Nahlasovanie kybernetických incidentov je jednou z kľúčových povinností, ktoré vybraným organizáciám – takzvaným prevádzkovateľom základných služieb – ukladá slovenský zákon o kybernetickej bezpečnosti.

Aktuálna právna úprava platná od augusta tohto roka zavádza v tejto súvislosti nový pojem, a to automatizované poskytovanie informácií.

Nová povinnosť

Z novelizácie vyplýva, že Národný bezpečnostný úrad môže ponovom prevádzkovateľom základných služieb uložiť povinnosť vyhodnocovať a nahlasovať výskyt kybernetických bezpečnostných incidentov aj automatizovane. Nesplnenie takejto povinnosti je považované za správny delikt, za ktorý môže úrad uložiť prevádzkovateľovi základnej služby pokutu až do 30 tisíc eur.

NBÚ môže automatizovaným spôsobom vyžadovať len informácie, ktoré sú nevyhnutné pre zabezpečenie kybernetickej bezpečnosti a pre riešenie kybernetických bezpečnostných incidentov.

Povinnosť úrad nemôže uložiť prevádzkovateľom sietí a informačných systémov, ktoré sa týkajú zabezpečenia obrany alebo bezpečnosti Slovenskej republiky. Väčšina dotknutých subjektov však do tejto skupiny nepatrí, takže prípadná povinnosť automatizovaného poskytovania informácií sa ich týka.

Dotknuté organizácie sú zväčša pripravené

Väčšina firiem a verejných organizácií, na ktorých sa zákon o kybernetickej bezpečnosti vzťahuje, má už dnes nasadené rozličné bezpečnostné nástroje, ktoré umožňujú automatizovane zhromažďovať množstvo dát o kybernetických hrozbách, teda o útokoch, udalostiach a incidentoch. Ide napríklad o systémy pre monitoring a detekciu anomálií v sieťovej prevádzke (NDR), na koncových zariadeniach (EDR) a nástroje pre manažment informácií a udalostí korelujúce dáta z týchto systémov, či infraštruktúry všeobecne (SIEM).

Čoraz viac organizácií tiež využíva pre spracúvanie dát o zraniteľnostiach, škodlivých kódoch či akýchkoľvek indikátorov kompromitácie (IoC) inteligentné softvérové nástroje, ktoré viaceré procesy a úkony automatizujú. Oddeleniam zodpovedným za bezpečnosť tým pomáhajú riešiť typické problémy, s ktorými sa potýkajú – najmä nedostatok odborníkov a ich zahltenie rastúcim množstvom potenciálnych kybernetických hrozieb. Umožňujú napríklad blokovať útoky v reálnom čase, izolovať kompromitované zariadenia a systémy, kontrolovať zhodu s bezpečnostnými pravidlami organizácie a aplikovať ich bez vyťažovania kapacít ľudí.

Ďalšia úloha pre štát

Schopnosť robiť rýchle a správne rozhodnutia na základe aktuálnych informácií o hrozbách a prispôsobovať proaktívne bezpečnostné upozornenia, výstrahy a odporúčania, je jeden z kľúčových predpokladov kvalitného zabezpečenia nášho kybernetického priestoru.

Podniky, verejné organizácie aj štát si začínajú uvedomovať, že bez automatizácie, na ktorú aktuálna novela zákona o kybernetickej bezpečnosti upriamuje pozornosť, je to prakticky nemožné.

Prirodzene, legislatívne vymedzenie je len prvý, hoci nevyhnutný krok. Pre fungovanie ideálneho scenára, kedy by zodpovedné jednotky pre riešenie počítačových incidentov CSIRT (Computer Security Incident Response Team) vedeli automatizovane prijímať a spracúvať dáta o tom, čo sa v slovenskom kybernetickom priestore deje, treba pokračovať ďalej. Predovšetkým technicky zabezpečiť, aby CSIRT vedel od dotknutých organizácií dáta automatizovane prijímať a zároveň, aby kvantá surových údajov dokázal aj analyzovať a vyhodnotiť. Ideálne v reálnom čase a štandardizovaným spôsobom.

Výsledkom automatizácie by bolo nielen odbremenenie prevádzkovateľov základných služieb, ktorí si dokážu jednoduchšie plniť zákonné povinnosti, ale predovšetkým lepší prehľad o dianí a rizikách v slovenskom kybernetickom priestore. Čiže inými slovami, vyššia bezpečnosť pre nás všetkých.


Roman Čupka, Senior Principal Consultant, Flowmon, a Kemp company a CEO, Synapsa Networks