Kyberbezpečnosť nie je odpoveďou na legislatívu. Je podmienkou bezpečného fungovania akejkoľvek firmy. V rozhovore hovoríme s TOMÁŠOM HETTYCHOM, členom predstavenstva a COO Kompetenčného a certifikačného centra kybernetickej bezpečnosti o tom, prečo nestačí mať dokumenty v zásuvke, čo má vedenie riešiť ešte pred samotným incidentom, a prečo je druhý najlepší čas začať práve teraz.
Ako by ste dnes opísali stav kyberbezpečnosti na Slovensku z pohľadu firiem a ich pripravenosti na aktuálne hrozby?
Objektívne môžem konštatovať, že stav sa zlepšuje. Ukazujú to nielen výsledky auditov, ale aj pribúdanie počtu spoločností v kyberkomunite a tiež počty vyškolených odborníkov.
V čom sa najviac zmenilo kybernetické riziko pre firmy za posledné dva, tri roky?
S dramatickým nárastom používania nástrojov umelej inteligencie prichádzajú riziká úniku firemných dát, väčšieho počtu automatizovaných útokov, zníženia ceny za objednanie útokov, a zlých rozhodnutí vedení spoločností na základe AI modelov.
Ktoré tri kybernetické riziká dnes považujete za najvážnejšie pre malé a stredné firmy?
Používanie nástrojov a modelov s AI bez jasných pravidiel. Nesystematické, čiže jednorazové riešenie požiadaviek kybernetickej bezpečnosti a falošný pocit bezpečia vyvolaný lacnými, takzvanými komplexnými riešeniami bez reálneho overenia ich účinnosti.
Prečo sú SME firmy často zraniteľnejšie? Prečo mnohé predpokladajú, že nie sú pre útočníkov zaujímavým cieľom?
SME firmy majú obmedzený rozpočet a väčšinou menšie množstvo procesov. Vôbec sa nezamýšľajú nad hrozbami totálneho výpadku informačných systémov či masívneho úniku svojich údajov. Zhrnuté: SME firmy zvyčajne podceňujú následky incidentov a nemajú plány kontinuity.
Čo v praxi znamená kyberincident pre bežnú firmu: z pohľadu prevádzky, financií, reputácie a vzťahov so zákazníkmi?
Kým sa vyhodnotí čo všetko uniklo alebo bolo zničené, je vedenie vystavené obrovskému stresu a pocitu neistoty. Pri riešení incidentu ide, samozrejme, aj o čas, sú potrebné rýchle a správne rozhodnutia. Takže je dôležité, aby všetci zachovali chladnú hlavu a nereagovali unáhlene.
S akými omylmi alebo falošným pocitom bezpečia sa vo firmách stretávate najčastejšie?
Rizikom je výber externých služieb či bezpečnostnej dokumentácie len podľa najnižšej ceny, bez overenia referencií. Častý je aj falošný pocit „papierovej“ bezpečnosti, keď firma má dokumenty, ale chýbajú jej technické opatrenia. Mnohé spoločnosti sa nesprávne domnievajú, že pre útočníkov nie sú zaujímavým cieľom. Práve tento omyl ich však môže urobiť zraniteľnejšími.
Ak by ste mali odporučiť päť priorít, na ktoré by sa malo vedenie SME firmy sústrediť ešte v tomto roku, ktoré by to boli?
Kľúčové je, aby firmy prestali vnímať kyberbezpečnosť ako nákladovú položku, ale vnímali ju ako integrálnu súčasť fungovania spoločnosti. S tým súvisí aj potreba pravidelne pozývať alebo trvale začleniť manažéra kybernetickej bezpečnosti do riadenia spoločnosti tak, aby bol súčasťou dôležitých rozhodnutí už v čase plánovania, nielen pri riešení incidentov.
Rovnako dôležité je riadiť svoje informačné aktíva, hrozby a riziká. Znamená to vykonávať reálnu a pravidelnú analýzu rizík a analýzu funkčných dopadov, ktorá firme ukáže kritické aktíva aj scenáre najviac ovplyvňujúce jej fungovanie. Na tieto zistenia by mali nadväzovať reálne scenáre kontinuity a obnovy po závažnom incidente, ktoré nestačí len pripraviť, ale treba ich aj otestovať.
Samostatnou prioritou je nastaviť si jasné interné pravidlá pre používanie AI nástrojov, najmä z pohľadu ochrany citlivých dát, osobných údajov a firemných informácií. A napokon je potrebné investovať do vzdelávania zamestnancov v kyberbezpečnosti na všetkých úrovniach, keďže práve ľudský faktor zohráva významnú úlohu pri incidentoch spojených s únikom dát.
Kde by mala firma začať, ak nemá veľký rozpočet ani interný bezpečnostný tím, ale chce urobiť prvé správne kroky?
Na stole sú dve jednoduché riešenia. Buď si zavolať externého odborníka, ktorý biznisovým jazykom vysvetlí problematiku a riziká, aby sa vedenie mohlo rozhodnúť. Alebo absolvovať účasť na odbornej konferencii či školení, kde firma dostane základný informačný rámec.
Čo by malo tvoriť minimálne bezpečnostné minimum, bez ktorého by dnes nemala fungovať žiadna firma?
Stanovenie stratégie, zvládnutie základných politík kybernetickej bezpečnosti a nastavenie spôsobov riešenia incidentov. Implementovanie sieťovej bezpečnosti – firewallu, segmentácie, pravidiel. Zazmluvnenie interného alebo externého manažéra kybernetickej bezpečnosti.
Ktoré opatrenia prinášajú najlepší pomer medzi nákladmi, jednoduchosťou a reálnym efektom?
Príprava sady stručných a jasných politík kybernetickej bezpečnosti tak, aby im rozumeli všetci zamestnanci. Využitie služieb externého manažéra kybernetickej bezpečnosti s jasne nastavenými aktivitami a hodinovou sadzbou. Nasadenie cenovo efektívneho riešenia sieťovej bezpečnosti a open-source monitoringu.
Ako by ste zrozumiteľne vysvetlili legislatívne požiadavky – ZokB, NIS 2, vyhlášky – manažérom SME firiem?
Existujúca legislatíva celkom zrozumiteľným jazykom popisuje riadenie kybernetickej bezpečnosti vrátane organizačných a technických opatrení. Je to logická cesta, známa ako Demingov cyklus PDCA:
- Urobte / aktualizujte si zoznam svojich informačných aktív, aby ste vedeli, čo je pre firmu viac a čo menej dôležité.
- Následne aktívam priraďte zraniteľnosti a hrozby, ktoré budú implikovať riziká.
- Popíšte najväčšie riziká a pripravte plány kontinuity a obnovy.
- Všetko pravidelne testujte a zlepšujte.
Čo by si firmy mali z legislatívy odniesť už dnes, aj keď nemusia byť priamo regulovaným subjektom?
Dôležitá rada znie: Neriešte kyberbezpečnosť kvôli legislatíve! Riešte ju kvôli zdravej, bezpečnej spoločnosti. Kyberhrozby existujú a budú určite pribúdať. Pripravené spoločnosti incidenty zvládnu lepšie a utrpia menšie škody.
Ak firma zistí, že čelí incidentu, čo by mala urobiť v prvých 24 hodinách?
V prvom rade konať okamžite a s chladnou hlavou. Infraštruktúru odpojiť od internetu, nevypínať ju! Zapojiť vedenie spoločnosti a postupovať podľa nacvičených scenárov. Podľa typu a závažnosti incidentu hlásiť na NBÚ. Informovať klientov a dodávateľov.
Ako spozná manažment, že firma má pripravený funkčný plán reakcie na incident a nejde len o formálny dokument?
Reakcie na incidenty a riadenie kontinuity by sa mali testovať a pravidelne prehodnocovať, inak to nebude fungovať. Funkčný plán sa spozná najmä podľa toho, že ho firma vie v krízovej situácii reálne použiť, nie iba predložiť ako dokument.
Ktoré témy budú v najbližšom období pre SME firmy najdôležitejšie?
Použitie AI vo väčšine aplikácií, kybernetická odolnosť a vzdelávanie.
Aký odkaz by ste dali vedeniam firiem, ktoré kyberbezpečnosť stále odkladajú s tým, že ju začnú riešiť až „keď bude čas“?
Staré japonské príslovie hovorí o tom, kedy je najlepší čas zasadiť sakuru. Pred 50 rokmi.
A kedy je druhý najlepší čas? Teraz. Čiže: včera bolo neskoro. Nečakajte na incident, môže mať katastrofické následky – finančné, materiálne, reputačné. Príprava môže byť primeraná aj časovo a ľudsky efektívna. Nie je to žiadna raketová veda.
