Brusel sa zaoberá kybernetickou bezpečnosťou. Koho sa to týka a čo treba urobiť?
Desiatkam či dokonca stovkám firiem a inštitúcií hrozia pokuty až do výšky 300-tisíc eur.
Banky, poisťovne, mobilní operátori, dodávatelia energií, nemocnice, súkromné kliniky či vodárenské spoločnosti sa mohli do konca septembra prihlásiť do Jednotného informačného systému kybernetickej bezpečnosti (Unified Cybersecurity Single Information System), ktorý prevádzkuje Národný bezpečnostný úrad SR.
Vyplýva to zo zákona o kybernetickej bezpečnosti, ktorý vstúpil do platnosti 1. apríla 2018. Súčasťou tohto zákona je aj smernica NIS (smernica EÚ o bezpečnosti sietí a informačných systémov), ktorá nadobudla účinnosť 10. mája 2018. „NIS by mala prispieť ku globálnej kybernetickej bezpečnosti. Zavádza bezpečnostné požiadavky pre kľúčové firmy a inštitúcie, ktoré disponujú databázou citlivých údajov alebo zabezpečujú dôležité úlohy pre chod domácností, firiem a krajiny,“ hovorí Pavol Draxler, security manažér zo spoločnosti Binary Confidence, ktorá sa zaoberá ochranou pred kybernetickými útokmi.
Od dátumu účinnosti zákona mali stovky firiem a štátnych inštitúcií pol roka na to, aby sa prihlásili do registra prevádzkovateľov základných služieb alebo registra poskytovateľov digitálnych služieb. Ak si túto povinnosť nesplnia, hrozí im vysoká pokuta od Národného bezpečnostného úradu. V polovici októbra NBÚ vyzval takéto firmy a inštitúcie, aby bezodkladne zaslali vyplnený registračný formulár s potrebnými prílohami.
Na koho sa táto povinnosť vzťahuje?
Registračný formulár by mali poslať všetky organizácie, ktoré môžu odpovedať kladne na niektorú z týchto otázok:
- Ste banka alebo inštitúcia, ktorá poskytuje úvery?
- Ste nemocnica, súkromné zdravotné stredisko alebo iný poskytovateľ zdravotnej starostlivosti?
- Ste dodávateľom energií pre firmy a domácnosti?
- Ste dodávateľom pitnej vody a ide o vašu hlavnú činnosť?
- Ste registrátor domén najvyššej úrovne?
- Prevádzkujete službu, ktorá je prvkom kritickej infraštruktúry?
Každý, kto poskytuje službu definovanú v prílohe č. 1 zákona o kybernetickej bezpečnosti, je povinný zaregistrovať sa do registra prevádzkovateľov základných služieb, pričom musí skúmať potenciálny dosah kybernetického bezpečnostného incidentu na poskytovanie služby závislej od fungovania informačných systémov alebo sietí (vyhláška č. 164/2018). Do registra poskytovateľov digitálnych služieb sa musí prihlásiť každá firma, ktorá je online trhoviskom, internetovým vyhľadávačom alebo poskytuje cloudové služby a zároveň zamestnáva aspoň 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako desať miliónov eur.
Registrácia je len prvým krokom
Registrácia je len prvým krokom k zabezpečeniu kybernetickej bezpečnosti. Firmy a inštitúcie musia následne do dvoch rokov implementovať ďalšie opatrenia na zabezpečenie svojich IT systémov, ako aj nahlasovať kybernetické bezpečnostné incidenty. „Tie spoločnosti a inštitúcie, ktoré tak nespravia, sa stávajú ľahkým cieľom pre útočníkov a hackerské skupiny. Následkom môže byť, že napríklad ľudia môžu prísť o dodávku vody alebo sa im stratia ich zdravotné záznamy,“ upozornil Pavol Draxler.
V mnohých prípadoch je lepšie obrátiť sa na odborníkov v tejto oblasti; podobne ako GDPR, ide o pomerne náročný proces. „Tieto opatrenia môžeme implementovať pomocou SOC – nášho strediska bezpečnostných operácií. Okrem špičkových technológií na prevenciu, detekciu, analýzu a následné riešenie kybernetických hrozieb disponuje náš SOC aj tímom vysokokvalifikovaných odborníkov,“ vysvetľuje Pavol Draxler zo spoločnosti Binary Confidence.
Binary Confidence ponúka svojim klientom možnosť pripojiť celú svoju infraštruktúru do jedného monitorovacieho centra, kde bezpečnosť komplexne poskytuje tím profesionálov. Služba spočíva v zapojení zariadení, ako napr. serverov, routrov, firewallov, IDS/IPS, SIEM a pracovných staníc a odosielania logov z nich do SOCu. „V tomto centre vyhodnocuje logy náš systém SIEM, pričom bezpečnostné incidenty riešia naši vyškolení zamestnanci s dôrazom na aktívny bezpečnostný monitoring,“ dodáva Pavol Draxler.
Čo môže používateľ očakávať od aktívneho monitoringu? Chráni všetky vaše dáta
Vďaka prístupu k logom zo serverov, sieťových zariadení a nástrojov LDP (portfólio expozícií s nízkym rizikom zlyhania) dokáže tím SOC spoločnosti Binary Confidence odhaliť nielen prítomnosť útočníka v sieti klienta, ale aj prípady, keď sa útočník stále pokúša nabúrať do siete klienta. Súčasťou monitoringu je aj dohľad nad celým IT prostredím, vrátane napr. dátových tokov medzi zamestnancami.
Výhody aktívneho monitoringu:
- šetrí klientovi peniaze
- monitoring v reálnom čase s nonstop dohľadom (24/7) alebo iným spôsobom podľa potrieb klienta
- reakčný čas do 30 + 30 minút
- systém dohľadu na viacerých úrovniach (tzv. filozofia „defence-in-depth“) výrazne zvyšuje pravdepodobnosť, že útok bude odhalený skôr, než spôsobí nenapraviteľné škody.
- opatrenia prijaté na riadenie rizík súvisiacich s bezpečnosťou sietí a informačných systémov v záujme splnenia zákonných požiadaviek.
- zrozumiteľné mesačné reporty o stave kybernetickej bezpečnosti vo vašej firme.
- monitorovanie zraniteľností vášho systému
- zamestnanci spoločnosti Binary Confidence pracovali na kriticky dôležitých systémoch pre Európsku komisiu, zúčastnili sa tréningu NATO a vyvíjajú vlastné riešenia v oblasti strojového učenia s SOC novej generácie, pričom majú bezpečnostnú previerku od NBÚ.