Kybernetická bezpečnosť (KB) patrí v poslednom období medzi najdiskutovanejšie bezpečnostné témy a v dnešnej spoločnosti sa stala priam fenoménom. Je to prirodzená reakcia na aktuálny dramatický nárast kyber-kriminality a kyber-hrozieb. Dôležité je si na úvod povedať, že kybernetická bezpečnosť je kľúčovou a neodmysliteľnou súčasťou prevádzkovej bezpečnosti systémov a má priamy vplyv na poskytovanie tzv. základnej služby.
Cieľová skupina: Informácie o kybernetickej bezpečnosti sú určené pre vrcholových manažérov, zodpovedných pracovníkov útvarov IT, energetiky, stratégií, plánovania, investícií, obstarávania ako aj manažérov prevádzky, údržby a technických pracovníkov.
Informácie o kybernetickej bezpečnosti priemyselných systémov sú nevyhnutné aj pre projektantov, dodávateľské spoločnosti a výrobcov zariadení.
Vzhľadom na komplexnosť témy sa budeme kybernetickej bezpečnosti venovať v seriáli článkov.
Cieľ tejto prvej časti je poskytnúť základné informácie a praktické skúsenosti z auditov KB (kybernetickej bezpečnosti) spoločností PZS (prevádzkovateľov základnej služby).
Na Slovensku je v súlade so zákonom, resp. vyhláškami NBÚ (národný bezpečnostný úrad) evidovaných viacej ako 1500 spoločností PZS zaradených do 11-sektorov:
- Bankovníctvo
- Doprava
- Digitálna infraštruktúra
- Elektronické komunikácie
- Energetika Infraštruktúra finančných trhov
- Pošta
- Priemysel
- Voda a atmosféra
- Verejná správa
- 11.Zdravotníctvo
Aktuálny zoznam spoločností PZS je uvedený ZDE.
Všetky tieto spoločnosti PZS majú okrem iného povinnosť vykonať audit KB (poznámka redakcie: nejedná sa o ISO 27001).
Autorizovaní audítori vykonávajú audit podľa metodiky vypracovanej NBÚ, resp. KCCKB (Kompetenčné a Certifikačné Centrum Kybernetickej Bezpečnosti).
Úlohou auditu je posúdiť, či sú v organizácii PZS zavedené a dodržiavané opatrenia KB v súlade s vyhláškami NBÚ č. 362/2019 a Úradu podpredsedu vlády SR č. 179/2020.
Posudzuje sa celkovo 266 oblastí pričom hodnotenie audítora môže byť na každú oblasť len jedna z nasledovných možností: „súlad/nesúlad/ čiastočný súlad/neaplikovateľnosť“.
Zistenia z auditov KB v spoločnostiach – PZS (zdroj ISACA Slovakia Chapter).
Najčastejšie nálezy a zistenia audítorov sú:
- nedefinovaná stratégia KB, chýbajúca bezpečnostná dokumentácia,
- nepochopenie a nepodpora z pozícia najvyššieho manažmentu,
- neexistencia pozície manažéra KB,
- nesprávne prepojenie pozície manažéra bezpečnosti s operatívnym riadením IT,
- absencia vzdelávania v oblasti informačnej bezpečnosti,
- chýbajúce mechanizmy riadenia aktív, hrozieb a rizík,
- chýbajúci monitoring sietí a logovanie udalostí KB,
- neexistencia procesov riešenia incidentov a kontinuity činností,
- zastarané technológie nepodporujúce KB (predovšetkým v časti OT systémov),
- chýbajúce systémové riešenia (segmentácia sietí, hardening systémov, šifrovanie, zálohovanie a pod.)
- závislosť prevádzkovateľov na dodávateľoch (vendor-lock-in)
Výsledky prvých zrealizovaných auditov priniesli aj zaujímavú štatistiku:
- Verejná správa a inštitúcie: súlad 7%, nesúlad 85%, čiastočný súlad 5%, (Maximálny súlad 90%, minimálny súlad 5%)
- Súkromný sektor: súlad 79%, nesúlad 3%, čiastočný súlad 16% (Maximálny súlad 93%, minimálny súlad 9%)
Okrem rozdielov medzi inštitúciami verejnej správy a súkromným sektorom, poukázali zistenia audítorov aj na veľký rozdiel úrovne implementácie KB v systémoch IT a OT. Kým pri systémoch IT je problematika KB riešená už dlhodobo, v systémoch OT je implementácia KB na veľmi nízkej až žiadnej úrovni.
V nasledujúcich častiach sa budeme sústrediť na ďalšie otázky kybernetickej bezpečnosti:
- Identifikácia a kategorizácia systémov IT/OT, právne aspekty KB,
- Hrozby a zraniteľnosti systémov, mýty a povery o KB,
- Overené štandardy a koncepcie riešenia KB, „best practice“,
- a ďalšie aktuálne témy.
V prípade záujmu o bližšie informácie k téme KB, resp. záujem o riešenie KB vo vašej spoločnosti, kontaktujte autora článku alebo vydavateľa odborného časopisu.
Ing. Juraj Koreň,
konzultant špecialista, školiteľ,
architekt kybernetickej bezpečnosti
OT systémov
