Poskytovatelia zdravotnej starostlivosti, spoločnosti dodávajúce vodu, elektrinu či poskytuce finančné služby si musia dať spraviť audit, či majú dostatočne zabezpečenú svoju infraštruktúru proti hekerským útokom, strate dát, prípadne celkovému paralyzovaniu svojho chodu. Aké je to dôležité sa ukázalo na jeseň v Nemecku, kde zbytočne zomrela pacientka po hekerskom útoku na nemocnicu v Düsseldorfe.
Desiatky nemocníc, ale aj ďalšie stovky firiem a inštitúcií a málo času. Na audit kybernetickej bezpečnosti pri problémoch s pandémiou koronavírusu mnohí zabudli, upozorňuje audítorská spoločnosť TÜV SÜD Slovakia. Ide o firmy a inštitúcie, ktoré spravujú kritickú infraštruktúru štátu – poskytovatelia zdravotnej starostlivosti, elektrárne, dodávatelia energií, ale aj banky či poisťovne. Títo všetci musia do 9. novembra 2021 podstúpiť audit. Môže sa zdať, že času naň je ešte dosť. Nie je to však tak. „Na Slovensku máme v súčasnosti iba približne 30 audítorov kybernetickej bezpečnosti, ktorí sú ako jediní oprávnení audit kybernetickej bezpečnosti vykonať. Vzhľadom na počet povinne auditovaných osôb, ktorých sú stovky až tisíce, a priemernú dĺžku trvania auditov, sa môže veľmi ľahko stať, že termín nestihnú všetci,“ vysvetľuje Igor Straka, odborník na kybernetickú bezpečnosť spoločnosti TÜV SÜD Slovakia.
Chráni nás pred kolapsom
Audit vyžaduje zákon o kybernetickej bezpečnosti, ktorý platí presne tri roky – od apríla 2018. Vďaka zavedeniu povinností prijať bezpečnostné opatrenia existuje nižšia pravdepodobnosť, že hekeri obmedzia chod nemocníc v čase pandémie tak, že tie nebudú schopné poskytovať zdravotnú starostlivosť. Igor Straka upozorňuje na prípad, ktorý sa stal v septembri v nemeckom Düsseldorfe, kde v dôsledku ransomvéru, teda škodlivého softvéru došlo k zakódovaniu dát a znefunkčneniu počítačových systémov. Pacientka, ktorú museli prevážať do nemocnice v inom meste, kvôli útoku zomrela.
Zabrániť treba však okrem takýchto extrémnych prípadov aj tomu, aby dnes v dištančnej dobe a čase homeofficeov nenastal dlhodobý výpadok internetu, prípadne blackout. Zákon pritom určil viacero lehôt, ktoré musia všetci povinní dodržať. V prvom rade sa mali nahlásiť do registra, ktorý vedie Národný bezpečnostný úrad. Deadline bol do 9. novembra 2018, následne do apríla minulého roka mali prijať bezpečnostné opatrenia a najneskôr v novembri tohto roka musia mať pečiatku, že prešli spomínaným auditom. „Tie firmy, ktoré sa z rôznych príčin dostali do registra NBÚ až po novembri 2018, musia auditom prejsť do dvoch rokov od zápisu zistenia (ak dvojročná lehota uplynie po 9.11.2021), že sú podľa zákona kritickou infraštruktúrou a dátumu nahlásenia tejto skutočnosti štátu,“ upozorňuje Igor Straka.
Za nedodržanie lehôt pokuta
Jedným z dôvodov, prečo niektoré z firiem či inštitúcií neboli v zozname NBÚ načas, môže byť, že si túto povinnosť nepreverili. Mnohé tak urobili, až keď ich NBÚ vyzval na splnenie si povinnosti. Okrem toho bezpečnostný úrad mohol kritériá na zaradenie do zoznamu priebežne meniť. Pokuta za neprihlásenie sa či iné nedodržiavanie zákona sa môže vyšplhať až do 300-tisíc eur, čo v čase ekonomických problémov v dôsledku pandémie koronakrízy môže mať výrazný dopad na hospodárenie podnikov.
