20. 6. 2018
Hoci už od začiatku apríla platí nový zákon o kybernetickej bezpečnosti (69/2018), firmy, ktorých sa povinnosti týkajú, nemajú jasno ohľadom ich napĺňania. Zákon totiž obsahuje viacero všeobecných definícií a ustanovení, čím vznikajú pochybnosti.
Čiastočné objasnenie priniesli vyhlášky Národného bezpečnostného úradu (NBÚ), ktoré minulý týždeň vyšli v Zbierke zákonov. Určujú kritériá prevádzkovanej služby (vyhláška NBÚ 164/2018), identifikujú kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov (KBI) a podrobnosti hlásenia KBI (vyhláška NBÚ 165/2018) a tiež upravujú detaily o technickom, technologickom a personálnom vybavení jednotiek pre riešenie KBI, takzvaných CSIRT (vyhláška NBÚ 166/2018).
Na prednáške, ktorú zorganizovala platforma ENERGOKLUB®, boli vysvetlené základné body nových legislatívnych predpisov. Martin Konvit z advokátskej kancelárie Semančín & Partners zdôraznil, že firmy by mali mať predovšetkým vypracovaný prehľad potenciálnych hrozieb a pravdepodobnosť ich výskytu, zmapované potenciálne riziká a prijaté personálne aj technické bezpečnostné opatrenia. Konvit vysvetlil, že incident nebýva jedno konanie, ale predstavuje sériu súvisiacich udalostí. Zároveň nie každé porušenie ochrany sa musí považovať za kybernetický bezpečnostný incident.
Pri identifikácii základnej služby sa v prípade energetiky zohľadňuje najmä dopadové kritérium, pričom stačí, ak prevádzkovateľ spĺňa aspoň jedno z nich.
Pri posudzovaní treba zohľadniť či KBI môže spôsobiť:
- ohrozenie dostupnosti, pravosti, integrity alebo dôvernosti uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ktoré postihuje viac ako 25 000 osôb;
- obmedzenie či narušenie prevádzky inej základnej služby alebo prvku kritickej infraštruktúry;
- hospodársku stratu vyššiu ako 0,1 % HDP;
- hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 eur;
- viac ako 100 zranených osôb vyžadujúcich lekárske ošetrenie alebo stratu jedného života;
- narušenie verejného poriadku, verejnej bezpečnosti, mimoriadnu udalosť alebo tieseň, ktorá môže vyžadovať vykonanie záchranných prác, alebo výkon činností a opatrení súvisiacich s poskytovaním pomoci v tiesni.
Významnú rolu pri budovaní rámca kybernetickej bezpečnosti má jednotný informačný systém NBÚ, ktorý už úrad uvádza do prevádzky vrátane povinných registrov a zoznamov, formulárov a bezpečnostných varovaní. Verejná časť jednotného informačného systému bude tiež obsahovať metodiky, usmernenia, štandardy, politiky a oznamy, ktoré by mali ďalej ozrejmiť jednotlivé postupy.
V rámci diskusie sa účastníci seminára zhodli, že najslabším článkom aj v kybernetickom priestore je stále človek.