Riešenie kybernetických bezpečnostných incidentov – § 20 ods. 3 písm. m) ZoKB

Schopnosť detegovať a riešiť kybernetické bezpečnostné incidenty je hlavnou zo spôsobilostí vyžadovaných zákonom o kybernetickej bezpečnosti. Povinnosť dosiahnuť túto spôsobilosť má každý prevádzkovateľ základných služieb pre každú z kategórií informačných systémov. Požiadavka zákona však neznamená povinnosť implementovať zložité a drahé technické opatrenia, pretože, paradoxne, riešenie kybernetických bezpečnostných incidentov je najmä organizačné opatrenie. Ide o vopred nastavený a otestovaný proces, vďaka ktorému každý zamestnanec organizácie bude vedieť, čo robiť v prípade, že je identifikované ohrozenie informačných aktív.

Čo je to incident?

Kybernetický bezpečnostný incident má niekoľko definícií. Žiadna nie je vyslovene nesprávna, líšia sa len v detailoch alebo z pohľadu domény, ktorú pokrývajú. Nezáleží teda na tom, ktorú definíciu budete používať. Za jednu z najpresnejších definícií považujem tú, ktorá je uvedená v § 3 písm. k) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, podľa ktorej kybernetický bezpečnostný incident (KBI) je akákoľvek udalosť, ktorá má z dôvodu narušenia bezpečnosti siete a informačného systému alebo porušenia bezpečnostnej politiky alebo záväznej metodiky negatívny vplyv na kybernetickú bezpečnosť, alebo ktorej následkom je:

• strata dôvernosti údajov, zničenie údajov alebo narušenie integrity systému,
• obmedzenie alebo odmietnutie dostupnosti základnej služby alebo digitálnej služby,
• vysoká pravdepodobnosť kompromitácie činností základnej služby alebo digitálnej služby,
• ohrozenie bezpečnosti informácií.

Incident je v každej z definícii chápaný ako malígna udalosť, ktorá má negatívny vplyv na dôvernosť, integritu alebo dostupnosť informačných aktív konkrétneho vlastníka, typicky nazývaného prevádzkovateľ.

V informačnom veku a znalostnej ekonomike je prirodzené, že akékoľvek malígne udalosti, ktoré majú vplyv na kvalitu dát a informácií, sú považované za nežiaduce.

Udalosť verzus incident

V kontexte incidentov kybernetickej bezpečnosti nie je možné dospieť k nezmyselnému záveru, v zmysle ktorého prevádzkovateľ čaká a môže čakať na to, kým incident dosiahne nejaký formálne definovaný stupeň závažnosti a až následne ho začne riešiť. I keď právnici zvyčajne zvyknú chápať výraz „dopad“ až v čase, keď vznikne strata, prípadne dokázaná finančná alebo nefinančná ujma, v kybernetickej bezpečnosti je nutné považovať za bezpečnostný incident už aj taký jav, ktorý by po naplnení podstaty mohol potenciálne spôsobiť ujmu alebo akýkoľvek iný možný neskorší negatívny dopad, napríklad stratu reputácie, dobrého mena alebo obchodnej príležitosti.

Z toho dôvodu je v kybernetickej bezpečnosti za bezpečnostný incident považovaná už aj hrozba, ktorá môže viesť k incidentu. Teda ...