Povinnosť hlásiť kybernetický bezpečnostný incident do 24 hodín sa vzťahuje na subjekty, ktoré sú zaradené medzi regulované subjekty podľa Zákona o kybernetickej bezpečnosti (ZoKB). Lehota 24 hodín predstavuje predbežné hlásenie (včasné varovanie) po zistení závažného kybernetického incidentu. Následne sa do 72 hodín podáva podrobnejšia správa a do jedného mesiaca finálna incident správa s analýzou dopadov.
Tieto povinnosti vyplývajú z legislatívnych zmien súvisiacich s harmonizáciou kybernetickej bezpečnosti v rámci Európskej únie a implementáciou smernice NIS2 do národnej legislatívy.
Udalosť vs. incident
Je dôležité rozlišovať medzi dvoma pojmami:
- Udalosť (Event): Ide o zistenie potenciálnej zraniteľnosti alebo podozrivej aktivity. Napríklad odhalenie slabého miesta v systéme, bez toho, aby došlo k škodlivej akcii.
- Incident: Udalosť sa mení na incident v momente, keď dôjde k reálnemu narušeniu – napríklad útočník získa neoprávnený prístup, uniknú dáta alebo je ohrozená dostupnosť služieb.
Povinnosť hlásenia vzniká pri závažnom kybernetickom incidente, nie pri bežných udalostiach či zraniteľnostiach.
Zodpovednosť štatutára a riadenie incidentov
ZoKB stanovuje, že štatutárny zástupca organizácie nesie právnu zodpovednosť za dodržiavanie opatrení kybernetickej bezpečnosti. Je preto nevyhnutné zabezpečiť interné procesy, ktoré umožňujú rýchlu detekciu, vyhodnotenie a hlásenie závažných incidentov príslušnému orgánu.
Súčasťou riadenia bezpečnosti je aj oblasť incident response. Ak zamestnanec identifikuje podozrivý e-mail (napríklad phishing), má ho bezodkladne preposlať určenému riešiteľovi incidentov, napríklad IT oddeleniu, na ďalšiu analýzu. Preposielanie takejto správy kolegom, ktorí ju zo zvedavosti otvoria a kliknú na podozrivé odkazy, len zvyšuje pravdepodobnosť úspechu útočníka. Rovnako nesprávne je, ak zamestnanec podozrivý e-mail otvorí, klikne na priložené odkazy a po uvedomení si možných následkov správu „pre istotu“ vymaže v snahe zatajiť incident.
V organizácii by mal byť ustanovený manažér kybernetickej bezpečnosti s právomocou rozhodnúť o technických opatreniach na zabránenie šírenia incidentu – napríklad aj o odpojení interných alebo zákazníckych systémov, ak je to potrebné na minimalizáciu škôd. Toto rozhodnutie môže mať prednosť pred obchodnými záujmami v danom okamihu.
Pripravenosť a dokumentácia
Účinná reakcia na incident si vyžaduje:
- jasné a aktuálne postupy hlásenia incidentov,
- určené zodpovednosti a eskalačné schémy,
- komunikačnú maticu pre krízové situácie,
- dostupnosť týchto dokumentov aj v papierovej podobe, aby boli použiteľné aj pri výpadku digitálnych systémov.
Dobrá pripravenosť výrazne skracuje čas medzi odhalením incidentu a jeho nahlásením, čo je kľúčové pre splnenie zákonných lehôt aj minimalizáciu škôd.
