Vzdelávanie zamestnancov je jedným z najúčinnejších nástrojov ochrany pred kybernetickými incidentmi. Štvrtá časť seriálu približuje legislatívne povinnosti v tejto oblasti, možnosti školení a význam certifikovaného manažéra kybernetickej bezpečnosti. Upozorňuje aj na aktuálne hrozby, ako sú phishing a ransomware. Článok ponúka praktické odporúčania pre verejnú správu, vďaka ktorým možno výrazne znížiť riziko narušenia činnosti v dôsledku kybernetických hrozieb.
Vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti
Každá organizácia potrebuje pre svoju činnosť spracúvať údaje. Tieto údaje môžu mať rôznu formu - od ústnej a listinnej až po elektronickú, napríklad vo forme dát uchovávaných ako textové dokumenty, tabuľky, databázy, obrázky alebo zosnímané listinné dokumenty.
Pri práci s údajmi musíme zachovať ich dôvernosť, integritu a dostupnosť. Tieto atribúty sú známe pod skratkou CIA (Confidentiality - Dôvernosť, Integrity - Integrita, Availability - Dostupnosť), ktorú sme si vysvetlili v prvej časti seriálu o kybernetickej bezpečnosti (Právo pre ROPO a obce v praxi - 4/2025).
Narušenie čo i len jedného vymenovaného atribútu má vplyv na činnosť organizácie, čo sa môže prejaviť znížením dôveryhodnosti organizácie, nemožnosťou poskytovať služby a informácie alebo, v nepriamej forme, ako finančná sankcia uložená správnym orgánom za porušenie zákonných povinností organizácie.
Tieto narušenia označujeme ako kybernetický bezpečnostný incident (ďalej ako „kybernetický incident“), ktorý je zákone č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon o kybernetickej bezpečnosti“) definovaný ako „udalosť ohrozujúca dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom sietí a informačných systémov“.
Pokiaľ sa sústredíme na možné kybernetické incidenty spôsobené ľudským faktorom, konkrétne zamestnancami organizácie, môžeme ich rozdeliť na neúmyselné a úmyselné. Pri neúmyselných ide o konanie, ktorého dôsledok si zamestnanec neuvedomuje, nepredpokladá, že z jeho konania môže vyplynúť negatívny dôsledok pre organizáciu.
Zabrániť neúmyselnému konaniu je v praxi takmer nemožné, avšak dôsledky takéhoto konania možno minimalizovať pomocou vypracovaných a v praxi zavedených smerníc a postupov pre zachovanie dostupnosti služieb, vykonávanie zálohovania a obnovy údajov, prístupové oprávnenia pracovníkov a technické opatrenia.