Na otázky na téma kybernetické bezpečnosti a směrnice NIS2 odpovídala Alexandra Rusňáková ze společnosti AXENTA a.s.
Otázka na úvod. Kdybyste měla vyzvednout nějakou novinku v NIS2. Co by to bylo?
Asi audit by to byl, audit souladu s NIS2.
Novelizace zákona s nástupem směrnice NIS2 přináší do prostředí českého světa kybernetické bezpečnosti novinku, kterou je audit.
Naši sousedé na Slovensku však již od roku 2018 v zákoně uvádějí povinnosti auditování takzvaných „Provozovatelů základních služeb“.
Co to znamená?
Že každý subjekt, který byl zařazen do seznamu provozovatelů základní služby, po přechodném období, čekala v roce 2020 povinnost provést externí audit certifikovaným auditorem kybernetické bezpečnosti.
Během let 2020-2022 byly Národním bezpečnostním úřadem zveřejňovány zprávy o stavu kybernetické bezpečnosti v České republice. Tato zpráva byla sumářem všech závěrečných zpráv, které byly provozovateli základní služby předány úřadu.
Na základě závěrečných zpráv z auditů byl úřad schopen sepsat největší mezery a problémy, se kterými se provozovatelé a jednotlivé sektory v oblasti kybernetické bezpečnosti během roku 2022 popasovali. Obsahuje také informace, které úřad sesbíral díky své činnosti v této oblasti.
Mohu se zeptat, jak si společnosti při těchto auditech vedly, a co byly nejčastější hrozby a nálezy?
Nejvýznamnější hrozby v roce 2022 představovaly:
• Sociální inženýrství – stále převládá phishing, ale také vishing a různé pyramidové koncepty
• Nedostupnost služby, DDoS útoky
• Škodlivý kód – nárůst aktivity malwaru Emotet
• Zranitelnosti a pokusy o průnik do systému
• Úniky dat
Je možné konstatovat, že stav kybernetické bezpečnosti se výrazně liší v závislosti na sektoru. Sektor bankovnictví vykazuje kontinuálně skvělé výsledky v oblasti kybernetické bezpečnosti. V sektoru Zdravotnictví Slovensko zaznamenalo zlepšení ve vnímání problematiky kybernetické bezpečnosti. Stále však zaostávají sektory jako Veřejná správa, sektor Energetika, ale hlavně jeho podsektor Tepelná energetika vykazuje nízké hodnoty souladu s požadavky ze zákona.
Nejčastěji auditní nálezy za rok 2022 představovaly:
• Neexistující strategie a s ní spojená nedostatečná podpora nejvyššího vedení
• Nedostatky v řízení rizik, hrozeb a aktiv
• Nedostatečná, chybějící a neaktuální dokumentace
• Chybějící vzdělávání v oblasti kybernetické bezpečnosti
• Smlouvy s dodavateli neobsahují ustanovení o kybernetické bezpečnosti
• Pravidla popsaná v politikách nejsou zavedena v praxi
• Chybějící topologie, segmentace, seznamy portů
• Neexistující záložní komunikace
• Není implementována politika řízení přístupů
• Neexistující proces řízení kontinuity
• Neexistující ochrana pomocí šifrování
• Vzdálený přístup není zajištěn (týká se zaměstnanců, ale hlavně dodavatelů)
• Atd.
Vyjmenované problémy jsou jen částí problémů, se kterými provozovatelé základních služeb bojují. Nejsou to novinky pro společnosti, které se v problematice kybernetické bezpečnosti orientují a pohybují už nějakou dobu, avšak pro nové subjekty, kterým s NIS2 přibydou povinnosti, to bude představovat nemalý tlak. Nevíte-li si rady s otázkou povinností vyplývajícími z NIS2 AXENTA vám ráda poradí a nasměruje vás. Ať už díky provedení rozdílové analýzy nebo zajištění splnění více požadavků ze směrnice díky svému Security Operation Centru. Nejste v tom sami, nechte si poradit, ať nemusíte tápat.