S Ivanom Makaturom o tom, čo by pomohlo zlepšiť stav kyberbezpečnosti na Slovensku
Naším ďalším hosťom bol Ivan Makatura, IT osobnosť roka 2022 a riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti pre Slovensko (KCCKB). V rozhovore sme sa dotkli viacerých aktuálnych tém – ako je to s reguláciou spojenou s kybernetickou bezpečnosťou na Slovensku? Prečo sa kybernetické riziká čoraz viac zvyšujú? Čo firmy čaká s novelizáciou smernice NIS2?
S Ivanom Makaturom sa zhovárali máš expert na kybernetickú bezpečnosť Martin Lohnert a moderátorka Marianna Sádecká. V úvode debaty sa hosťa pýtali na to, či je v spojení s hackerskou scénou. Keďže popri manažérskej práci je aj súdnym znalcom, spomenul, že s expertmi z tejto komunity oficiálne pracuje pri prípadoch, ktoré riešia počítačový zločin, nakoľko práve oni sú zahĺbení do problematiky počítačových sietí.
Zaujímavé je, že so znalcom v odbore bezpečnosti informačných systémov sa bežne nestretávame. Znalecký posudok si zväčša objednávajú právnické a fyzické osoby v prípade, že potrebujú odborný výklad nejakej skutočnosti – pričom znalec podáva len technický výklad a nevyjadruje sa k právnym záležitostiam.
Na Slovensku je v tomto znaleckom odvetví zapísaných len približne 20 ľudí, takže ide o skutočne výnimočné a dôležité povolanie. V súvislosti so zavádzaním certifikácie výrobkov, procesov a služieb v kybernetickej bezpečnosti Ivan priblížil, aké benefity so sebou prináša certifikácia: „Cieľom certifikácie v bezpečnosti je to, aby výrobky, procesy či služby označené určitým stupňom dôveryhodnosti podľa príslušného typu certifikátu, spĺňali určité vstupné požiadavky. Na základe nich by koncový používateľ vedel posúdiť, či tieto výrobky alebo služby sú alebo nie sú dostatočne bezpečné na účely, na ktoré ich chce využiť.“
Strach zo sankcií
Na otázku, ako hodnotí úroveň IT bezpečnosti na Slovensku, odpovedal, že situácia sa síce zlepšuje, ale stále vníma, že organizácie sa nevenujú kybernetickej bezpečnosti preto, že by si uvedomovali možné riziká, ale preto, že im to káže zákon. Boja sa skôr sankcií vyplývajúcich zo zákona, než prípadných strát, rizík… Tiež dodal, že priveľa regulácií škodí a všetko by sa malo držať v tej miere, aby sa organizácie mohli venovať kybernetickej bezpečnosti do hĺbky. Takto sa môže ľahko stať, že najmä veľká spoločnosť bude musieť ostať na minimálnej úrovni bezpečnosti len preto, že bude zahltená nespočetným množstvom formálnych požiadaviek, ktoré bude musieť plniť zo zákona.
Rozprávali sa tiež o tom, že kybernetická bezpečnosť sa paradoxne neodráža vo vnímaní rizík zo strany manažmentu firiem. Na túto skutočnosť sa možno pozrieť z pohľadu odvetví. Napríklad v bankovom svete si viac uvedomujú riziká spojené s kybernetickým zločinom, avšak výroba a priemysel v tomto vnímaní trochu zaostávajú.
Čo čaká firmy s novelizovanou smernicou NIS2?
Debata ďalej premostila na témy ako GDPR a NIS2. Na margo GDPR hosť podotkol, že je na každej osobe, či niekomu poskytne alebo neposkytne osobné údaje. A ak vám nejaká firma ponúka produkt zadarmo, ale požaduje vaše osobné údaje, tak ste produktom vy sami.
Moderátorka Marianna sa opýtala aj na to, čo firmy čaká v súvislosti s novelizovanou smernicou NIS2. Ivan odporučil, aby sa firmy naďalej riadili zákonom o kybernetickej bezpečnosti. „EÚ vydala smernicu, ktorá je platná od januára tohto roka. Avšak každý členský štát má 21 mesiacov na to, aby pretavil obsah tejto novelizovanej smernice do svojho práva. Takže smernica NIS2 začne byť fakticky účinná na Slovensku až novelizáciou Zákona o kybernetickej bezpečnosti,“ priblížil.
Doplnil aj to, že je potrebné sledovať, kedy Národný bezpečnostný úrad vydá odbornej verejnosti prvý návrh úpravy, teda novelizáciu Zákona o kybernetickej bezpečnosti. Dovtedy z NIS2 nikomu nevyplýva nič iné, než to, čo mu už teraz vyplýva zo Zákona o kybernetickej bezpečnosti.
Hoci podľa Ivana Makaturu netreba nateraz podliehať panike, firmám však poradil, že už dnes sa môžu zamyslieť nad tým, prečo dobrovoľne neplnia požiadavky vyplývajúce zo Zákona o kybernetickej bezpečnosti.
Na záver zhrnul ešte raz, že stav kybernetickej bezpečnosti na Slovenku nie je zúfalý, ale nemožno zabúdať, že je potrebné ho neustále zlepšovať. Upozornil tiež na nedostatok IT profesionálov v kybernetickej bezpečnosti a na potrebu šírenia povedomia o tejto oblasti smerom k laickej verejnosti. Podľa jeho názoru by tiež pomohlo zintenzívniť investície a čas, ktorý sa vkladá do formálneho vzdelávania v oblasti informatiky a informačnej bezpečnosti, na základných, stredných školách a univerzitách.