Je už každodennou realitou, že sa spoločnosti, prevádzkujúce IT a priemyselné systémy, stretávajú so sofistikovanými útočníkmi v ťažkom boji o kybernetickú bezpečnosť. Tieto incidenty majú veľký potenciál znižovať dôveryhodnosť, spôsobovať obrovské škody a ničiť reputáciu roky budovaných firiem. Výhodu majú tí, ktorí si riziká uvedomia včas a do protiopatrení investujú.
Krok pred hekermi sú aj spoločnosti regulované v oblasti kyberbezpečnosti zákonom. Medzi ne patrí Liptovská vodárenská spoločnosť, a.s., ktorá pod taktovkou externého manažéra kybernetickej bezpečnosti dosiahla v danom sektore nadpriemernú úroveň.
Vitajte v online svete
Už vieme, že podnikateľská sféra je atraktívny cieľ pre útočníkov, o to viac v oblasti základných služieb ako sú dodávka pitnej vody a energií. Aj Liptovská vodárenská spoločnosť si uvedomuje, že sa bez riadenia kyberbezpečnosti v dnešnej dobe nezaobíde. Navyše, v roku 2020 celý svet ovplyvnila pandémia COVID-19, kedy sa informačné a komunikačné technológie v ešte väčšej miere stali súčasťou každodenného života. „Viac sa používala elektronická komunikácia, pracovné stretnutia sa z reálneho prostredia preniesli do online sveta. Potreba elektronickej komunikácie priniesla zvýšené riziko bezpečnostných incidentov. Preto Liptovská vodárenská spoločnosť, a.s., kladie veľký dôraz nielen na zvyšovanie úrovne svojich informačných systémov, ale i na zabezpečenie kybernetickej bezpečnosti,“ vysvetľuje Juraj Ivan, vedúci oddelenia informačných technológií vo firme. Liptovská vodárenská spoločnosť nikdy nepatrila medzi podniky, ktoré by si neuvedomovali kybernetické hrozby. Preto prijali zaradenie prostredníctvom Národného bezpečnostného úradu pod zákon 69/2018 Z. z. o kybernetickej bezpečnosti ako prirodzenú súčasť rozvoja. „Vo svete sme zaregistrovali kybernetické útoky na vodárenské spoločnosti, ktoré predstavovali priamu hrozbu pre zabezpečenie výroby a dodávky pitnej vody. Tak ako aj v iných odvetviach stále viac využívame inteligentné riadiace prvky, ktoré sa môžu stať cieľom kybernetických útokov. Úspešne realizovaný útok môže mať za následok zmenu kvality vody alebo môže spôsobiť výpadok dodávky pitnej vody,“ uvedomuje si Matej Géci, generálny riaditeľ Liptovskej vodárenskej spoločnosti, a.s.
Externí experti
Spoločnosť v každej fáze implementácie systému riadenia kyberbezpečnosti spolupracovala s externými expertami. Dôvodom je, že pre efektívne zavedenie tohto systému je nevyhnutné mať odborné znalosti a najmä skúsenosti s jeho zavádzaním. Len odborníci so vzdelaním a skúsenosťami v oblasti riadenia informačnej bezpečnosti podľa normy ISO 27000 dokážu úspešne implementovať systém. Pretože je takých odborníkov na Slovensku nedostatok a sú pomerne nákladní, je na každej spoločnosti, či takého odborníka zamestná natrvalo alebo s ním spolupracuje iným spôsobom.
„Kybernetická bezpečnosť nám priniesla obrazne povedané pokojný spánok v oblasti prevádzky informačnej infraštruktúry a samotnej technológie výroby pitnej vody. Našim zákazníkom zasa istotu, že voda z kohútikov verejného vodovodu bude zdravotne nezávadná.“
Matej Géci, generálny riaditeľ, Liptovská vodárenská spoločnosť a.s.
„Naša spoločnosť stavila na externú spoluprácu, pretože nedisponuje kvalifikovaným zamestnancom s dostatočnou praxou na pozíciu manažéra kybernetickej bezpečnosti. Pristúpili sme k výberovému konaniu na poskytnutie služby manažéra, ktorý v závislosti od legislatívnych požiadaviek usmerňuje činnosť pracovníka spoločnosti, určeného pre informačnú bezpečnosť, zabezpečuje dosiahnutie súladu pre našu spoločnosť s príslušnými zákonmi o kybernetickej bezpečnosti, poskytuje poradenstvo a konzultácie týkajúce sa zákona a príslušných vyhlášok,“ odôvodňuje rozhodnutie generálny riaditeľ Matej Géci.
O spoločnosti
Liptovská vodárenská spoločnosť, a. s., Liptovský Mikuláš, vznikla 7. 9. 2006 ako nástupnícka organizácia zanikajúcej Severoslovenská spoločnosti vodárenská spoločnosť, a. s., Žilina, keď bola rozdelená na základe regionálneho princípu. Prioritou Liptovskej vodárenskej spoločnosti je poskytovať obyvateľom liptovského regiónu spoľahlivé služby spojené s dodávkou kvalitnej pitnej vody a odvádzaním a čistením odpadových vôd svojim odberateľom na úrovni požadovanej slovenskou a európskou legislatívou.
Veľké zmeny
V období apríl až jún 2020 boli vo firme realizované významné zmeny v oblasti kybernetickej bezpečnosti, kedy vznikla kompletná bezpečnostná dokumentácia vrátane politík a smerníc, bola uzatvorená zmluva na služby externého bezpečnostného manažéra a bol vytvorený interný tím kybernetickej bezpečnosti. Tento tím od začiatku pracoval v režime pravidelných operatívnych porád s presne vymedzenými úlohami a zodpovednosťou za jednotlivé úlohy. V úvode bolo potrebné dôkladné poznanie procesov v spoločnosti. V praxi to znamenalo hodiny štúdia relevantných smerníc aj hodiny rozhovorov o zavedených postupoch.
Unikátne know-how
Za výraznými zmenami je spoločnosť GAMO, ktorá v rámci služieb zákazníkovi zrealizovala aj analýzu infraštruktúry využitím riešenia od izraelskej spoločnosti Claroty. „Máme s ňou veľmi dobré skúsenosti a aj unikátne know-how pri nasadení v hybridnom IT/OT prostredí. Takáto technická analýza býva obvykle argumentom, ktorý takpovediac zlomí pohľad klientov na potrebu riešenia kybernetickej bezpečnosti. Ak si klienti do technickej analýzy mysleli, že prostredie nemali v ideálnom stave, po takejto analýze väčšinou hovoríme o katastrofe. Vo svete kyberbezpečnosti sa občas dejú aj nečakané veci, a tak sa stalo, že v Liptovskej vodárenskej spoločnosti sme katastrofu nevideli. Videli sme, že máme stále rezervy, ale nenašli sme žiadne fatálne zlyhania,“ analyzuje manažér kyberbezpečnosti Ľubomír Kopáček. Liptovská vodárenská spoločnosť má pred sebou stále množstvo úloh a niekoľko zásadných technických zmien. Po ich realizácii sa stane ukážkovou firmou vo svojom segmente a bez výhrad zvládne externý audit kybernetickej bezpečnosti, ktorý ju čaká v tomto roku.
„Možno konštatovať, že úroveň kybernetickej bezpečnosti v spoločnosti je na pomery bežných štandardov v danom sektore už na nadpriemernej úrovni. Musím ale zdôrazniť, že nič z toho, čo sme spomínali, by sa nedalo realizovať, keby firma ako taká nebola od začiatku nastavená posúvať sa v tejto oblasti vpred s úprimným záujmom,“ dodáva expert pre kybernetickú bezpečnosť Ľubomír Kopáček.
