Kybernetický útok vie úplne zastaviť chod firmy

A cena incidentu nie je len ušlá tržba a strata dát. K tomu sa môžu pridať poplatky za incident response a právne služby. K tomu môžu prísť pokuty a zmluvné sankcie, náklady na obnovu a v horšom prípade aj strata dôvery, odchod zákazníkov a poškodenie reputácie.

Mýtus o drahej kyberbezpečnosti vzniká aj preto, že je automaticky spájaná najmä s nákupom technológií. Ak si firma predstaví bezpečnosť ako veľa nových licencií, bezpečnostných zariadení, veľký projekt, je pochopiteľné, že sa jej to začne javiť ako neúmerný výdavok. Kyberbezpečnosť v praxi nie je len o technológiách.

Kyberbezpečnosť je predovšetkým o riadení rizika. O tom, aby firma vedela, čo chráni, pred čím sa chráni, aké má slabé miesta a čo sa stane, ak niektoré veci zlyhajú. A tu je dobre začať. Identifikovať čo je potrebné chrániť a prijať jednoduché a často lacné opatrenia, ktoré odradia priemerných útočníkov.

V kyberbezpečnosti navyše najdrahšie riešenie automaticky nebýva najlepšou voľbou. Často má najväčší prínos dobre zvládnutý základ. Mnohé firmy majú tendenciu uvažovať opačne, tým, že hľadajú pokročilé riešenia, ale pritom chýba analýza rizík, na základe ktorej by sa systematicky zavádzali opatrenia. A tým celkovo výrazne znížiť výdavky. Tým sa zaručí, že výdavky idú na opatrenia, ktoré majú čo najväčší efekt.

Aj pri malej až stredne veľkej firme pritom môže relatívne malá investícia priniesť výrazný posun

Pri obrate 5 miliónov eur, už 0,5 % , tzn. 25 000 eur, ktorá má zásadný vplyv na kyber bezpečnosť. Nie je suma, za ktorú sa dá vyriešiť všetko, ale je to suma, za ktorú sa už dá nastaviť veľa dôležitých opatrení. Dá sa spraviť analýza rizík a zaviesť opatrenia tam, kde sú riziká najkritickejšie. Inými slovami, aj bez zásadných investícií sa dá výrazne znížiť pravdepodobnosť incidentu a jeho prípadný dopad.

Niektoré z najdôležitejších bezpečnostných opatrení pritom ani nie sú drahé. Len vyžadujú systém a poriadok. Dôslene evidovať zariadenia a účty, systematické riadenie prístupov, adekvátne nastavenie existujúcich zariadení, základná segmentácia siete, kontrola výnimiek, robiť onboarding a offboarding systematicky, nenechávať rozhodnutia na improvizáciu. To všetko nie sú témy, ktoré pôsobia atraktívne, no práve v nich býva veľká časť reálnej odolnosti firmy. Bezpečnosť veľmi často nestojí veľa peňazí, ale vyžaduje disciplínu a dôslednosť. V takom prostredí nepomôže ani drahý nástroj, ak chýba disciplína a základná prevádzková hygiena.

Otázka teda nie je, či je kybernetická bezpečnosť drahá. Otázka je, či si firma môže dovoliť nemať ju nastavenú adekvátne k rizikám. Nie preto, že by mala ambíciu byť „dokonale zabezpečená“, ale preto, že chce fungovať spoľahlivo, chrániť svoju prevádzku, svojich klientov aj vlastnú reputáciu.

Kyberbezpečnosť nie je luxusný doplnok. Je to súčasť zodpovedného riadenia firmy.

The post Vyvracanie mýtov: Naozaj je kybernetická bezpečnosť drahá? appeared first on Avris Consulting.

Adopcia AI v organizáciách rastie extrémne rýchlo a bezpečnostné tímy často nestíhajú reagovať rovnakým tempom.

Umelá inteligencia mení spôsob, akým firmy pracujú s dátami. Ešte pred pár rokmi bola AI v kybernetickej bezpečnosti vnímaná najmä ako obranný nástroj – pomáhala analyzovať hrozby, detegovať anomálie alebo automatizovať bezpečnostné operácie.

Dnes sa situácia mení. S nástupom generatívnej AI a takzvaných agentic aplikácií, ktoré dokážu autonómne pracovať s viacerými systémami a dátovými zdrojmi, vzniká nový typ rizika. AI totiž potrebuje prístup k veľkému množstvu dát – a práve tento prístup môže vytvoriť nové slabé miesta.

Pre bezpečnostné tímy to znamená zásadnú zmenu: AI už nie je len nástroj, ktorý chráni systémy. Môže sa stať aj novým insider threatom.

AI dramaticky zrýchľuje kybernetické útoky

Podľa aktuálnych prieskumov už 30 % organizácií vytvorilo samostatný rozpočet na AI security, čo je výrazný nárast oproti minulým rokom. Zároveň však 70 % organizácií považuje práve rýchlosť vývoja AI za najväčšie bezpečnostné riziko.

Nie je to prekvapujúce. AI dnes dokáže automatizovať činnosti, ktoré boli kedysi časovo náročné:

• generovanie presvedčivých phishingových správ
• tvorbu škodlivého kódu
• automatizované sociálne inžinierstvo
• masové šírenie dezinformácií

Výsledkom je, že 61 % organizácií už zaznamenalo útoky zamerané priamo na AI aplikácie. Zároveň 59 % firiem hlási deepfake útoky a takmer polovica organizácií už utrpela reputačné škody spôsobené AI generovanými dezinformáciami.

Cloud je stále najčastejším cieľom

Aj napriek novým technológiám zostáva základná dynamika útokov podobná – útočníci sa sústreďujú tam, kde sa nachádzajú dáta.

V súčasnosti sú to najmä cloudové prostredia. Najčastejšie cieľové oblasti sú:

• cloud storage
• cloudové aplikácie
• cloud management infraštruktúra

Zároveň až 67 % organizácií zaznamenáva rast krádeží prihlasovacích údajov.

Práve kompromitované identity dnes predstavujú najčastejší spôsob, ako sa útočníci dostávajú do interných systémov. Situáciu komplikuje aj stav ochrany dát v cloude. Priemerne je viac ako polovica cloudových dát citlivých, no iba približne 47 % z nich je šifrovaných. Ešte väčším problémom je, že viac než polovica organizácií necháva správu kryptografických kľúčov na cloud providerovi. V praxi to znamená, že organizácie strácajú plnú kontrolu nad ochranou svojich dát.

Viac nástrojov neznamená vyššiu bezpečnosť

Keď organizácie čelia novým hrozbám, často reagujú nákupom ďalších bezpečnostných riešení. Výsledkom je však čoraz komplexnejší bezpečnostný ekosystém. Dnes má 77 % organizácií päť alebo viac nástrojov na ochranu dát a priemerne používajú až sedem rôznych bezpečnostných riešení. Problém je, že komplexita často vytvára nové riziká. Len 39 % organizácií si je istých, že plne rozumejú svojmu bezpečnostnému stacku. Čím viac nástrojov pribúda, tým väčšia je pravdepodobnosť chýb v konfigurácii, slabšej viditeľnosti nad dátami alebo pomalšej reakcie na incidenty.

Nie je preto prekvapením, že takmer tretina bezpečnostných incidentov vzniká v dôsledku ľudskej chyby.

Perimeter už nie je sieť. Je to identita.

Tradičný bezpečnostný model bol založený na ochrane siete. Ak bola sieť zabezpečená, organizácia mala pocit, že jej systémy sú chránené.Dnes tento model prestáva fungovať. Cloudové služby, vzdialená práca a AI integrácie znamenajú, že klasická sieťová hranica prakticky neexistuje. Preto sa bezpečnosť presúva k identite.

Až 52 % organizácií dnes označuje identity and access management za najkritickejšiu bezpečnostnú disciplínu.

Útočníci to veľmi dobre vedia. Preto sa čoraz viac zameriavajú na:

• kompromitáciu prihlasovacích údajov
• zneužívanie slabých implementácií MFA
• manipuláciu s identity dátami

Ak útočník získa identitu používateľa, často získava prístup aj k systémom, aplikáciám a dátam.

Kvantové riziko prestáva byť vzdialenou budúcnosťou

Popri AI sa začína objavovať aj ďalšia technologická výzva – kvantové počítače. Bezpečnostní experti čoraz častejšie upozorňujú na scenár známy ako „harvest now, decrypt later“. Útočníci môžu dnes zbierať šifrované dáta s tým, že ich v budúcnosti dešifrujú pomocou kvantových technológií. Až 61 % organizácií považuje tento scenár za najväčšie kvantové riziko a takmer 60 % už testuje post-quantum kryptografiu. To znamená, že organizácie začínajú uvažovať o ochrane dát v horizonte desiatok rokov, nie len aktuálnych hrozieb.

Kontrola nad dátami sa stáva strategickou témou

V prostredí AI, cloudu a globálnych regulácií získava čoraz väčší význam aj data sovereignty – teda schopnosť organizácie kontrolovať, kde sa jej dáta nachádzajú a kto k nim má prístup.

Mnohé firmy preto menia svoju architektúru:

• viac ako polovica refaktoruje aplikácie, aby mala lepšiu kontrolu nad dátami
• časť organizácií presúva dáta do suverénnych regiónov
• rastie dôraz na silné šifrovanie a správu kryptografických kľúčov

Zároveň však AI aplikácie prepájajú viacero systémov naraz, čo tradičné hranice dátovej rezidencie ešte viac komplikuje.

Najväčší problém: organizácie nepoznajú svoje dáta

Napriek technologickému pokroku zostáva základná slabina prekvapivo jednoduchá. Mnohé organizácie nevedia presne, kde sa ich dáta nachádzajú. Podľa dostupných údajov má len približne tretina organizácií plný prehľad o umiestnení svojich dát. Ak organizácia nevie, kde sa jej citlivé dáta nachádzajú, je prakticky nemožné efektívne riadiť ich ochranu.

Čo by mali organizácie robiť teraz

Z pohľadu moderného data security sa ukazuje niekoľko jasných priorít:

• identifikácia a klasifikácia dát
• šifrovanie citlivých informácií
• externá správa kryptografických kľúčov
• zjednodušenie bezpečnostného stacku
• dôraz na identity-centric security
• príprava na post-quantum kryptografiu
• silná data governance pre AI aplikácie

Bez týchto základov sa AI môže veľmi rýchlo stať ďalším zdrojom bezpečnostného rizika. Firmy dnes neprehrávajú preto, že nemajú bezpečnostné nástroje. Prehrávajú preto, že nemajú dostatočnú kontrolu nad svojimi dátami v prostredí, kde AI dramaticky zvyšuje rýchlosť aj rozsah kybernetických útokov. A práve kontrola nad dátami sa stáva jednou z najdôležitejších bezpečnostných tém nasledujúcich rokov.

The post AI sa stáva novým insider threat appeared first on Avris Consulting.

Cieľom automatizovaných útokov je zistiť z internetu dostupné služby a ich nastavenia s cieľom potenciálneho prieniku do vnútra organizácie. S cieľom prechádzať takýmto útokom je vhodné čo najviac zabezpečiť verejne dostupné služby, teda systémy a rozhrania dostupné z verejného internetu.

Test zraniteľností je proces skenovania a analýzy systému, siete alebo aplikácie s cieľom identifikovať potenciálne zraniteľnosti a bezpečnostné riziká. Tieto zraniteľnosti by sa dali zneužiť útočníkmi na získanie neoprávneného prístupu k systému, krádež dát alebo by mohli narušiť prevádzku organizácie.

Test zraniteľností je kľúčový, ak chceme začať riešiť bezpečnosť IT infraštruktúry organizácie. Aj incidenty v SR ukazujú, že je potrebné sa pravidelne venovať tomu, čo je otvorené na perimetri, preverovať, či sú služby dostupné z internetu adekvátne chránené, aktualizované a najmä či je prístup z internetu k týmto službám skutočne potrebný.

S cieľom reagovať na potreby klientov v oblasti ochrany perimetra ponúkame realizáciu testu zraniteľností verejných služieb Vašej organizácie, kedy sa sústredíme na nasledovné aspekty:

• Verejné IP adresy a na nich bežiace služby
• Webové sídlo organizácie a prípadné aplikácie/informačné systémy prístupné verejnosti (ich verejná časť prístupná bez autentifikácie)
• Mailové služby, mechanizmy falšovania mena Vašej organizácie podvodnými emailmi
• VPN prístup (ak máte zriadený)
• Bezpečnosť doménového mena (názvu „adresy“ Vašej organizácie na internete)
• Verejne dostupné informácie o Vašej organizácií odhaľujúce určité technické slabiny

Čo všetko sa o mne útočník dozvie bez toho aby sa ku mne dostal?

Test zraniteľností Vám dá odpovede predovšetkým na tieto otázky:

1. Čo všetko môže potenciálny záškodník zistiť o Vašej spoločnosti „z vonku“ (z internetu)?
2. Aká je úroveň zabezpečenia verejných služieb – spravidla verejné IP adresy, VPN prístup, emailová komunikácia – čo všetko organizácie skryto vystavujú na internete a častokrát o tom netušia?
3. Čo by sme mali spraviť pre zlepšenie úrovne bezpečnosti?

Ďalším krokom po jednorazovom vykonaní testu zraniteľností je jeho pravidelné, ideálne automatizované opakovanie v stanovenom intervale (závisí od konkrétnej organizácie). Pre klientov poskytujeme riešenia vo forme rozličných technológií, napr. značky FORTINET, ktorá má v portfóliu celú škálu vhodných nástrojov. Nesmie sa zabúdať ani na interné siete organizácie, perimeter je iba základom a časťou, ktorou sa treba zaoberať ako prvou.

Preveriť zraniteľnosti verejne dostupných služieb si môžete spočiatku svojpomocne, skrz online nástroje ako je SHODAN. SHODAN je internetový vyhľadávač, podobne ako Google, ale vyhľadáva služby dostupné na doménových menách a IP adresách. Ak má Vaša organizácia pridelenú verejnú IP adresu, je vhodné raz za čas, najmä pri významných zmenách či poruchách v sieti, overiť, aké otvorené porty sú verejne dostupné z internetu a aké služby na nich počúvajú. Ak je ľavá strana obrazovky „čistá“, môžete byť kľudnejší, SHODAN nenašiel známe zraniteľnosti (čo však neznamená, že je všetko 100% v poriadku, nakoľko tento nástroj má ako každý iný nástroj orientačný charakter). Ak je ľavá strana obrazovky zaplnená poznámkami o zraniteľnostiach a ich farebným či číselným ohodnotením (čísla približujúce sa k 10 znamenajú takmer istotu prieniku útočníka), je potrebné ihneď konať a zraniteľnosti odstrániť, príp. ak to nie je možné, zraniteľné porty z internetu zavrieť.

Aj vlaňajší útok kataster  SR bol podľa expertov dokonaný z príčiny, že kataster bol „deravý“. Analýzy odborníkov potvrdili, že útočník mal mnoho ciest, resp. zraniteľností, cez ktoré tam mohol preniknúť (link na článok nižšie). Preto je dôležité monitorovať, aké zraniteľnosti sa nachádzajú na hranici siete. Ako manažéri kybernetickej bezpečnosti používame nástroj SHODAN na základné zorientovanie toho, čo má organizácia dostupné z internetu a nedostatky hlásime ihneď prevádzkovateľovi základnej služby.

Dôležité!

SHODAN je relevantný iba v prípade ak má Vaša organizácia verejnú IP adresu a služby dostupné z vonkajšej siete. Nedá sa prostredníctvom neho testovať zraniteľnosť a už vôbec nie preveriť stav zabezpečenia internej siete. Pre tento účel sú vytvorené osobitné nástroje a postupy, pomocou ktorých je možné podrobnejšie preveriť zraniteľnosti v internej sieti, ktoré sú rovnako dôležité ako zraniteľnosti dostupné z internetu. Môže sa napr. hosť z WiFi dostať do Vášho interného firemného systému či na zálohovací server?

Na základe testu zraniteľností môžu Vaše zodpovedné útvary za IT a bezpečnosť vykonať opatrenia, prípadne môžete využiť nami poskytované technické konzultácie, kedy skúsení experti spracujú postupy ako zraniteľnosti eliminovať.

Hľadáte partnera pre test zraniteľností? Nezabudnite na dôležité zásady:

• Test zraniteľností verejných služieb by sa mal vykonávať pravidelne, napr. raz za rok alebo po zmene používaných systémov a technológií
• Po zistení zraniteľností je potrebné čím skôr opraviť zistené nedostatky
• Pri vykonávaní testu zraniteľností je dôležité postupovať odborne, systematicky a využívať overené programy a postupy pre prácu
• Odporúčame spolupracovať s odborníkmi na kybernetickú bezpečnosť, ktorí Vám pomôžu s interpretáciou výsledkov tak aby poskytli návody pre Vašich IT špecialistov, ktorí budú nedostatky odstraňovať

Literatúra:

• https://sprinto.com/blog/iso-27001-vulnerability-management/
• https://www.blazeinfosec.com/post/iso-27001-pentest-requirements/
• https://www.cisecurity.org/-/media/project/cisecurity/cisecurity/data/media/files/uploads/2020/06/Vulnerability-Scanning-Standard.docx
• https://help.fortinet.com/fweb/582/Content/FortiWeb/fortiweb-admin/vulnerability_scans.htm
• https://zive.aktuality.sk/clanok/ii1LlXN/kataster-bol-deravy-ako-reseto-nasiel-som-tam-totalne-chyby-hovori-odbornik/

The post Test zraniteľnosti: Čo všetko sa útočník dozvie? appeared first on Avris Consulting.

Biometrické dochádzkové systémy (odtlačok prsta, sken dlane či tváre) sľubujú spoľahlivú evidenciu dochádzky, či bezchybnú kontrolu vstupu do určitých priestorov. Z pohľadu práva však ide o jednu z najcitlivejších foriem spracúvania osobných údajov. Nižšie v texte nájdete zrozumiteľné vysvetlenie právnej regulácie a oficiálnych usmernení v tejto oblasti.

Vedenie dochádzky podľa Zákonníka práce

Zamestnávateľ musí viesť evidenciu pracovného času, t. j. začiatok a koniec úseku, keď zamestnanec pracoval alebo mal pracovnú pohotovosť. Zákonník práce však nepredpisuje formu, v akej má zamestnávateľ túto evidenciu viesť (papier, čipová karta, aplikácia atď.). Z tejto zákonnej povinnosti preto nevyplýva, že by zamestnávateľ musel alebo mohol používať odtlačky prstov len preto, aby splnil svoje povinnosti podľa § 99 Zákonníka práce.

Biometria podľa GDPR

Podľa GDPR patria biometrické údaje (napr. daktyloskopické údaje – odtlačky prstov) medzi osobitné kategórie osobných údajov. Ich spracúvanie je v zásade zakázané, pokiaľ sa neopriete o výnimku z článku 9 ods. 2 GDPR (napr. výslovný súhlas dotknutej osoby, osobitný zákon vo verejnom záujme atď.). Navyše, biometrické údaje GDPR definuje ako údaje, ktoré umožňujú alebo potvrdzujú jednoznačnú identifikáciu osoby vďaka špecifickému technickému spracovaniu (typicky práve snímač odtlačku).

Súhlas zamestnanca? Pozor na nerovnováhu moci!

V pracovnom vzťahu je zamestnávateľ v silnejšej pozícii, preto súhlas zamestnanca často nie je „slobodný“ a nebýva platným právnym základom. Európsky výbor pre ochranu údajov (EDPB) v oficiálnych pokynoch zdôrazňuje, že pri nerovnováhe moci (ako je typicky v pracovných vzťahoch) je súhlas spravidla nevhodným právnym základom, t. j. zamestnanec sa reálne nemusí cítiť slobodne, aby mohol takýto súhlas odmietnuť bez následkov. Rovnaký záver uvádza aj staršia, no dodnes rešpektovaná Opinion 2/2017 (WP29) k spracúvaniu údajov v práci.

Iný právny základ?

Aj keby zamestnávateľ vedel odôvodniť oprávnený záujem (čl. 6 ods. 1 písm. f GDPR), napríklad prevenciu podvodov pri dochádzke, pri biometrii to nestačí. Pri osobitných kategóriách údajov musíte popri právnom základe z čl. 6 GDPR splniť aj jednu z výnimiek podľa čl. 9 ods. 2 GDPR. V praxi sa preto zamestnávateľ bez osobitného zákonného oprávnenia alebo platného výslovného súhlasu (ktorý je v zamestnaní problematický) dostane do slepej uličky.

Postoj dozorného orgánu: povinná DPIA a dôkaz „nevyhnutnosti“

Úrad na ochranu osobných údajov SR výslovne uvádza, že spracúvanie biometrických údajov na účely individuálnej identifikácie patrí medzi operácie, pri ktorých je povinné posúdenie vplyvu na ochranu údajov (DPIA). Už len táto povinnosť naznačuje, že ide o vysokorizikové spracúvanie, ktoré treba vedieť presvedčivo odôvodniť nevyhnutnosťou a primeranosťou oproti menej invazívnym alternatívam.

Úrad vo svojich výročných správach zároveň dlhodobo uvádza, že sa kontrolám evidencie dochádzky venuje, t. j. posudzuje zákonnosť, bezpečnostné opatrenia a dodržiavanie zásad GDPR u prevádzkovateľov.

Kedy by mohla biometrická dochádzka obstáť?

Aby bolo možné biometrickú dochádzku obhájiť, museli by ste preukázať reálnu nevyhnutnosť (nie iba prevenciu pred podvodmi zamestnancov), absenciu menej invazívnych riešení (napr. prečo nemôžete využívať čipové karty) a zároveň spadať pod konkrétnu výnimku podľa čl. 9 ods. 2 GDPR, napr. osobitný zákon vo verejnom záujme, ktorý takýto postup výslovne dovoľuje a zároveň stanovuje primerané záruky.

V bežnom komerčnom prostredí takýto osobitný zákon k dochádzke neexistuje a poukazovať na § 99 Zákonníka práce nestačí (ten „formu“ evidencie nepredpisuje). Bežný zamestnávateľ preto právny základ na odtlačky prstov pri dochádzke spravidla nemá.

Aké alternatívy sú spravidla vhodnejšie?

Skôr než biometriu zvážte riešenia, ktoré plnia cieľ s primeraným zásahom do súkromia: čipové karty, identifikátory v mobilnej appke, PIN, prípadne geofencing v opodstatnených situáciách. Pri nich sa viete oprieť o bežný právny základ (napr. plnenie zákonnej povinnosti viesť evidenciu pracovného času a oprávnený záujem na ochrane majetku), pričom nepracujete s osobitnou kategóriou údajov (biometriou). Nezabudnite však stále dodržať všetky zásady GDPR – informovanie, minimalizáciu, bezpečnosť atď.

„Aj tak chceme biometrickú dochádzku.“ Čo minimálne musíte urobiť?

Ak by ste napriek vyššie uvedenému uvažovali o biometrii, počítajte s tým, že pôjde o výnimku, ktorú treba výborne zdokumentovať:

1. Posúdenie vplyvu (DPIA) – povinné pri biometrickej identifikácii. Vyhodnoťte riziká, nevyhnutnosť a alternatívy; zvoľte kompenzačné opatrenia.
2. Obhájenie právneho základu podľa čl. 6 GDPR, nájdenie výnimky podľa čl. 9 ods. 2 GDPR. Jednoduchý „oprávnený záujem“ alebo formálny „súhlas“ zamestnanca spravidla neobstojí.
3. Minimalizácia a technický dizajn – ak už chcete používať biometriu, tak 1:1 verifikácia (porovnanie s vlastnou šablónou), nie 1:N identifikácia; neuchovávajte surové obrazy odtlačkov; používajte šablóny v zariadení a krátke retenčné doby. V každom prípade však ide o stále o biometrické údaje.
4. Bezpečnosť – šifrovanie, oddelenie databáz, riadenie prístupov, pravidelné testovanie, plán reakcie na incidenty; to všetko primerane vyššiemu riziku.
5. Informačná povinnosť – transparentne vysvetlite účel, právny základ, riziká, dobu uchovania, príjemcov, práva zamestnancov.
6. Zmluvy s dodávateľmi – spracovateľské zmluvy, audity dodávateľa, umiestnenie a správa dát.
7. Interné pravidlá a školenia – aby systém nebol používaný nad rámec účelu (napr. „mikro-monitoring“ prestávok).

Autor článku sa domnieva, že biometrická dochádzka by bola zákonná (aj napriek uskutočneniu vyššie uvedených krokov) len v prípade vstupu do citlivých priestorov, napr. kritická digitálna infraštruktúra, letiská, priemyselné riadiace systémy, energetika, priestory s utajovanými skutočnosťami, farmaceutická výroba, biologické a chemické laboratóriá a pod.

Krátke FAQ k dochádzke biometriou

Môžeme to postaviť na súhlase zamestnanca?

Väčšinou nie. Súhlas v zamestnaní býva neslobodný; ak zamestnanec nemôže bezpečne súhlas odmietnuť bez následku, súhlas nie je platný.

Ale veď odtlačok je len „šablóna“, nie skutočný obraz prsta.

Stále ide o biometrický údaj, ak umožňuje potvrdiť identitu osoby. Stále teda spadá pod čl. 9 GDPR.

Musíme robiť DPIA?

Áno, spracúvanie biometrických údajov na účely identifikácie je na zozname“ operácií povinne podliehajúcich DPIA.

Stačí, že to potrebujeme kvôli presnejšej evidencii?

Nie. Zákonník práce nevyžaduje biometriu a existujú menej invazívne spôsoby vedenia dochádzky. Bez osobitného zákonného oprávnenia (alebo výnimočne platného súhlasu) spravidla chýba právny základ podľa čl. 9 GDPR.

Zhrnutie pre prax

Povinnosť viesť evidenciu pracovného času neznamená, že smiete používať odtlačky prstov. Forma evidencie dochádzky nie je Zákonníkom práce stanovená a biometria je pre bežnú dochádzku neprimeraná.

Biometria je osobitná kategória údajov; na jej spracúvanie potrebujete okrem právneho základu z čl. 6 GDPR aj výnimku podľa čl. 9 GDPR. V pracovnom vzťahu súhlas spravidla nefunguje.

DPIA je povinná a musíte vedieť preukázať nevyhnutnosť a primeranosť oproti menej invazívnym riešeniam vedenia dochádzky.

Potrebujete poradiť v oblasti GDPR? Neváhajte nás kontaktovať na avris@avris.sk .

The post Dochádzka odtlačkom prsta a kedy (ne)smie zamestnávateľ siahnuť po biometrii? appeared first on Avris Consulting.

Umelá inteligencia sa stala súčasťou každodennej práce – od analýzy a sumarizácie textov, cez písanie e-mailov až po tvorbu prezentácií. Čoraz častejšie dochádza k situáciám, keď zamestnanci používajú nástroje, ktoré ich IT oddelenie nepozná ani neschválilo. A práve tu sa začína riziko. „Neviditeľný pomocník“ sa razom môže zmeniť na zdroj úniku dôležitých firemných či osobných údajov. Bavíme sa tu o novom fenoméne –  takzvanom shadow AI.

Čo je Shadow AI

Pojem shadow AI označuje využívanie umelej inteligencie mimo kontroly organizácie – teda bez vedomia a súhlasu IT oddelenia. Môže ísť o používanie populárnych chatbotov, online prekladačov či generátorov textov a obrázkov, ale aj o vlastné AI aplikácie alebo agenty, ktoré si zamestnanci vytvoria pre zefektívnenie práce.

Najčastejším zdrojom shadow AI sú práve generatívne AI nástroje – teda systémy schopné na základe textového zadania vytvárať nový obsah, sumarizovať dokumenty, analyzovať dáta alebo programovať. Ich sila je obrovská, no zároveň skrývajú riziko, že sa do nich nevedomky odošlú interné alebo osobné údaje, ktoré môžu byť následne spracované alebo uložené mimo kontrolu organizácie. Tieto údaje ďalej môžu byť použité na tréning AI modelov a časom sa potenciálne môžu dostať na verejnosť vo forme odpovedí od AI modelu inému používateľovi. Aj preto sa shadow AI dnes stáva jedným z najdiskutovanejších tém kybernetickej bezpečnosti.

Výpovedné údaje: ako rastie používanie a čo hovoria čísla

Podľa Netskope Threat Labs (2025) využíva dnes až 89 % organizácií aspoň jednu AI aplikáciu. No až 60 % používateľov stále pracuje s AI nástrojmi, ktoré nie sú schválené ich IT oddelením – teda v zóne shadow AI. Medzi februárom a májom 2025 vzrástlo používanie generatívnych AI platforiem o 50 %, pričom sieťová prevádzka smerujúca do týchto služieb sa zvýšila až o 73 %. Najpopulárnejšími platformami sú Microsoft Azure OpenAI (29 %), Amazon Bedrock (22 %) a Google Vertex AI (7 %).

Ešte znepokojujúcejšie sú dáta z praxe. IBM vo svojej správe Cost of a Data Breach 2025 uvádza, že 20 % organizácií už zaznamenalo únik dát spôsobený nesprávnym používaním AI nástrojov. Firmy s vysokou mierou shadow AI mali priemerné náklady na incident až o 670 000 USD vyššie než ostatné.
Len 3 % z nich mali adekvátne nastavené prístupové opatrenia k AI systémom – zvyšok nevedel presne určiť, kto a aké nástroje používa. Ukazuje sa, že problém nie je len v nedisciplinovanosti používateľov, ale aj v neexistencii rámca, ktorý by AI v organizácii riadil a monitoroval.

Prečo je Shadow AI nebezpečný

1. Únik firemných informácií – Ak zamestnanec zadá do AI interné dáta, texty zmlúv či kód, tieto informácie sa môžu dostať mimo organizáciu a stať sa súčasťou trénovacích dát modelu.
2. Strata kontroly a auditovateľnosti – IT oddelenie často ani nevie, že niekto takýto nástroj používa. Nie je možné spätne overiť, čo sa odoslalo a kam.
3. Riziko regulácií a pokút – Porušenie GDPR alebo iných predpisov môže viesť k vysokým sankciám a reputačnej strate.
4. Zneužitie AI útočníkmi – Generatívna AI sa dnes využíva aj na tvorbu realistických phishingov či deepfake obsahu. Podľa dát IBM bola generatívna umelá inteligencia zapojená až v 16 % všetkých kybernetických incidentov v roku 2025.

Všetky tieto riziká robia zo shadow AI nie len technologický, ale aj organizačný problém.

Ako tomu čeliť

Úspešná ochrana pred shadow AI spočíva v kombinácii technológií, procesov a vzdelávania:

• Zmapujte svoje prostredie – zistite, aké AI aplikácie sa v organizácii používajú, aj tie, ktoré neprešli schválením.
• Zaveďte technické opatrenia – centrálna správa zariadení (MDM),  DLP alebo SIEM riešenia dokážu odhaliť neautorizované AI požiadavky či prenos klasifikovaných údajov.
• Nastavte jasné pravidlá – vytvorte internú politiku pre používanie AI, definujte povolené nástroje a nastavte proces schvaľovania nových.
• Vzdelávajte používateľov – školenia a real-time upozornenia pomáhajú predchádzať chybám a nevedomému zdieľaniu dát. Vo vzdelávaní dbajte na to, aby zamestnanci nevkladali do verejných (mimo schválených organizáciou) AI modelov interné údaje. Ich použite na všeobecné otázky či úlohy, v ktorých sa neprezrádzajú údaje o organizácii, projekte či osobách môžu byť v poriadku. Problém vznikne vtedy, ak sa zamestnanci z „pohodlnosti“ snažia vyriešiť pripomienkovanie interných zmlúv, spracovanie databázy údajov a pod. za pomoci umelej inteligencie.

Spolu bezpečne do éry umelej inteligencie

Bezpečné využívanie umelej inteligencie je možné – ak je pod kontrolou.
Namiesto obmedzovania AI technológií by organizácie mali zamerať pozornosť na ich zodpovedné a riadené používanie.

Naša spoločnosť pomáha firmám odhaliť a minimalizovať riziká spojené so shadow AI, nastaviť interné politiky pre generatívnu AI, zaviesť technické opatrenia a zabezpečiť vzdelávanie používateľov.

Kontaktujte nás a zistite, ako môže vaša organizácia využívať výhody umelej inteligencie bezpečne, efektívne a v súlade s kybernetickými štandardmi.

The post Shadow AI – skrytá hrozba pri kybernetickej bezpečnosti appeared first on Avris Consulting.

The post Audit kybernetickej bezpečnosti – overenie stavu KB appeared first on Avris Consulting.

Nedávno odhalená zraniteľnosť v nástroji OpenSSH (pozri tu), ktorý sa využíva na sieťovú komunikáciu v Unixových systémoch vrátane Linuxu, opäť otvára otázku bezpečnosti open-source softvéru. Podľa tímu Qualys Threat Research ide o jednu z najvážnejších bezpečnostných hrozieb od čias zraniteľnosti log4shell. Pre organizácie, ktoré používajú Unixové systémy vo svojej sieti, to znamená vysoké bezpečnostné riziko.

Čo je zraniteľnosť regreSSHion?

Nová zraniteľnosť označená ako CVE-2024-6387, známa pod názvom regreSSHion, predstavuje vážne nebezpečenstvo. Ak nie je správne opravená, umožňuje útočníkom úplne ovládnuť systém, spúšťať ľubovoľný kód, inštalovať škodlivý softvér či vytvárať zadné vrátka. Toto všetko vedie k rozsiahlym dátovým únikom a obchádzaniu bezpečnostných mechanizmov. Aj keď je táto zraniteľnosť technicky náročná na zneužitie, pokroky v technológiách ako hlboké učenie môžu útočníkom poskytnúť výhodu a zvýšiť pravdepodobnosť úspešnosti ich útokov.

Problém sa dotýka verzií OpenSSH, ktoré sú široko používané na Unixových systémoch. Kým niektoré verzie boli opravené, zraniteľnosť sa objavila znova v novších vydaniach softvéru. To poukazuje na problémy pri používaní open-source riešení, ktoré nie sú vždy podporované rovnakou úrovňou bezpečnosti a aktualizácií ako komerčné alternatívy.

Prečo je čas zvážiť zmenu?

Unixové systémy, ako napríklad Linux či FreeBSD, majú veľkú komunitu používateľov, ktorí ich obhajujú pre ich otvorenosť a flexibilitu. Avšak práve táto otvorenosť vedie k tomu, že nie sú vždy také bezpečné ako klasické komerčne podporované systémy.

Podporované operačné systémy (teda operačné a informačné systémy s podporou zo strany tvorcu, resp. výrobcu) poskytujú niekoľko kľúčových výhod:

1. Pravidelné aktualizácie a bezpečnostné záplaty: Zatiaľ čo open-source projekty často závisia od dobrovoľníkov a nadšencov, komerčne podporované systémy poskytujú pravidelné aktualizácie s dôrazom na rýchle riešenie bezpečnostných chýb. Potenciálne zraniteľnosti sú eliminované skôr, než môžu spôsobiť vážne škody.
2. Oficiálna technická podpora: Na rozdiel od Unixových systémov, kde sa používatelia musia často spoliehať na komunitu, klasické komerčné systémy poskytujú profesionálnu podporu, čo môže byť kritické pri riešení zložitých problémov alebo závažných zraniteľností.
3. Lepšia kompatibilita s firemnými riešeniami: Mnoho softvérových riešení a nástrojov je vyvinutých prednostne pre klasické komerčné systémy, čo zabezpečuje lepšiu integráciu a bezpečnosť v rámci firemných infraštruktúr.

Bezpečnostné odporúčania pre organizácie

Pre organizácie, ktoré používajú OpenSSH na Unixových systémoch, je nevyhnutná okamžitá aktualizácia na najnovšiu verziu a aplikovanie dostupných záplat. Rovnako dôležité je obmedziť prístup cez SSH pomocou sieťových kontrol, implementovať segmentáciu sietí a nasadiť systémy na detekciu prienikov, ktoré môžu odhaliť podozrivé aktivity.

Pre dlhodobú bezpečnosť je možno na čase prehodnotiť používanie Unixových systémov a zvážiť prechod na komerčne podporované riešenia, ako je Microsoft Windows prípadne komerčne podporované distribúcie Unixového systému, ktoré ponúkajú vyššiu úroveň bezpečnosti a kontinuálnu podporu. Riziká spojené so zraniteľnosťami v open-source softvéri, ako je OpenSSH, sú dôkazom toho, že používanie profesionálne podporovaných systémov môže výrazne znížiť pravdepodobnosť kybernetických útokov a zabezpečiť stabilnejšiu IT infraštruktúru.

A ako hovoria finanční riaditelia – radšej platiť podporu ako svojpomocne spravovať nepodporované operačné systémy a iné produkty.

The post Qualys upozorňuje na vážnu zraniteľnosť v OpenSSH appeared first on Avris Consulting.

Čo vám táto výzva ponúka?

• Finančná podpora: Môžete získať až 90% refundáciu nákladov na vypracovanie bezpečnostnej dokumentácie.
• Zvýšenie bezpečnosti: Získate návod, ako ochrániť svoju firmu pred kybernetickými útokmi a chrániť vaše citlivé údaje.
• Splnenie legislatívnych požiadaviek: Vytvorená dokumentácia bude v súlade s platnou legislatívou.

Kto sa môže prihlásiť?

• Malé a stredné podniky: Živnostníci a mikropodniky bohužiaľ nie sú oprávnenými žiadateľmi.

Aké projekty sú podporované?

• Vypracovanie bezpečnostnej dokumentácie: Získajte podrobný plán, ako zabezpečiť IT systémy vašej firmy.

Koľko peňazí môžete získať?

Flexibilné financovanie: Výška grantu závisí od veľkosti vašej firmy a rozsahu projektu.

Ako získať grant

• Buďte rýchli: Platí princíp „prvý príde, prvý melie“.
• Splňte podmienky: Musíte byť zapísaní v registri partnerov verejného sektora a spĺňať ďalšie kritériá.
• Pripravte si dokumenty: Vopred si pripravte Vyhlásenie na kvalifikovanie sa ako MSP a Test podniku v ťažkostiach.

Čo ešte potrebujete vedieť?

• Zdroje: Granty sú financované z programu Digitálna Európa a Plánu obnovy.
• Výška prostriedkov: Celkový objem finančných prostriedkov je 1 869 900 €.
• Spôsob vyplatenia: Grant bude vyplatený až po úspešnom dokončení projektu.
• Dôležité upozornenie: Účasť právnických osôb, ktoré nie sú pod kontrolou EÚ krajín, je vylúčená.

Odporúčania:

• Konajte rýchlo: Prihláste sa do registra partnerov verejného sektora čo najskôr.
• Pripravte sa vopred: Vypracujte si všetky potrebné dokumenty.
• Neváhajte sa informovať: Ak máte akékoľvek otázky, neváhajte kontaktovať Kompetenčné a certifikačné centrum kybernetickej bezpečnosti.

Chcete sa dozvedieť viac?

Sledujte oficiálne stránky NCC-SK, kde nájdete všetky potrebné informácie a podmienky účasti vo výzve.

Investujte do kybernetickej bezpečnosti vašej firmy ešte dnes!Pripravte svoj podnik na zmeny súvisiace s novou legislatívou NIS2 kým je ešte čas. Viac sa dozviete v našom blogu NIS2: Dobiehame zameškané?

Radi vám poskytneme naše vysoko odborné služby v tejto oblasti kybernetickej bezpečnosti. Využite našu bezplatnú konzultáciu

Prajeme vám veľa úspechov pri získavaní grantu!

The post Chcete posilniť kybernetickú bezpečnosť svojej firmy a získať na to finančnú podporu? appeared first on Avris Consulting.

Tri piliere informačnej a kybernetickej bezpečnosti

Fungujúca informačná a kybernetická bezpečnosť musí byť založená na spolupráci troch hlavných oblastí:

• hlavný biznis organizácie,
• technológie a
• procesy.

Hlavný biznis je v prípade orgánov verejnej moci poslanie, resp. účel, pre čo bola príslušná organizácia zriadená. V komerčnom prostredí sa samozrejme jedná o hlavnú činnosť, resp. predmet podnikania.

Procesy určujú tok informácií, technológií, ľudí, resp. aktív a vzťahy medzi nimi. V rámci pilierov bezpečnosti bude potrebné zaradiť bezpečnostné aspekty do každého procesu. Možno si to predstaviť obdobne ako bezpečnosť pri práci, ktorá je súčasťou každého procesu a predovšetkým sa vynucuje vo výrobných závodoch.

Technológie ako technické prostriedky pre napĺňanie cieľov hlavného biznisu organizácie možno charakterizovať na dva hlavné druhy:

• prevádzkové technológie a
• bezpečnostné technológie.

Ideálne je, ak jedna technológia obsahuje možnosti pre oba prípady použitia. Dobrým príkladom je operačný systém, ktorý je prispôsobený na beh ľubovoľných programov využívaných v organizácií (informačné systémy), ale zároveň obsahuje možnosti pre vynucovanie bezpečnosti (napr. aktualizačný mechanizmus, blokovací mechanizmus pri nesprávnom prihlásení, antimalvér a pod.)

Systémový prístup

Podrobný návod, akým je možné docieliť želaný stav kybernetickej odolnosti nie je jednoduché nájsť ani vymyslieť. Je potrebné prihliadať na kontext a špecifiká organizácie. V prípade kybernetickej bezpečnosti postupujeme v súlade s Vyhláškou NBÚ č. 362/2018 Z. z., ktorá vychádza z medzinárodne uznávaných štandardov ako ITIL a ISO/IEC 27001 – ISMS.

Základom každého štandardu je iteračný postup v cykle PDCA (plánuj, rob, kontroluj, jednaj). Jeho princípom je práve prepojenie procesov a technológií, samozrejme v nadväznosti na hlavný biznis organizácie.

Na základe tohto postupu môžeme definovať 4 fázy, ktorými si postupne prejde každá organizácia, ktorá chce zlepšiť svoju kybernetickú bezpečnosť.

Fáza 1 – zmapovanie stavu

V prvom kroku je nevyhnutné zdokumentovať a preskúmať aktuálny stav. Práve zapísanie toho čo už je k dispozícií je kľúčové, nakoľko je možné že niektoré aktíva podporujú bezpečnostné mechanizmy, ktoré budú neskôr vynucované.

Fáza 2 – stabilizácia stavu

V tejto fáze sa odstraňujú predovšetkým najkritickejšie nezhody a technické miskonfigurácie. Zaraďujeme sem nastavenie bezpečnostnej brány, logovania, antimalvérových riešení a pod. V tejto fáze je potrebné stanoviť pravidlá a komplexne zabezpečiť infraštruktúru vrátane pracovných staníc či serverov.

Fáza 3 – nastavenie aktívnej bezpečnosti pre zlepšenie odolnosti

V treťom kroku je potrebné nastaviť monitoring IT infraštruktúry. Rozlišujeme dva druhy monitoringu – prevádzkový a bezpečnostný.  Realizuje sa taktiež aj príprava na mimoriadne udalosti – kontinuita.

Zálohovanie, kontinuita a plány obnovy tvoria dôležitú súčasť riadenia informačnej bezpečnosti. Bez proaktívnych opatrení a plánov, postupov, resp. konkrétnych scenárov čo sa bude vykonávať pre prípad mimoriadnej situácie sa už v dnešnej dobe nezaobídeme. Nepostačuje tvrdenie administrátora, ktorý je častokrát z externej firmy alebo živnostník, že zálohy máme, nejako to obnovíme. Nevyhnutné je bezpečne oddeliť zálohy od produkčnej infraštruktúry, stanoviť postupy a pravidelne kontrolovať schopnosť obnoviť údaje zo záloh. Rovnako tak aj plány kontinuity – v prípade, ak bude plánovaná odstávka energie, býva akceptovateľné, že pracovníci majú voľno a organizácia nevykonáva svoju biznis činnosť. Avšak v prípade neočakávaného výpadku, na ktorý sa organizácia vopred nepripravila nemožno očakávať bezstarostné riešenie zo strany IT administrátora.  V praxi sme sa stretli s naivnými očakávaniami vrcholového manažmentu, že v prípade ak majú k serveru zapojenú záložnú batériu – UPS, budú môcť pracovníci pracovať z notebookov (tiež na batérií). Veľmi prekvapivým bolo zistenie, že UPS v danej organizácií nemá takú kapacitu, aby vydržalo celý pracovný deň a rovnako nie je dimenzované pre všetky komponenty siete, vrátane WiFi prístupových bodov.

Súčasťou kontinuity je aj spracovanie havarijných plánov, ktoré sú spracované takým spôsobom, ktoré umožnia aj nezainteresovanému odborníkovi vykonať konkrétne akcie, kroky, ktoré sa vyžadujú pre úspešné preklenutie nečakanej situácie.

Fáza 4 – riadenie aktívnej bezpečnosti

Vo štvrtej fáze sa realizujú dokumentačné podklady, uzatvára sa cyklus bezpečnostného konceptu a všetko čo bolo vytvorené a zavedené sa popisuje. Súčasťou je aj zaradenie do existujúcej dokumentácie a procesov organizácie. Vytvára sa riadená dokumentácia, ktorá je v každom okamihu aktuálna.

Dokumentácia, ktorú svojim zákazníkom navrhujeme nie je vytvorená iba aby bola. Naši technickí a technologickí konzultanti majú skúsenosti z IT oddelení a štruktúra dokumentácie je spracovaná tak, aby vo vybraných častiach mohla byť považovaná za živý dokument, ktorý je zároveň pomôckou a každodenným sprievodcom pracovníkom IT oddelenia.

Záver

Ako sme už spomínali, kybernetická bezpečnosť nie je jednorazová záležitosť a preto „papierová bezpečnosť“ nestačí. Ponúkame Vám skutočnú bezpečnosť, ktorá pomôže nielen zlepšiť Vašu kybernetickú odolnosť ale aj prevádzku či konkurencieschopnosť. Pomôžeme Vám aj s vyššie uvedenými štyrmi fázami a samozrejme aj s celým procesom budovania pilierov kybernetickej bezpečnosti.

The post NIS2: Proaktívna informačná a kybezernetická bezpečnosť appeared first on Avris Consulting.

Organizácie „bez postoja“

Tento postoj môžeme zhodnotiť jednou vetou „neviem, nemám, neriešim“, prípadne obľúbenými výrokmi „čo už by u mňa kto získal, ak by na mňa zaútočil?“. V takýchto prípadoch má organizácia realizované iba niektoré, častokrát predvolené bezpečnostné mechanizmy, napr. antivírus na počítači (súčasťou operačného systému a ponechaný v predvolenom nastavení), či predvolene zapnuté automatické aktualizácie. Vo väčšine prípadov spolieha na svojho IT správcu (ak ho vôbec má), pričom ten rieši primárne prevádzku a poruchové stavy. Rovnako takáto organizácia spolieha na externých dodávateľov, napr. webhosting, emailový server a pod., o konkrétne nastavenia sa vôbec nezaujíma, keďže majú pocit, že to „nie je ich starosť“. Dokumentácia alebo aspoň evidencia prihlasovacích údajov ku kľúčovým systémom je nedostupná.

V takýchto organizáciách absentuje akákoľvek predstava o informačnej bezpečnosti a elementárne pravidlá pre používateľovi či administrátorov neexistujú. Je len otázka času, kedy sa stanú obeťou útoku a investičný dlh sa v priebehu niekoľkých hodín či minút niekoľkonásobne zúročí.

Organizácie „náhodné“

Tento postoj sa oproti organizácií „bez postoja“ odlišujú tým, že už síce majú istú predstavu o tom, ako by mala informačná bezpečnosť vyzerať, avšak realizácia bezpečnostných mechanizmov nastane až po tom, keď sa poučia. Chvíľa poučenia prichádza spravidla po bezpečnostnom incidente, ransomvéri, či kompromitácií obsahu webovej stránky za škodlivý kód alebo mládeži neprístupný audiovizuálny materiál.

Organizácia má isté predstavy avšak hovoriť o premyslenej a systematickej koncepcií nie je na mieste. Dôsledkom tohto postoja organizácií k bezpečnosti je nefunkčnosť technológie a zvýšené finančné náklady na riešenie mimoriadnych stavov.

Takéto organizácie nájdeme v sektore podnikov všetkých veľkostí alebo v štáte – mestá, obce ale i štátne úrady, vrátane organizácií poskytujúcich služieb nevyhnutných pre život, napr. vodárne.

Organizácie „systematické“

V tomto prípade si organizácie kladú za cieľ riešiť otázky kybernetickej bezpečnosti nie preto, že musia, ale preto, že si uvedomujú skutočný prínos.

Prístup je náročný finančne či personálne, avšak koncepčným a strategickým uvažovaním, využitím analýzy rizík a analýzy dopadov na podnikanie organizácie vedia stanoviť, čo sú kritické oblasti a tieto budú vyriešené prioritne. Ostatné oblasti riešenia postupne, podľa možností a s využitím kombinácie rôznych prístupov a nástrojov. Snažia sa vyťažiť maximum z rôznych bezpečnostných prvkov a technológií, ktoré majú v organizácií k dispozícií. Procesy organizácie sú v symbióze s požiadavkami na kybernetickú bezpečnosť, pričom pri zavádzaní nových postupov a riešení nových situácií sa v rovine samozrejmosti prihliada na otázky kybernetickej bezpečnosti a ochrany osobných údajov.

Takéto organizácie nie sú prekvapené, ak sa ich začne týkať nová legislatívna požiadavka v oblasti kybernetickej bezpečnosti. Vo väčšine prípadov postačuje upraviť existujúce procesy, aktualizovať dokumentáciu aby jednoznačnejšie uvádzala prepojenia medzi požiadavkami legislatívy a reálnym stavom. Pravidelnými internými previerkami a legislatívou vyžadovanými auditmi získajú prehľad o stave ich kybernetickej odolnosti a tieto zistenia prijímajú ako fakt, bez snahy ovplyvniť mieru zabezpečenia latentnými vplyvmi.

Do ktorej skupiny patrí Vaša organizácia?

Ste pripravení na legislatívne požiadavky, ktoré prinesie NIS2 ak sa Vaša organizácia nachádza v kategórií „veľký podnik“ (ak zamestnáva 50 a viac zamestnancov, alebo dosahuje ročný obrat alebo bilančnú sumu ročnej súvahy aspoň 10 miliónov EUR.) a zároveň pôsobíte v tejto oblasti:

• Chemický priemysel
• Odpadové hospodárstvo
• Poskytovatelia digitálnych služieb
• Poštové služby
• Potravinárstvo
• Výroba (zdravotnícke zariadenia, elektronika, motorové vozidlá)
• Výskum (s výnimkou vzdelávacích inštitúcií)

Samozrejme nezabúdajme na súčasné organizácie, ktoré sú zaradené do zoznamu Základných služieb NBÚ, pričom túto skutočnosť je možné overiť si online https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/.

Dobehnete zameškané investície pre kybernetickú odolnosť alebo necháte sa dobehnúť? Kybernetická bezpečnosť nie je jednorazová záležitosť a preto „papierová bezpečnosť“ nestačí. Ponúkame Vám skutočnú bezpečnosť, ktorá pomôže nielen zlepšiť Vašu kybernetickú odolnosť ale aj prevádzku či konkurencieschopnosť.

Nespoliehajte sa na svojho IT pracovníka, dodávateľa alebo partnera v oblasti bezpečnosti ochrany zdravia pri práci, že spracovaním „pro forma“ dokumentácie budete mať zaistený súlad s požiadavkami zákona! V prípade incidentu sa bude prihliadať na skutočný stav a vyspelosť Vašej organizácie kybernetickej odolnosti.

The post NIS2: Dobiehame zameškané? appeared first on Avris Consulting.