V posledních letech je kybernetická bezpečnost ve veřejné správě stále diskutovanějším tématem. Důvodem je především rostoucí tlak na digitalizaci, která přináší řadu výhod, ale také rizik.
Zatímco řada firem, ale také institucí veřejné správy (zejména těch spadajících pod regulaci zákona o kybernetické bezpečnosti) implementuje kybernetickou bezpečnost jako nedílnou součást digitalizace, zejména menší samosprávné celky v problematice kybernetické bezpečnosti často tápou.
Nepodceňovat
Přestože obce až na výjimky nespadají pod regulaci dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti, kybernetickou bezpečnost nesmí podceňovat. Mohou se stát terčem kybernetického útoku a případné řešení bezpečnostních incidentů je nákladné, o ztrátě či poškození dat nemluvě. V případě obcí jsou to právě starostové, kdo musí věnovat zajištění kybernetické bezpečnosti v obci patřičnou pozornost. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vnímá tuto nesnadnou úlohu, a proto jim nabízí pomocnou ruku.
Jak už bylo výše zmíněno, z legislativního hlediska ukládá zákon č. 181/2014 Sb., o kybernetické bezpečnosti specifické povinnosti těm, které označuje za správce tzv. významných informačních systémů (povinné osoby). Jsou jimi především orgány veřejné moci včetně krajů a hlavního města Prahy. Jak je patrné, až na výjimky, které identifikujeme spíše v jednotkách případů, nejsou obce správci těchto systémů. I přes to, že obce zpravidla nemají zákonem o kybernetické bezpečnosti uložené povinnosti, existuje několik oblastí, kterým by měli starostové věnovat zvýšenou pozornost a jejichž podcenění může mít významný dopad na bezpečnost celé organizace.
Minimální bezpečnostní standard
Starostové mohou nalézt oporu v dokumentu NÚKIB s názvem Minimální bezpečnostní standard. Obsahuje zjednodušené principy, postupy a doporučení v oblasti kybernetické bezpečnosti právě pro organizace, které nespadají pod zákon o kybernetické bezpečnosti. Průběžně je nad to možné implementovat další opatření a postupně zvyšovat úroveň kybernetické bezpečnosti napříč celou organizací.
Minimální bezpečnostní standard je rozdělený na část pro manažery a na technickou část. Sekce pro manažery se věnuje například klasifikaci a ochraně informací, řízení dodavatelů či auditu kybernetické bezpečnosti. Technická část popisuje opatření od fyzické bezpečnosti, řízení přístupů a politiky hesel po požadavky v oblasti ochrany před škodlivým kódem či stanovení postupů při kybernetické bezpečnostní události a incidentech.
Jedním z bodů, který Minimální bezpečnostní standard zmiňuje, a který bychom rádi vyzdvihli, je potřeba zvyšování povědomí v oblasti kybernetické bezpečnosti u všech zaměstnanců a nastavení odpovídajícího systému jejich vzdělávání. Každý zaměstnanec, který při své práci využívá digitální technologie, musí znát základy kyberbezpečnosti a alespoň jednou ročně absolvovat školení k seznámení se s nimi. Bez personálu řádně proškoleného a seznámeného se základními bezpečnostními postupy a hrozbami mohou být i jinak významné investice do technické infrastruktury a další opatření zbytečné. Nejslabším článkem systému kybernetické bezpečnosti organizace je člověk, který svou neznalostí nebo neuváženým chováním může ohrozit jakýkoliv informační systém.
Z důvodu zajištění zvyšování povědomí o kybernetické bezpečnosti u organizací veřejné správy nabízí Národní úřad pro kybernetickou a informační bezpečnost on-line kurz základů kybernetické bezpečnosti „Dávej kyber“. Kurz je určen běžným i pokročilým uživatelům a je rozdělen do šesti okruhů – registrace a přihlašování, e-maily a přílohy, aplikace a služby, zařízení a média, odkazy a weby, připojení a internet. Absolvent kurzu chápe svou roli v systému kybernetické bezpečnosti organizace, umí bezpečně a zodpovědně využívat pracovní zařízení a portály, umí odhalit podezřelé e-maily, potenciálně nebezpečné přílohy a rozpozná obvyklé kybernetické útoky na běžné uživatele. Kurz podává témata srozumitelnou formou, teoretické základy doprovází praktické příklady a doporučení.
Zaměstnanci na pozicích zabývajících se kybernetickou bezpečností, kteří by měli kromě standardních školení absolvovat i školení specializovaná na témata kyberbezpečnosti, mohou využít on-line kurz pro manažery kybernetické bezpečnosti „Šéfuj kyber“.
Zdroj: Portál NÚKIB