Terčom kybernetického útoku sa v uplynulých dňoch stal kataster nehnuteľností. Hackeri zašifrovali dáta a požadovali vysoké výkupné. Na niekoľko dní úplne ochromili hypotekárny trh, obchody s realitami či prácu stavbárov a geodetov. Obrovské množstvo citlivých údajov spravujú aj zdravotnícke inštitúcie. Napríklad Všeobecná zdravotná poisťovňa (VšZP) disponuje dátami o poistencoch, ktorých má takmer tri milióny. Národný bezpečnostný úrad (NBÚ) tvrdí, že napríklad sektory verejnej správy a zdravotníctva majú značné nedostatky medzi svojimi prevádzkovateľmi a úroveň kybernetickej bezpečnosti je v týchto sektoroch pomerne nízka.
„Pokusy o phishingové a ransomwareové útoky zaznamenávame pravidelne. Vďaka vhodným nastaveniam bezpečnostných nástrojov a politík však nie sú úspešné. Pokusy o vydieranie sme nezaznamenali,“ vysvetľuje pre Zdravotnícky denník komunikačný odbor VšZP. Vzhľadom na to, že zdravotnícke údaje sú klasifikované ako chránené, nie je podľa poisťovne možné podrobne popisovať spôsob a formy ochrany dát. Tvrdí však, že dáta pacientov sú chránené a zabezpečené proti ich zneužitiu a úniku mimo infraštruktúry VšZP.
Štátna zdravotná poisťovňa sa chráni pred kyberútokmi priebežným nastavovaním a aktualizáciou bezpečnostných nástrojov a politík, a taktiež komunikuje s partnermi v oblasti kybernetickej bezpečnosti. „Pravidelne vyhodnocujeme report mesačného skenu vyhotoveného v rámci systému Achilles od vládnej jednotky CSIRT.SK.“ informuje komunikačný odbor VšZP. Ide o samostatný odbor na ministerstve investícií, regionálneho rozvoja a informatizácie, ktorý zabezpečuje služby spojené so zvládaním bezpečnostných incidentov, odstraňovaním ich následkov a následnou obnovou činnosti informačných systémov a súvisiacich informačných a komunikačných technológií. Poskytuje aj služby preventívneho a vzdelávacieho charakteru.
„V oblasti ochrany fyzickej infraštruktúry máme nástroje na predchádzanie kybernetickým útokom vo forme loadbalancingu (vyrovnávania záťaže) a podobne. V rámci aplikácií, informačných systémov, infraštruktúry, firmware a elektronických komunikačných sietí pravidelne vykonávame a aktualizujeme hardening. Ide o proces zabezpečovania systémov tak, aby boli odolnejšie voči útokom a zneužitiu,“ dodáva VšZP.
Dáta sú v rámci VšZP zálohované s pravidlom 3-2-1. „Podľa tohto pravidla sa ukladá viacero kópií údajov na rôzne úložné zariadenia a rôzne miesta. 3-2-1 znamená vytvorenie troch kópií dát, uloženie kópií na dve technicky rôzne pamäťové média a aspoň jedna záloha mimo hlavnej lokality, offline v zabezpečenom priestore,“ približuje Národné centrum kybernetickej bezpečnosti SK-CERT.
Mohlo by vás zaujímať
VšZP v rámci zabezpečenia kybernetickej bezpečnosti spolupracuje s Národným bezpečnostným úradom, Kompetenčným a certifikačným centrom kybernetickej bezpečnosti, ministerstvom investícií, regionálneho rozvoja a informatizácie a s dodávateľmi jednotlivých riešení v rámci poisťovne. „Na pravidelnej báze prebieha audit kybernetickej bezpečnosti. Okrem neho prebieha v zmysle platnej certifikácie aj pravidelný audit podľa noriem ISO/IEC 27001 a ISO 9001,“ uzatvára VšZP.
„Obeťou kybernetického bezpečnostného incidentu sa môže stať naozaj každý. Potenciálne následky je však možné odstrániť dôsledným dodržiavaním zákona, kontinuálnym vzdelávaním, modernizáciou či stanovením jasných bezpečnostných opatrení. Národný bezpečnostný úrad sa zo zákonných aj praktických dôvodov nemôže vyjadrovať k úrovni kybernetickej bezpečnosti jednotlivých subjektov,“ vysvetľuje pre Zdravotnícky denník Peter Habara, hovorca NBÚ.
Dodáva však, že napriek určitým zlepšeniam úrad dlhodobo deklaruje, že napríklad sektory verejnej správy a zdravotníctva majú značné nedostatky medzi svojimi prevádzkovateľmi a úroveň kybernetickej bezpečnosti je v týchto sektoroch pomerne nízka.
