Bezpečnosť dát vo firemnom prostredí je jednou z najpálčivejších oblastí. Aby sme zistili ako je to z pohľadu právnika, zašli sme za advokátskym koncipientom v spoločnosti CMS Slovensko, pánom Dušanom Vanekom (DV). Ten sa venuje rôznym právnickým témam, ale aj aktuálnym aspektom kybernetickej bezpečnosti. Položili sme mu niekoľko otázok.
TI: Aké sú problémy v kybernetickej bezpečnosti? A naopak, čo je v tejto oblasti v poriadku?
DV: Dobrou správou je, že Slovenská republika prijala východiskový strategický dokument k zabezpečeniu kybernetickej bezpečnosti do roku 2020. Rovnako máme zákon o kybernetickej bezpečnosti (ako aj s ním súvisiace vyhlášky), v ktorom je nastavený napríklad mechanizmus ohlasovania incidentov regulovanými subjektmi. Máme aj kompetentný úrad, ktorý to všetko zastrešuje a ním je Národný bezpečnostný úrad. Z nášho prieskumu nám však vyšlo, že veľké percento spoločností v našom regióne strednej a východnej Európy používa v oblasti kybernetickej bezpečnosti mechanizmy, ktoré sú zastarané a potrebovali by určitú formu obnovy. Monitorovali sme online rebríčky a v estónskom rebríčku eGA vyšlo Slovensko ako špička, čo sa týka pripravenosti na kybernetickú bezpečnosť. Naopak existujú aj iné rebríčky, kde sme sa umiestnili na konci. Celkovo si však myslím, že na tom nie sme najhoršie z krajín strednej a východnej Európy.
TI: Je pre vás z pohľadu kybernetickej bezpečnosti štát niečo ako väčšia firma?
DV: Dá sa povedať, že štát je firma, pri ktorej sa navyše dá predpokladať, že bude s najväčšou pravdepodobnosťou napadnutá kybernetickými útokmi. Navyše tu možno predpokladať určitú zaostalosť systémov oproti súkromnému sektoru a jednoznačne vzniká potreba, aby v oblasti zabezpečenia štát držal krok so súkromným sektorom.
TI: V akom stave sú podľa vás štátne systémy? Napríklad, máme občianske preukazy, cez ktoré majú podnikatelia komunikovať so štátom. Do akej miery si myslíte, že sú štátne systémy zabezpečené pre kybernetickými útokmi?
DV: Platí, že čím viac sa na komunikáciu využíva internet, tým vzniká vyššie riziko vzniku kybernetických útokov. Všetko postupne smeruje k elektronizácii, čím sa aj zvyšuje riziko možnosti útokov pri nedostatočnom zabezpečení.
TI: Ako podľa vás zvláda manažment na Slovensku možnosť kybernetických útokov vo vlastnej firme?
DV: V rámci nášho prieskumu v strednej a východnej Európe nám vyšlo, že oproti Spojeným štátom vedúci právneho oddelenia len vo veľmi málo spoločnostiach reportuje problémy týkajúce sa kybernetickej bezpečnosti najvyššiemu vedeniu spoločnosti. Je to približne len v 11 % prípadoch. V Spojených štátoch je toto percento omnoho vyššie. U nás sa kyber útoky reportujú skôr prostredníctvom IT oddelenia. Z prieskumu nám rovnako vyšlo, že až v 42 % prípadoch sa problémy súvisiace s kybernetickou bezpečnosťou nereportujú najvyššiemu vedeniu spoločnosti vôbec.
TI: Prečo je to tak?
DV: Myslím si, že by to rozhodne mali robiť. Vedenie spoločnosti totiž dokáže lepšie nastaviť procesy vo firme, ak vie o všetkých problémoch, ktoré hrozia firemným systémom. Manažment často nehlási všetky problémy týkajúce sa kybernetickej bezpečnosti preto, lebo nechce zbytočne zaťažovať najvyššie vedenie. Urobia tak len vtedy, keď vznikne naozaj veľký problém. Až potom je o incidente informované vedenie a to je podľa mňa chyba. Určite by vedenie firmy malo mať prehľad o všetkom, čo sa vo firme reálne deje. Firmy by mali mať ideálne aj nastavenú periodicitu nahlasovania diania pre oblasť kybernetickej bezpečnosti. Podľa nášho prieskumu sa toto deje v 5 % spoločností raz za dva roky, inde raz za 6 mesiacov (v 25 % spoločností).
TI: Čo môže firme pomôcť? Školenia a vzdelávanie jej zamestnancov?
DV: Samozrejme, školenia by mali ako prevencia pomôcť, treba hovoriť so zamestnancami. Ľudská chyba je totiž ten najväčší strašiak. Či už niekto klikne na podvodný mail alebo niečo podobné, to sa vždy môže stať. Ľudia by v rámci spoločnosti mali vedieť, ako sa majú v takom prípade správať a aké konkrétne kroky majú v takýchto prípadoch robiť. Školenia by mali byť aspoň raz za rok a treba sledovať a prehodnocovať, ako sú nastavené ochranné opatrenia firmy, ak nejaký kybernetický útok nastane.
TI: Aká je realita na Slovensku, resp. v našom regióne?
DV: V jednej poľskej firme z nášho prieskumu analyzujú, aká je pravdepodobnosť útoku na konkrétne oddelenia. Na základe tejto analýzy prispôsobia aj formu a frekvenciu školenia pre jednotlivé oddelenia. Existujú rôzne prístupy. V regióne strednej a východnej Európe majú podľa nášho prieskumu pravidelné tréningy a školenia v 60 % firiem. Otázkou je, či je to veľa alebo málo. Samozrejme, najlepšie by bolo, aby 100 % firiem malo takéto školenia.
TI: Aj 60 % je slušné číslo, dôležité je však vedieť, či sú tréningy len formálne alebo skutočné, kde sa zamestnanci niečo aj dozvedia a pomôže im to.
DV: Áno, je to relatívne vysoké číslo, ale ako som spomínal, dôležité je vedieť, čo majú ľudia v prípade kyber útokov robiť, komu ich majú nahlásiť. Alebo čo majú spraviť v konkrétnych situáciách ako napr. ak nájdu vo firme pohodený USB kľúč. Či ho majú skontrolovať alebo odovzdať.
TI: S kybernetickými útokmi súvisí aj ochrana osobných údajov a nariadenie GDPR.
DV: GDPR sa stalo účinným skoro v rovnakom období ako mala byť zaistená transpozícia smernica NIS. Strašiak GDPR, to bola a je obrovská téma pre firmy a pri jej uvedení šla ochrana pred kybernetickými útokmi trochu do úzadia. Na Slovensku máme nový zákon o kybernetickej bezpečnosti a veľa firiem, ktoré boli obligatórne zaradené (či už ako prevádzkovateľ základných služieb alebo digitálnych služieb) do registra NBÚ mali dva roky na to, aby prijali opatrenia v zmysle tohto zákona. Oznamovacie a ďalšie povinnosti (napr. týkajúce sa bezpečnostných opatrení) však vznikli v zmysle tohto zákona aj spoločnostiam, ktoré ešte neboli zaradené do tohto registra NBÚ, a to v prípadoch ak zistia, že spĺňajú definičné znaky prevádzkovateľa základnej služby alebo digitálnej služby. Keď si pozriete prílohu nášho zákona, pri základných službách ide o rôzne kritické oblasti, či už ide o zdravotníctvo alebo dopravu. Je možné, že nie všetky spoločnosti si tieto regulatívne povinnosti ustrážili, nakoľko ľudia tejto téme nedávali taký význam ako GDPR. Zároveň platí, že sú obe tieto oblasti vzájomne prepojené nádoby. Pokiaľ totiž príde ku kybernetickému útoku, tak to môže mať fatálne dôsledky pre firmu z pohľadu ochrany osobných údajov. Je pravdou, že téma kybernetickej bezpečnosti sa dostala do úzadia, ale firma a ľudia v nej by mali byť o oboch dostatočne informovaní.
TI: Dá sa pred kybernetickým útokmi poistiť?
DV: Veľa poisťovní už takéto poistenie poskytuje, ale často v nich existuje množstvo výluk. Úlohou právnikov pred podpisom zmluvy je vedieť ju správne pripomienkovať.
TI: Ale výsledkom plnenia poistnej zmluvy nebude vrátenie ukradnutých údajov, pôjde len o vyplatenie nejakej sumy peňazí.
DV: Presne tak. Reálne záleží na tom, ako je poistnú zmluva nastavená. V rámci regiónu strednej a východnej Európy sme v našom prieskume oslovili viac ako 100 nadnárodných spoločností a 37 % z nich má kybernetické poistenie.
TI: Aké sú dôsledky pre firmu, ak jej vďaka kybernetickému útoku uniknú citlivé informácie?
DV: Dôsledky závisia od rozsahu úniku informácií a typu spoločnosti. Avšak podľa nášho prieskumu, v regióne strednej a východnej Európy až 52 % kybernetických útokov vedie k následnému súdnemu sporu. Priemerný náklad za únik citlivých informácií bol v rámci nášho prieskumu vyčíslený na 4 milióny dolárov (k tomu číslu však treba prirátať aj škodu na reputácii a náklady súdneho sporu).
Je preto veľmi dôležité, aby spoločnosť v prípade útoku postupovala podľa bezpečnostných pokynov, ktoré má prijaté a schválené. Spoločnosti by mali po každom kybernetickom incidente analyzovať balíček svojich bezpečnostných opatrení a postupov.
Regulovaný subjekt by (v závislosti od závažnosti útoku) mal navyše takýto útok nahlásiť Národnému bezpečnostnému úradu. V registri kybernetických bezpečnostných incidentov NBÚ pribudne každý týždeň približne 10 až 15 nových incidentov. Na stránkach NBÚ sa človek môže dočítať o opatreniach, ktoré v takýchto prípadoch odporúčajú prijať. Tie sú zväčša len všeobecné ako napríklad urobiť obnovu systému či zmeniť heslá.
TI: Ako to máte vyriešené vo vašej firme?
DV: U nás všetky takéto udalosti rieši IT oddelenie a našou úlohou je akýkoľvek útok, či pokus o získanie citlivých údajov okamžite nahlásiť. Všetci vo firme sú o tom ihneď informovaní, vrátane najvyššieho vedenia. Odkedy pracujem pre CMS, tak som nezaznamenal útok, pri ktorom by prišlo k odcudzeniu citlivých údajov.
TI: Skúsme teraz prebrať prípad, že lekár, ktorý príde ráno do svojej ordinácie, zapne počítač a zrazu mu naskočí oznam, že jeho údaje boli zašifrované a do istej doby musí na ich obnovenie zaplatiť. Čo má urobiť, ak od neho páchateľ pýta za ich znovu-získanie peniaze?
DV: V týchto prípadoch je dôležité zaobstarať si dôkazový materiál na prípadne trestné oznámenie. Určite by som neodporúčal zaplatiť za znovuzískanie údajov. Ak by totiž zaplatil, je tu množstvo rizík, ktoré sa môžu po zaplatení ďalej stať. Zároveň nikde nie je garantované, že po zaplatení by tomuto lekárovi neprišla ďalšia výzva na zaplatenie ešte vyššej čiastky. Do budúcna musí mať používateľ prijaté lepšie preventívne opatrenia a lepšie si vedieť zabezpečiť ochranu dát.
TI: Aká je úloha právnych zástupcov pri takýchto útokoch?
DV: Spoločnostiam, vieme z pozície právnikov poskytnúť minimálne školenie zamestnancov ako aj pomôcť s prípravou interných dokumentov týkajúcich sa postupov pre oblasť kybernetickej bezpečnosti. To sú preventívne kroky. Zároveň vieme pomôcť s pripomienkovaním poistných zmlúv a najmä výluk z nich. Firmy, ktoré spadajú do pôsobnosti zákona o kybernetickej bezpečnosti majú veľké množstvo regulatívnych povinností, kde vieme poskytnúť pomoc pre ich ustráženie a dodržanie. V rámci nášho regiónu máme skúsenosti so zastupovaním firiem, ktoré boli atakované kybernetickými útokmi. Taktiež teda vieme zastúpiť danú firmu v prípadnom súdnom procese.
TI: Čiže ak by sa našiel páchateľ, ktorý zašifroval údaje lekára, zastúpite ho v súdnom konaní?
DV: Určite áno, ale dôležité je, čo som už spomínal. Zachovať si dôkazný materiál o tom, že takýto útok nastal a o všetkých krokoch, ktoré boli vykonané. Ide predovšetkým o technické dôkazy.
TI: Ak sa napríklad vypátra organizácia, ktorej patril počítač, z ktorého sa realizoval kybernetický útok, čo je dobrým dôkazným materiálom pred súdom?
DV: Je nevyhnutné mať podrobne zdokumentovaný celý útok, čo sa udialo, kedy prišli výzvy na zaplatenie a pod. Zároveň je potrebné mať zdokumentované aj škody, ktoré útokom boli spôsobené. Všetky dôkazy, ktoré máte zozbierané je potrebné mať pripravené pre odovzdanie zodpovedným orgánom.
TI: Oplatí sa viesť v takýchto prípadoch súdny spor?
DV: Pokiaľ viem, u nás sa takéto spory zatiaľ ešte neviedli. Ale vo Veľkej Británii, kde máme silné zázemie, sme mali klientov, ktorým sme s podobnými súdnymi spormi pomáhali. Je otázkou času, kedy sa takéto súdne spory objavia aj u nás. Či sa to oplatí je však otázka, ktorú si musí zodpovedať každá spoločnosť alebo osoba, ktorá bola dotknutá kybernetickým útokom. Motiváciou môže byť aj reputácia.
TI: Ako konkrétne dopadli firmy z nášho regiónu vo vašom prieskume ochrany pred kybernetickými útokmi?
DV: V prípade celej Európy až 80 firiem uvádza, že aspoň raz za rok zažije aspoň jeden kybernetický útok. Čo sa týka množstva incidentov v našom regióne, najviac ich bolo v Rumunsku, Česku a Maďarsku. Nie sme tak úplne špička ľadovca, čo sa týka množstva incidentov. Slovensko momentálne nie je takým častým terčom útokov. V čom sme boli na vyšších miestach, to bola nespokojnosť s nastavením regulácie a procesov regulačných orgánov.
Za TOUCHIT sa pýtal Ondrej Macko
Zaujímavosti z prieskumu CMS
– v rámci spoločností, ktoré fungujú vo všetkých krajinách strednej a východnej Európy, až 68 % spoločností nemá nastavené (v rámci týchto krajín) jednotné postupy pre oblasť kybernetickej bezpečnosti
– dvaja z troch respondentov (67 % vs. 33 %) sa domnievajú, že protokoly a procedúry týkajúce sa kybernetickej bezpečnosti, ktoré využívajú regulačné úrady v jednotlivých krajinách, si vyžadujú výrazné zlepšenie. Takýto názor má väčšina respondentov v každej krajine strednej a východnej Európy.
