Externý manažér kybernetickej bezpečnosti – áno či nie?

Už je to viac ako dva roky, odkedy nadobudol účinnosť zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon“). V týchto dňoch je už pripravovaná aj jeho novelizácia, po tom, čo prax poukázala na potreby zmien. I keď niektoré ciele a ustanovenia zákona zostanú zrejme nezmenené, jedným z diskutovaných problémov je aj otázka vyrovnania sa s požiadavkou na určenie manažéra kybernetickej bezpečnosti, ktorý má určité povinnosti a právomoci.

Nie vždy je táto požiadavka splnená. A reálne – mnohí prevádzkovatelia základných služieb nemajú ani najmenšiu šancu získať dostatočne kvalifikovaný personál. O akútnom nedostatku kvalifikovaných špecialistov kybernetickej bezpečnosti sú napísané mnohé štúdie.

Požiadavka na určenie manažéra kybernetickej bezpečnosti

V zmysle § 20 ods. 3 zákona sa bezpečnostné opatrenia prijímajú, okrem iného, aj pre oblasť organizácie informačnej bezpečnosti. Požiadavka určenia manažéra kybernetickej bezpečnosti v rámci oblasti organizácie informačnej bezpečnosti je explicitne daná § 5 vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška“).

Podľa ustanovení vyhlášky vo vzťahu k manažérovi kybernetickej bezpečnosti platí:

• má mať možnosť predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby,
• má zabezpečovať aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti,
• má byť nezávislý od riadenia prevádzky a vývoja služieb informačných technológií a
• má spĺňať znalostné štandardy na funkciu manažéra kybernetickej bezpečnosti podľa osobitného predpisu.

Tieto požiadavky na manažéra kybernetickej bezpečnosti sú ďalej nepriamo vymedzené aj ustanovením § 5 písm. e) vyhlášky, podľa ktorého je v kontexte kybernetickej bezpečnosti nutné jasne vymedziť právomoci, povinnosti a zodpovednosti osôb. Tieto je vhodné zakomponovať do pracovnej náplne alebo obdobného opisu pracovných činností. Tu (správne) nie je uvedené, či sa má vymedzenie týkať explicitne osôb v zamestnaneckom alebo obdobnom pomere. Z toho vyplýva, že vymedzenie právomocí, povinností a zodpovedností je potrebné vykonať pre kohokoľvek, kto plní úlohy v oblasti kybernetickej bezpečnosti, a to aj vrátane dodávateľov.

Povinnosti manažéra kybernetickej bezpečnosti podľa zákona

Zákonným predpisom nie je efektívne možné ošetriť všetky druhy činností pre akékoľvek pracovné role. Bolo by kontraproduktívne určovať konkrétne povinnosti manažéra, bez vzťahu na infraštruktúrne a procesné prostredie. Z toho dôvodu sú vyhláškou určené iba základné rámce, resp. minimálne požiadavky, kladené na manažéra kybernetickej bezpečnosti.

Je preto potrebné rozlišovať, či diskutujeme o zákonných požiadavkách (vrátane povinností) alebo o typických povinnostiach manažéra kybernetickej bezpečnosti pochádzajúcich napr. z dobrej praxe. Akú prácu má vlastne manažér kybernetickej bezpečnosti v organizácii vykonávať? Čo sú jeho typické úlohy?

Pokúsme sa vysvetliť najprv zákonné požiadavky.

Priamy prístup ku štatutárnemu orgánu

Manažér kybernetickej bezpečnosti má mať možnosť predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby. To je požiadavka vyplývajúca z dobrej praxe, ktorá je kodifikovaná už aj v iných právnych alebo technických normách. Manažér kybernetickej bezpečnosti nesmie byť „utopený“ v štruktúre podniku a mal by mať priamy prístup ku štatutárnemu predstaviteľovi spoločnosti. Použijúc korporátny jazyk: manažér kybernetickej bezpečnosti má byť v reportovacej línii štatutárneho zastúpenia umiestnený na úrovni B-1. Samozrejme, že táto požiadavka nie je bezo zvyšku splniteľná najmä v rozsiahlych organizačných štruktúrach, preto je akceptovateľné, ak sa priamy prístup manažéra kybernetickej bezpečnosti vyrieši procesne tým, že sa právomoc „priameho prístupu“ ošetrí interným predpisom alebo v organizačnej smernici. Predovšetkým je to však vždy závislé od vnútornej kultúry organizácie.

Aplikácia bezpečnostných opatrení

Požiadavkou, aby manažér kybernetickej bezpečnosti zabezpečoval aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti, je myslených najmä niekoľko úloh v životnom cykle opatrení:

• navrhovanie rozpočtu, súvisiaceho s bezpečnostnými opatreniami,
• riadenie implementácií bezpečnostných opatrení (a to nerozdielne organizačných aj technických),
• zaručenie bežnej prevádzky technických bezpečnostných opatrení,
• zaručenie udržateľnosti organizačných opatrení vrátane bezpečnostných procesov.

Nezávislosť manažéra kybernetickej bezpečnosti

Odhliadnuc od formálnych definícií, kybernetická bezpečnosť je (zjednodušene) zaručenie bezpečnosti informačných aktív, spracúvaných v kybernetickom priestore. To znamená najmä elektronicky, resp. najmä prostriedkami automatizovaného spracúvania dát. Nie bezpodmienečne len digitálnych, preto by bolo sémanticky správnejšie uvádzať, že manažér kybernetickej bezpečnosti má byť nezávislý od riadenia prevádzky a vývoja služieb informačných a operačných technológií.

Podstata tejto požiadavky spočíva v rozdielnych cieľoch pracovníkov zodpovedných za prevádzku technológií a cieľoch manažéra kybernetickej bezpečnosti. Kým tí prví sú zodpovední za bezchybnú dodávku služieb poskytovaných pomocou technológií (teda za zaručenie najmä dostupnosti informačných aktív), úlohou manažéra kybernetickej bezpečnosti je zaručiť, aby bola organizácia schopná odolať kybernetickým bezpečnostným hrozbám, prípadne riešiť kybernetický bezpečnostný incident. To sú však vo väčšine prípadov protichodné úlohy. Nielenže by manažér kybernetickej bezpečnosti mal byť stálym odborným oponentom ľudí z vývoja a prevádzky systémov, sú mnohokrát chvíle, keď bezpečnosť musí rozhodnúť o zastavení poskytovania služby.

V prípade, že manažér kybernetickej bezpečnosti nebude nezávislý od prevádzky a vývoja technologických služieb, existuje značné riziko, že rozhodnutia v oblasti kybernetickej bezpečnosti budú ovplyvnené najmä pracovnými cieľmi pracovníkov IT/OT.

Znalostný štandard pre manažéra kybernetickej bezpečnosti

Osoba, ktorá má vykonávať funkciu manažéra kybernetickej bezpečnosti, má spĺňať znalostné štandardy podľa osobitného predpisu. Tým osobitným predpisom je myslená budúca vyhláška Národného bezpečnostného úradu vydaná podľa § 32 ods. 1 písm. d) zákona, ktorou sa určujú znalostné štandardy v oblasti kybernetickej bezpečnosti. Tento vykonávací predpis je aktuálne v procese prípravy. Do doby vydania tejto vyhlášky je možné inšpirovať sa dobrou praxou, podľa ktorej existuje nemalé množstvo medzinárodne uznaných odborných certifikátov v oblasti riadenia informačnej bezpečnosti. Tieto môžu byť veľmi dobrou metrikou pre posúdenie spôsobilostí profesionálov v oblasti kybernetickej bezpečnosti vrátane spôsobilosti uchádzača o pozíciu manažéra kybernetickej bezpečnosti.

Typické povinnosti manažéra kybernetickej bezpečnosti

Je vhodné spomenúť, že najmä v komerčnom prostredí sa rola manažéra kybernetickej bezpečnosti zvyčajne uvádza pod skratkou CISO (z anglického Chief Information Security Officer). Úlohy a spôsob vykonávania úloh CISO sú predmetom veľkého množstva odborných článkov, štúdií a prezentácií. Za všetky spomeňme aspoň niekoľko typických zodpovedností.

Vo všeobecnosti CISO zaisťuje ochranu informačných aktív organizácie implementáciou a riadením procesov informačnej a kybernetickej bezpečnosti. Organizuje výkon činností organizácie, súvisiaci so zaručením bezpečnosti informačných aktív v zmysle najlepšej praxe, najmä:

• koncepčne riadi informačnú a kybernetickú bezpečnosť organizácie,
• navrhuje požiadavky na rozpočet a na iné zdroje súvisiace s bezpečnostnými opatreniami a procesmi,
• zabezpečuje implementáciu technických a organizačných bezpečnostných opatrení,
• riadi bežnú prevádzku technických bezpečnostných opatrení,
• riadi integráciu bezpečnostných technológií s cieľom tvorby efektívnych bezpečnostných opatrení na ochranu základných služieb organizácie,
• zaručuje udržateľnosť organizačných opatrení vrátane vyspelosti bezpečnostných procesov,
• implementuje a zabezpečuje riadny chod procesov manažmentu bezpečnostných rizík a ošetrovania bezpečnostných hrozieb,
• navrhuje zmeny a optimalizáciu bezpečnostných riešení,
• z pozície garanta, resp. z pozície projektového manažéra vedie bezpečnostné projekty, napr. implementáciu nových bezpečnostných technológií do prostredia organizácie,
• riadi informačnú a kybernetickú bezpečnosť vo vzťahu s dodávateľmi a pri obstarávaní, projektovaní a vývoji softvéru a systémov,
• riadi bezpečnostnú architektúru organizácie, vypracúva odborné stanoviská k novým zmenám v IT infraštruktúre organizácie, ktoré môžu mať potenciálny vplyv na bezpečnosť informačných aktív organizácie,
• zabezpečuje proces riadenia informačných aktív organizácie v kontexte zaručenia ich bezpečnosti (tzv. IT Asset Management),
• zabezpečuje návrh a aplikáciu metodík pre klasifikáciu informačných aktív a kategorizáciu sietí a informačných systémov,
• zabezpečuje návrh metodík a riadi procesy obnovy prevádzkových činnosti (tzv. Business Continuity Management) vrátane metodík v procesoch plánovania havarijnej obnovy systémov (tzv. Disaster Recovery Planning),
• navrhuje metriky a kľúčové indikátory pre sledovanie vývoja a stavu bezpečnosti a vývoja bezpečnostných rizík (KPI, KRI),
• riadi proces hodnotenia technických zraniteľností systémov,
• riadi procesy detekcie, riešenia a prevencie kybernetických bezpečnostných incidentov,
• zabezpečuje budovanie bezpečnostného povedomia pre oblasť informačnej a kybernetickej bezpečnosti a ochrany osobných údajov,
• zabezpečuje tvorbu a aktualizáciu interných bezpečnostných politík, štandardov a procedúr organizácie,
• vyhodnocuje plnenie vnútorných predpisov súvisiacich s riadením bezpečnosti informačných aktív,
• zabezpečuje poskytovanie súčinnosti internému a externému auditu informačnej a kybernetickej bezpečnosti,
• riadi procesy zaručenia súladu (tzv. compliance management) v oblasti informačnej a kybernetickej bezpečnosti.

Aj bez zveličenia sa dá povedať, že plnenie zoznamu týchto úloh vyžaduje spôsobilosti takého rozsahu, že hľadanie vhodného kandidáta na rolu bezpečnostného manažéra nebýva pre HR špecialistov triviálnou úlohou. S ohľadom na vyššie uvedené znalostné požiadavky je zrejmé, že zabezpečenie tejto spôsobilosti vo vlastnej réžii, teda prostredníctvom internej osoby, by mohlo byť (najmä pre menších prevádzkovateľov základných služieb) veľmi nákladné. Navyše, bez akejkoľvek záruky, že danú osobu po čase „nekúpi“ iný, majetnejší subjekt. Aj z tohto dôvodu sa javí outsourcing spôsobilostí manažéra kybernetickej bezpečnosti ako dostupná alternatíva.

Štatutárna zodpovednosť a výkonná zodpovednosť

V oblasti riadenia informačnej bezpečnosti je roky zachovaný princíp, podľa ktorého je štatutárna zodpovednosť za riadenie bezpečnosti (z angl. „Security Governance“) oddelená od výkonnej zodpovednosti za riadenie bezpečnosti (z angl. „Security Operations“).

Pri prevzatí týchto výrazov do slovenského jazyka tu pri objasňovaní odlišností vzniká určitý problém, ktorý spočíva v preklade výrazu „zodpovednosť“, kde anglický jazyk, v ktorom je písaná väčšina technických noriem, jasne rozlišuje dva druhy zodpovednosti už v samotnej gramatike („accountibility“ a „responsibility“). Táto gramatická dilema dodnes nie je v slovenskej technickej normalizácii uspokojivo vyriešená.

Rozdelenie zodpovedností v oblasti kybernetickej bezpečnosti sa dá dobre vysvetliť na grafickom znázornení kľúčových rolí a vzťahov podľa COBIT5http://www.isaca.org/cobit/pages/default.aspx nasledovne:

Kým riadiaca autorita reprezentuje štatutárnu zodpovednosť (Security Governance), manažér kybernetickej bezpečnosti na výkonnej úrovni zodpovedá za každodenné bežné činnosti v oblasti informačnej a kybernetickej bezpečnosti (Security Operations), ktoré sú potenciálne riešiteľné formou zmluvnej zodpovednosti.

Je možné „outsourcovať“ zodpovednosť za kybernetickú bezpečnosť?

Vzhľadom na vyššie uvedené je potrebné rozlišovať medzi štatutárnou (zákonnou) zodpovednosťou za riadenie bezpečnosti (Security Governance) a výkonnou zodpovednosťou za riadenie bezpečnosti (Security Operations).

Dá sa tvrdiť, že výkon niektorých úloh v kybernetickej bezpečnosti (t. j. výkonnú zodpovednosť) je možné obstarať ako službu vykonávanú dodávateľským spôsobom, ktorej parametre sú merateľné a ktoré je možné zazmluvniť prostredníctvom dohody o úrovni služieb (SLA). Porušenie parametrov SLA môže byť riešené vopred dohodnutým znížením platieb alebo automatickou zmluvnou pokutou, a to nezávisle od toho, či vznikla škoda. Spôsobov merania parametrov úrovne poskytovaných služieb kybernetickej bezpečnosti je mnoho a ich vysvetlenie by si vyžadovalo značný časový rozsah.

Už v inom článkuhttps://www.bch.sk/post/zodpovednost-statutara-vyber-poskytovatela-sluzieb-kybernetickej-bezpecnosti bolo spomenuté, že v zmysle Obchodného zákonníka je štatutárny orgán spoločnosti povinný konať s odbornou starostlivosťou, v súlade so záujmami spoločnosti, pričom zodpovedá za porušenie týchto povinností. Obdobne to platí aj pre starostov obcí a primátorov miest, ktorým táto zodpovednosť vyplýva z osobitných právnych predpisov (napr. zákon o obecnom zriadení). Hovoríme teda o zákonnej zodpovednosti štatutárneho orgánu, ktorú nie je možné outsourcovať, resp. jej outsourcing štatutárny orgán zodpovednosti nezbaví.

Povinnosť štatutárneho orgánu konať s odbornou starostlivosťou vyžaduje, aby si štatutár pri konkrétnom rozhodovaní zaobstaral a vyhodnotil všetky objektívne dostupné informácie, týkajúce sa predmetu konkrétneho rozhodovania. Následne sa má štatutár náležite rozhodnúť v kontexte týchto informácií a vlastnej profesionality ako predpokladu pre výkon funkcie. Z uvedeného explicitne vyplýva, že bez ohľadu na druh a rozsah outsourcovaných činností, zákonná (štatutárna) zodpovednosť za riadenie bezpečnosti (Security Governance) patrí prevádzkovateľovi základnej služby a jeho štatutárnemu orgánu. Niektoré zákonné zodpovednosti nie je možné zmluvne preniesť na tretiu stranu, ani sa ich efektívne vzdať. Preto zmluva s manažérom kybernetickej bezpečnosti, ako ani samotná rola manažéra kybernetickej bezpečnosti, nepredstavuje nahradenie zákonných zodpovednostných vzťahov a ich prenos na tretiu osobu (napr. zo štatutárneho orgánu na manažéra kybernetickej bezpečnosti). To však neznamená, že zmluva s externým manažérom kybernetickej bezpečnosti nemôže určovať konkrétne sankcie pre prípad porušenia zmluvou mu uloženej povinnosti. Je si však potrebné uvedomiť, že ide o zmluvnú zodpovednosť, ktorá sa od tej zákonnej zodpovednosti líši.

Pokiaľ teda ide o otázku, či je výkon role manažéra kybernetickej bezpečnosti vykonávanej dodávateľským spôsobom možné riešiť pomocou služby, odpoveď je v zásade jednoduchá. Áno, keďže tomu nebráni žiadne zákonné ustanovenie. Pokiaľ by však predstava o určení manažéra kybernetickej bezpečnosti mala súčasne naplniť ambíciu o komplexný prenos zodpovedností štatutárneho orgánu prevádzkovateľa základnej služby, uvedená odpoveď by bola nasledovná:

• ak budú predmetom zmluvy iba služby a dodávky prevádzkového charakteru (teda najmä tie, ktorých kvalitu je možné merať), niet prekážky (ani zákonnej) na to, aby rolu manažéra kybernetickej bezpečnosti vykonávala tretia strana na základe zmluvy o úrovni služieb vrátane z nej vyplývajúcich sankcií pre prípad porušenia zmluvných ustanovení,
• pokiaľ má byť zmluvou na manažéra kybernetickej bezpečnosti prenesená aj zákonná zodpovednosť, inak patriaca štatutárnemu orgánu, nie je možné očakávať, že zmluva takýto zámer prevádzkovateľa základnej služby naplní.

Z uvedeného teda vyplýva, že zodpovednosť za riadenie kybernetickej bezpečnosti je potrebné vnímať v dvoch samostatných kontextoch. V prvom rade ide o zodpovednosť štatutárneho orgánu, ktorá vyplýva priamo zo všeobecne záväzných právnych predpisov. Až následne ide o zodpovednosť zmluvnú, založenú napr. voči manažérovi kybernetickej bezpečnosti a v kontexte vyššie uvedenej „výkonnej úrovne“. Uvedené zodpovednosti si nie je možné zamieňať. Zodpovednosť prevádzkovateľa základnej služby za plnenie požiadaviek zákona bude vždy patriť prevádzkovateľovi základnej služby, pričom žiadne zmluvné dojednanie tento koncept nenaruší. Pokiaľ ide o zodpovednosť externého manažéra kybernetickej bezpečnosti, táto ma kontraktuálny charakter a môže byť viazaná na porušenie príslušnej zmluvnej povinnosti.

Poskytovanie služieb externého manažéra kybernetickej bezpečnosti má však aj inú konotáciu. Pokiaľ ide o procesne a ekonomicky vyvážený model, pre malé organizácie je odporúčaným riešením hybridný spôsob výkonu role manažéra kybernetickej bezpečnosti, t. j. jasné rozdelenie činností tak, aby zodpovednosť prislúchajúca role manažéra kybernetickej bezpečnosti bola rozdelená na:

• štatutárnu zodpovednosť za riadenie bezpečnosti (Security Governance) a
• výkonnú zodpovednosť za riadenie bezpečnosti (Security Operations).

Zjednodušene povedané: úlohy kybernetickej bezpečnosti, ktoré si nutne vyžadujú príslušné spôsobilosti dané znalostným štandardom, môžu byť vykonávané aj dodávateľským spôsobom, zatiaľ čo rozhodnutia o týchto úlohách musí vykonávať štatutárny zástupca, alebo ním poverený zamestnanec organizácie.

Poznámka redakcie:

§ 20 ods. 3 zákona č. 69/2018 Z. z.

§ 32 ods. 1 písm. d) zákona č. 69/2018 Z. z.

§ 5 vyhlášky č. 362/2018 Z. z.

Autor: Ing. Ivan Makatura, CRISC, CDPSE, JUDr. Štefan Pilár, JUDr. Ing. Miroslav Chlipala, PhD.