Zdroj: Hospodárske Noviny
Rozhovor: Štěpán Štarha
Zavedenie a dodržiavanie preventívnych opatrení je najlepšou ochranou pred vznikom kybernetického incidentu, tvrdí Štepán Štarha, partner HAVEL & PARTNERS.
V súvislosti s vojnou na Ukrajine bola prijatá novela zákona o kybernetickej bezpečnosti, ktorá zaviedla inštitút blokovania domén, IP adries, URL a e-mailových adries na internete. Účelom blokovania má byť zamedzenie šírenia škodlivého obsahu a škodlivej aktivity, ktorá smeruje do kybernetického priestoru a z neho, pričom niektoré weby už medzičasom boli zablokované. V zásade platí, že o blokovaní rozhoduje Národný bezpečnostný úrad. Ak NBÚ zistí reálnu hrozbu, vydá rozhodnutie o blokovaní, v ktorom zároveň určí metódu blokovania a vykoná blokovanie dotknutej adresy, domény, e-mailovej adresy. Táto úprava bola najskôr účinná do 30. júna 2022, pričom parlament v súčasnosti schválil jej predĺženie do 30. septembra 2022. Napriek istým nedostatkom je pozitívne, že slovenský zákonodarca reagoval na situáciu na Ukrajine, pričom vhodnosť a efektívnosť týchto opatrení sa zrejme ukáže až postupom času.
Napadnutie spoločnosti kybernetickým bezpečnostným incidentom môže predstavovať narušenie spôsobu jej fungovania, ktoré so sebou môže priniesť množstvo negatívnych dôsledkov. Vedenie spoločnosti by sa preto nemalo spoliehať na to, že sa práve im incident vyhne, a malo by aktívne prijímať vhodné opatrenia na predchádzanie kyberútokom. Opačná situácia môže totiž okrem iného znamenať porušenie povinnosti štatutárneho orgánu konať s odbornou starostlivosťou a môže viesť k vzniku zodpovednosti za škodu. Incidenty zároveň už nie sú len doménou najväčších spoločností, práve naopak. V dnešnej digitálnej dobe je preto kľúčové venovať tejto otázke zvýšenú pozornosť. Tá by mala spočívať nielen v potrebnej investícii do zabezpečenia technickej infraštruktúry spoločnosti, ale aj v riešení ďalších kľúčových otázok, ako je vhodné nastavenie zmluvných vzťahov či kontinuálne školenie zamestnancov v danej oblasti. Takáto investícia v rámci spoločnosti sa nakoniec takmer vždy vypláca, keďže náklady na odstraňovanie následkov kybernetického incidentu sú často vyššie ako náklady na prevenciu.
Zanedbanie opatrení v oblasti kybernetickej bezpečnosti môže viesť nielen k vzniku škody na majetku či k uloženiu sankcií zo strany dozorných orgánov, ale aj k strate dôvery obchodných partnerov či ohrozeniu konkurencieschopnosti. Ďalším negatívnym dôsledkom spravidla bývajú zmluvné pokuty a iné sankcie, napríklad za omeškanie s plnením, straty spôsobené spomalením alebo zastavením prevádzky či uplatňovanie nárokov tretích strán zo straty dôverných obchodných údajov. Veľkým rizikom je aj porušenie zabezpečenia ochrany údajov, respektíve súvisiace povinnosti a možné pokuty zo strany dozorných orgánov. Riziká je však potrebné vyhodnocovať individuálne s ohľadom na konkrétny prípad, a preto je aj jednotlivé opatrenia potrebné prijímať individuálne podľa potreby konkrétnej spoločnosti.
Kybernetické incidenty spravidla zasahujú dáta napadnutého subjektu, a teda môžu mať vplyv aj na cenné duševné vlastníctvo spoločnosti či obchodné tajomstvo, unikátne know-how alebo osobné údaje. Veľmi časté sú najmä kybernetické útoky formou ransomvéru, teda akési digitálne vydieranie. Tieto útoky väčšinou nemajú za cieľ zneužiť získané dáta, ale ich skôr zneprístupniť a prinúť ich majiteľa zaplatiť výkupné za vrátenie dát. Ani po úhrade takejto platby však v niektorých prípadoch nedochádza k vráteniu dotknutých dát.
Včasné zavedenie a striktné dodržiavanie preventívnych opatrení je jednoznačne najlepšou ochranou pred vznikom incidentu. Nevyhnutná je interná analýza spoločnosti a identifikácia potenciálnych slabín. Zmluvy s dodávateľmi IT systémov by ideálne mali garantovať pravidelné bezpečnostné aktualizácie. Vhodné je tiež podrobne definovať povinnosti súvisiace s ochranou dát, so šifrovaním, zálohovaním alebo s reportovaním. To pritom platí nielen pri vzťahoch s dodávateľmi, ale aj so zamestnancami alebo s externými spolupracovníkmi. Tí by napríklad mali chápať a rešpektovať, že nie je vhodné navštevovať rizikové stránky alebo že pracovný mobil nepatrí do ruky deťom či iným rodinným príslušníkom. Úroveň zabezpečenia spoločností proti kybernetickým útokom pritom nemá v podmienkach Slovenskej republiky všeobecne uplatniteľný právny rámec, keďže zákon o kybernetickej bezpečnosti je záväzný len pre vybrané subjekty ako prevádzkovatelia základnej služby a poskytovatelia digitálnej služby v zmysle zákona. Na väčšinu bežných obchodných spoločností sa tak zákon o kybernetickej bezpečnosti nebude vzťahovať. Pravidlá a jednotlivé bezpečnostné opatrenia uvedené v tomto zákone však môžu byť dobrým návodom, ako postupovať v rámci zabezpečenia ochrany pred kybernetickými útokmi.
Ak spoločnosť nedisponuje vlastným kyberbezpečnostným centrom, ideálnym postupom je okamžite sa obrátiť priamo na expertov v danej oblasti, ktorí rýchlo dokážu pomôcť s minimalizáciou škôd a poradia ohľadne potrebného postupu. V prípade vzniku kybernetického incidentu je tiež často potrebné zapojiť nielen technických špecialistov, ale aj právnych poradcov, napríklad na zabezpečenie právnej podpory pri riešení sporov po incidente alebo komunikáciu s úradmi vrátane zastúpenia.
Povinnosť hlásiť kybernetický bezpečnostný incident istých parametrov majú v zásade len vybrané subjekty v zmysle zákona o kybernetickej bezpečnosti. Ak však v dôsledku kybernetického útoku došlo napríklad k porušeniu zabezpečenia osobných údajov, môže tak vzniknúť povinnosť informovať o takomto incidente Úrad na ochranu osobných údajov do 72 hodín, odkedy sa subjekt o porušení ochrany dozvedel, alebo tiež bezodkladne informovať osoby, o ktorých osobné údaje šlo. S ohľadom na okolnosti je vhodné informovať aj políciu a prípadne poisťovňu. Hlásenie však odporúčame v každom prípade konzultovať, či už s internými, alebo externými odborníkmi.
V posledných rokoch je možné pozorovať zvýšený záujem o túto tému tak v súkromnom, ako vo verejnom sektore. V tejto súvislosti sa blíži najmä prijatie kľúčových legislatívnych aktov na európskej úrovni, ktoré zásadným spôsobom ovplyvnia bežné fungovanie jednotlivcov i firiem v digitálnom prostredí. Nová úprava sa bude týkať nielen internetových vyhľadávačov či sociálnych médií, ale aj pravidiel pre online reklamu či dezinformáciám.
