Brusel rieši aj kybernetickú bezpečnosť. Mnohé slovenské firmy a inštitúcie, ktoré sa mali prihlásiť do registra Národného bezpečnostného úradu, túto povinnosť odignorovali.
Desiatky až stovky spoločností alebo inštitúcií zhromažďujúcich citlivé informácie či zásobujúce ľudí a firmy strategickými surovinami sa mali zahlásiť do konca septembra ako poskytovatelia základnej alebo digitálnej služby na Národnom bezpečnostnom úrade. Aby sa lepšie dokázalo zabrániť kybernetickým incidentom.
Prečo je to dôležité
Prikazuje im to zákon o kybernetickej bezpečnosti, ktorý nadobudol účinnosť 1. apríla. Do zákona sa zakomponovala aj smernica NIS (smernica Európskeho parlamentu a rady o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii) účinná od 25. mája 2018.
„NIS má prispieť ku globálnej kybernetickej bezpečnosti. Zaviedla bezpečnostné požiadavky pre kľúčové firmy a inštitúcie, ktoré disponujú databázou citlivých údajov alebo zabezpečujú dôležité úlohy pre chod domácností, firiem a krajiny,“ konštatuje Pavol Draxler, security manažér zo spoločnosti Binary Confidence, ktorá sa venuje ochrane pred kybernetickými hrozbami.
Mnohé z nich tak ale dodnes nespravili. Sú medzi nimi nemocnice, zdravotné poisťovne, energetické podniky ale aj Národná agentúra pre sieťové a elektronické služby, ktorá zastrešuje slovensko.sk, a mnohé ďalšie.
Čo hrozí?
Všetkým, ktorí sa mali prihlásiť a nespravili tak, hrozí pokuta až do 300-tisíc eur. Čo je však horšie, všetky tieto spoločnosti a inštitúcie nespravili nič pre to, aby ochránili údaje ľudí a firiem a zabezpečili bezpečnosť svojich, vo väčšine prípadov, strategických služieb.
„Smernica NIS bola vydaná z dôvodu zaistenia bezpečnosti kybernetického priestoru vo všetkých členských štátoch Európskej únie,“ vysvetľuje Pavol Draxler.
Prihlásenie sa do registra je len prvým krokom k zaisteniu bezpečnosti. Firmy a inštitúcie musia následne prijať ďalšie opatrenia na zabezpečenie svojich IT prostredí a nahlasovať kybernetické incidenty. „Tie, ktoré tak nespravia, sa stávajú ľahkým cieľom pre útočníkov alebo hackerské skupiny. Následkom môže byť, že napríklad môžu ľudia prísť o dodávku vody alebo sa stratia ich zdravotné záznamy,“ upozorňuje Pavol Draxler.
NBÚ už tých, ktorí na svoju povinnosť zabudli, v polovici októbra vyzval, aby bezodkladne poslali vyplnený formulár aj s prílohou.
Kto a prečo sa mal zahlásiť do registra na NBÚ
- Správcovia a prevádzkovatelia sietí a informačných systémov verejnej správy
- Banky alebo inštitúcie poskytujúce úvery?
- Nemocnica, súkromná poliklinika či iní poskytovatelia zdravotnej starostlivosti
- Dodávatelia energií pre podniky a domácnosti
- Prevádzkovateľ distribučnej sústavy
- Prevádzkovateľ zariadenia na ťažbu ropy alebo jej prepravca a skladovateľ
- Prevádzkovateľ plynových zásobníkov
- Dodávatelia pitnej vody, ak je to ich hlavná činnosť
- Výrobcovia a dodávatelia tepla
- Register domén najvyššej úrovne
- Poskytovateľ služby DNS
- Prevádzkovateľ internetových prepojovacích uzlov
- Leteckí či vodní dopravcovia
- Prevádzkovatelia inteligentných cestných systémov
- Orgán zodpovedný za kontrolu riadenia cestnej premávky
- Riadiaci orgán prístavu
Prihlásiť sa do registra prevádzkovateľa základnej služby mal jednoducho každý, kto prevádzkuje službu uvedenú v prílohe č. 1 zákona o kybernetickej bezpečnosti, má povinnosť skúmať potenciálny dopad kybernetického bezpečnostného incidentu na svoju poskytovanú službu závislú od sietí a informačných systémov (v zmysle vyhlášky č. 164/2018 Z. z.). Do registra prevádzkovateľa digitálnej služby sa musí prihlásiť firma, ktorá je online trhoviskom, internetovým vyhľadávačom alebo poskytuje cloudové služby a zároveň zamestnáva aspoň 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 miliónov eur.
Odoslaním prihlášky ale ich povinnosti nekončia. Podľa prechodných ustanovení zákona musia do dvoch rokov od registrácie prijať bezpečnostné opatrenia. Podobne ako v prípade GDPR ide o pomerne náročný proces. „Tieto opatrenia dokážeme zabezpečiť pomocou SOC-u – naše ochranné kybernetické centrum. Toto okrem špičkových technológií na predchádzanie, odhaľovanie, analyzovanie a následné reagovanie na kyberhrozby tvorí vysoko kvalifikovaný tím expertov.,“ vysvetľuje Pavol Draxler z Binary Confidence.