Pozor na audit kybernetickej bezpečnosti, môže vás zlikvidovať

Dalito.sk/Michal Ďorda, jeden z prvých certifikovaných expertov na kybernetickú bezpečnosť/foto: archív MĎ
DALITO -

Pri nedodržaní povinnosti hrozí prevádzkovateľom pokuta až do výšky 300-tisíc eur.

Audit kybernetickej bezpečnosti je jednou z povinností prevádzkovateľov základnej služby, ktorá prišla do platnosti so zákonom o kybernetickej bezpečnosti. Povinnosť auditu vzniká všetkým prevádzkovateľom do dvoch rokov odo dňa zaradenia do registra prevádzkovateľa základných služieb. Zároveň z toho vyplýva, že firmy, organizácie a mnohé subjekty – prevádzkovatelia – sú povinní podrobiť sa auditu kybernetickej bezpečnosti do novembra tohto roka.

Napriek tomu sa mnohé firmy a inštitúcie doteraz spomínanou problematikou vôbec nezaoberali. Povinnosť auditu sa na Slovensku týka približne 1500 prevádzkovateľov, sú to napríklad subjekty štátnej a verejnej správy, obce, energetický sektor, teplárne, plynári, nemocnice, banky, telco sektor a veľa ďalších.

Plynúcich rizík je naozaj veľa – od zastavenia výroby, úniku dát až po vznik mimoriadnej situácie. Podobné prípady sme mohli vidieť v minulosti pri odstavení informačných systémov v nemocnici až po aktuálny únik osobných údajov zo štátnych systémov.

„Nová legislatíva má rozšíriť a posilniť kybernetickú bezpečnosť v krajinách únie, najmä v oblasti sietí a bezpečnostných incidentov. Mnohé firmy však kybernetickú bezpečnosť vôbec neriešia. Stane sa tak až vtedy, ak dôjde k nejakému problému. Je nevyhnutné klientom vysvetliť aj to, prečo je ochrana ich informačných systémov dôležitá a na čo sa musia zamerať, “ vysvetľuje na začiatok Michal Ďorda, expert na kybernetickú bezpečnosť.

Pri nedodržaní povinnosti hrozí prevádzkovateľom pokuta do výšky 300-tisíc eur alebo jedného percenta ročného obratu spoločnosti.

Priebeh auditu má niekoľko fáz.

„Na začiatok definujeme auditný plán, podľa ktorého postupujeme pri výkone auditu informačných systémov a sieti prevádzkovateľa a jeho základných služieb. Následne overujeme zhodu prijatých bezpečnostných opatrení s požiadavkami podľa zákona o kybernetickej bezpečnosti. Záverom audítora je správa s identifikovanými nedostatkami, ktorú je potrebné predložiť Národnému bezpečnostnému úradu,“ uvádza Ďorda, ktorý je zároveň jedným z prvých certifikovaných audítorov kybernetickej bezpečnosti na Slovensku.

Odborník ďalej upozorňuje, že takýto audit môže vykonávať len audítor, ktorý je certifikovaný ako orgán príslušný na posudzovanie zhody v oblasti kybernetickej bezpečnosti.

Po certifikovaných audítoroch bude vysoký dopyt a hrozí, že prevádzkovatelia môžu naraziť na problém s ich nedostatkom.

„Momentálne je certifikovaných audítorov kybernetickej bezpečnosti na Slovensku skutočne nedostatok. Môže nastať aj taká situácia, že certifikovaný audítor bude plne obsadený a prevádzkovatelia budú nútení hľadať ďalej. Túto situáciu netreba podceňovať. Odporúčam, aby prevádzkovatelia nečakali do poslednej chvíle a riešili svoju kyberbezpečnosť čo najskôr,“ uzatvára expert na kybernetickú bezpečnosť Michal Ďorda.

Autorka: Martina Baumann