Manažér kyberbezpečnosti práve ukázal, ako rastie počet aj agresivita útokov, vystrašil celý manažment, navrhol fungujúce riešenia a dostal jedinú otázku – kde na to nájsť financie. Poznáte to?
Potreba bezpečnostných riešení sa mení a žiadna organizácia už nezvládne kybernetickú ochranu bez kvalifikovaných dodávateľov. V určitej etape sa však diskusie stočia k financiám.
V skratke a k veci
Skúsený profesionál Roman Čupka po vyše pätnástich rokoch pôsobenia v krajinách celej Európy vidí na Slovensku tri neuralgické body investícií v kybernetickej bezpečnosti.
Domáce podnikateľské prostredie tvoria prevažne finančné skupiny s veľmi prísnymi pravidlami pre investície, ktoré neprinášajú priamy finančný benefit. Malé a stredne veľké firmy často považujú oblasť kybernetickej bezpečnosti za okrajovú. Organizácie verejnej správy zase trpia pod ťarchou byrokracie čerpania eurofondov, legislatívnych obmedzení a komplikovaných verejných obstarávaní.
Čo robia tí veľkí
Principiálna brzda odvážnejších a väčších investícií do kybernetickej bezpečnosti spočíva v tom, že veľké firmy na Slovensku so zahraničnými matkami často nemajú možnosť flexibilne narábať s rozpočtami.
„Pridajme k tomu tlak na šetrenie v oblasti ľudských zdrojov a nepomer ohodnotenia odborníkov na bezpečnosť na Slovensku v porovnaní so západnou Európou a máme ešte väčší problém. Ľudia nám odchádzajú do zahraničia,“ upozorňuje Roman Čupka. A jednohlasne s ním súhlasia všetci, či už ide o sektory, alebo profesie.
Kto ťahá trh
Trh kybernetickej bezpečnosti je dynamický a na jeho formovaní sa podieľajú ambiciózne firmy a najmä regulované sektory. Manažér IT bezpečnosti 365.bank Michal Gross hodnotí ostatné dva roky ako výzvu pre kyberbezpečnostné tímy a zároveň aj príležitosť modernizovať.
Predseda Predstavenstva Východoslovenskej distribučnej Radoslav Haluška tu však zdôrazňuje, že kybernetická bezpečnosť nie je „single puzzle“. Vysoká úroveň odolnosti pred kybernetickými hrozbami nie je primárne len o kapitálových výdavkoch či o technologickom profile zariadení. „Je to vo veľkej miere aj o samotnej organizácii, kompetenciách, pravidlách a procesnej štruktúre.“
Čo sa deje u malých
Pre malé a stredné firmy je často garantom kybernetickej bezpečnosti ich dodávateľ IT služieb či externý administrátor. Ako hovorí Ladislav Líška zo spoločnosti SmartCard, ak má investícia do kybernetickej bezpečnosti rozumnú argumentáciu, vždy sa vo firmách stretne s pochopením.
Vo chvíli, keď si firmy uvedomia význam a ochranu svojich dát, začnú chápať význam investícií do bezpečnosti. Tak schválne – aké máte mesačné náklady na účtovníctvo a čo by ste robili, keby vám ho hneď v tejto chvíli zašifrovali?
Znížili bezpečnosť, aby prežili
Ešte pred pandémiou slovenský trh bezpečnostných riešení sľubne rástol. Paradoxne, spomalil sa s presunom do online prostredia. Firmy riešili existenčné problémy, znížili bezpečnostné štandardy pre prácu doma a nasadili provizórne riešenia. A toto provizórium nenápadne prešlo do trvalého stavu najmä v malých a stredných firmách.
„Na domácich počítačoch zostali cenné firemné dáta a prístupy. A za to, čo majú zákazníci mimo firemnej siete, sa nevie zaručiť žiadny profesionálny dodávateľ,“ hovorí o skúsenostiach z praxe Ladislav Líška. Do bezpečnostného vzdelania však dodávatelia IT služieb musia investovať sami a vidia svoje limity.
Bezpečnosť verzus úradníci
V prípade štátnych organizácií a samosprávy čas implementácie technológií a využívanie externých služieb ovplyvňujú obstarávanie a spoločenské zmeny.
„Často sa stáva, že po podpise zmluvy s dodávateľom už výkon či iné parametre nakúpených technológií nepostačujú, alebo sú služby neaktuálne,“ vysvetľuje Roman Čupka. Projekty sa potom musia upravovať, keďže oblasť kybernetickej bezpečnosti je veľmi dynamická. „Vo verejnej správe nám chýba koncepcia a výzvy na čerpanie dostupných financií nie sú dostatočne komunikované.“
Ochráňte investície
Ako najdôležitejšie kritérium pri obstarávaní riešení a služieb vidí advokát Miroslav Chlipala kvalitný opis predmetu zákazky: „Ak chce firma alebo úrad dostať kvalitu za svoje peniaze, musí dobre začať úplne na začiatku.“ Zákon o kybernetickej bezpečnosti totiž stanovuje množstvo požiadaviek, ktoré musia obstarávatelia ako povinné osoby plniť.
Pre potenciálnych dodávateľov treba nastaviť podmienky účasti, ktoré sú určitou zárukou kvality, skúsenosti, expertízy a znalostí. V kybernetickej bezpečnosti sú to štandardne požiadavky na certifikát či iné potvrdenie o spôsobilosti, na relevantné referencie alebo dosiahnutý obrat v obdobných zákazkách.
Keď príde na vyjednávanie
Cena je jedným z hodnotiacich kritérií pri výbere dodávateľa. Môže mať väčšiu váhu, ak ide o nákup produktu, ako napríklad licencie, ale určite by nemala byť rozhodujúcim kritériom pri výbere dodávateľa služieb.
Kybernetická bezpečnosť je rozsiahla disciplína. Ponuky preto hodnotia tímy IT bezpečnosti a obstarávania aj ďalšie organizačné jednotky. „Bolo by chybou nezohľadniť vstupy od ľudí, ktorí budú riešenie alebo službu denne používať,“ akcentuje Michal Gross.
Čoho sa vystríhať
Treba spozornieť, ak je cena od potenciálneho dodávateľa podozrivo nízka. Certifikovaných odborníkov v kybernetickej bezpečnosti je totiž žalostne málo a samotná oblasť je komplexná a zložitá.
Na kombináciu týchto súvislostí a dodávateľa, ktorý sľubuje unikátne know-how za pár eur, sa dá nahliadať iba jedným spôsobom: „Iba ak by sa takýto dodávateľ snažil o ekonomickú samovraždu,“ dodáva s dávkou nadhľadu Miroslav Chlipala.
Nová regulácia, nové investície
Očakávaná európska Smernica o bezpečnosti sietí a informačných systémov NIS2 aktualizuje zoznam odvetví a činností, na ktoré sa vzťahujú povinnosti v kybernetickej bezpečnosti.
Organizácie už teraz musia počítať náklady, aby vedeli odhadnúť potrebný balík peňazí. „Ak ide o investície do bezpečnosti, veľká časť, samozrejme, súvisí s technológiami. Ešte náročnejšie sú však procesy, vzdelávanie ľudí, ich preškoľovanie a získavanie nových technologických zručností,“ upozorňuje Jozef Bálint zo spoločnosti Alison Slovakia.
Kde na to vziať
Firmy a verejnú správu čaká ďalšia potreba investícií. Či už z hľadiska regulácií a legislatívnych požiadaviek, alebo ako reakcia na masívnu digitálnu transformáciu. Tá je spojená s ochranou aktív a obranou pred narastajúcimi kybernetickými hrozbami.
Rozvoj trhu kybernetickej bezpečnosti by zároveň dokázal udržať talenty na Slovensku, podnietil vzdelávanie a umožnil prílev investícií z fondov na podporu inovácií.