Vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti je veľkou výzvou pre samosprávy alias aká je realita?

Extrémne vysoká pozornosť je venovaná technologickým aspektom budovania a zabezpečenia základných atribútov bezpečnosti (v mnohých prípadoch až preexponovaná) a naopak mimo spektra pozornosti je ponechávaný najproblémovejší element - používateľ informačného systému - človek.

Manažmenty samospráv/ obecných ale aj krajských úradov často vychádzajú z mylného predpokladu, že základné informácie a návyky súvisiace s bezpečnou prevádzkou informačného systému by mal bežný používateľ (rozumej používateľ využívajúci IS ako pracovný nástroj bez hlbších informatických znalostí) zvládnuť intuitívne, samoštúdiom. Čo je samozrejme iluzórne očakávanie. Dôvody prečo je stav taký aký je sú na jeden osobitný a rozsiahly článok, preto sa tejto analýze v tomto blogovom príspevku nebudeme venovať detailnejšie.

Pritom práve narastajúci objem rizík pre prevádzku informačných systémov dnes predstavujú útoky postavené na princípoch sociálneho inžinierstva a teda manipulatívnych techník, kde znalosti bežných (netechnických) používateľov IS zohrávajú významnú úlohu pri riadení informačnej bezpečnosti organizácie (úradu).

O obsahu, forme a riadení vzdelávania zameraného na zvyšovanie bezpečnostného povedomia sme sa venovali v niekoľkých blogových príspevkoch – odkazy na ne nájdete nižšie. Odhliadnime na rad interných dôvodov, ktoré by mali byť motivátorom riešenia radu tém bezpečnosti a s ním súvisiacej prevencie a pozrime sa na aktuálne dominantné dôvody prečo sa samosprávy chtiac – nechtiac budú musieť téme zvyšovania bezpečnsotného povedomia intenzívne venovať.

Za dominantné môžeme v súčasnej dobe nesporne považovať nasledovné legislatívne normy:

• nariadenie GDPR a zákon č.18/2018 Z.z. o ochrane osobných údajov
• zákon o kybernetickej bezpečnosti č. 69/2018 Z. z. a vyhláška 362 z 11.12.2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
• zákon č. 95/2019Z. z. o informačných technológiách vo verejnej správe, najmä jeho vyhláška 179 z 22.6.2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
• v neposlednom rade značnú úlohu v procesoch zvyšovania bezpečnostného povedomia u samospráv zohráva aj zákon č. 583/2008 Z. z. o prevencii kriminality a inej protispoločenskej činnosti a programové vyhlásenia vlády SR „Stratégia prevencie kriminality a inej protispoločenskej činnosti"

Hlbšie o celom spektre dôvodov vrátane legislatívnych sa môžete dozvedieť vo webinári Ako vzdelávať zamestnancov v oblasti IT bezpečnosti

Požiadavky na subjekty verejnej správy týkajúce sa zvyšovania bezpečnostného povedomia zamestnancov je učite zaujímavé vnímať cez definíciu obsahu bezpečnostných opatrení z vyhlášky 179 z 22.6.2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy. Z predmetnej vyhlášky sme pripravili prehľadovú tabuľku podľa kategorizácie subjektov z danej vyhlášky ktorá jasne a jednoznačne identifikuje základné povinnosti jednotlivých kategórií subjektov verejnej správy týkajúce sa bezpečnostného vzdelávania zamestnancov.

Záver z danej tabuľky je jednoznačný – v tomto okamihu neexistuje žiadny subjekt verejnej správy, ktorý sa téme bezpečnostnej gramotnosti nebude musieť v priebehu kalendárneho roka 2021 venovať. A teda je zrejmé, že je čas začať.

Ak začínate a neviete ako na to, využite naše 25 ročné skúsenosti v oblasti vzdelávania tém informačnej bezpečnosti a budovania radu vzdelávacích projektov pre rôzne subjekty podnikateľského, bankového, verejného sektoru,  zdravotníctva i samospráv. Výber referencií nájdete tu

Jaroslav Oster, oster@infoconsult.sk