O riešení, ktoré odbremeňuje firmy aj audítorov, hovorí autor myšlienky.
Audity kybernetickej bezpečnosti by nemali byť len formálnou povinnosťou, ale nástrojom, ktorý odhaľuje slabé miesta, dáva organizáciám jasný obraz o ich bezpečnostnom stave, a pomáha pri strategickom rozhodovaní. V praxi ich však často sprevádza administratívna záťaž, množstvo tabuliek a zdĺhavé procesy. Preto je tu nový slovenský systém Kyberman, ktorý garantuje audit bez chaosu.
Podľa aktuálnej novely Zákona o kybernetickej bezpečnosti sa povinnosť pravidelných auditov týka približne 6000 regulovaných subjektov. Napriek tomu sú audity stále vnímané skôr ako nepríjemná povinnosť. Na tieto výzvy reaguje slovenské riešenie Kyberman – aplikácia, ktorá spája evidenciu aktív, auditné procesy a riadenie kybernetickej bezpečnosti v jednom systéme. Jej ambíciou je uľahčiť prácu manažérom bezpečnosti, podporiť audítorov a priniesť do celého procesu vyššiu mieru transparentnosti a dôveryhodnosti.
O tom, ako Kyberman funguje, aké problémy rieši a akú pridanú hodnotu prináša používateľom aj audítorom sa Monika Vilimová rozprávala s ĽUBOMÍROM KOPÁČKOM, naším kolegom, autorom myšlienky a odborníkom na kybernetickú bezpečnosť.
Audity sú často vnímané ako „nutné zlo“. Zadefinujme to jednoznačne: Je bezpečnostný audit skôr administratívna záťaž alebo skutočný prínos pre organizácie?
Stále sa nachádzame v ére, kde je audit vnímaný ako niečo negatívne, ako mechanizmus kontrolovania, hľadania chýb, prípadne hľadania vinníkov. Tento pohľad je, žiaľ, hlboko zakorenený a pramení zo slabého povedomia o tom, čo audit v skutočnosti predstavuje. Chýba edukácia, nielen manažmentov, ale aj samotných manažérov kybernetickej bezpečnosti. Tí nie vždy dokážu audit odkomunikovať organizácii tak, aby bol vnímaný ako prínos, nie ako „strašiak“. Navyše, ani regulátori nepredstavujú audit verejnosti ako nástroj, ktorý má organizácii pomáhať v zlepšovaní riadenia a odolnosti. Legislatíva je postavená prísne, čo je v poriadku, ale komunikácia by mala byť mäkšia. Audit by mal byť niečo, čo organizácii pomôže, a tak by sa o ňom malo aj hovoriť. Toto je podľa mňa stále veľká výzva.
V praxi sa stretávame s tým, že organizácie majú problém najmä s evidenciou aktív, s dokumentáciou, s dôkazmi o plnení opatrení. Kde podľa teba vznikajú najčastejšie slabé miesta?
Sú prekvapivo rovnaké naprieč firmami. Najväčší problém je jednoznačne evidencia aktív. Stále žijeme v „dobe excelovej“. Mnohé organizácie – ak vôbec nejakú evidenciu majú, tak ju vedú v niekoľkých tabuľkách, ktoré nie sú konzistentné, nepracujú s rovnakými údajmi, majú desiatky verzií a nie sú dlhodobo udržateľné. Keď má niekto stovky alebo dokonca tisíce aktív, je prakticky nemožné udržať evidenciu v Exceli tak, aby bola použiteľná pre audit či pre analýzu rizík. Pokiaľ organizácia nevie aké aktíva má, tak jednoducho nevie, čo má chrániť. A to je zásadný problém, ktorý sa neustále opakuje. Vždy, keď prídeme robiť audit alebo rizikovú analýzu, prvé hodiny až dni trávime tým, že dávame dokopy databázu aktív. Je to základ, bez ktorého sa nedá pohnúť ďalej, a pre mnoho organizácií je to stále „nezvládnuteľná“ úloha.
Audítorská správa má význam iba vtedy, ak verne odráža skutočný stav bezpečnosti. Ako môže digitalizácia a automatizácia zabezpečiť, aby boli výsledky auditu naozaj presné, porovnateľné a relevantné?
Prvé, čo k tomu poviem, je slovo konzistencia. Pokiaľ nemáme jednotný rámec, podľa ktorého audit prebieha, výsledky sa budú vždy líšiť podľa toho, ktorý audítor ho robí. Pri rozdielovej analýze pracujem s tým, čo mi klient povie, čiže od neho nechcem dôkazy, lebo cieľom je rýchlo získať obraz o stave. Ale pri audite je povinnosť pracovať s dôkazmi, zákon to vyžaduje. A práve tam je digitalizácia nenahraditeľná: vytvorí jasný, pevný rámec, v ktorom sa pohybujeme. Z digitalizovaného audítorského setu sa nedá vybočiť. Systém presne definuje kontrolu, riziká, evidenciu dôkazov aj výstup. To zabezpečí opakovateľnosť a merateľnosť auditov. A čo je kľúčové – ak regulátor dostane päť správ generovaných cez jednotný systém, vie ich porovnať. Pri dnešnom stave, keď je každý audit „originál“, je porovnávanie prakticky nemožné.
Čiže do sveta chaosu prinášame poriadok. S touto myšlienkou vznikla aj aplikácia Kyberman. Čo bolo hlavným impulzom pre tvorbu riešenia?
Povedzme to na rovinu: vzniklo z čistej frustrácie. Keď som začal robiť audity vo veľkom, ohromovalo ma, aké je to pracné a ako veľmi to závisí od človeka. Desiatky dokumentov, stovky strán, Excelové tabuľky, ktoré nedávajú zmysel, nekonzistentné dáta… Bolo mi jasné, že toto nie je dlhodobo udržateľné. Prekvapilo ma aj to, že ani renomované audítorské firmy nemajú digitalizované riešenia, že všetko je postavené na Exceloch. Práve táto prax ma prinútila rozmýšľať ako to celé postaviť inak. A tak vznikol nápad vytvoriť systém, ktorý bude pevný, jednotný, odborný a použiteľný pre audítorov aj organizácie.
Ako je Kyberman architektonicky navrhnutý? Ktoré moduly tvoria jeho základ?
Architektúra je jednoduchá, ide o zabezpečenú webovú aplikáciu typu klient–server. Ale podstatné sú moduly. Základom celého systému je asset management, kde si organizácia vytvorí kompletnú databázu aktív. Nad ním je postavený audítorský modul, ktorý obsahuje tzv. auditné sety, čiže digitalizované požiadavky legislatívy či noriem. Používateľ si jednoduchým klikom vyberie, voči čomu chce vykonať hodnotenie a spustí audit. Moduly sú previazané, to znamená v systéme vieme prelinkovať tie assety, ktorých sa auditná kontrola týka. Výstupom je tlačová zostava audítorskej správy a akčný plán úloh vyplývajúcich z auditu na riešenie. Hoci v tejto verzii nemáme plne rozvinutý modul analýzy rizík s váhami a číselnými modelmi, systém umožňuje pracovať s rizikami jednoducho – identifikované riziká previažeme s aktívami a prostredníctvom úloh s nimi štandardne pracujeme. Tento zjednodušený prístup je pre bežných používateľov, ktorými sú primárne manažéri KB, v praxi často efektívnejší. Systém je intuitívny, ale zároveň komplexný.
Ako Kyberman pomáha napĺňať slovenskú legislatívu?
Používateľ pracuje s auditným setom, ktorý presne vychádza z legislatívnej metriky. Poskytovatelia kritickej základnej služby (PKZS) majú povinný dvojročný auditný cyklus, resp.v prípade prevádzkovateľov základnej služby (ZS) päťročný s pravidelným samohodnotením. Ak si bude používateľ v Kybermanovi vykonávať priebežné interné audity rozdelené na menšie časti a samohodnotenia podľa auditného setu, vyhodnocovať ich, aplikovať opatrenia, porovnávať si navzájom stavy z auditov predošlých období, bude organizácia na konci obdobia veľmi dobre pripravená na povinný externý audit. A ak to budú robiť naozaj poctivo a rovnako budú pristupovať k opatreniam, budú sa približovať k vysokej miere zhody. Zároveň tým budú napĺňať požiadavky kybernetickej bezpečnosti a aj zvyšovať svoju kybernetickú odolnosť.
Legislatíva však nie je len slovenská. Ako ste riešili kompatibilitu s európskymi rámcami: NIS2, DORA, TISAX, NIST a ďalšími?
Veľmi jednoducho: nefixovali sme sa na žiadnu legislatívu ani výhradne na kybernetickú bezpečnosť. Vybrali sme univerzálne audítorské princípy podľa normy, ktoré sú spoločné pre všetky audity bez ohľadu na odvetvie. Audit je v podstate porovnávanie stavu voči nejakému štandardu. A tento princíp sa dá digitalizovať. Preto vieme vytvárať sety podľa európskych smerníc, národných legislatív alebo podľa interných noriem organizácií. Kým existuje dokument, ktorý definuje štandard, vieme ho digitalizovať. Záujem je dokonca aj z Česka, ktoré má nový zákon o kybernetickej bezpečnosti – a Kyberman je na to pripravený.
Čo presne sú auditné sety a ako fungujú v praxi?
Auditný set je digitalizovaný štandard prílohy 1 vyhlášky 227/2025 Z. z. o bezpečnostných opatreniach. Nie je to však len mechanické prepísanie požiadaviek. Vložili sme doň aj tzv. generické riziká, návrhy riešení a odporúčania, vysvetlenia a šablóny, ktoré pomáhajú používateľovi pochopiť čo má kontrolovať a aké riziká sú typické. Systém mu ponúkne riziká na výber, môže pridať vlastné, a celý audit tak prebieha jednotne. Cieľom je, aby aj menej skúsení audítori dokázali so systémom pracovať. Do budúcnosti plánujeme rozšíriť auditné sety o funkcie AI, ktorá bude schopná vyhodnocovať kontroly automaticky. To výrazne zrýchli celý auditný proces.
Ako Kyberman pracuje s dôkazmi? Integrita dôkazov je často problémom.
Pri každej auditnej kontrole si používateľ nahrá elektronický dôkaz – môže to byť dokument, fotografia, screenshot, výstup zo systému. Kyberman pri nahratí automaticky vytvorí kontrolný súčet dátového súboru. Všetky dôkazy sa evidujú s časovou pečiatkou aj kontrolným súčtom. Keď sa audit uzamkne, systém vytvorí veľký dátový súbor obsahujúci celý audit, vrátane dôkazov a kontrolných súčtov, a ten sa uloží do blockchainu. Tým pádom si každý vie kedykoľvek overiť, že s dôkazmi nikto nemanipuloval. Zmena jediného bajtu by zmenila kontrolný súčet a systém by to okamžite odhalil.
Používa Kyberman blockchain aj na archiváciu celého auditu?
Presne tak. Je to „svätý grál“, ktorý som chcel dosiahnuť od začiatku. Keď sa audit uzamkne, uloží sa jeho digitálny odtlačok do blockchainu. Ten je nemenný. Znamená to, že výsledky auditu sú validné a overiteľné aj po rokoch. Regulátor, audítor, manažér, ktokoľvek si vie overiť, či je auditný záznam hodnoverný a dáta konzistentné. Je to absolútny dôkaz, že audit nebol upravený, prispôsobený ani spätne menený.
Cieľom Kybermana je zjednodušovať rutinné činnosti a pomáhať šetriť čas manažérov a audítorov KB. Ktoré to sú?
Mnohé. Automatizácia spočíva najmä v udržiavaní prehľadu o tom, čo sa robí. V rámci úloh, ktoré manažérovi KB vyplývajú, sú procesy úplne zautomatizované a on v každom momente vie, čo má robiť alebo čo kde nefunguje Napríklad asset manažment eviduje dátumy end-of-life a exspirácie aktív, kedy bol vykonaný maintenance, aké má licencie. Pre manažéra kybernetickej bezpečnosti je často najväčší problém prehľad, a aj ten Kyberman rieši. Všetko je v jednom systéme: aktíva, kontroly, riziká, dôkazy, úlohy. Už to nie je stovka Excelov či Wordov na disku. Každý krok má presné miesto, proces je automatizovaný a zrozumiteľný.
Ako môže Kyberman pomôcť z pohľadu vrcholového manažmentu pri strategickom riadení bezpečnosti?
Manažment dostáva merateľné údaje. Nie odhady, nie pocitové hodnotenia. Každá kontrola je hodnotená CMMI metrikou od 0 do 5. Len exaktne zmerané výsledky sa dajú skutočne riadiť. Výsledky sa dajú porovnávať v čase. Medzi auditmi, medzi organizáciami, medzi jednotlivými oblasťami. Manažment tak vidí, kde sa zlepšuje, kde stagnuje, kde je problém a kam treba presunúť zdroje. Pre korporátne organizácie, ktoré majú viacero dcérskych spoločností alebo prevádzok, je to obrovská výhoda, pretože tieto súčasti sú v systéme upratané. To znižuje časovú náročnosť administrovať jednu konkrétnu zložku a organizácia získava absolútny prehľad nad všetkým na jednom mieste.
Hovoríme teda o multitenantnom režime. Ako funguje?
Najvyššia rola v systéme je manažér kybernetickej bezpečnosti. Ten môže spravovať desiatky firiem alebo organizačných jednotiek, čiže tenantov. Manažér KB má založený účet a tenant je aktivovaný zakúpením licencie. Každý tenant má svoje dáta, svoje licencie, svoj auditný cyklus. Ak manažér prestane organizáciu spravovať, jej dáta zostanú zachované a prenesú sa inému manažérovi. Nič sa nevymaže. Je to veľmi praktické, najmä keď jeden manažér zastrešuje desiatky organizácií, plus v bežnej praxi sa manažéri v organizáciách menia.
Ako podľa teba riešenia ako Kyberman menia kultúru kybernetickej bezpečnosti v organizáciách?
Umožňujú vznik poriadku. Znie to banálne, ale je to kľúčové. Veľa organizácií fungovalo tak, že mali všetko tzv. „nejako“ zaznamenané, niekde roztrúsené, niekde zabudnuté. Keď prídeme robiť audit, niekedy je zázrak, že firma funguje bez incidentov. Kyberman dáva organizáciám štruktúru, procesy, meranie, transparentnosť. Je to veľmi silný nástroj na budovanie kultúry bezpečnosti. Samozrejme, systém sám o sebe nič nezachráni, musí byť používaný zodpovedne. Ale ak organizácia pracuje poctivo, Kyberman jej dá veľmi silný rámec.
Na záver: Ako vidíš budúcnosť auditov, compliance a regulačných procesov? Stane sa digitalizácia štandardom?
Verím, že áno. A veľmi by som si to prial. Dnes sa na strane regulátora deje niečo absurdné: dostávajú desiatky auditov, ktoré nie sú porovnateľné. Každý audítor má vlastný štýl, vlastné metriky a výstupy. Potom je pre regulačný orgán extrémne náročné skonsolidovať výsledky do údajov, ktoré je možné merať a porovnávať. Namiesto toho by mal vzniknúť jednotný systém, ktorý sa stane štandardom, ideálne na úrovni Európskej únie. Digitalizácia prináša porovnateľnosť, merateľnosť a kvalitu. A ak to má zabezpečiť Kyberman – prečo nie? Sme otvorení spolupráci. A bolo by to efektívne riešenie pre všetkých.
Kybernetická bezpečnosť už dávno nie je témou len pre IT oddelenia. Stále vo vyššej miere sa stáva súčasťou strategického riadenia, podnikovej kultúry a reputácie organizácie. Projekty ako Kyberman ukazujú, že automatizácia, integrácia dát a dôveryhodná evidencia môžu zmeniť celý prístup k bezpečnostným procesom. Že aj komplexné oblasti akými sú audity, evidencia aktív a legislatívna zhoda sa dajú sprístupniť a automatizovať bez toho, aby sa stratil ľudský rozmer rozhodovania. Predstavuje krok smerom k novej generácii riešení, ktoré aktívne pretvárajú legislatívu do praktickej a technologicky podporenej reality. A práve vtedy sa z povinnosti stáva pridaná hodnota a z auditu skutočný nástroj rozvoja.
