Základné princípy kybernetickej bezpečnosti

Kybernetická bezpečnosť nie je len výsledkom technologického pokroku súčasného milénia, keďže otázkami kybernetickej bezpečnosti sa zaoberala Organizácia pre hospodársku spoluprácu a rozvoj („OECD“) už prinajmenšom v roku 1992, kedy prvýkrát predniesla základné princípy kybernetickej bezpečnosti vydaním tzv. „Guidelines for Security of Information Systems“. Avšak vzhľadom na to, že informačné systémy a siete sa za krátky čas dramaticky zdokonaľovali, reagovala na to OECD v roku 2002 vydaním prepracovaného a aktualizovaného pôvodného znenia smernice z roku 1992, pod názvom Smernica pre bezpečnosť informačných systémov a sietí, tzv. „Guidelines for Security of Information Systems and Networks“.

Zmyslom oboch smerníc bolo zameranie sa na bezpečnosť informačných systémov a sietí a prijatie nových spôsobov myslenia a správania sa pri používaní a styku s informačnými systémami a sieťami. Zostavenie základných princípov malo usmerniť či už vlády, súkromné podniky alebo jednotlivcov, ktorí vlastnia, vyvíjajú, poskytujú, riadia, spravujú alebo len využívajú informačné systémy a siete („účastníci“) k rozvíjaniu tzv. „kultúry bezpečnosti“. Základné princípy tiež vytvárajú všeobecný referenčný rámec, ktorý pomôže týmto subjektom porozumieť bezpečnostným otázkam a rešpektovať etické hodnoty vo vývoji a implementácii koherentných politík, postupov, opatrení a procedúr pre bezpečnosť informačných systémov a sietí.

Nasledovných deväť princípov neposkytuje konkrétne odpovede na otázky ako bezpečne prevádzkovať informačné systémy a siete, avšak jednotlivé princípy sa navzájom dopĺňajú a mali by byť aplikované pragmaticky a ako celok.

1. Povedomie: Účastníci by si mali byť vedomí potreby bezpečnosti informačných systémov a sietí a krokov, ktoré môžu vykonať na zlepšenie úrovne bezpečnosti. Účastníci by si mali byť vedomí možného zlyhania bezpečnosti a následkov tým spôsobených. Každý účastník by mal byť informovaný o konfiguráciách a o dostupných aktualizáciách a zároveň implementovať osvedčené postupy k zvýšeniu svojej bezpečnosti, ako aj bezpečnosti ostatných subjektov.

2. ZodpovednosťVšetci účastníci sú zodpovední za bezpečnosť informačných systémov a sietí. Nakoľko informačné systémy sú navzájom prepojené, každý subjekt, ktorý využíva informačné systémy a siete, si musí byť vedomý svojej pozície a z toho mu vyplývajúcej zodpovednosti. Špeciálne tí, ktorí vyvíjajú nové produkty a služby, musia riešiť bezpečnosť na prvom mieste a distribuovať dané informácie a aktualizácie medzi ostatné subjekty, čím sa zabezpečí bezpečnosť aj ostatných užívateľov sietí.

3. Odozvy: Účastníci by mali spolupracovať v oblasti prevencie, detekcie a odoziev na prípadné bezpečnostné incidenty. Nakoľko je možné konštatovať, že všetci účastníci sú navzájom prepojení, je nevyhnutné, aby navzájom spolupracovali pri odhaľovaní a odstraňovaní bezpečnostných incidentov a vzájomne si vymieňali informácie o rôznych formách hrozieb a zraniteľných miestach v systémoch a sieťach.

4. Etika: Účastníci by mali plne rešpektovať legitímne záujmy ostatných. Etické správanie je zásadným pravidlom, resp. princípom, ktorý by mali rešpektovať všetci účastníci, keďže ich činnosť, resp. nečinnosť môže poškodiť druhých.

5. Demokracia: Bezpečnosť informačných systémov a sietí by mala byť v súlade so základnými hodnotami demokratickej spoločnosti. Implementácia bezpečnosti by mala reflektovať na hodnoty vyznávané demokratickými spoločnosťami, vrátane voľnej výmeny myšlienok a nápadov, voľného toku informácií, dôvernosti informácií a komunikácie, primeranej ochrany osobných informácií, otvorenosti a transparentnosti.

6. Hodnotenie rizika: Účastníci by nemali zanedbávať hodnotenie rizika. Hodnotenie rizika pomáha identifikovať prípadnú hrozbu a zraniteľné miesta, pričom samotné hodnotenie rizika by malo zahŕňať všetky oblasti od interných, externých faktorov, technologických a ľudských faktorov, politiku, služby tretích strán, a všetky ostatné skutočnosti, ktoré majú vplyv na bezpečnosť. Zhodnotenie rizika by malo obsahovať aj zhodnotenie potencionálneho nebezpečenstva, ktoré účastníkom môže byť spôsobené ostatnými účastníkmi.

7. Návrh a implementácia bezpečnosti: Účastníci by mali zaviesť a vnímať bezpečnosť ako jeden zo základných prvkov informačných systémov a sietí. Bezpečnosť by mala zohrávať hlavnú úlohu pri všetkých produktoch, službách, systémoch a sieťach a mala by predstavovať integrálnu súčasť návrhu architektúry systému.

8. Manažment bezpečnosti: Účastníci by si mali osvojiť komplexné ponímanie manažmentu bezpečnosti. Manažment bezpečnosti by mal predstavovať nadstavbu k hodnoteniu rizík a mal by byť dynamickým prvkom. Mal by obsahovať najmä detekciu a odozvu na hrozby a incidenty, dôkladnú prehliadku a údržbu systému a jeho audit.

9. Potreba prehodnocovania: Účastníci by mali prehodnocovať úroveň bezpečnosti informačných systémov a sietí a následne by mali vhodne upravovať svoje bezpečnostné opatrenia, nariadenia a procedúry. Nakoľko sa informačné systémy a siete neustále vyvíjajú, účastníci by mali neustále modifikovať a prehodnocovať všetky aspekty bezpečnosti, aby nedochádzalo k bezpečnostným incidentom.  

Aj Slovenská republika musí byť pripravená na široké spektrum kybernetických hrozieb, či už existujúcich alebo potencionálnych. K uvedenému prispieva najmä prijatie Smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii, ako aj schválenie vládneho návrhu zákona o kybernetickej bezpečnosti Národnou radou SR dňa 30. januára 2018.

Jednou z povinností ustanovených zákonom o kybernetickej bezpečnosti, ktorý nadobudne účinnosť 1. apríla 2018, je povinnosť štátu, resp. jeho kompetentných orgánov, vytvoriť Národnú stratégiu kybernetickej bezpečnosti Slovenskej republiky, ktorá by vo svojej podstate mala odrážať všetky vyššie popísané základné princípy kybernetickej bezpečnosti. Zákon však neustanovuje lehotu v ktorej by táto stratégia mala byť publikovaná a schválená NRSR, preto zostáva otázne nielen v akej miere bude táto stratégia špecifická, ale aj kedy bude záväzná a prístupná pre účastníkov informačných systémov a sietí.

Publikované na www.epravo.sk, 24. 4. 2018

MENKE LEGAL s.r.o.