Ak hodnotíme kybernetickú bezpečnosť v obci, na úrade či v menšej nemocnici, situácia je, na rovinu, alarmujúca. Rizikami, ktoré hrozia denne a treba s nimi počítať, sú nielen odcudzené peniaze z obecných účtov, ale aj znefunkčnenie dôležitého informačného systému na niekoľko dní.
„Stretávame sa až s neuveriteľnými situáciami, akoby bola úroveň zabezpečenia zo začiatku tohto storočia, čiže absolútne nepostačujúca,“ upozorňuje Peter Tyko, riaditeľ kybernetickej bezpečnosti Alison Slovakia. Menšie mestá, obce, úrady samosprávy a nemocnice trpia dlhodobým zanedbávaním IT bezpečnosti.
Medzi elementárne ohrozenia patria počítače bez hesiel s oprávnením administrátora, citlivé dáta bez ochrany, neaktualizovaný softvér, nechránené siete, chýbajúce procesy a bezpečnostné povedomie či neschopnosť monitorovať dodávateľov informačných systémov. Jediné, čo majú organizácie ako-tak vyriešené, je nakladanie s osobnými údajmi. Aj to často skôr na papieri ako v realite.
Koľko stojí kybernetická bezpečnosť
Rozpočet na kybernetickú bezpečnosť pre starostov a primátorov je, no dajme tomu, často – veľká neznáma. „Osvietená samospráva síce investuje do kybernetickej bezpečnosti priebežne, ale zatiaľ to je tak jedna z desiatich,“ zhŕňa Peter Tyko skúsenosti z terénu.
Vzhľadom na rastúce potreby digitalizácie a zvyšovania efektívnosti štúdia Deloitte uvádza, že výdavky na kybernetickú bezpečnosť sa pohybujú v rozmedzí 0,2 až 0,9 percenta z celkových príjmov organizácie. V prípade samosprávy odporúčame ako východisko zvážiť počet obyvateľov, čo určuje rozsah povinnosti podľa zákona. Druhým vstupným parametrom je fakt, či obec alebo mesto majú vlastného správcu alebo sa im o infraštruktúru niekto stará.
Odporúčaný rozpočet na kybernetickú bezpečnosť na rok: 0,2 – 0,9 percenta z ročných príjmov organizácie
Ak sú ročné príjmy milión eur, rozpočet je na vrchnej hranici 29 000 eur ročne
Ak sa vám to zdá veľa, skúste si predstaviť, aké škody môžu vzniknúť organizácii, ak sa do bezpečnosti neinvestuje. Tieto škody sa prejavia vo finančnej strate, v nákladoch na obnovu systémov, v regulačných pokutách, poplatkoch za právne a expertné služby, v reputačných škodách a napríklad aj na zvýšení poistného.
„V praxi sa pri stanovovaní predpokladaných nákladov držíme reality, v akej sa trh nachádza,“ hovorí Peter Tyko. Základom sú však minimálne bezpečnostné opatrenia požadované legislatívou v zmysle kategorizácie subjektov informačných technológií verejnej správy.
Odporúčané finančné prostriedky plánované na kybernetickú bezpečnosť na rok 2021
- Obce do 6 000 obyvateľov, menšie úrady (kategória 1) od 5 000 eur
- Okresné mestá, ostatné subjekty (kategória 2) od 20 000 eur
- Krajské mestá, ostatné subjekty (kategória 3) od 100 000 eur
Uvedené sumy obsahujú náklady na kvalifikovaných pracovníkov a zavádzanie procesov vrátane potrebných nástrojov. Odporúčaný rozpočet je indikatívny a treba vziať do úvahy viacero faktorov, napríklad finančnú situáciu v aktuálnom roku, celkovú vyspelosť IT oddelenia či úroveň digitalizácie a ďalšie.
Čoho sa vystríhať
V každom prípade ponúk od neznámych spoločností, ktoré garantujú zabezpečenie kybernetickej bezpečnosti za desiatky či pár stovák eur mesačne. Veľa dodávateľov totiž ponúka dodávku iba na úrovni formálnej všeobecnej dokumentácie.
Na reálne kybernetické hrozby však pripraví organizáciu iba funkčný a implementovaný proces, ktorý presvedčí aj audítora. Detekciu a riešenie kybernetických incidentov žiadne „papiere“ rozhodne neošetria.
Na druhej strane, ani samotná implementácia technického riešenia nie je postačujúca, keďže veľa spoločností operuje so „zázračnými škatuľkami“, ktoré všetko vyriešia aj samy. V určitých oblastiach pomáhajú, no bez personálu a funkčného procesu nie sú postačujúce.
Zákon o kybernetickej bezpečnosti je v platnosti už viacej ako dva roky a za tento čas zásadným spôsobom „rozhýbal“ celú krajinu v snahe naplniť jeho požiadavky. Za nesplnenie legislatívnych požiadaviek hrozia vysoké pokuty, avšak to by nemala byť hlavná motivácia riešiť IT bezpečnosť.
Zdroje:
- zákon č. 69/2018 Z. z. z 30. januára 2018 o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
- vyhláška NBÚ č. 362/2018 Z. z. z 20. decembra 2018
- zákon č. 95/2019 Z. z. z 18. apríla 2019 o informačných technológiách verejnej správy a o zmene a doplnení niektorých zákonov
- vyhláška MIRRI č. 179/2020 Z. z. z 30. júna 2020
- https://www2.deloitte.com/…ber-risk.htm