Minimálne bezpečnostné opatrenia

Od 1. januára 2025 nadobúdla účinnosť novela zákona o kybernetickej bezpečnosti. V blízkom čase sa očakáva aj vydanie novej vyhlášky o bezpečnostných opatreniach, ktorá nahradí súčasnú vyhlášku č. 362/2018 Z. z., ako aj novej „sektorovej“ vyhlášky Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky, ktorá nahradí aktuálnu vyhlášku č. 179/2020 Z. z.

Pred vydaním týchto vyhlášok je dôležité sústrediť sa na implementáciu a pochopenie existujúcich predpisov. Centrálny portál kybernetickej bezpečnosti, označovaný ako Kyberportál, bude v tomto procese kľúčový. Je potrebné poznamenať, že Kyberportál nie je totožný s Jednotným informačným systémom kybernetickej bezpečnosti podľa príslušného zákona. Oprávnené subjekty, ako sú orgány verejnej moci, sú o ňom priebežne informované a dostávajú prístupové údaje. Po aktivácii účtu sa môže subjekt plne zapojiť do využívania jeho funkcií. V prípade otázok alebo potreby asistencie je možné obrátiť sa na naše pracovisko.

Každá organizácia alebo právnická osoba v zriaďovateľskej alebo zakladateľskej pôsobnosti orgánu riadenia uvedeného v § 5 ods. 2 písm. a) až d) zákona, ktorá patrí do Kategórie I, je povinná dodržiavať minimálne bezpečnostné opatrenia. Bezpečnostné opatrenia podľa § 20 ods. 2 zákona č. 69/2018 Z. z. (po novele) boli už predmetom diskusie. V nasledujúcej časti opätovne prejdeme bezpečnostné opatrenia uvedené vo vyhláške č. 179/2020 Z. z.

Vyhláška č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

Vyhláška č. 179/2020 Z. z. vydaná Úradom podpredsedu vlády Slovenskej republiky pre investície a informatizáciu dňa 22. júna 2020 stanovuje spôsob kategorizácie a obsah bezpečnostných opatrení pre informačné technológie verejnej správy. Príloha č. 2. k vyhláške stanovuje minimálne bezpečnostné opatrenia.

Minimálne bezpečnostné opatrenia pre Kategóriu 1

1. Organizácia kybernetickej bezpečnosti a informačnej bezpečnosti – V organizácii kybernetickej a informačnej bezpečnosti treba určiť pracovníka, ktorý bude zodpovedný za koordináciu týchto oblastí. Ďalej treba vypracovať a implementovať interný riadiaci akt, ktorý bude záväzný pre organizáciu správcu. Tento akt obsahuje minimálne určenie povinností, zodpovedností a právomocí pracovníka zodpovedného za koordináciu kybernetickej a informačnej bezpečnosti, a taktiež základné zásady a opatrenia kybernetickej a informačnej bezpečnosti, ktoré organizácia správcu zaviedla a ktorým sa riadi.
2. Riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti – Kontinuálny proces riadenia rizík v oblasti kybernetickej a informačnej bezpečnosti zahŕňa niekoľko kľúčových krokov. Je potrebné vypracovať analýzu rizík, ktorá identifikuje potenciálne hrozby a zraniteľnosti. Na základe výsledkov tejto analýzy sa navrhujú a prijímajú vhodné bezpečnostné opatrenia, ktoré slúžia na minimalizáciu identifikovaných rizík. Dôležitou súčasťou tohto procesu je aj periodické preskúmavanie rizík, ktoré zabezpečuje, že prijaté opatrenia sú stále efektívne a relevantné voči meniacej sa bezpečnostnej situácii.
3. Personálna bezpečnosť

Na pravidelné zvyšovanie bezpečnostného povedomia je potrebné zostaviť plán rozvoja bezpečnostného opatrenia, ktorý zahŕňa formu, obsah a rozsah nevyhnutných školení. Tieto vzdelávacie aktivity by sa mali vykonávať najmenej každé tri roky. Súčasťou procesu je taktiež hodnotenie účinnosti tohto plánu a realizovaných školení, vrátane ďalších aktivít, ktoré prispievajú k rozširovaniu bezpečnostného povedomia.

Pred tým, než zamestnanci a členovia externých tímov získajú prístup k informačným technológiám verejnej správy, je nevyhnutné, aby boli oboznámení s povinnosťou mlčanlivosti ohľadom všetkých relevantných skutočností, informácií a osobných údajov. Táto povinnosť mlčanlivosti je univerzálna a trvalá, vzťahuje sa ako na dobu aktívneho pôsobenia, tak aj po jeho skončení. Bezpečnostné incidenty musia byť nahlásené pracovníkovi zodpovednému za koordináciu kybernetickej a informačnej bezpečnosti. Okrem toho je potrebné definovať postupy pri ukončení pracovného pomeru či iného obdobného vzťahu zamestnanca, rovnako ako pri ukončení spolupráce s externými pracovníkmi alebo tretími stranami, ktorými sa zabezpečí:

1. vrátenie pridelených zariadení, ktorými sú najmä počítače, pamäťové médiá, čipové karty a navrátenie informačných aktív, ktorými sú najmä programy, dokumenty a údaje,
2. zablokovanie prístupu v zariadeniach pridelených zamestnancovi, ktorými sú najmä počítače, notebooky, pamäťové médiá a ďalšie mobilné elektronické zariadenia,
3. zrušenie prístupových práv v informačných systémoch verejnej správy,
4. odovzdanie výsledkov práce v súvislosti s informačnými systémami verejnej správy, ktorými sú najmä programy vrátane dokumentácie a vlastné elektronické dokumenty.

Ďalej treba zabezpečiť zmeny prístupových oprávnení pri zmene postavenia používateľov, administrátorov alebo osôb zastávajúcich bezpečnostné roly a taktiež sankcionovanie porušenia interných riadiacich aktov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti prostredníctvom disciplinárneho procesu organizácie správcu.

D. Riadenie prístupov – Riadenie prístupov zahŕňa zavedenie pravidiel, ktoré zakazujú zdieľanie používateľských hesiel do informačných technológií verejnej správy. Okrem toho je dôležité zaviesť identifikáciu používateľa a autentifikáciu pri vstupe do týchto technológií. Taktiež by mali byť stanovené pravidlá na zmenu používateľských hesiel s frekvenciou najmenej raz za rok.

E. Riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami – V zmluve s dodávateľmi musí byť určená požiadavka na dodržiavanie všetkých interných riadiacich dokumentov a všeobecne záväzných predpisov týkajúcich sa kybernetickej bezpečnosti a informačnej bezpečnosti. Môže byť uvedený odkaz na zákon, túto vyhlášku alebo na osobitný predpis.

F. Bezpečnosť pri prevádzke informačných systémov a sietí – Na zabezpečenie efektívnej prevencie proti strate dát sa v organizácii správcu zavedie proces zálohovania dôležitých informácií a softvéru. V rámci tejto organizácie sa vypracuje zálohovacia politika, ktorá stanovuje požiadavky na zálohovanie, vrátane času uchovávania, testovania záloh a opatrení na ochranu záložných médií. Všetky prevádzkové zálohy, archivačné zálohy a inštalačné médiá sa ukladajú do uzamykateľného priestoru.

G. Hodnotenie zraniteľností a bezpečnostné aktualizácie – Nastavenie automatickej aktualizácie operačného systému a aplikácií.

H. Ochrana proti škodlivému kódu – Ochrana proti škodlivému kódu zahŕňa prijatie vhodných opatrení na prevenciu, detekciu škodlivého kódu, ako aj na efektívnu reakciu v prípade jeho infiltrácie. V rámci organizácie správcu je prísne zakázané sťahovanie, inštalácia a používanie nelegálneho alebo škodlivého softvéru. Prevencia a detekcia škodlivého kódu sú vykonávané pravidelne, pričom sa zameriavajú hlavne na:

1. používanie prenosných médií, napríklad USB kľúče, flash disky, CD, DVD,
2. škodlivé emailové prílohy a odkazy,
3. podozrivé a škodlivé webové stránky a odkazy,
4. externú a internú sieťovú komunikáciu v organizácii správcu vrátane webových sídiel,
5. prenos súborov z externých sietí.

Rovnako je dôležité vytvoriť proces alebo postup na prenos súborov z externých sietí, ktorý zabezpečí kontrolu prenášaných súborov s cieľom detekcie škodlivého kódu.

I. Sieťová a komunikačná bezpečnosť – Všetky koncové stanice sú zabezpečené softvérovým personálnym firewallom. Sieťové zariadenia sú podrobené rôznym bezpečnostným opatreniam, medzi ktoré patrí pravidelná aktualizácia firmvéru, zmena továrensky nastavených autentifikačných údajov a implementácia bezpečného šifrovania a zabezpečenia pre bezdrôtové siete. Navyše, deaktivácia možnosti správy zariadenia na diaľku alebo prijatie iných opatrení na zamedzenie zneužitia vzdialeného prístupu je nevyhnutná. Pre ochranu vonkajšieho a interného prostredia sa využíva firewall.

J. Akvizícia, vývoj a údržba informačných technológií verejnej správy – Obstarávanie alebo vytváranie nových alebo úprava existujúcich informačných technológií verejnej správy sa zadokumentuje a realizuje v súčinnosti s pracovníkom zodpovedným za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti.

K. Zaznamenávanie udalostí a monitorovanie – K zaznamenávaniu a monitorovaniu patrí dokumentovanie úspešných aj neúspešných autentifikačných udalostí.

L. Fyzická bezpečnosť a bezpečnosť prostredia – Informačné technológie verejnej správy sa umiestňujú a prevádzkujú takým spôsobom, že sú chránené pred fyzickým prístupom nepovolaných osôb a nepriaznivými prírodnými vplyvmi a vplyvmi prostredia.

M. Riešenie kybernetických bezpečnostných incidentov – V organizácii správcu sa určí kontaktné miesto a spôsob hlásenia kybernetických bezpečnostných incidentov podľa § 23 ods. 3 písm. a)a ods. 4 zákona.

N. Kryptografické opatrenia – Webové sídlo správcu musí byť prístupné prostredníctvom zabezpečeného protokolu HTTPS s využitím bezpečnej verzie protokolu TLS (https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=181)

O. Kontinuita prevádzky informačných technológií verejnej správy – Nevzťahujú sa žiadne bezpečnostné opatrenia.

P. Audit a kontrolné činnosti – týka sa zabezpečenia výkonu pravidelných auditov kybernetickej bezpečnosti a informačnej bezpečnosti podľa osobitného predpisu (podľa vyhlášky Národného bezpečnostného úradu č. 493/2022 Z. z. o audite kybernetickej bezpečnosti .)

Popri uvedených predpisoch existuje aj ďalšia legislatíva, ktorá musí byť zohľadnená pri riešení kybernetickej bezpečnosti.

Abeceda bezpečnostného povedomia

Abecedu bezpečnostného povedomia ponúka Kompetenčné a certifikačné centrum kybernetickej bezpečnosti.

Aktualizujte a plátajte váš počítač, smartfón, wifi router a všetky IT zariadenia. Musia mať vždy nainštalované posledné verzie aktualizácií a záplat operačného systému. Týka sa to aj internetového prehliadača a všetkých aplikácií. Hackeri ako prvé hľadajú známe zraniteľnosti v neaktualizovaných systémoch, čiže bezpečnostné diery, a tie treba plátať.

Buďte ostražití. Pred kliknutím na akýkoľvek odkaz v správe elektronickej pošty si overte, kam tento odkaz naozaj smeruje.

Cookies patria do koša. Pravidelne vymazávajte cookies a vymažte históriu internetového prehliadača. Aj keď je technológia „cookies“ regulovaná európskym právom, mnohí prevádzkovatelia svoje povinnosti nedodržiavajú.

Dodržujte pravidlá – Bezpečnostné politiky vašej organizácie a odporúčania nie sú samoúčelné. Obchádzanie pravidiel vám možno zvýši používateľský komfort, avšak pravidlá vám zaručia súkromie a bezpečnosť vašich cenných údajov.

E-mail nie je bezpečný – Správa elektronickej pošty je ako korešpondenčný lístok. Nikdy nemáte istotu, že odosielateľom je ten, za koho sa vydáva. Obsah správy môže prečítať množstvo neznámych ľudí. Pokiaľ nepoužívate šifrovaný e-mail, vážte informácie, ktoré odosielate.

Filtrujte spam – Nástroje na „odchytávanie“ nevyžiadaných a škodlivých správ elektronickej pošty znižujú riziko infiltrácie a ohrozenia vášho systému.

Grooming – Chráňte sa pred groomingom. Výraz groom znamená pripraviť na špecifickú pozíciu alebo účel či pripraviť na budúcu rolu alebo funkciu. Groomingom si útočník  pripravuje“ dieťa, rodinu, komunitu tak, aby mohol neskôr realizovať sexuálne zneužívanie. Iným slovami je to pestovanie si vzťahu a budovanie dôvery medzi sexuálnym predátorom a jeho obeťou.

Heslá a heslové vety – Silné heslá sú tie, ktoré nikto neuhádne a zároveň si ich pamätáte. Vytvorte heslá, ktoré majú aspoň 15 znakov a obsahujú kombináciu veľkých a malých písmen, číslic a symbolov, ak to aplikácia umožňuje. Heslovou vetou môže byť napríklad citát, alebo text skladby, kde nahradíte aspoň jedno písmeno špeciálnym znakom a pridáte číslice.

Chráňte súkromie – Sociálne siete navádzajú k tomu, aby ste prezradili o sebe čo najviac. Výsledkom bývajú vykradnuté domácnosti počas dovolenky, odcudzené peniaze z bankových účtov, ale aj sexuálne vydieranie či ujma na duševnom zdraví dieťaťa, napríklad prostredníctvom kyberšikany. Rešpektujte zároveň právo na súkromie iných ľudí.

Inštalujte si antivírus – Voči útoku škodlivým kódom vás obránia najmä antivírusové aplikácie. Nainštalujte si niektorú z nich a nastavte ju tak, aby automaticky kontrolovala prístupy na webové stránky, sťahované súbory, prílohy e-mailov a pamäťové médiá.

Je to pravda? Hoax je podvodná správa, zámerne konštruovaná tak, aby pôsobila ako dôveryhodná a objektívna pravda. Táto technika využíva manipuláciu na zneužitie vlastností ľudského rozhodovania.

Kontrolujte adresy – Pred otvorením webovej stránky vždy najprv skontrolujte adresu. Nespúšťajte neznáme odkazy. Podhodenie adresy a presmerovanie na nebezpečnú webstránku je typickým spôsobom prípravy útoku. Neotvárajte neznáme prílohy a linky v správach, väčšinou je ich obsahom škodlivý kód.

Limitujte zdieľanie – Obmedzte množstvo zdieľaných dát, či už prostredníctvom sociálnych sietí, alebo rôznych cloudových služieb. Ak niečo zdieľate, vymedzte presne osoby, ktorým zdieľané údaje sprístupníte. A po čase prehodnotíte, či zdieľanie zdroja je naďalej potrebné – a ak nie je, ukončite zdieľanie.

Monitorujte – Ak sa vám stala nepríjemná udalosť v online priestore, uistite sa, že máte všetky dôkazy o bezpečnostnom incidente napr. e-maily, faktúry, potvrdenky, kópie reklamy atď. Nahláste podvod. Vaše informácie môžu pomôcť chytiť podvodníka a zabrániť ďalším incidentom.

Nedôverujte – Mnohé z toho, s čím sa v elektronickom svete stretnete, je pochybné a nedôveryhodné. Internet je slobodným neregulovaným priestorom a každý si v ňom môže písať, publikovať a tvrdiť takmer čokoľvek. Preto je k internetovým médiám dobré pristupovať so zdravou skepsou a odstupom.

Online nákupy – Skontrolujte, či sa adresa e-shopu začína na „https", a všímajte si pravopisné či gramatické chyby. Overte si, či sú v rubrikách, ako napríklad „O nás" alebo „Kontakt" uvedené legitímne kontaktné údaje. Dávajte si pozor na mimoriadne ponuky a informujte sa, aké skúsenosti majú s e-shopom iní  zákazníci.

Prihlasujte sa 2-stupňovo – Ak to webová služba umožňuje, používajte na prihlasovanie tzv. dvojfaktorovú autentizáciu (napríklad pomocou SMS kódu). Samotné heslo nie je už dostatočnou ochranou pred zneužitím prístupových práv.

Ransomvér je vydieranie – Ransomvér je druh malvéru, ktorý napáda počítačové systémy používateľov a zaobchádza s nimi tak, aby tieto systémy alebo dáta na nich uložené obeť nemohla (čiastočne alebo úplne) používať. Väčšinou sa to deje zašifrovaním veľkej časti údajov. Obeť zvyčajne neskôr dostane výhražnú správu, ktorá ju tlačí k zaplateniu výkupného, pokiaľ chce získať plný prístup k systému a súborom späť.

Sociálne inžinierstvo – Ľudská dôvera sa ľahko zneužíva na získanie prístupu k citlivým informáciám. Typická je forma podvodných mailov – phishing. Najlepšou ochranou pred sociálnym inžinierstvom je zvyšovanie bezpečnostného povedomia.

Trójsky kôň – Škodlivý softvér, ktorý je podobný trójskemu koňovi známemu zo starovekých gréckych bájí. Aby zakryl svoju skutočnú funkciu, využíva maskovanie alebo presmerovanie. Tento malvér sa najčastejšie dostane do počítača nezodpovednosťou alebo neopatrnosťou samotného používateľa. Neotvárajte e-maily a nespúšťajte súbory, ktoré nepoznáte.

Uzamykajte zariadenia – Zariadenie, ktoré nie je pod vašou fyzickou kontrolou, dáva priestor útočníkovi. Odomknuté zariadenie bez dozoru dáva komukoľvek priestor k manipulácii s ním a s jeho obsahom. Toto je potrebné uvedomiť si nielen v kancelárii, ale predovšetkým na verejných miestach (napr. na konferencii, vo vlaku a pod.).

Vzdelávajte sa – Kybernetické hrozby sú každodennou súčasťou online života, nielen v práci, ale aj v súkromí. Aby sme ich vedeli rozpoznať a účinne sa proti nim brániť, je dôležité sa pravidelne vzdelávať aj v oblasti kybernetickej bezpečnosti.

Wifi nie je bezpečná – Wifi sieť môže byť bezpečná, len ak je správne nakonfigurovaná. Nechránené wifi siete bez hesla a šifrovania sú ako dokorán otvorené dvere do bytu. Zmeňte aj pôvodný továrenský názov vášho routera a zároveň sa vyvarujte použitiu takého názvu, ktorý by vás identifikoval. Oboje totiž hackerovi zjednoduší útok.

Zálohujte dáta – Aj pamäťové médiá sa občas pokazia a ich obsah sa stratí. Zároveň sa zvyšuje počet tzv. ransomvérových útokov, keď hackeri zašifrujú údaje a za ich vrátenie vyžadujú výkupné. Proti týmto hrozbám je účinná len obnova údajov z pravidelne vytváraných záloh.

LITERATÚRA:

1. www.cybercompetence.sk
2. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
3. Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov
4. Vyhláška č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.