Pomáhame samosprávam so zavádzaním informačnej bezpečnosti

Samosprávam v úsilí o kybernetickú bezpečnosť chýbajú financie a potrebné kapacity. DATALAN podáva pomocnú ruku.

Projektom Kybernetická bezpečnosť sme v DATALANe odštartovali pomoc slovenským samosprávam v zavádzaní informačnej bezpečnosti. Naši experti, viac ako 35 samospráv a k tomu dlhý zoznam úloh, ktoré by mali mať samosprávy v rámci súladu s kybernetickými výzvami už vyriešené. Prinášame vám pohľad, ako prebiehajú analýzy a konzultácie v slovenských samosprávach.

Digitálna transformácia dorazila aj do slovenských samospráv

Žijeme v informačnej dobe, každý deň spracovávame obrovské množstvo informácii v ústnej, elektronickej či papierovej podobe. V prípade organizácii sú informácie cenným zdrojom, bez ktorého procesy nemôžu fungovať a organizácia nedokáže plniť svoje úlohy. Informácie majú pre organizácie obrovskú hodnotu a ich prípadnou stratou, odcudzením či zneužitím môžu vzniknúť rozsiahle škody. Kybernetické útoky na slovenské organizácie už dávno nie sú len Sci-fi, reálne skúsenosti s internetovými hrozbami už majú viaceré Slovenské organizácie. Samosprávy, štátna správa, ale aj komerčné spoločnosti sa na možné riziká snažia pripraviť, chýbajú im však potrebné skúsenosti, financie a odbornosť. Pre slovenské obce a mestá je téma informačnej bezpečnosti novinkou, s ktorou nepočítali v dlhodobom pláne a teda neboli na túto oblasť pripravení ani po finančnej stránke.

Množstvo povinností vyplývajúcich z legislatívy, ale aj nedostatok financií

Slovenská legislatíva reaguje na intenzívny nástup digitálnej transformácie vo všetkých sférach. Od roku 2018 určuje organizáciám, firmám a štátnym inštitúciám povinnosti pre oblasť ochrany dát a kybernetickej bezpečnosti. Do platnosti tak vstúpili zákony zavádzajúce prísne opatrenia pre ochranu informácií, za ktorých nesplnenie hrozí vysoká pokuta a to pre fyzické aj pre právnické osoby.

Ide o právne normy:

  • Zákon o ochrane osobných údajov – č. 18/2018 Z. z., známy aj ako „GDPR“
  • Zákon o kybernetickej bezpečnosti – č. 69/2018 Z. z. (ZoKB)
  • Zákon o informačných technológiách vo verejnej správe č. 95/2019 Z. z. (ZoITVS)

Ústredným orgánom štátnej správy pre oblasť informačnej bezpečnosti je Slovensku Národný bezpečnostný úrad a pre oblasť ochrany osobných údajov Úrad na ochranu osobných údajov SR. Cieľom kybernetickej bezpečnosti je udržať dáta, informácie, systémy a zariadenia v bezpečí pred možnými útokmi, únikmi, krádežou, znehodnotením či iným výpadkom.

Problém, ktorý vyžaduje odbornú pomoc

Najčastejším problémom organizácii je chýbajúca odpoveď na úvodnú otázku: „Kde začať?“. Vo väčšine prípadov organizáciám chýba prioritizácia problematických oblastí a tiež systematickosť v postupnom zavádzaní opatrení. V riešení zložitej situácie môže pomôcť nezaujatý pohľad odborníka z externého prostredia. Ten dokáže adekvátne posúdiť možné riziká a navrhnúť komplexné riešenia problému.

Organizácie by však pri výbere vhodného dodávateľa mali byť obzvlášť obozretné. Dopyt po službách informačnej bezpečnosti je pomerne veľký, na trhu sú tak rôzni dodávatelia ponúkajúci zaručené riešenia informačnej bezpečnosti za pár EUR mesačne. Poskytované riešenia sú však často iba „papierové“ a pokrývajú len dodanie všeobecnej dokumentácie k informačnej bezpečnosti, bez akejkoľvek analýzy stavu bezpečnosti v organizácií.

DATALAN ponúka organizáciám zabezpečenie súladu s bezpečnostnou legislatívou po všetkých stránkach. Znamená to, že náš expert pri osobnej návšteve priamo vo vašej organizácií preverí aktuálny stav bezpečnosti. Pri preverovaní stavu sa zameriavame na všetky oblasti, ako sú: dokumenty, smernice, IT vybavenie, informačné systémy, fyzické zabezpečenie a iné.

Základom dobrého riešenia je dôkladná analýza

Úvodná fáza pri tvorbe návrhu bezpečnostných opatrení zahŕňa zber základných informácií o organizácii či samospráve. Nasleduje fyzická návšteva a podrobná analýza prostredia zákazníka. Pri diagnostike prostredia dochádza k prevereniu stavu bezpečnosti a identifikovanie problematických oblastí vyžadujúcich prijatie bezpečnostných opatrení.

DATALAN bezpečnostní experti identifikujú všetky aktíva organizácie ktorými sú napríklad: informačné systémy, dáta, zariadenia, zamestnanci, atď. Všetky spomenuté aktíva majú pre organizáciu významnú hodnotu, respektíve ich stratou by mohla vzniknúť značná škoda.

Ďalšou úlohou je identifikácia možných rizík, ktoré môžu vplývať na cenné aktíva organizácie. Pri ohrozeniach je potrebné definovať mieru možného ohrozenia k daným aktívam. Odborník na informačnú bezpečnosť berie do úvahy všetky možné riziká a identifikuje rôzne druhy hrozieb.

Ohrozením informačnej bezpečnosti organizácie môže byť napríklad počítačový vírus, hackerský útok, ale aj požiar či vytopenie pivnice, kde má organizácia uschovaný archív.
Hrozby sú preto rozdelené do kategórií, napríklad:

  • technického charakteru,
  • fyzického prostredia,
  • ľudského charakteru,
  • úmyselné,
  • násilné,
  • komunikačné.

Ak organizácia už má zavedené opatrenia pre informačnú bezpečnosť, expert vyhodnocuje, či sú existujúce opatrenia dostatočné a pokrývajú potrebné oblasti. Na základe podrobnej analýzy aktív a hrozieb a rizík DATALAN expert informačnej bezpečnosti pripraví podrobnú správu o stave informačnej bezpečnosti v danej organizácii. Súčasťou dokumentácie je zhodnotenie aktuálneho stavu a odporúčania pre implementáciu pre dosiahnutie súladu s bezpečnostnou legislatívou.

Najčastejšie problémy v samosprávach – zastaralé zariadenia a chýbajúce heslá

Pri pravidelných výjazdoch do slovenských miest a obcí sa naši odborníci stretávajú so zásadnými nedostatkami informačnej bezpečnosti. Samosprávy v mnohých prípadoch trpia nedostatkom financií, odbornosti a ľudských zdrojov. Zistené nedostatky tak často priamo vyplývajú z chýbajúcich kapacít pre riešenie tejto oblasti. Podfinancovanie sektoru samospráv možno badať najmä na prevádzke samospráv na zastaralých počítačoch.

Ohrozenia, ktoré pozorujeme najčastejšie si však samosprávy vedia vyriešiť pomerne lacno a jednoducho. Počítače bez zabezpečenia heslom, chýbajúci antivírus a žiadna záloha dát.

„Stretli sme sa s prípadmi, kde dôležitý server obsahujúci citlivé údaje o obyvateľoch samosprávy bol umiestnený voľne v kancelárii bez akejkoľvek ochrany či zabezpečenia. Častým nedostatkom je aj chýbajúce zálohovanie dát na pravidelnej báze. Videli sme aj prípady, keď bol kompletný archív obce umiestený v pivničných priestoroch zničený záplavou. Na druhej strane je potrebné povedať, že existujú obce a mestá, ktoré nás veľmi pozitívne prekvapili. Vďaka ich pripravenosti na kybernetické hrozby a zabezpečené prostredie sme ich upozornili len na minimum drobných nedostatkov.“

komentuje svoje skúsenosti DATALAN bezpečnostný expert René Pavlo.

Zásadný vplyv na úroveň zabezpečenia informačnej bezpečnosti má v mnohých prípadoch celkový záujem štatutárov o oblasť digitalizácie. Ak sa vedenie samosprávy aktívne zaujíma o moderné trendy a technológie, logicky chápe potrebu chrániť informácie svojich občanov.

Netreba podceňovať ani školenia zamestnancov. Aj v prípade, že má samospráva vypracované smernice bezpečnostných štandardov, kľúčovým prvkom sú vždy ľudia. Zamestnanci sú tí, ktorí by o pravidlách mali vedieť, mali by sa nimi riadiť. Práve ľudský faktor môže byť častou príčinou ohrozenia informačnej bezpečnosti.

DATALAN ponúka riešenie na mieru, ale aj bezpečnosť ako službu

Slovenským samosprávam a organizáciám v DATALANe ponúkame viacero riešení pre oblasť informačnej bezpečnosti a súladu s bezpečnostnou legislatívou. Na základe vykonanej analýzy prostredia vieme organizácii navrhnúť riešenie na mieru zohľadňujúce potrebné opatrenia a požiadavky organizácie. Samosprávam tak vieme ponúknuť legislatívou vyžadovaného manažéra kybernetickej bezpečnosti, dodať potrebné technológie, informačné systémy a zabezpečiť vypracovanie smerníc kybernetickej bezpečnosti. Zabezpečenie všetkých oblastí informačnej bezpečnosti však môže byť pre samosprávu pomerne nákladná záležitosť, najmä, ak tejto oblasti v minulosti nebola venovaná žiadna pozornosť.

Kybernetická bezpečnosť ako služba na prenájom od DATALANu je ideálne riešenie pre organizácie s chýbajúcimi financiami. Práve vysoká vstupná investícia býva častou prekážkou pri zavádzaní informačnej bezpečnosti v organizáciách. Prenájom bezpečnosti ako služby na báze mesačného poplatku, tak môže samosprávam značne pomôcť v úsilí o informačnú bezpečnosť. Za prijateľný mesačný poplatok tak organizácia získa tím špičkových expertov, ktorí dokážu plne zastrešiť systém riadenia kybernetickej bezpečnosti. Samosprávy si tak dokážu splniť nové zákonom vyžadované povinnosti a zároveň si zachovajú zdravý cash flow i financie pre riešenie ďalších problematických oblastí. Pridanou hodnotou pre organizácie je ich odbremenenie od odborne náročných povinností. V konečnom dôsledku tak získajú úsporu financií, kapacít, času a vedomie, že kyberbezpečnosť organizácie je plne v rukách skúsených odborníkov.

V DATALANe sme spolu s tímom našich expertov pomohli zabezpečiť súlad s bezpečnostnou legislatívou už viac ako 35 mestám a obciam. Dôverne tak poznáme všetky kritické oblasti, ktorým je potrebné venovať špeciálnu pozornosť. Mnohým mestám a obciam sme pomohli zaviesť do praxe bezpečnostné opatrenia a neustále im pomáhame spravovať IT systémy. Taktiež pravidelne organizujeme bezplatné webináre, kde účastníkom predstavujeme naše riešenia na zabezpečenie súladu s bezpečnostnou legislatívou, vysvetľujeme, čo obsahuje a ako prebieha analýza súladu so zákonom o KB a so zákonom o ITVS.

Súhlas so spracovaním mojich osobných údajov na účely konzultácie so spoločnosťou DATALAN, a.s.  na dobu potrebnú na konzultáciu.  Beriem na vedomie, že tento súhlas môžem kedykoľvek odvolať v zmysle podmienok v dokumente Spracovanie osobných údajov