Prihlásenie
Služby
Samsung_042026 Advertisement Samsung_042026 Advertisement Samsung_042026 Advertisement
Služby
Sekcie
Prihlásenie
Image

Viete čo je chýbajúci dielik kybernetickej bezpečnosti verejnej správy?

Špeciálne projekty
Zdieľať
0

Riaditeľ odboru kybernetickej a informačnej bezpečnosti MIRRI SR Ing. Róbert Kováč nám v rozhovore prezradil, prečo bolo potrebné vytvoriť komplex dokumentov známy ako Jednotný metodický rámec (JMR). Ten má pomôcť subjektom verejnej správy dodržiavať zásady kybernetickej bezpečnosti na vysokej úrovni, ktorá by mala byť dosiahnuteľným štandardom v súlade s najnovšou európskou legislatívou. JMR má verejnej správe pomôcť zaviesť jednotné, moderné a zrozumiteľné pravidlá kybernetickej a informačnej bezpečnosti – tentoraz nielen na papieri ale aj v praxi.

Prečo sa štát rozhodol vytvoriť Jednotný metodický rámec práve teraz? Chýbalo niečo na trhu alebo v praxi, čo bolo treba doplniť?

  • Oblasť kybernetickej a informačnej bezpečnosti (KIB) je v súčasnosti pre väčšinu prevádzkovateľov ITVS a jednotlivých užívateľov na strane OVM už nie novou, ale stále nezvládnutou problematikou, s ktorou nemajú vo všeobecnosti žiadne praktické skúsenosti a jej význam je často mimoriadne podceňovaný. Aj vďaka slabému záujmu o problematiku KIB zo strany širokej verejnosti ako aj orgánov verejnej moci je odolnosť voči kybernetickým hrozbám stále na nízkej úrovni, najmä čo sa týka menších subjektov verejnej správy. Akákoľvek pomoc v tejto oblasti je mimoriadne vítaná a potrebná.

Aký najväčší problém vo verejnej správe má JMR vyriešiť?

  • V niektorých organizáciách verejnej správy chýbajú smernice a metodiky úplne, teda organizácie riešia KIB len sporadicky alebo adhoc, nedbajú na prevenciu ale riešia len následky. Niektoré tento nedostatok riešia použitím metodík od rôznych spoločností, ktoré majú rozdielnu kvalitu, či sú neaktuálne alebo nie plne v súlade so slovenskou legislatívou, čím síce formálne môžu mať pocit, že zvýšia svoju bezpečnosť, ale reálna implementácia bezpečnostných opatrení chýba. Poskytnutím bezplatných, aktuálnych a moderných metodík dáme organizácii možnosť si veľmi jednoducho pokryť KIB komplexne na všetkých úrovniach a oblastiach. Implementácia opatrení je ale stále na organizácii, papier bez jeho reálnej aplikácie v praxi neznamená takmer nič. Subjektom ponúkame aj pomoc v tomto smere, prostredníctvom iných projektov či aktivít.


Chýbajúci dielik kybernetickej bezpečnosti verejnej správy je JMR, vysvetľuje Ing. Rôbert Kováč.

Čo vie JMR priniesť IT oddeleniam, manažérom KB a štatutárom, čo doteraz nemali?

  • IT oddeleniam a manažérom KB prinášame jasné návody, ako postupovať v jednotlivých oblastiach KIB, napríklad ako implementovať plán kontinuity procesov, kde prinášame smernicu, metodiku, vzory plánov kontinuity a obnovy, plánov testovania a vzor analýzy dopadov. Oddeleniu, či manažérovi KB teda stačí metodiku upraviť na konkrétne potreby organizácie a následne ju môže implementovať. Znamená to zároveň, že manažér KB nemusí tieto metodiky hľadať kde tade po internete, ale má ich k dispozícii na prehľadnom portáli a bezplatne. Pre štatutára tieto aspekty zároveň znamenajú, že sa zvýši súlad jeho organizácie so zákonmi v tejto oblasti. Práve súlad so zákonmi je dlhodobo vyhodnocovaný ako najnižší vo verejnej správe, keď ju porovnáme s inými sektormi hospodárstva. To sa snažíme svojimi aktivitami zmeniť, resp. prispieť k tejto zmene.

Je JMR skôr pracovný nástroj, metodická pomôcka alebo strategický manuál? Ako ho majú organizácie vnímať?

  • Ako všetko, čo ste menovali. Zoberme si ako príklad riadenie kontinuity procesov. Jednotný metodický rámec obsahuje tak stratégiu, smernicu, metodiku, aj ďalšie vzory a návody len k tejto konkrétnej oblasti. Je to pomôcka, v ktorej počínajúc základnou stratégiou kybernetickej bezpečnosti organizácie a končiac rôznymi vzormi komplexne pokryjete problematiku KIB vo svojej organizácii.

Ako JMR pomôže rozhodovacím orgánom prijímať kvalitnejšie a podloženejšie rozhodnutia v KB?

  • Na jednotnom metodickom rámci je možné stavať. Získali sme základ, ktorý vieme ponúknuť bezplatne. Subjekty verejnej správy o ňom vedia, môžu ho implementovať a zvýšiť si tak svoju KIB. Znova ale zopakujem, že metodiky samé osebe nestačia. Dôležité sú osoby, ktoré ju implementujú. Ale je to prvý krok. MIRRI prostredníctvom svojich projektov poskytuje aj vzdelávanie pre laikov, ako aj odborníkov v KB. Na vysokých školách vznikli kompetenčné centrá kybernetickej bezpečnosti, ktoré teraz poskytujú bezplatné školenia pre všetkých zamestnancov verejnej správy. Školíme takisto manažérov kybernetickej bezpečnosti, základnú rolu v KIB. A späť k Vašej otázke, MIRRI takisto zisťuje stav KIB vo verejnej správe prostredníctvom pripravovaného monitoringu, ktorým chceme sledovať stav a vývoj KIB vo verejnej správe v čase. Údaje z tohto monitoringu vieme použiť a poskytnúť aj ostatným orgánom na to, aby vedeli smerovať svoje aktivity tam, kde je to potrebné.

Ako môže JMR pomôcť malým obciam, ktoré nemajú odborníkov na kybernetickú bezpečnosť?

  • Práve toto sú subjekty, ktorým môže JMR výrazne pomôcť. Predpokladom totiž je, že veľké subjekty už majú dokumentáciu vypracovanú na dostatočne vysokej úrovni – čo samozrejme nemusí byť pravidlom. No napriek tomu, malé obce sú presne ten okruh subjektov, ktorým JMR najviac pomôže a to najmä z dôvodu, že nedisponujú dostatočnými znalosťami a nemajú tieto dokumenty vypracované buď vôbec, alebo vo výrazne rozdielnej kvalite. Naše metodiky sú napísané spôsobom, že dokážu aj vzdelávať, to znamená, že aj keď obec má len zamestnanca, ktorý sa jej stará o IT, ale nie je odborníkom na KIB, aj tento vie po preštudovaní JMR implementovať tieto dokumenty do praxe. Zároveň očakávame, že aj keď obec má na túto úlohu dodávateľa, ten takisto môže JMR porovnať so svojimi dokumentami a rozhodnúť sa použiť naše metodiky, kvôli skôr spomenutým výhodám. Zároveň pre obce do 6000 obyvateľov pripravujeme iný projekt, ktorý im ponúkne aj funkciu zdieľaného odborníka na KIB, ktorý im vie JMR implementovať do praxe. Naše projekty na seba nadväzujú. Pre subjekty mimo tejto skupiny budeme pravidelne organizovať online školenia zamerané aj na implementáciu JMR do organizácie.


„Kybernetická bezpečnosť v štáte nemôže stáť na improvizácii“ hovorí Ing. Róbert Kováč.

Čo podľa vás bránilo organizáciám robiť bezpečnosť jednotne pred JMR?

  • Komplexná metodika KIB nebola subjektom nikdy k dispozícii. Áno, mali sme a stále máme na svojom portáli zverejnené staršie metodiky, ako napríklad metodiku tvorby bezpečnostných projektov, ale toto je prvý krát, kedy bude mať verejná správa k dispozícii naozaj kompletný set dokumentov. Zároveň, čo je veľkým problémom verejnej správy všeobecne, je veľký a pretrvávajúci nedostatok odborníkov KIB pracujúcich vo verejnej správe schopných implementovať opatrenia v organizáciách. Veľa menších subjektov zároveň nemá na KIB takmer žiadny rozpočet. Preto je úlohou MIRRI čo najviac subjektom zjednodušovať prístup k bezpečnostným opatreniam ako celku tam, kde to vieme urobiť.

Prečo je prístup k JMR viazaný na registráciu na CPKB?

  • Registrácia na portáli prináša subjektu viacero výhod, jednou z nich je aj to, že niektoré z dokumentov je možné priamo upravovať na portáli. Subjekt sa tu môže priamo kategorizovať, ak nevie, ktoré bezpečnostné opatrenia má vlastne plniť. Z pohľadu MIRRI je zároveň registrácia dobrá k tomu, že zaregistrované subjekty vieme ľahšie kontaktovať s ponukami rôznych školení a ďalších aktivít, ktoré realizujeme. V budúcnosti prinesieme aj e-learning, či online analýzu rizík, alebo akýsi maturity model opatrení KIB, čím si organizácia môže jednoducho vyhodnotiť stav svojej KIB.

Kde vidíte JMR o 5 rokov? Má byť len metodikou alebo aj nástrojom riadenia?

  • Radi by sme do päť rokov výrazne zvýšili úroveň KIB v subjektoch verejnej správy, čo je našim plánom v rámci aktuálne schválenej NKIVS. Toto dosiahneme viacerými nástrojmi, najmä ukončením projektov Plánu obnovy a odolnosti SR a projektov z ďalších fondov EÚ, plus našimi aktivitami v oblasti osvety a vzdelávania. JMR je výraznou súčasťou týchto opatrení, pretože nám poskytne základ na zavádzanie bezpečnostných opatrení v subjektoch. Nástrojom riadenia by som ho sám osebe nenazval, ale jedným z nástrojov, ktorými chce MIRRI koordinovať a riadiť kybernetickú bezpečnosť vo verejnej správe dlhodobo.


„MIRRI prostredníctvom svojich projektov poskytuje aj vzdelávanie pre laikov, ako aj odborníkov v KB.“

Aké najväčšie zmeny čakajú kybernetickú bezpečnosť vo verejnej správe v najbližších rokoch?

  • Tu je nutné povedať, že v oblasti legislatívy sme paradoxne voči iným aj okolitým krajinám napred, najmä čo sa týka menších subjektov. Zmeny, ktoré je nutné zaviesť vychádzajú z toho,  o čom hovoríme v celom rozhovore. Stav KIB vo verejnej správe je aktuálne zlý a je nutné ju výrazne podporiť, tak finančne, ako aj inými aktivitami. V rámci realizácie projektov Plánu obnovy a odolnosti SR a ďalších bude verejnej správe k dispozícii JMR, e-learning, funkčný Centrálny portál kybernetickej bezpečnosti, kompetenčné centrá kybernetickej bezpečnosti na vysokých školách a vyšší počet manažérov KB. Zvyšovanie úrovne KIB musí začať na školách, pracujeme preto s vysokými školami na tom, aby sa zvýšil podiel odborníkov v KIB, ktorí z nich vychádzajú. Aktuálne rastúcim aspektom je najmä použitie umelej inteligencie, ktorá sa bude v najbližšom období čoraz viac používať, ako na strane útokov, tak aj na strane obrany. Ďalším aspektom je prechod na post-kvantovú kryptografiu. Základ sa ale nezmení, KIB je postavená na ľuďoch a ich správaní v kyberpriestore.

Ak by ste mali odborníkom v NexTechu zanechať jednu vetu o tom, prečo JMR stojí za pozornosť — ktorá by to bola?

  • Budete mať k dispozícii aktuálnu, modernú a komplexnú metodiku pre verejnú správu, ktorá tvorí funkčný celok a bude slúžiť v súčinnosti s ďalšími aktivitami MIRRI ako základ výrazného zvýšenia úrovne KIB verejnej správy.

Úvodný obr. zdroj: rawpixel.com / Freepik.com

Zobrazit Galériu

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať