Registrácia na Národnom bezpečnostnom úrade je prvá zo série krokov a opatrení, ktoré od vybraných firiem a verejných organizácií vyžaduje zákon o kybernetickej bezpečnosti platný od apríla tohto roku.
Stovky firiem majú už iba niekoľko dní na to, aby si splnili zákonnú povinnosť a zaregistrovali sa na Národnom bezpečnostnom úrade. Povinnosť vyplýva zo zákona o kybernetickej bezpečnosti a týka sa poskytovateľov takzvaných základných a digitálnych služieb, ktoré by v prípade výpadku mohli ohroziť životy alebo zdravie občanov, prípadne spôsobiť veľké ekonomické škody.
„Zákonnú povinnosť registrácie do konca septembra majú stovky verejných a súkromných organizácií, ku ktorým patria napríklad banky, telekomy, energetické podniky, ale aj dopravné a vodárenské spoločnosti, firmy z hutníctva, farmácie či chemického priemyslu, aj zdravotnícke zariadenia vrátane nemocníc a súkromných kliník,“ približuje Roman Čupka, konzultant spoločnosti Flowmon Networks, ktorá sa zaoberá bezpečnostným monitoringom rozsiahlych počítačových sietí.
„V dnešnom informačnom veku sú voči kybernetickým hrozbám zraniteľné všetky organizácie, ktoré vyrábajú produkty alebo poskytujú služby. Snahou zákona o kybernetickej bezpečnosti je dosiahnuť, aby sa vybrané subjekty, ktoré poskytujú dôležité služby pre širokú skupinu obyvateľstva, správali zodpovedne a chránili seba i svojich zákazníkov – a tým aj spoločnosť – pred rastúcimi kybernetickými rizikami,“ vysvetľuje Rastislav Janota, ktorý je riaditeľom Národnej jednotky SK-CERT na Národnom bezpečnostnom úrade.
Každá organizácia, ktorá tak doteraz neurobila, by mala v najbližších dňoch preveriť identifikačné kritériá, na základe ktorých zistí, či sa jej registračná povinnosť týka. „Ide napríklad o počet používateľov služby, trhový podiel prevádzkovateľa, geografické rozšírenie z hľadiska oblasti, ktorú by kybernetický bezpečnostný incident mohol postihnúť, alebo vplyv, ktorý by mohli mať prípadné incidenty na fungovanie štátu a jeho bezpečnosť,“ približuje Ivan Makatura, predseda správnej rady Asociácie kybernetickej bezpečnosti.
Registráciou sa zákonné povinnosti prevádzkovateľov základných a digitálnych služieb, ako aj informačných systémov verejnej správy iba začínajú. Do dvoch rokov od začiatku účinnosti zákona budú musieť mať dotknuté subjekty vytvorenú celú organizačnú štruktúru pre riadenie kybernetickej bezpečnosti pozostávajúcu z viacerých rolí a využívať tiež adekvátne bezpečnostné technológie.
Mali by tiež mať bezpečnostný plán, podľa ktorého majú pravidelne precvičovať modelovú situáciu hrozby narušenia alebo zničenia kritickej infraštruktúry a byť schopné poskytnúť súčinnosť príslušným orgánom.
Odborníci na bezpečnosť IT pripomínajú, že nová legislatíva tiež zavádza povinnosť hlásiť incidenty do niekoľkých hodín či dní, čo väčšina dotknutých subjektov v súčasnosti nedokáže. „Reakčná doba organizácií na narušenie bezpečnosti býva pridlhá. Trvá desiatky až stovky dní a zvyčajne k nej dochádza, až keď dôjde k úniku citlivých dát alebo k znefunkčneniu služby,“ upozorňuje R. Čupka.
Pre splnenie legislatívnych požiadaviek budú musieť firmy v budúcnosti siahnuť po nových formách zabezpečenia založených na behaviorálnych analýzach, ktoré v kombinácii so strojovým učením a prvkami umelej inteligencie dokážu identifikovať bezpečnostný incident prakticky okamžite.
„V spojení s ďalšími dostupnými automatizačnými nástrojmi a klasifikačnými mechanizmami je tak možné skrátiť reakčnú dobu na narušenie bezpečnosti z mesiacov na sekundy či minúty,“ dodáva R. Čupka.