Ako ovplyvní NIS2 samosprávy?
Už len do konca tohto mesiaca majú mestá a obce čas na to, aby požiadali o eurofondy na zaistenie informačnej a kybernetickej bezpečnosti. Čoskoro začne platiť nová smernica EÚ, ktorá prináša požiadavky v tejto oblasti pre množstvo organizácií. V súkromnom, aj vo verejnom sektore.
Prečítajte si súhrn rozhovoru s Michalom Ďordom, expertom z CYLLIUM.
O čom je smernica NIS2 a čo nariaďuje?
Ide o jednu z mnohých smerníc, ktorá prichádza z Európskej komisie. Má zjednotiť stav kybernetickej bezpečnosti naprieč 27 krajinami Európskej Únie. Doteraz mala každá krajina inak nastavené a prijaté pravidlá v oblasti bezpečnosti. Preto muselo časom prísť ku zjednoteniu bezpečnostných opatrení.
Ktorých odvetví sa táto smernica týka?
Týka sa viacerých odvetví. Bankovníctvo a finančný sektor sú už dlhodobo z pohľadu bezpečnosti regulované, avšak, táto regulácia sa dotýka už existujúcich sektorov a príslušných subjektov energetiky, dopravy, zdravotníctva podľa smernice NIS1 ... čiže týka sa napríklad nemocníc, ale aj verejnej správy. Sú tu však aj nové sektory, napr. poľnohospodárstvo, ktoré doteraz vôbec nemalo reguláciu v oblasti kybernetickej bezpečnosti.
Zatiaľ čo menšie firmy sú od povinnosti v oblasti kybernetickej bezpečnosti oslobodené, pre subjekty verejnej správy sú požiadavky, ktoré kladie nová smernica, povinné. Čo to teda pre mestá a obce znamená v praxi?
Výhoda NIS2 smernice je v tom, že zavádza základné bezpečnostné opatrenia, ktoré musí mať každý z týchto regulovaných subjektov zavedené. Bežným občanom to prinesie istotu, že aj štát sa bude snažiť zvyšovať úroveň svojej bezpečnosti. Ja napríklad ako obyvateľ Bratislavy očakávam, že Bratislava ako hlavné mesto bude zvyšovať svoju úroveň bezpečnosti. Ako občan chcem mať istotu ochrany dát a poskytovaných služieb, ktoré mi poskytuje samospráva alebo ústredný orgán. Teda, aby elektronické služby mesta, v ktorom žijem, boli adekvátne chránené a mohol som ich bezpečne využívať.
Sú samosprávy aj na Slovensku cieľom hackerských útokov?
Samozrejme. Nemyslím si, že by existoval nejaký subjekt, ktorý by sa úplne vyhol kybernetickému útoku alebo nejakému hackerskému útoku. Ako príklad môžem uviesť prípad medializovaný v minulom roku, kedy sa naše hlavné mesto stalo terčom špecifického útoku práve v čase, keď sa organizovala bezpečnostná GLOBSEC konferencia v Bratislave. Bola tam prítomná istá akcia a reakcia, ktorá vyvolala práve tento útok na služby hlavného mesta vo forme DDoS útoku.
Keď sa pozrieme na to, ako sú naše samosprávy zabezpečené voči kybernetickým útokom. Ako na tom sme? Je to vôbec téma, na ktorú samosprávy myslia?
Podľa môjho názoru je práve regulácia v podobe smerníc NIS1, ako aj harmonizovanej NIS2 tým ťahúňom, ktorý upriamil pozornosť našich samospráv a verejnej správy na kybernetickú bezpečnosť. Subjekty sú nútené rozmýšľať nad spôsobmi a niečo aj reálne pre ochranu urobiť. Na druhej strane, stále je to téma, na ktorú menšie subjekty nemajú kapacity a zdroje. Jednak expertíznu, ale aj finančnú. Chýbajú im financie na riešenie adekvátnych bezpečnostných opatrení.
Najčastejším problémom samospráv v oblasti kyberbezpečnosti je nedostatok expertov, respektíve schopnosť ich adekvátne zaplatiť.
Predstavme si teraz, že bude cielený útok hackerov na nejakú samosprávu. Aké dáta môžu hackeri ukradnúť a zneužiť? Na čo by to vlastne robili?
Z pohľadu bezpečnosti, poznáme tri základné bezpečnostné ciele. Tým prvým je dôvernosť. Uvediem príklad. Predstavte si situáciu, kedy samospráva spravuje konkrétne dáta. Tým cieľom dôvernosti je docieliť, aby neboli odcudzené. Aby ich nemohol prečítať niekto cudzí. Druhý bezpečnostný cieľ je integrita. To znamená, že nechcete, aby tie dáta boli zmenené. Ak vám niekto vydá daňový výmer za byt alebo akúkoľvek inú daň, tak pravdepodobne nechcete, aby ten útočník túto informáciu zmenil a suma dane na výmere bola vyššia. Tretím cieľom z pohľadu bezpečnosti je dostupnosť. To znamená, že my požadujeme, aby dáta alebo služby, ktoré samosprávy vykonávajú, boli dostupné vtedy, kedy to my chceme. Nie medzi 22:00 a 06:00 keď spíme. My chceme, aby bola dostupná v bežných pracovných hodinách. Toto sú tri predpoklady, bezpečnostné ciele, ktoré sa každý subjekt snaží dodržať z pohľadu bezpečnosti. Aj regulácia na to myslí.
A čo sú tie dôležité dáta? Opäť to vysvetlím z pozície občana žijúceho v Bratislave. Hlavné mesto prinieslo občanom službu, a to je platenie daní elektronickým spôsobom. Občanom príde daňový výmer na mailovú adresu, kde priamo jedným alebo dvoma preklikmi vykonajú aktivitu platby dane. Prichádza presmerovanie na banku, alebo na platobný terminál a platba automaticky prebehne troma klikmi veľmi rýchlo a efektívne. Tu mi napadá niekoľko bezpečnostných cieľov, ktoré by hacker mohol mať na muške. Odcudzenie týchto dát a ich využitie v nejaký prospech, napríklad posielania reklamy. Viem si predstaviť aj zmenu integrity. To znamená inú výšku dát, inú výšku daňového preddavku, dane ako takej, ktorú treba zaplatiť. Alebo službu útočník úplne znefunkční. Tá služba je teda nevyužiteľná a zbytočná. Útočník takisto môže začať zbierať napríklad počty odpadkov, ktoré vyhadzujete, koľko vriec vám smetiari dajú. Alebo by mohol kontrolovať, koľko máte doma domácich miláčikov. To sú všetko zaujímavé informácie, ktoré môžu byť do budúcna zneužité. Všeobecne známymi prípadmi sú aj uniknuté čísla kreditných kariet, prihlasovacích mien, či hesiel. Toto všetko sú podľa mňa dáta, ktoré sa musí samospráva snažiť ochrániť preto, aby v očiach svojich občanov bola dostatočne dôveryhodná.
Aké chyby robia samosprávy pri zabezpečovaní svojej kybernetickej bezpečnosti?
Na Slovensku sa s chybami stretávame pomerne často. Stále vnímame akútny nedostatok kvalitných expertných ľudí. Toto je problém číslo jeden, s ktorým sa samosprávy bežne a na dennodennej báze stretávajú. Druhým problémom je nedostatok finančných prostriedkov, ktoré samospráva potrebuje na aplikovanie akéhokoľvek opatrenia. Ak už samospráva má experta, potrebuje ho zaplatiť. Nedávno som sa stretol s istým starostom obce. Hovoril, že v pondelok musí ísť pokosiť, v utorok vyriešiť havarijnú situáciu v školskej jedálni, a potom niekedy v stredu večer sa môže venovať aj kybernetickej bezpečnosti. Rozumiem, je to malý subjekt. Toto je však v obciach a inštitúciách realita.
Do akej miery vôbec myslia starostovia malých obcí na túto tému? Nedá mi nepripomenúť známe Fekišovce a zľudovený výrok „Ďoďu, ber papier a píš“...
Napadá mi jedna vtipná reakcia. Ono je to vlastne na tom papieri celkom bezpečné. Nevrátime sa k nemu? Nie, nechceme sa k nemu vrátiť. Ani účtovníci si dnes nevedia predstaviť viesť účtovať na papieri. Svet sa posúva a musíme myslieť práve na informačné systémy a ich bezpečnosť. Myslieť na kybernetickú bezpečnosť je nielen v kompetencii obcí, ale aj v ich zodpovednosti. Rozumiem, že nemajú reguláciu načítanú od prvého po posledného slova, preto si veľmi radi objednajú komerčné expertné služby, alebo využívajú zdieľané expertné služby štátu. Avšak zodpovednosť vždy ostane na konci dňa na štatutárovi, starostovi, generálnom tajomníkovi služobného úradu alebo kohokoľvek, kto je na vyššej pozícii v subjekte.
Máte nejaké odporúčania pre samosprávy, ako zvýšiť kybernetickú bezpečnosť?
Je dobré budovať kompetenciu a expertízu u seba, aj keď je to náročná úloha. Pretože ľudia na trhu reálne chýbajú. Samosprávy však môžu využívať externé služby externistov. Za veľmi dôležité tiež považujem využívanie prostriedkov z eurofondov pre tieto účely. Ak má subjekt túto možnosť, treba ju využiť a čerpať. Zaujímavá je aj myšlienka využívania vzájomnej synergie. Veľmi často sa stretávam s tým, že mestá a obce, ktoré sú v blízkosti, sa snažia využívať zdieľanie expertízy vybraným špecialistom. Ak sa nájde jeden manažér kybernetickej bezpečnosti, ktorého má väčšia obec, vie túto službu poskytovať napríklad aj okolitým menším obciam alebo mestám.
Michal Ďorda, CISA, CISSP, PRINCE2
partner pre expertné služby CYLLIUM