny a spoločnosti prichádzalo v minulom roku priamo z Európy.

Prevádzkovatelia základných a digitálnych služieb

Zákon, ktorý ako prvý upravoval kybernetickú bezpečnosť na Slovensku, transponuje do slovenského právneho poriadku aj európsku smernicu o sieťovej a informačnej bezpečnosti, známu aj ako smernica NIS. Tá v Únii platí od mája a od členských krajín vyžaduje, aby špecifické druhy zodpovednosti v kybernetickej oblasti prebrali v prvom rade prevádzkovatelia základných a digitálnych služieb.

„Zákonnú povinnosť registrácie do konca septembra majú stovky verejných a súkromných organizácií, ku ktorým patria napríklad banky, telekomy, energetické podniky, ale aj dopravné a vodárenské spoločnosti, firmy z hutníctva, farmácie či chemického priemyslu, aj zdravotnícke zariadenia vrátane nemocníc a súkromných kliník,“ približuje Roman Čupka, konzultant spoločnosti Flowmon Networks, ktorá sa zaoberá bezpečnostným monitoringom rozsiahlych počítačových sietí.

V slovenskej legislatíve teda ide o právnické alebo fyzické osoby, ktoré poskytujú digitálnu službu, zamestnávajú aspoň 50 zamestnancov a majú ročný obrat alebo celkovú ročnú bilanciu viac ako 10 miliónov eur.

Väčšina slovenských firiem nevie čeliť novodobým kybernetickým útokom

Pokročilé bezpečnostné nástroje pre odhaľovanie dnešných sofistikovaných hrozieb nemajú u nás ani dve pätiny podnikov.

Podľa Rastislava Janotu, ktorý je riaditeľom Národnej jednotky SK-CERT, teda tímu, ktorý reaguje na incidenty počítačovej bezpečnosti, na Národnom bezpečnostnom úrade. Sú dnes voči kybernetickým hrozbám zraniteľné všetky organizácie, ktoré vyrábajú produkty alebo poskytujú služby.

„Snahou zákona o kybernetickej bezpečnosti je dosiahnuť, aby sa vybrané subjekty, ktoré poskytujú dôležité služby pre širokú skupinu obyvateľstva, správali zodpovedne a chránili seba i svojich zákazníkov – a tým aj spoločnosť – pred rastúcimi kybernetickými rizikami,“ vysvetľuje Janota.

Povinnosti sa iba začínajú

Registráciou sa zákonné povinnosti prevádzkovateľov základných a digitálnych služieb, ako aj informačných systémov verejnej správy iba začínajú.

Do 6 mesiacov odo dňa oznámenia o zaradení do registra musia firmy prijať a dodržiavať špecifické „bezpečnostné opatrenia“, ktoré opäť charakterizuje zákon. NBÚ tvrdí, že prevádzkovatelia budú preto povinní „vyčleniť dostatočné personálne, materiálno-technické, časové a finančné zdroje“, čo  s cieľom zabezpečenia kontinuity digitálnej služby.

Do dvoch rokov od začiatku účinnosti zákona budú musieť mať dotknuté subjekty vytvorenú celú organizačnú štruktúru pre riadenie kybernetickej bezpečnosti pozostávajúcu z viacerých rolí a využívať tiež adekvátne bezpečnostné technológie.

Expert na IT: Európa nemá nezávislý počítačový priemysel, čo ohrozuje jej kybernetickú bezpečnosť

Ak si zakúpite sieťové zariadenie za päťdesiat eur, zabudnite na to, že si kupujete aj desaťročnú záruku na bezpečnosť, hovorí rakúsky sowtwérový expert CHRISTOF DALLERMASSL.

Odborníci na bezpečnosť IT pripomínajú, že nová legislatíva zavádza aj povinnosť hlásiť incidenty do niekoľkých hodín či dní, čo väčšina dotknutých subjektov v súčasnosti nedokáže.

„Reakčná doba organizácií na narušenie bezpečnosti býva pridlhá. Trvá desiatky až stovky dní a zvyčajne k nej dochádza, až keď dôjde k úniku citlivých dát alebo k znefunkčneniu služby,“ upozorňuje Čupka.

Pre splnenie legislatívnych požiadaviek budú musieť podľa neho firmy v budúcnosti siahnuť po nových formách zabezpečenia založených na behaviorálnych analýzach, ktoré v kombinácii so strojovým učením a prvkami umelej inteligencie dokážu identifikovať bezpečnostný incident prakticky okamžite.