Právne aspekty kybernetickej bezpečnosti obcí a miest
Čo je informačná
a kybernetická bezpečnosť?
Informačná bezpečnosť zahŕňa ochranu informácií a systémov pred neautorizovaným prístupom a zneužitím, s cieľom zabezpečiť ich dôvernosť, integritu a dostupnosť. Kybernetická bezpečnosť, ako podmnožina informačnej bezpečnosti, sa špecificky zameriava na ochranu počítačových systémov a dát vo virtuálnom prostredí proti kybernetickým hrozbám ako sú malvér, ransomvér, a phishing.
Rozdiel medzi informačnou a kybernetickou
bezpečnosťou:
Informačná bezpečnosť pokrýva všetky aspekty ochrany
informácií, zatiaľ čo kybernetická bezpečnosť sa sústredí
na digitálne hrozby.
Malvér a ransomvér: škodlivý softvér poškodzujúci
systémy alebo šifrujúci dáta za účelom výkupného.
Phishing: získavanie citlivých informácií cez falšované
e-maily alebo webové stránky.
Útoky DoS/DDoS: blokovanie prístupu k online
službám.
Slabé alebo opakované heslá: zvýšené riziko prieniku.
Vnútorné hrozby: nevhodné využitie prístupu k
informáciám zamestnancami.
Neaktualizovaný softvér: zraniteľnosti v starších
verziách softvéru.
Právna úprava Európskej únie:
Smernica NIS 2, ktorá vstúpila do platnosti
16. januára 2023, nahradila pôvodnú smernicu
NIS. Táto smernica rozširuje požiadavky na
kybernetickú bezpečnosť (KB) pre širší okruh
subjektov a sektorov, zvyšuje harmonizáciu
bezpečnostných noriem, oznamovacích povinností
a zavádza nové oblasti záujmu, ako
je bezpečnosť dodávateľských reťazcov
a kybernetická hygiena. Členské štáty majú
21 mesiacov na implementáciu týchto opatrení
do svojich národných zákonov.
Právna úprava na Slovensku:
- Zákon č. 69/2018 Z.z. o kybernetickej
bezpečnosti. - Vyhlášky NBÚ (Národného bezpečnostného
úradu), ktoré upravujú identifikačné kritériá
prevádzkovanej služby, kategórie závažných
kybernetických bezpečnostných incidentov
a hlásenie týchto incidentov, ako aj detaily o
technickom vybavení CSIRT (Centrá pre reakciu
na kybernetické incidenty). - Zákon č. 95/2019 Z.z. o informačných
technológiách vo verejnej správe a príslušné
vyhlášky, ktoré určujú kategorizáciu a
bezpečnostné opatrenia pre IT verejnej správy.
kybernetickej bezpečnosti:
- Ochrana citlivých údajov: ochrana osobných a
finančných informácií. - Zachovanie dôvernosti: ochrana strategických a
interných informácií.
- Zabezpečenie integrity: prevencia neautorizovaných
zmien informácií.
- Zabezpečenie dostupnosti: ochrana proti útokom
odmietnutia služby a technickým zlyhaniam.
- Detekcia a reakcia na incidenty: rýchla identifikácia a
náprava bezpečnostných porušení.
- Legislatívne požiadavky: dodržiavanie zákonov ako
GDPR alebo HIPAA.
- Dôvera zákazníkov a partnerov: udržiavanie dôvery a
obchodných vzťahov.
- Finančná stabilita: minimalizácia finančných strát z
bezpečnostných porušení.
Povinnosti a opatrenia:
- Prevádzkovatelia základných služieb musia prijať
všeobecné a sektorové bezpečnostné opatrenia,
riešiť kybernetické bezpečnostné incidenty,
oznamovať závažné incidenty a spolupracovať s
príslušnými bezpečnostnými orgánmi. - Bezpečnostné opatrenia podľa zákona zahŕňajú
detekciu a evidenciu incidentov, riešenie
incidentov, určenie kontaktnej osoby a pripojenie
do systému pre hlásenie a riešenie incidentov.
Bezpečnostné kategórie pre obce:
- Obce do 1000 obyvateľov: minimálne
bezpečnostné opatrenia Kategórie I. - Obce do 6000 obyvateľov alebo s mestským
štatútom: minimálne bezpečnostné opatrenia
Kategórie I, PZS implementuje opatrenia podľa
zákona. - Obce nad 6000 obyvateľov, mestské časti
s právnou subjektivitou, krajské mestá a
samosprávne kraje: minimálne bezpečnostné
opatrenia Kategórie I, II a III.
Základná služba je definovaná ako kriticky závislá od sietí a
informačných systémov, nevyhnutná pre fungovanie sektorov ako
energetika, zdravotníctvo alebo doprava.
V prípade ich poruchy alebo nedostupnosti môže dôjsť k vážnym následkom pre spoločnosť alebo ekonomiku.
V rámci kybernetickej bezpečnosti sú tieto služby považované za kritické a obce a verejná správa musia
zabezpečiť ich ochranu pred kybernetickými hrozbami.
Výber dodávateľa služieb kybernetickej bezpečnosti
Základné požiadavky:
Prevádzkovatelia základných služieb musia dodržiavať zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti, ktorý vyžaduje stanovenie a implementáciu bezpečnostných opatrení a vykonávanie odborných činností. Vzhľadom na nedostatok interných špecialistov sa často využíva outsourcing týchto činností.
Zmluvné vzťahy:
Služby kybernetickej bezpečnosti sa zvyčajne zabezpečujú na základe zmluvných dohôd, kde je možné stanoviť sankcie za porušenie zmluvných povinností. Je dôležité si uvedomiť, že zmluva s dodávateľom nahrádza zákonné zodpovednosti.
Role a povinnosti:
- Externí manažéri kybernetickej bezpečnosti sú často využívaní v malých organizáciách. Majú kľúčové role podľa zákona o kybernetickej bezpečnosti a IT vo verejnej správe.
- Audity kybernetickej bezpečnosti musia vykonávať len certifikovaní audítori. Na Slovensku sa zoznam certifikovaných audítorov nachádza na nbu.gov.sk.
Výber dôveryhodného dodávateľa:
- Profesionalita: Dodávateľ by mal preukázať
profesionalitu a dôveryhodnosť. - Skúsenosti a referencie: Overenie
predchádzajúcich projektov a získaných
referencií. - Kvalifikácia: Relevantné certifikáty a odborná
kvalifikácia. - Komunikácia: Jasné vysvetlenie plánov na
zlepšenie kybernetickej bezpečnosti. - Prispôsobenie služieb: Individuálne
prispôsobené služby podľa potrieb klienta. - Pravidelná spolupráca: Navrhované pravidelné
návštevy a konzultácie. - Zodpovednosť: Dodržiavanie všetkých
regulácií, vrátane správneho použitia
subdodávateľov.
Analýza rizík:
Táto kľúčová činnosť pomáha určiť ochranu
pred hrozbami v IT systémoch a byť základom
pre všetky bezpečnostné opatrenia. Dodávateľ
by mal:
- Rozumieť IT prostrediu a dôležitým aktívam.
- Poskytnúť jasný plán analýzy rizík.
- Navrhnúť adekvátne bezpečnostné opatrenia
odpovedajúce rozsahu a typu rizík.
VAROVANIE
Pozor na dodávateľov, ktorí sa sústredia len na
pokuty bez porozumenia širších rizík, čo môže byť
znakom nedostatočnej odbornosti. Všeobecne
napísaná bezpečnostná dokumentácia alebo
štandardné šablóny nikdy nezohľadňujú všetky
špecifické potreby a opatrenia.