Zákon nepustí
Nemocnice, laboratóriá a špecializované pracoviská patria medzi poskytovateľov základných služieb a podľa zákona sa na ne vzťahuje povinnosť urobiť audit kybernetickej bezpečnosti a správu dodať národnej autorite. Národný bezpečnostný úrad k začiatku roka evidoval 49 doručených auditov v sektore zdravotníctva.
V súčasnosti prebiehajú ďalšie audity, ale ešte stále ich chýba niekoľko desiatok. Ako však zdôrazňuje zodpovedný úrad, cieľom auditu nie je kontrola ani postihy. Cieľom je predovšetkým náprava podľa auditových zistení.
Potvrdí to každý audítor
Skúsenosti audítorov by sa dali zhrnúť do jednej mantry – každá organizácia bude len taká bezpečná, aký význam a dôležitosť kybernetickej bezpečnosti pripisuje manažment organizácie. Ako potvrdzuje audítor kybernetickej bezpečnosti Marián Illovský, je nesmierne dôležité, ak vedenie prikladá tejto problematike veľký význam.
Či už nad zariadeniami visí legislatívna povinnosť, alebo sa čoraz viac medializujú útoky na nemocnice v Českej republike a okolitých krajinách, audit kybernetickej bezpečnosti má nespochybniteľné postavenie v činnosti organizácií.
Verzia 1.0
V minulých mesiacoch stáli pred povinnosťou auditu kybernetickej bezpečnosti desiatky zdravotníckych zariadení a s nimi desiatky audítorov. Keďže audítor je vysokokvalifikovaná a certifikovaná autorita, pribúda ich iba veľmi pomaly. Ich povinnosti sú rozsiahle a špičkoví audítori zbierajú skúsenosti roky.
Na druhej strane sú tu rôznorodé zdravotnícke zariadenia. Predstavujú kolosy s viacerými subjektmi, ale aj inštitúcie rozložené na pár poschodiach, no so špecifickým poslaním.
Napríklad v sieti nemocníc Svet zdravia bolo v čase výkonu auditu jedenásť poskytovateľov základnej služby registrovaných ako prevádzkovateľ základnej služby na NBÚ. Celková dĺžka auditu tu bola takmer tri mesiace. Podľa Petra Dufeka, manažéra kybernetickej bezpečnosti ProCare a Svet Zdravia, bolo najvýznamnejšou skúsenosťou v sieti práve praktické oboznámenie sa s výkonom auditu.
Najvýznamnejšie skúsenosti
V mnohých zdravotníckych zariadeniach išlo o vôbec prvé posudzovanie zhody formou auditu. Samotný audit je systematický, nezávislý a zdokumentovaný proces a je objektívnym posúdením miery, do akej sa splnili vopred definované bezpečnostné požiadavky. Priebeh auditu tak ovplyvňuje celú organizáciu.
Aj podľa skúsenosti Petra Dufeka si audit vyžiadal spoluprácu množstva oddelení – IT a HR tímu, špecialistov kvality, prevádzkových zamestnancov a, samozrejme, manažéra kybernetickej bezpečnosti.
Preskúmanie všetkých oblastí si vyžadovalo presné dodržiavanie auditového harmonogramu, jeho rozsahu, zdrojov a účasť na mieste v auditovaných subjektoch.
Predtým a potom
Audit kybernetickej bezpečnosti v organizácii sa nekončí odovzdaním auditovej správy. Kybernetická bezpečnosť je komplexný a systematický proces. Nikdy sa nekončí a zohľadňuje prevádzkové odlišnosti každého subjektu. Predstavuje cyklus budovania a udržiavania celého ekosystému opatrení a procesov.
Bezprostredne po získaní výsledkov auditu sa stanovili záväzné opatrenia a harmonogram odstránenia nedostatkov. Ako uvádza Peter Dufek, prvým rozhodnutím organizácie po doručení správy auditu kybernetickej bezpečnosti bolo personálne posilnenie tímu IT bezpečnosti v spolupráci s manažmentom.
Je zrejmé, že zmena od povedomia ku kultúre kybernetickej bezpečnosti v organizácii nie je jednoduchá. Marián Illovský preto kladie dôraz na postupné a cieľavedomé vzdelávanie v kybernetickej bezpečnosti. Iba takéto spojené aktivity na všetkých „frontoch“ pomôžu ochrániť organizáciu pred kybernetickými hrozbami.
Peter Dufek, manažér kybernetickej bezpečnosti ProCare a Svet Zdravia