Predchádzajúci článok série o aktívach obce vysvetlil, prečo je evidencia aktív základom informačnej bezpečnosti obce. V nasledujúcom príspevku si ozrejmíme šesť konkrétnych vrstiev aktív, ktoré má obec do registra zachytiť, s príkladmi z prevádzky úradu, kľúčovými otázkami a odkazmi na relevantnú legislatívu a normy. Čitateľ tak získa praktický prehľad, podľa ktorého môže overiť úplnosť svojho registra.
Povinnosť obce viesť evidenciu aktív
Pri začatí evidencie aktív obec spravidla zachytí počítače, tlačiarne a hlavné informačné systémy. To, čo sa do registra nedostane, býva paradoxne dôležitejšie: úložiská údajov mimo oficiálnych systémov, administrátorské prístupy dodávateľov, neformálne pracovné postupy alebo zmluvné dokumenty, ktoré pri incidente alebo zmene zamestnanca chýbajú. Reálny obraz informačného prostredia obce vzniká z viacerých vrstiev a každú z nich má obec spravovať s rovnakou pozornosťou.
Povinnosť obce ako správcu informačných technológií verejnej správy identifikovať aktíva a uplatňovať na ne bezpečnostné opatrenia ukladá zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v z. n. p. Konkrétny obsah a rozsah týchto opatrení ustanovuje vyhláška č. 179/2020 Z. z. ako vykonávací predpis k uvedenému zákonu (najmä príloha č. 1). Rovnaký princíp je obsiahnutý aj v opatrení 5.9 normy ISO/IEC 27002.
Nasledujúce vrstvy sú prezentované tak, aby si obec vedela overiť úplnosť svojho registra.
Vrstvy aktív, ktoré má obec zachytiť do registra
1) Informačné aktíva: údaje, ktoré obec spracúva
Východiskovou vrstvou sú údaje. Obec každý deň pracuje s údajmi občanov, zamestnancov, dodávateľov, daňovníkov, žiadateľov, vlastníkov nehnuteľností a účastníkov správnych konaní. Patria sem registratúrne záznamy, rozhodnutia, správne spisy, zmluvy, faktúry, projektové dokumenty, zápisnice zo zasadnutí, personálne dokumenty, kamerové záznamy a komunikácia s občanmi.
Niektoré údaje sú uložené v oficiálnych systémoch. Mnohé sa však zároveň nachádzajú v e-mailových schránkach, na zdieľaných diskoch, v tabuľkách, na starých notebookoch, USB kľúčoch alebo u dodávateľov. Z hľadiska informačnej bezpečnosti aj ochrany osobných údajov podľa zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon č. 18/2018 Z. z.“) a nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „všeobecné nariadenie GDPR“) má obec vedieť, kde sa údaje nachádzajú, kto je za ich spracúvanie zodpovedný a kto k nim má prístup.
Pri každom významnom súbore údajov by si obec mala vedieť odpovedať na otázky: aké údaje to sú, kde sa nachádzajú, na akom právnom základe sa spracúvajú, kto má k nim prístup a ako sú chránené pred stratou alebo neoprávneným prístupom. Riziko tejto vrstvy býva nenápadné, no jeho dôsledky môžu byť závažné. Ak sa databáza alebo dokumentácia stratí a obec ich nevie obnoviť, môže sa zastaviť bežná prevádzka úradu.
2) Informačné systémy a aplikácie
Údaje obce sú vždy uložené v konkrétnom systéme. Spracúvajú sa v informačných systémoch, ktoré obec zo zákona alebo z prevádzkovej potreby používa. Patrí sem ekonomický a účtovný systém, systém na miestne dane a poplatky, registratúrny systém, e-mailové prostredie, webová stránka obce, elektronická schránka cez ÚPVS, prístupy do štátnych portálov a registrov, kamerový systém, dochádzkový systém, nástroje na verejné obstarávanie, cloudové úložisko a nástroje na správu dokumentov.
Do tejto kategórie patria aj nástroje umelej inteligencie, ktoré obec používa pri tvorbe textov, sumarizácii podkladov alebo pri preklade. Vzťahujú sa na ne rovnaké požiadavky evidencie ako na ostatné systémy, doplnené o povinnosti vyplývajúce z nariadenia Európskeho parlamentu a Rady (EÚ) 2024/1689 o umelej inteligencii.
Osobitné riziko v praxi predstavuje takzvané Shadow IT, teda neoficiálne nástroje, ktoré zamestnanci v obci používajú bez formálneho schválenia: bezplatné online prekladače, konvertory dokumentov, nástroje na zdieľanie súborov alebo verejné AI služby. Do oficiálneho registra sa zriedka dostanú, hoci sa cez ne často spracúvajú reálne dokumenty obce vrátane podkladov s osobnými údajmi. Evidencia má pokrývať aj takéto nástroje, alebo má obec aspoň pravidelne preverovať, či sa nepoužívajú namiesto schválených riešení.
Vedľa neoficiálnych nástrojov existujú aj legitímne, no málo viditeľné systémy, ktoré v obci vznikli organicky. Tabuľka na zdieľanom disku, ktorú obec roky vedie pre konkrétnu agendu, môže byť pre prevádzku rovnako dôležitá ako veľký informačný systém. Pri každom systéme má obec vedieť, na čo slúži, aké údaje obsahuje, kto ho používa, kto je administrátor, kde je prevádzkovaný (lokálne, u dodávateľa alebo v cloude), s akými ďalšími systémami a štátnymi registrami je prepojený, či k nemu existuje zmluva a či vie obec obnoviť jeho fungovanie po výpadku. Prepojenia sú dôležitým bodom: výpadok väzby na štátnu pokladnicu, banku alebo ÚPVS môže paralyzovať systém, ktorý sám osebe funguje. Riziko vzniká vtedy, keď obec o systéme nevie alebo nevie určiť, kto zaň zodpovedá.
3) Technické aktíva: zariadenia, siete a fyzická infraštruktúra
Najviditeľnejšiu vrstvu predstavujú zariadenia. Patria sem počítače, notebooky, tlačiarne, multifunkčné zariadenia, servery, smerovače, Wi-Fi zariadenia, sieťové prvky, externé disky, USB kľúče, mobilné telefóny, kamerové zariadenia a zálohovacie médiá. Inventarizácia technických aktív je najjednoduchšie prístupnou súčasťou registra a často sa s ňou aj začína.
Technické zariadenia sú dôležité najmä preto, že sa cez ne pristupuje k údajom a systémom obce. Počítač účtovníčky obsahuje prístup do ekonomického systému. Notebook starostu obsahuje e-maily, dokumenty a uložené prístupy. Smerovač alebo Wi-Fi zariadenie môže byť vstupnou bránou do internej siete obce.
Pri každom zariadení má obec vedieť, kde sa nachádza, kto ho používa, kto ho spravuje, či obsahuje údaje, či je aktualizované a čo sa s ním má stať pri vyradení. Riziko vzniká pri zariadeniach, ktoré sú neaktualizované, používajú predvolené heslá, zostali po bývalom zamestnancovi alebo sú pripojené do internetu bez primeraného zabezpečenia.
4) Prístupové aktíva: účty, heslá a administrátorské oprávnenia
Účet, heslo alebo administrátorské oprávnenie môže byť pre bezpečnosť obce dôležitejšie ako samotné zariadenie. Kto má prístup, ten môže čítať, meniť, mazať, odosielať a spravovať údaje. Do tejto kategórie patria e-mailové účty, prístupy do ekonomického systému, registratúry a elektronickej schránky, prístupy do štátnych systémov, administrátorské účty, účty dodávateľov, servisné účty, vzdialené prístupy, prístupové certifikáty, API kľúče a zdieľané heslá.
Riadenie prístupov patrí medzi bezpečnostné opatrenia, ktorých uplatňovanie obciam ukladá zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a ich obsah konkretizuje vyhláška č. 179/2020 Z. z. (príloha č. 1). Princíp je jednoduchý: prístup má mať len osoba, ktorá ho potrebuje na výkon svojej úlohy, a len v rozsahu, ktorý je nevyhnutný.
V praxi obcí prístupy vznikajú postupne a centrálne sa nesledujú. Zamestnanec dostane účet do jedného systému, neskôr do ďalšieho, dodávateľ si vytvorí servisný prístup, externý technik dostane vzdialený prístup. Po čase obec nevie, kto sa kam vie prihlásiť. Najväčším rizikom sú administrátorské oprávnenia, ktorých nositeľ môže meniť nastavenia, vytvárať a rušiť účty, obnovovať heslá a pristupovať k údajom bez ďalšej kontroly. Obec má vedieť, kto má administrátorský prístup, na aký účel, kto ho schválil a ako sa zruší, keď už nie je potrebný.
5) Zmluvné a dodávateľské aktíva
Veľká časť digitálneho prostredia obce je spravovaná dodávateľmi. Dodávateľ spravuje web, e-mail, ekonomický systém, kamerový systém, registratúru, hosting, zálohovanie alebo vzdialenú technickú podporu. Dôležitými aktívami sú preto aj zmluvy, servisné dohody, kontakty na podporu, dokumentácia k odovzdaniu systému a informácie o tom, kto má za dodávateľa oprávnenie konať.
Ak dodávateľ spracúva osobné údaje v mene obce, jeho postavenie sprostredkovateľa upravuje § 34 zákona č. 18/2018 Z. z. a článok 28 všeobecného nariadenia GDPR. Zmluva o spracúvaní osobných údajov má povinné náležitosti: predmet, dobu, povahu, účel, kategórie údajov, kategórie dotknutých osôb a zoznam povinností sprostredkovateľa. V kontexte kybernetickej bezpečnosti pribudli s účinnosťou od 1. januára 2025 očakávania týkajúce sa dodávateľského reťazca, ktoré do zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v z. n. p. zaviedla jeho novela zákonom č. 366/2024 Z. z. ako transpozícia smernice NIS2 [smernica (EÚ) 2022/2555].
Pri každom významnom dodávateľovi by obec mala vedieť, čo spravuje, aké má prístupy, kde sú uložené údaje, ako rýchlo má reagovať pri výpadku, ako sa rieši incident, kto je kontakt na podporu a čo sa stane pri ukončení spolupráce. Riziko vzniká vtedy, keď obec nemá dokumentáciu, neeviduje administrátorské prístupy dodávateľa alebo nevie, čo presne má dodávateľ odovzdať pri zmene.
6) Dokumentačné a znalostné aktíva
Nie všetky dôležité aktíva sú uložené v systéme alebo zapísané v zmluve. Niektoré existujú len ako neformálne znalosti zamestnancov. V menších obciach je bežné, že konkrétny zamestnanec vie, ako sa vybavuje určitá agenda, kde sú dokumenty, koho kontaktovať a čo robiť pri probléme. Tieto znalosti sú cenné, no zároveň vytvárajú riziko, ak nie sú aspoň čiastočne zdokumentované.
Do tejto vrstvy patria návody k systémom, interné postupy, konfiguračné informácie, zoznamy prístupov, postupy pri výpadku, záznamy o nastavení služieb, odovzdávacie protokoly a pracovné postupy k dôležitým agendám. Norma ISO/IEC 27002 v opatrení 5.37 (Zdokumentované prevádzkové postupy) vyžaduje, aby boli prevádzkové postupy pre informačné systémy zdokumentované a sprístupnené tým, ktorí ich potrebujú.
Obec nemusí mať ku všetkému rozsiahle manuály. Krátky dokument, ktorý popisuje, kde je systém, kto ho spravuje, ako sa doň pristupuje, kde sú zálohy a čo robiť pri probléme, predstavuje pre prevádzku obce viac, než sa na prvý pohľad zdá. Riziko vzniká vtedy, keď je obec funkčne závislá od jednej konkrétnej osoby a táto osoba odíde, ochorie alebo dlhšie nie je dostupná.
Záver
Evidencia aktív predstavuje pre obec systematický prehľad o tom, čo má, čo používa a od čoho je v prevádzke závislá. Pri prvom úplnom zostavení registra spravidla vyjdú najavo administrátorské účty bez jasného vlastníka, závislosti od jedného zamestnanca alebo dodávateľa, údaje uložené mimo oficiálnych systémov a neformálne nástroje, cez ktoré sa spracúvajú reálne dokumenty obce.
Najcennejšie aktíva, ako sú údaje občanov, prístupy do kľúčových systémov, väzby s dodávateľmi a neformálne znalosti zamestnancov, sú zároveň najmenej viditeľné a vyžadujú vyššiu pozornosť než hmotné zariadenia. Register aktív nemá iba technickú funkciu, ale predstavuje východisko pre analýzu rizík, plán kontinuity činnosti, riadenie prístupov, ochranu osobných údajov, hodnotenie dodávateľov a riešenie incidentov. Bez neho sú tieto činnosti závislé od individuálnej pamäte a improvizácie.
V poslednej časti série o aktívach obce sa zameriame na klasifikáciu aktív podľa dôležitosti a na konkrétne polia, ktoré má praktický register obce obsahovať.
Celá séria "Evidencia aktív obce"
Evidencia aktív ako základ informačnej bezpečnosti obce