Národné centrum kybernetickej bezpečnosti zaznamenalo vlani len v sektore zdravotníctva 131 kybernetických útokov. Je tento údaj korektný, nie je ich v skutočnosti viac?
Záleží na spôsobe hodnotenia. Povinnosť hlásiť kybernetické bezpečnostné incidenty Národnému bezpečnostnému úradu sa vzťahuje iba na tie závažné. Ak by sme sa na ne pozerali týmto uhlom pohľadu, potom ide o veľký problém. Ak by to však bolo iba 131 „nejakých“ incidentov, bez znalosti ich závažnosti, tak je to nereálne optimisticky nízke číslo. Tých menej závažných incidentov by sme počítali ročne na tisíce.
Zdravotnícke organizácie majú povinnosť hlásiť závažné bezpečnostné incidenty?
Existujú takzvané identifikačné kritériá základnej služby, ktoré sú rozdelené podľa sektorov. Ak organizácia tieto kritériá napĺňa, tak áno, lebo je predmetom regulácie podľa zákona o kybernetickej bezpečnosti a musí si teda plniť svoje zákonné povinnosti.
Ak by trebárs nemocnica „podľahla“ útoku, mohli by nastať aj smrteľné následky?
Podľa môjho názoru áno. Niekomu sa to môže zdať možno zvláštne, ale aj naše nemocnice sú vybavené veľmi modernými diagnostickými zariadeniami. Ak by sa zmenila konfigurácia takéhoto prístroja, eventuálne dôjde k výpadku napájania v dôsledku zlyhania záložných zdrojov, tak si viem predstaviť, že môže prísť k ohrozeniu života. Takýto scenár sa ponúka. Tie hrozby sú rôzne. Od cielených hackerských útokov až po neošetrený výpadok napájania, spektrum je skutočne široké.
V Česku zaregistrovali dosiaľ najväčší kyberútok v roku 2020, ktorý zastavil prevádzku nemocnice na 20 dní. Môžeme sa niečoho podobného obávať aj v krajine pod Tatrami?
V prístupe ku kybernetickej bezpečnosti je medzi oboma štátmi určitý rozdiel. V Česku nemajú dotknuté organizácie tendenciu zatajovať kybernetické bezpečnostné incidenty. Slovensko je pravým opakom. V Česku sú závery z forenzných analýz incidentov väčšinou verejne prístupné, no skúste sa k niečomu takému dopátrať u nás, ťažko sa vám to podarí. Väčšina organizácií sa ich snaží utajovať do maximálne možnej miery. Čo pravdaže nie je správne, z útokov by si ostatní mali mať možnosť vziať ponaučenie a na jeho základe implementovať preventívne opatrenia vo vlastnej organizácii. Pochopiteľne, aj zverejňovanie informácií a miera detailov musí mať isté hranice. Mnoho organizácií môže mať identické zraniteľnosti, to by sme už útočníkom poskytovali rovno návod na použitie....
Tento článok je určený iba pre predplatiteľov.
Zostáva vám 85% na dočítanie.
Zostáva vám 85% na dočítanie.