17. apríla 2020 Solution

Starostovia, neodkladajte kybernetickú bezpečnosť na poslednú chvíľu

Starostovia väčších obcí dostali od Národného bezpečnostného úradu FORMULÁRE pre vyplnenie ISVS v zmysle zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti (ďalej len “zákon”). Účelom je získať podklady o spravovaných informačných systémoch verejnej správy. Zaradenie do zoznamu základných služieb je v zmysle § 18 zákona. Zároveň zaradenie prevádzkovateľa (teda obec alebo mesto) do registra prevádzkovateľov základných služieb je v zmysle § 17 ods. 6 zákona. A to formou oznámenia, ktoré je doručené súčasne s formulármi.

Na otázky odpovedá odborník na IT bezpečnosť Ing. Radoslav Lisý.

Rozhovor o kybernetickej bezpečnosti medzi Ondrejom Mackom, popredným slovenským odborníkom na IT technológie a Radoslavom Lisým, odborníkom na kybernetickú bezpečnosť nájdete na odkaze – TU.

Využite teraz jedinečnú možnosť a konzultujte zadarmo. Kliknite na tlačidlo.

Čo to pre obce alebo mestá znamená a aký najvhodnejší postup zvoliť? 

– Oznámenie od Národného bezpečnostného úradu má 2 základné roviny. Po prvé. Povinnosť obcí a miest do stanoveného termínu 30 dní od dňa doručenia formulárov oznámenia zaslať úradu vyplnené formuláre. Po druhé. Informácia, že obec alebo mesto sú zaradené do registra prevádzkovateľov základných služieb ako prevádzkovateľ ISVS. A z tohto zaradenia vyplývajú povinnosti podľa § 19 tohoto zákona.

– Čo sa týka postupu, tak to je na zvážení každého štatutára obce alebo mesta. Téma je však vysoko odborná, je nutné preto požiadať o súčinnosť odborníka na danú problematiku. Tak ako som uviedol vyššie, povinnosti sú jasne zadefinované. Poslať vyplnené dotazníky včas, ale hlavne postupne implementovať opatrenia ustanovenia zákona.

Nezáväzná konzultácia ohľadom kybernetickej bezpečnosti s odborníkom, stačí ak vyplníte a pošlete formulár – TU.

– Nakoľko nie je otázkou, či bude akákoľvek počítačová sieť napadnutá, ale kedy bude napadnutá. Preto vznikol samotný zákon a z uvedeného dôvodu je dôležitá implementácia a nasadenie technológií na jej zabezpečenie. Tzn., nutnosť zvýšenia úrovne kybernetickej bezpečnosti. Už len dodám, že s odborníkom budú aj nižšie náklady, nakoľko nezanedbateľnou výhodou je využitie zásady primeranosti. Treba investovať len toľko energie a financií, aby spravované údaje boli primerane zabezpečené.

O nebezpečenstve kybernetických útokov varoval aj Europol. Celý článok si môžete prečítať – TU.

Rozoberme si jednotlivé povinnosti 

1. Povinnosti zo zákona

Aké povinnosti vyplývajú pre obec alebo mesto, ak sú už zaradené do “registra”?

– Na tomto mieste by som upriamil pozornosť na to, že zákon ustanovuje minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti. Rád by som podčiarkol slovo – minimálne. Je samozrejmé, že každá obec alebo mesto sú špecifické. Preto bude nutné pripraviť analýzu informačných systémov a až na základe jej výsledkov stanoviť presný rozsah zabezpečenia.

Využite teraz jedinečnú možnosť a poraďte sa zadarmo. Kliknite na tlačidlo.

– Čo je však dôležité, že ihneď, odo dňa zaradenia obce do registra (ak bola obec zaradená do registra od 1. marca 2020, tak od tohto dátumu) je povinná postupovať najmä podľa § 19 ods. 3, 6. a 7 zákona.  Povinností vyplývajúcich z uvedeného zákona je viac, ale za všetky spomeniem napríklad povinnosť bezodkladne hlásiť závažný kybernetický incident alebo povinnosť prijatia bezpečnostných opatrení. Obsah bezpečnostných opatrení vo vzťahu k ISVS a spôsob a rozsah ich prijímania a realizácie ustanovuje zákon o ITVS a jeho vykonávacie predpisy.

2. Sankcia až do výšky 300 000 eur

Čo ak si obce nesplnia zákonné povinnosti?

– Toto je tá nepríjemnejšia časť. V prvom rade odporúčam, aby sa štatutár každej obce alebo mesta obrátil na odborníka, ktorý by mu vedel v tejto oblasti zodpovedne poradiť a nasmerovať. V žiadnom prípade uvedené povinnosti neodkladať. V prípade ich porušenia obci alebo mestu, ako prevádzkovateľovi základnej služby, hrozí pokuta za správny delikt podľa § 31 ods. 1 a 2 zákona č. 69/2018 Z. z., až do výšky 300 000 eur.

Využite teraz jedinečnú možnosť a poraďte sa zadarmo. Kliknite na tlačidlo.

O tom, ako sa vie vírus maskovať v emaily, ani o tom užívateľ netuší, sme informovali v článku – TU.

3. Bezpečnosť

Čo by malo tvoriť základ bezpečnostných opatrení?

– Jednoznačne, zabezpečenie dát. Zákony ukladajú povinnosť, ale štatutárny zástupca obce alebo mesta musí vykonať také kroky, aby zabezpečil primeranú ochranu spracovávaných a zverených údajov. Aj tie najmenšie obce musia zabezpečiť adekvátnu starostlivosť o svoje dáta. A to minimálne skvalitnením zabezpečenia prihlasovania do systémov, aktívnym používaním šifrovania, prípadne anonymizáciou dát a ich zálohovaním. Elementárnou povinnosťou je ukladať data duplicitne, teda mať zálohu minimálne na externom zariadení, ako je USB kľúč, ktorý je uložený zabezpečenom priestore, napríklad v trezore.

– Zároveň berme do úvahy aj zásadu primeranosti. To znamená, že nie je potrebné kupovať drahé zariadenia, pokiaľ data nie sú citlivé, sú zálohované a prístup k nim je zabezpečený. Ale ak pôjde o prístup k údajom z viacerých miest alebo počítačov, je nutné mať systém zálohovania alebo externého úložiska, ktorý sa pravidelne duplikuje a sú tak k dispozícii údaje v prípade poškodenia.

Využite teraz jedinečnú možnosť a poraďte sa zadarmo. Kliknite na tlačidlo.

Aké nástrahy “číhajú” na internete?

– Cieľom zákona nie je udeľovať pokuty, aj keď sú naozaj vysoké a pohybujú sa rádovo v stovkách tisíc eur, ale prijať opatrenia, ktoré môžu byť jednoduché a praktické. Zároveň dokážu odolávať a odrážať hrozby, ktoré sú na internete najrozšírenejšie, napríklad – phising. Nakoľko nie je otázkou, či príde k hackerskému útoku alebo nepríde, ale kedy k nemu dôjde. Z tohoto dôvodu vznikol aj zákon, ktorý núti prevádzkovateľov sa na takýto kybernetický incident pripraviť.

Na odľahčenie témy ukážka zo známeho československého filmu. Krásne ilustruje zásadu primeranosti. Presne tak, ako bude potrebovať skladník “ve šroubárni” latinčinu, tak nie každá obec alebo mesto budú potrebovať veľmi drahé zabezpečenie systémov.

4. Zmluva a cena

Akým spôsobom vyššie uvedené služby zabezpečiť?

– Je nutné zosúladiť povinnosti zo zákona a pretaviť ich do bežného života každej dotknutej obce. Cena špičkového odborníka je dvoj až trojnásobkom priemernej mzdy programátora alebo IT špecialistu. Avšak obce nemusia zvoliť full-time človeka. Obyčajne skôr potrebujú IT technika, ktorý vyrieši bežné a každodenné požiadavky užívateľov výpočtovej techniky. Odporúčam však doplniť takéto služby o konzultácie špecialistu.

– Na druhej strane sú určené nevyhnutné technické a technologické riešenia ktoré zabezpečia požiadavky vyplývajúce zo zákona pre poskytovateľov základný služby. Tieto môžu mať hodnotu niekoľko 1 000 eur, ale pri použití zásady primeranosti, sa dá vždy nájsť vhodné riešenie za primeranú cenu. Poprípade, všetky požiadavky vyplývajúce zákona nasadzovať postupne. Na toto je vhodná dlhodobá zmluva, ktorá je v dostupnej cene pre každú obec alebo mesto!

Informujte sa teraz o výhodách zmluvy zadarmo. Kliknite na tlačidlo.

5. Rada zdarma

Čo by ste starostom a primátorom odkázali na záver?

– Veľa systémov, ktoré používajú obce a mesta sú centralizované a takmer celú kybernetickú bezpečnosť za prevádzkovateľov prevzali dodávateľa uvedených služieb. Tí majú vyšší stupeň zabezpečenia a umožňujú tak využívať služby obciam a mestám bezpečne. Je však veľmi dôležité, aby si práve obce a mestá splnili elementárnu povinnosť a zabezpečili prístup k týmto službám na úrovni prihlasovania, prístupu k jednotlivým počítačom a monitorovaniu stavu lokálnej siete, cez ktorú sa k centrálnym systémom pripájajú!

– Práve tento BENEFIT je po implementovaní v 2. až 3. mesiaci spolupráce (zmluva o spolupráci) ZADARMO s platnosťou na 1 rok až pre 3 koncové jednotky: PRÍKLAD.  Obce a mestá získajú aj samotnú implementáciu v hodnote 300 eur už v cene. Nebudú musieť platiť nič na viac.

6. Vysvetlenia

Zákon č. 95/2019 Z. z. o informačných technológiách verejnej správy a o zmene a doplnení niektorých zákonov (v texte uvedený ako „zákon o ITVS“)

Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (v texte uvedený ako „zákon č. 69/2018 Z. z. alebo len zákon“)

Informačný systém verejnej správy je informačný systém v pôsobnosti správcu podporujúci služby verejnej správy, služby vo verejnom záujme alebo verejné služby.

Obec, mesto sú zaradení do registra prevádzkovateľov základnej služby, ako prevádzkovateľ informačného systému verejnej správy.

Informačný systém verejnej správy je zaradený medzi základné služby.

 

Na otázky o kybernetickej bezpečnosti odpovedal Ing. Radoslav Lisý

Využite nezáväznú konzultáciu ohľadom kybernetickej bezpečnosti s odborníkom, stačí ak vyplníte a pošlete formulár – TU.

,