Kybernetická bezpečnosť

Či už si to uvedomujeme alebo nie, komunikačné technológie zasahujú do mnohých stránok ľudskej existencie. Tie rozšírili schopnosť vzájomného pôsobenia medzi subjektami z rozdielnych oblastí našej spoločnosti. Neustále sa zvyšujúci počet používateľov v rámci internetového priestoru však spôsobuje aj narastajúcu závislosť na komunikačných technológiách ako verejného, tak aj súkromného sektora.  Náš život sa ocitá v rukách online sféry, kde sú kybernetické útoky čoraz častejšie, a preto sa kybernetická bezpečnosť stáva jednou z najvýznamnejších výziev  dnešnej doby. Rozrastajúca sa trhlina metód zneužitia a poškodenia elektronických informačných, komunikačných a riadiacich systémov kybernetického priestoru si vyžaduje pozornosť celej spoločnosti.  Nedostatočná ochrana pred bezpečnostnými incidentmi vytvára predpoklad zraniteľnosti pre bezpečnostné oblasti fungovania štátu. Bezpečnostné opatrenia, ochrana informačných systémov, organizáciu, pôsobnosť a povinnosti orgánov verejnej moci, ako aj systém zabezpečenia kybernetickej bezpečnosti, to všetko zastrešuje zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

Cieľom zákona je nielen ochrana informačných systémov a sietí pred narušením, ale aj ochrana samotných zákazníkov. Zákon prináša niekoľko povinností pre prevádzkovateľov základných služieb, ale taktiež aj pre poskytovateľov digitálnych služieb.

Kto je prevádzkovateľom základných služieb?
Na začiatok je potrebné ozrejmiť si, kto spadá pod pojem prevádzkovateľ základných služieb. Prevádzkovateľom základných služieb je orgán verejnej moci alebo iný subjekt, ktorý poskytuje aspoň jednu základnú službu uvedenú v zozname základných služieb, ktorý vedie Národný bezpečnostný úrad („NBÚ“). Medzi základné služby zaraďujeme, napr. poskytovanie bankových produktov a služieb, poštových služieb, poskytovanie zdravotnej starostlivosti a pod.

Aké sú povinnosti prevádzkovateľa základných služieb?

  • do šiestich mesiacov odo dňa oznámenia a zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať bezpečnostné opatrenia v rozsahu stanovenom zákonom o kybernetickej bezpečnosti,
  • je povinný pri uzatvorení zmluvy s dodávateľom na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby (ďalej len „tretia strana“) uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa tohto zákona počas celej doby platnosti zmluvy,
  • je povinný dňom zaradenia do registra prevádzkovateľov základných služieb o tejto skutočnosti informovať podnik na poskytovanie elektronických komunikačných služieb alebo sietí podľa osobitného predpisu, ku ktorému je sieť alebo informačný systém základnej služby pripojená,
  • je povinný informovať v nevyhnutnom rozsahu tretiu stranu o hlásenom kybernetickom bezpečnostnom incidente za predpokladu, že by sa plnenie zmluvy podľa odseku 2 stalo nemožným, ak úrad nerozhodne inak. Povinnosť zachovávať mlčanlivosť tým nie je dotknutá,
  • ak prevádzkovateľ základnej služby túto službu poskytuje aj v inom členskom štáte Európskej únie, úrad v súčinnosti s príslušným orgánom tohto členského štátu rozhodne o tom, podľa kritérií ktorého členského štátu bude prevádzkovateľ základnej služby identifikovaný tak, aby bol jednoznačne identifikovaný ako prevádzkovateľ základnej služby aspoň v jednom z týchto členských štátov.

Zákonom uložené povinnosti sú rozsiahle a zahŕňajú aj povinnosť prevádzkovateľa spolupracovať s príslušnými orgánmi pri riešení kybernetických bezpečnostných incidentov, poskytovanie dôležitých informácií, zabezpečenie dôkazov na účely trestného konania a oznamovanie trestného činu súvisiaceho s kybernetickou bezpečnostnou.

Kto je poskytovateľom digitálnych služieb?

Za poskytovateľa digitálnych služieb sa rozumie právnická osoba alebo fyzická osoba- podnikateľ, ktorá poskytuje digitálnu službu (online trhovisko, internetový vyhľadávač a cloud computing) a súčasne zamestnáva viac ako 50 zamestnancov a má ročný obrat alebo celkovú ročnú bilanciu viac ako 10 000 000 eur.

Aké sú povinnosti poskytovateľa digitálnych služieb?

  • je povinný do šiestich mesiacov odo dňa oznámenia o zaradení do registra poskytovateľov digitálnych služieb prijať a dodržiavať vhodné a primerané bezpečnostné opatrenia podľa osobitného predpisu na účely riadenia rizík súvisiacich s ohrozením kontinuity digitálnej služby a procesu riešenia kybernetických bezpečnostných incidentov. Na tento účel je poskytovateľ digitálnej služby povinný vyčleniť dostatočné personálne, materiálno-technické, časové a finančné zdroje s cieľom zabezpečenia kontinuity digitálnej služby,
  • hlásiť každý kybernetický bezpečnostný incident, ak disponuje informáciami, na základe ktorých je spôsobilý identifikovať, či má tento kybernetický bezpečnostný incident podstatný vplyv podľa osobitného predpisu, a to bezodkladne po jeho zistení,
  • riešiť hlásený kybernetický bezpečnostný incident,
  • spolupracovať s úradom pri riešení hláseného kybernetického bezpečnostného incidentu.

Aké sankcie možno očakávať pri porušení povinností, ktoré vyplývajú o zákona o kybernetickej bezpečnosti?

Kontrolu na dodržiavanie zákona o kybernetickej bezpečnosti vykonáva NBÚ. Za porušenie povinností stanovených zákonom hrozí pokuta vo výške 300 eur až do 300 000 eur. Výška pokuty sa určuje na základe závažnosti správneho deliktu, najmä spôsob, akým bol spáchaný, jeho trvanie, dôsledky a okolnosti, za ktorých bol spáchaný.

Záver

Kybernetické hrozby nie sú vo všeobecnosti považované za dostatočne naliehavý problém. Je nevyhnutné neustále upozorňovať na zraniteľnosti, ktorým je dnešná spoločnosť vystavená. Je dôležité, aby sme zvyšovali povedomie aj v radoch širokej verejnosti a podnikali kroky k eliminácii hrozieb v oblasti informačných a komunikačných technológií.

Aj náš štát bojuje za bezpečnosť online priestoru. Slovenská republika prijala v roku 2015 koncepciu, v ktorej sa stanovili rôzne vízie a priority, ktoré majú za úlohu zabezpečiť kybernetickú bezpečnosť v krajine.  Cieľom Koncepcie kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020 je vybudovať otvorený, bezpečný a chránený národný kybernetický priestor, teda vybudovať dôveru v spoľahlivosť a bezpečnosť najmä kritickej informačnej a komunikačnej infraštruktúry.

Príloha

Význam vybraných pojmov:

  • Kybernetická bezpečnosť je komplexná oblasť, ktorá zahŕňa technológie a procesy určené na ochranu systémov, sietí a údajov pred kybernetickými útokmi. Kybernetická bezpečnosť je vzhľadom na svoj globálny charakter celospoločenským fenoménom. Jej efektivita spočíva na komplexnom prístupe aktivít národnej, ako aj medzinárodnej úrovni
  • Kybernetický priestor je virtuálny priestor bez hraníc zložený z celosvetovo prepojených sietí z hardvéru, softvéru a dát
  • Kybernetická obrana je súbor aktívnych a pasívnych opatrení zameraných na zabránenie kybernetického útoku a zmierňovanie jeho následkov
  • Kybernetický útok je útok na IKT (informačné a komunikačné technológie) infraštruktúru za účelom jej poškodenia, zničenia alebo získania citlivých informácií
  • Kybernetický bezpečnostný incident je akákoľvek udalosť, ktorá má z dôvodu narušenia bezpečnosti siete a informačného systému negatívny vplyv na kybernetickú bezpečnosť alebo ktorej následkom je strata dôvernosti údajov, zničenie údajov, obmedzenie alebo odmietnutie dostupnosti základnej služby alebo digitálnej služby