Kybernetická bezpečnosť sa aj na Slovensku za posledné roky posunula z okrajovej témy IT oddelení do popredia strategického riadenia organizácií.

Napriek tomu Slovensko čelí vážnemu problému - akútnemu nedostatku kvalifikovaných odborníkov na kybernetickú bezpečnosť. Táto skutočnosť má čoraz vážnejšie dôsledky - od nezvládnutých incidentov až po porušovanie zákona.

Málo expertov

V praxi to znamená, že mnohé firmy a verejné inštitúcie nie sú schopné dostatočne reagovať na bezpečnostné incidenty. Jednoducho nemajú k dispozícii odborníka, ktorý by vedel navrhnúť a implementovať preventívne opatrenia, odhaliť podozrivú aktivitu, zhodnotiť riziko, alebo navrhnúť nápravné opatrenia pri riešení bezpečnostných incidentov.

Chýbajú nielen bezpečnostní analytici, ale aj bezpečnostní architekti so znalosťami v oblasti ochrany osobných údajov, forenzní experti, špecialisti na právne súvislosti či manažéri kybernetickej bezpečnosti. V neposlednom rade však aj vedúci pracovníci, ktorí chápu kybernetickú bezpečnosť ako súčasť firemnej zodpovednosti.

Slabá pripravenosť

Dôsledkom tohto personálneho deficitu je často nepripravenosť - nie len technická, ale aj organizačná a procesná. Incidenty sa nielenže neodhalia včas, ale organizácie neraz nevedia správne klasifikovať či zdokumentovať bezpečnostný incident. Ak napríklad dôjde k ransomvérovému útoku, organizácia častokrát nevie, ako sa má správať, koho kontaktovať, ani aké sú jej oznamovacie povinnosti. Nemá funkčný Incident Response plán/proces.

Riziko porušenia zákona

To všetko pritom už nie je len otázka reputácie alebo prevádzkového rizika - ide tu aj o povinnosti týkajúce sa zákona či vyhlášok a z nich vplývajúcich konzekvencií. Slovensko prijalo a prijíma zákony, ktoré sprísňujú povinnosti organizácií v oblasti bezpečnosti informačných systémov. Okrem povinného nahlasovania incidentov zákony ukladajú organizáciám, ktoré pod ne spadajú,  aj povinnosť prijímať primerané technické a organizačné opatrenia. V prípade zlyhania hrozia nielen vysoké finančné pokuty, ale aj osobná zodpovednosť štatutárnych zástupcov.

V tomto kontexte sa personálny nedostatok stáva systémovým rizikom. Ak organizácia nemá zamestnanca alebo dodávateľa, ktorý by vedel nastaviť bezpečnostnú politiku, reagovať na incident alebo viesť komunikáciu s tretími stranami (úrady, partneri, dodávatelia, zákazníci a pod.), vystavuje sa nielen technickým hrozbám, ale aj právnym následkom. A to aj v prípade, že incident nevznikol zlým úmyslom.

Ľudia sú kľúčom

Závažnejšie je, keď sa preukáže, že bezpečnostný incident bol spôsobený úmyselne - napríklad konaním bývalého zamestnanca, ktorý mal stále prístup do systému, alebo externým útočníkom, ktorému útok umožnila otvorená zraniteľnosť známa už mesiace. V takýchto prípadoch hovoríme o možnom trestnoprávnom presahu.

Zabezpečiť kybernetickú bezpečnosť preto dnes neznamená len kúpiť technológiu, ale predovšetkým získať ľudí, ktorí vedia túto technológiu správne používať, aktualizovať, monitorovať a najmä - reagovať. Bez odborne pripraveného tímu sa môže stať aj ten najmodernejší systém zraniteľným.

Skrytá kríza rastie

Hovorí sa, že každá organizácia už buď bola napadnutá, alebo o tom ešte nevie. No čoraz častejšie platí aj druhé varovanie: každá organizácia buď má bezpečnostný tím, alebo bude mať problém - a nie len technický. Bude to problém právny, reputačný a v konečnom dôsledku aj ekonomický.

Kybernetická bezpečnosť nie je len o technickom aspekte, či dokumentácii na splnenie požiadaviek voči zákonom. Je to predovšetkým o ľuďoch - a Slovensko ich má žalostne málo. Táto tichá kríza si zaslúži viac pozornosti ako kedykoľvek predtým.

Marek Madžo,

technický riaditeľ, void SOC