EN

Rozhovor o mesiaci kybernetickej bezpečnosti CyberSecMonth

EÚ každoročne organizuje mesiac kybernetickej bezpečnosti. V dnešnom rohovore si priblížime čo je cieľom tejto akcie.

O mesiaci kybernetickej bezpečnosti hovoríme s Ing. Henrichom Slezákom z CSIRT.SK

Môžete nám priblížiť čo je CyberSecMonth?

European Cyber Security Month (ECSM) je kampaň Európskej únie, ktorá má za cieľ propagáciu kybernetickej bezpečnosti medzi občanmi EÚ. Snaží sa o zmenu vnímania bezpečnostných hrozieb prostredníctvom propagácie informačnej bezpečnosti, vzdelávania, zdieľania dobrých praktík a súťaží. Aj CSIRT.SK sa do tejto aktivity zapojil prostredníctvom prednášok a súťaže v analýze škodlivého kódu. Viac informácií je možné nájsť v našej tlačovej správe na http://www.csirt.gov.sk/aktualne-7d7.html?id=116 alebo priamo na stránke ECSM https://cybersecuritymonth.eu/

Jedným z deklarovaných cieľov CyberSecMonth je citujeme "zvýšiť povedomie o Informačnej bezpečnosť a bezpečnosti sietí (NIS), ako to je to uvedené v navrhovanej smernici o NIS". NIS smernica je prvým legislatívnym počinom EU o kybernetickej bezpečnosti. Čo táto smernica obsahuje a upravuje?

Cieľom tejto smernice je zaistiť vysokú úroveň sieťovej a informačnej bezpečnosti v Európe. Prostriedkom na splnenie tohto cieľa je súbor požiadaviek kladených na členské štáty, ktorý obsahuje predovšetkým zlepšenie pripravenosti a vzájomnej spolupráce a prijatie krokov pre riadenie bezpečnostných rizík a hlásenie závažných incidentov kompetentným národným autoritám. Členské štáty budú musieť vykonať identifikáciu prevádzkovateľov základných služieb, prijať národnú stratégiu v oblasti NIS, určiť jeden alebo viac vnútroštátne príslušných orgánov a jednotné kontaktné miesto pre bezpečnosť NIS, určiť jednu alebo viac jednotiek CSIRT, zabezpečiť ich spoluprácu na národnej úrovni. Smernica sa tiež zaoberá spoluprácou medzi členskými štátmi prostredníctvom skupiny pre spoluprácu a siete jednotiek CSIRT. Smernica ukladá bezpečnostné požiadavky a povinnosť oznamovať incidenty pre prevádzkovateľov základných služieb a pre prevádzkovateľov digitálnych služieb.

Kto je prevádkovateľ základných služieb a kto prevádzkovateľ digitálnych služieb? Môžete nám uviesť príklad incidentu, ktorý bude povinné oznamovať? 

Prevádzkovatelia základných a digitálnych služieb podľa našich vedomostí zatiaľ identifikovaní nie sú, identifikácia prebehne v zmysle pripravovaného zákona o kybernetickej bezpečnosti.

Incidenty, ktoré bude potrebné hlásiť, musia mať závažný rušivý vplyv podľa čl. 6 smernice NIS. Príkladom takéhoto incidentu by mohol byť napr. prienik do informačného systému, únik citlivých informácií alebo DDoS na poskytovateľov základných alebo digitálnych služieb.


Podľa Vášho názoru, je takáto legislatíva potrebná? Čo v nej najviac chýba, alebo čo je v nej najkontroverznejšie?

Podľa názoru CSIRT.SK je takáto legislatíva potrebná, v bezpečnostnej komunite na Slovensku sa už dlhšiu dobu poukazuje na nedostatok legislatívy upravujúcej informačnú, resp. kybernetickú bezpečnosť. Smernica NIS nenariaďuje členským štátom presnú formu a spôsob jej implementácie, nastavuje však akýsi rámec a základnú úroveň bezpečnostných požiadaviek, ktoré členská krajina následne začlení do svojho legislatívneho prostredia a prispôsobí vlastným potrebám. Úroveň bezpečnosti, ktorú členský štát vo svojej legislatíve nastaví, môže byť vyššia ako je tá, ktorú požaduje smernica NIS.

Mala byť EU v tejto oblasti viac aktívna? Aká je podľa vás optimálna rola štátu či EU v oblasti kybernetickej bezpečnosti?

CSIRT.SK víta aktivity, ktorými sa prispieva k zvyšovaniu úrovne bezpečnosti v EU či jej členských štátoch. Z pohľadu CSIRT.SK je vítaným krokom v tejto oblasti vytvorenie siete jednotiek CSIRT, ktorá práve formalizuje pravidlá svojho fungovania. Optimálnu rolu štátu v oblasti kybernetickej bezpečnosti predstavuje schopnosť zaviesť a presadzovať legislatívu v tejto oblasti, ktorá jasne stanovuje kompetencie a povinnosti jednotlivých aktérov v tejto oblasti, podporuje ich vzájomnú spoluprácu, posilňuje schopnosť štátu odolávať bezpečnostným hrozbám a zvyšuje povedomie o kybernetickej bezpečnosti u svojich občanov.

Ďakujeme za rozhovor.


 

Pridať nový komentár
TOPlist