HACKERSKÝ ÚTOK? AJ ZA TRI STOVKY
Odborníkov na kyberbezpečnosť má Slovensko stále žalostne málo
„Možno len polovica slovenských firiem si dnes uvedomuje dôležitosť kybernetickej bezpečnosti – tvrdí predseda Clustra Kybernetickej Bezpečnosti Ing. Ján Lichvár. So skúseným odborníkom, sídliacim v Liptovskom Mikuláši sme rozoberali oblasť, ktorej dôležitosť neustále rastie. Záujem manažérov veľkých spoločností o možnosť dať si spraviť kybernetický audit však tomu v mnohých prípadoch nenasvedčuje.
Vedúci IT nestačí
„Sú firmy, kde si nutnosť ochrany dátových aktív veľmi dobre uvedomujú, ale stále je dosť aj takých – vrátane manažmentu – kde to vôbec nechápu. Pritom dnes bez počítača neodošlete ani listovú zásielku. Nikto vám ten balík nedoručí,“ čuduje sa Lichvár.
Hackeri dnes podľa neho nie sú sofistikovanejší, no nepotrebujete veľa peňazí, aby ste si prípadný útok na počítačové siete kúpili. „Dnes vám na to stačí aj tristo eur. Je to len otázka chcenia. A ak firma nemá vybudovanú aspoň základnú infraštruktúru, tak bude stále ľahko zvonku napadnuteľná,“ konštatuje Lichvár, ktorého spoločnosti v tejto oblasti monitoruje okrem iného ministerstvá, telekomunikačné firmy, vodárne, teplárne, nemocnice či polikliniky.
Za najhorší v sektore zabezpečenia počítačových dát Podľa Kompetenčného a certifikačného centa kybernetickej bezpečnosti označil sektor teplárenstva. V mnohých firmách dlho ani nemali nikoho, kto by sa venoval informačnej bezpečnosti. „Problémom zvykne byť už samotná metodika posúdenia informačnej bezpečnosti. Nestačí mať len vedúceho IT. Potrebujete aj manažéra kybernetickej bezpečnosti. Majú byť na jednej úrovni pričom jeden nesmie hovoriť tomu druhému, čo má robiť. Nemá byť jeho nadriadeným. A takto to jednoducho u nás nebolo,“ vraví otvorene Lichvár.
Bezpečnosť spoločností bolo niekedy doslova žalostná. „Bol som pred tromi rokmi vo veľkej fakultnej nemocnici, kde nemali ani takú základnú vec ako je firewall. Len rovnú sieť. V rovnakej sieti ako počítač bol zapojený aj röntgen. Viete si to predstaviť? Ak by niekto napadol váš počítač, napadol by aj röntgen,“ krúti Lichvár neveriacky hlavou. Aj zamestnanci si musia uvedomovať zodpovednosť, ak majú prístup k citlivým dátam. „Také veci ako odísť od počítača a stlačiť Windows + L a zamknúť si počítač, aby mi doň nikto nedostal, by mali byť samozrejmé. Rovnako ako silné vygenerované heslo do programov, ktoré používate.“
Pekný plán, nulový výsledok
Slovensko má v tejto oblasti naďalej značné rezervy a šéf clustra sa nijako neštítil ich pomenovať. „Existoval kedysi akčný plán národnej stratégie kybernetickej bezpečnosti na roky 2015 – 2020. V oblasti vzdelávania sa neurobilo nič. V novom akčnom pláne 2021-2025 je len pre oblasť vzdelávania viac ako 30 bodov. Ani ten sa nedarí napĺňať.“
Jedným z najväčších problémov je podľa Lichvára nedostatok vzdelaných odborníkov. „Podpora vzdelávania na stredných odborných školách či vysokých školách, je alfa a omega celého problému. Nepotrebujeme riešiť možno až tak technologickú stránku vecí, ale skôr tú profesijnú. Nutne si potrebujeme vyškoliť vlastných zamestnancov. Všetci už päť rokov dookola rozprávajú, že nám chýbajú ítečkári, manažéri kyberbezpečnosti, ale nerobí sa nič. Stále nám chýbajú nie stovky, ale skôr tisícky ľudí,“ povzdychol si.
Čo-to zmeniť v tejto oblasti sa snaží aj cluster v Liptovskom Mikuláši. „Snažíme sa v oblasti vzdelávania nejaké veci robiť. Na Žilinskej univerzite prepájame napríklad stredné školy s vysokými. Spájame ich s profesionálmi v oblasti kybernetickej bezpečnosti. Zatiaľ sa nám to darí budovať len v žilinskom samosprávnom kraji, ale je to aspoň niečo. Šikovní študenti nám stále utekajú študovať do zahraničia. Napríklad na Masarykovu univerzitu do Brna či na ČVUT do Prahy. V Brne je krásny kampus, okolo neho pôsobí veľa zahraničných firiem, nadnárodných spoločností. Tí najšikovnejší z nich sa už potom domov nikdy nevrátia,“ vraví. Okrem iného sa cluster snaží aj vzdelávať učiteľov. „Máme akreditovaný program pre inovačné vzdelávanie pedagogických zamestnancov. Cez žilinskú univerzitnú fakultu bezpečnostného inžinierstva sme spustili aj taký malý pilotný program so šiestimi učiteľmi na strednej odbornej škole. Cieľom klastra však nie je nahradiť ministerstvo školstva, “ upozorňuje Lichvár.
Roztvorené nožnice
Hrať mŕtveho chrobáka či podceňovať význam bezpečnosti ochrany vašich dát však už čoskoro nebude možné. „Európska komisia už schválila európsku smernicu, ktorá sa bude 18 mesiacov implementovať do našej legislatívy. Bude sa rozširovať pole pôsobnosti. Aj tie subjekty, ktoré doteraz v zákone neboli zahrnuté, budú mať povinnosť auditu kybernetickej bezpečnosti. Týka sa to napríklad potravinárstva či odpadového hospodárstva. Pribudnúť by tak malo ďalších možno až 2000 subjektov, ktoré do tejto oblasti budú spadať,“ vysvetľuje Lichvár.
Nová celoeurópska stratégia kybernetickej bezpečnosti, známa ako smernica NIS 2, zavádza množstvo pravidiel na zaistenie bezpečnosti ich kyberpriestoru proti hackerským útokom. Za jej nedodržanie budú pokuty, ktorých výška môže dosiahnuť až 10 mil. eur alebo 2 percentá z celkového celosvetového ročného obratu firmy.
A čo by ešte Lichvára v snahe o lepšiu ochranu dát vo firmách s citlivými údajmi potešilo? „Ak by sme na Slovensku mali nejakú autoritu. Človeka, ktorý dostane kompetencie, zodpovednosť a financie a bude koordinovať a zodpovedať za národnú stratégiu kybernetickej bezpečnosti,“ želá si Lichvár.
Marek Baláž, Rastislav Hríbik
Procesný audit
Podnikatelia môžu v SBA požiadať o voucher až do výšky 9600 € na firemný audit. Využiť ho môžu napríklad v týchto oblastiach – interné procesy v kontexte spotreby energií, marketing, IT a kybernetická bezpečnosť, obchodné vzťahy – ale aj v iných. Cieľom pomoci je rozvíjať a zlepšovať procesy v malých a stredných podnikoch, včas informovať o možných rizikách. Výstupom sú riešenia a návrhy na zlepšenie v danej firme. Voucher nie je možné použiť na finančný ani účtovný audit.
Firmy so sídlom v Bratislavskom kraji
Firmy so sídlom v inom kraji