11. 6. 2018
Masívny objem dát, všadeprítomná online konektivita, pokrok v umelej inteligencii a ďalšie technologické novinky umožňujú nové aplikácie a biznis modely. Tieto príležitosti ale zároveň predstavujú nové riziká pre bezpečnosť a súkromie, narúšajú tradičné fungovanie trhov, firiem a zamestnanosť.
Rozmach digitalizácie a riadenia procesov počítačmi v energetických firmách aj priemysle prináša so sebou čoraz väčší dôraz na predchádzanie aj zvládanie rizík v oblasti kybernetickej bezpečnosti. Napomôcť má nová európska a národná legislatíva aj inštitúcie.
Kyber-útoky sú realitou
Európska komisia uviedla, že v roku 2016 došlo každý deň k viac ako 4 000 útokom vydieračského softvéru (ransomware) a 80 % európskych podnikov zaznamenalo aspoň jeden kybernetický incident. Globálny prieskum spoločnosti EY medzi najvyššími šéfmi firiem v oblasti elektriny a utilít potvrdil, že hrozbu prerušenia prevádzky z dôvodu kybernetického útoku, a tiež z dôvodu búrok a prírodných katastrof, považujú za jeden z kľúčových problémov s rastúcim významom do budúcna.
Opakované útoky zaznamenávajú napríklad u susedov, na Ukrajine. V decembri 2015 bol zdokumentovaný prvý kybernetický útok zameraný špecificky proti elektrizačnej sústave, výsledkom ktorého bolo prerušenie dodávok elektriny na niekoľko hodín pre približne 230 tisíc ľudí. V decembri 2016 sa hackeri snažili dostať malvér do kontrolných systémov ukrajinskej kritickej infraštruktúry.
To, že hrozba útokov na energetickú infraštruktúru sa nevyhýba ani Slovensku, naznačuje posledná správa o činnosti Slovenskej informačnej služby (SIS), ktorá monitorovala aj možné hrozby pre jadrové zariadenia, veľké elektrárne, strategické priemyselné podniky, prenosovú sústavu, tranzitnú plynárenskú a ropovodnú sieť i zásobníky zemného plynu, ropy a pohonných hmôt. „Pomerne významným fenoménom, ktorý by potenciálne mohol ohroziť dodávky elektrickej energie spotrebiteľom aj v SR, je hrozba kybernetických útokov na energetickú infraštruktúru,“ uviedla SIS.
Inštitúcie
V piatok 8. júna sa štátom Európskej únie podarilo nájsť všeobecnú zhodu v otázke premeny súčasného úradu ENISA na plnohodnotnú Agentúru EÚ pre kybernetickú bezpečnosť. Jej zriadenie, ale ešte chvíľu potrvá. V USA naopak v júni ohlásili vznik samostatného úradu na účely riešenia kybernetickej bezpečnosti v energetike (CESER). Americké analýzy totiž odhalili medzery v tejto oblasti.
Hlavným koordinátorom zodpovedným za oblasť kybernetickej bezpečnosti na Slovensku je Národný bezpečnostný úrad (NBÚ).
Legislatívna kostra
Základné pravidlá v oblasti ochrany prvkov kritickej infraštruktúry nastavila už pred desiatimi rokmi európska smernica 2008/114/ES. Nadväzujúci slovenský zákon sa však bezpečnostným prvkom informačných systémov venoval skôr okrajovo.
Začiatkom roka 2017 bola vydaná správa expertnej platformy EECSP, ktorá obsahovala odporúčania pre Európsku komisiu, ako vytvoriť strategický rámec a pripraviť budúce legislatívne akty v oblasti kybernetickej bezpečnosti v sektore energetiky.
Do 9. mája tohto roka mali štáty EÚ do svojej legislatívy prevziať ustanovenia smernice NIS 2016/1148, ktorá sa zameriava na sieťovú a informačnú bezpečnosť. Pokrýva rozsiahle oblasti energetiky, dopravy, poskytovania zdravotnej starostlivosti, bankovníctva a infraštruktúry finančných trhov, digitálnej infraštruktúry aj dodávky vody. Týka sa tiež online trhovísk, služieb cloud computingu a internetových vyhľadávačov.
Od začiatku apríla preto platí na Slovensku nový zákon o kybernetickej bezpečnosti č. 69/2018, ktorý stanovuje minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti, úlohy NBÚ aj ostatných štátnych orgánov, náležitosti národnej stratégie kybernetickej bezpečnosti, detaily ohľadom organizácie a pôsobnosti jednotiek CSIRT a ich akreditácie, povinnosti pre prevádzkovateľov základnej služby aj poskytovateľov digitálnej služby, postupy pri hlásení aj riešení incidentov a tiež súvisiace sankcie.
Podľa smernice NIS musia členské štáty do 9. novembra 2018 identifikovať prevádzkovateľov základných aj digitálnych služieb, ktorí spadajú pod novú smernicu a zaradiť ich do relevantného zoznamu. Firmy budú musieť prijať preventívne opatrenia kybernetického zabezpečenia a hlásiť incidenty ako výpadky služieb, ktoré zasiahnu veľký počet užívateľov, sú rizikom pre verejnú bezpečnosť alebo spôsobia rozsiahle materiálne škody.
Avšak dňa 25. mája začalo platiť európske nariadenie o ochrane osobných údajov (GDPR) a súvisiaci slovenský zákon. Nové predpisy významne prekopali doterajšie pravidlá v tejto oblasti.
Zorientovať sa v nových predpisoch v oblasti kybernetickej bezpečnosti so zameraním na oblasť energetiky, v povinnostiach a vzájomných súvislostiach môže pomôcť pripravovaný odborný seminár, ktorý sa bude konať 19. júna v Bratislave.