Zákon o kyberbezpečnosti prináša firmám nové povinnosti. Čo to znamená pre HR?
Chcete zistiť, ako na tom sú vaši zamestnanci s kyberbezpečnosťou? Skúste tzv. phishingový test. Externá firma, prípadne niekto od vás z IT oddelenia pošle zamestnancom e-mail, ktorý sa z nich pokúsi dostať prístupové meno a heslo do podnikového systému.
Zo skúsenosti kyberbezpečnostného odborníka Karola Suchánka na to skočí až 30 % ľudí. Na jeden šikovne napísaný manipulatívny e-mail! Navyše zamestnanci často ani netušia, že vašu firmu práve odovzdali do rúk hackerov.
Práve zlyhanie ľudského faktora stojí za drvivou väčšinou kyberbezpečnostných incidentov. A tie už dávno nie sú nič ojedinelé. Celosvetovo sa podľa Cyber Defense Magazine v roku 2023 denne uskutočnilo 1,7 milióna ransomware útokov. Ransomware útoky sú také, pri ktorých hackeri zašifrujú údaje a potom od vás chcú výkupné.
K ľudskému faktoru máte ako HRisti najbližšie. V súčinnosti s IT oddelením a vedením môžete pre aspoň čiastočné zatvorenie týchto dverí, ktoré robia každú firmu extrémne zraniteľnou, veľa urobiť.
Týka sa vás NIS2?
Výrazne vás v tom môže posunúť európska smernica NIS2 a jej implementácia do slovenskej legislatívy v podobe novely zákona o kybernetickej bezpečnosti, ktorá nadobudla účinnosť 1. januára 2025.
O čo ide? Pokiaľ ako firma alebo inštitúcia zaisťujete jednu z tzv. regulovaných služieb, budete musieť zaviesť konkrétne opatrenia na zvýšenie vlastnej kybernetickej bezpečnosti. Nepriamo potom na vás smernica dopadne, aj keď ste dodávateľom takejto firmy alebo inštitúcie. Ide o oblasti ako napríklad zdravotníctvo, doprava, energetika, bankovníctvo alebo verejná správa.
Nové pravidlá zavádzajú povinnosť hlásiť kyberbezpečnostné incidenty najneskôr 24 hodín od ich zistenia. To podľa Karola Suchánka, poradcu pre digitálnu bezpečnosť a lektora vzdelávacej platformy Seduo.sk, kladie veľké nároky najmä na ich detekciu, ktorá sa dnes v podnikoch podceňuje. Nezriedka vo firme netušia, že boli napadnutí a niekto vysáva ich dáta aj počas niekoľkých mesiacov.
Webinár vám teraz odomykáme na jeden mesiac zadarmo, nezmeškajte príležitosť dozvedieť sa viac.
Dôraz je na prevenciu a kontrolu
Zároveň zákon firmy tlačí, aby útokom predchádzali. Konkrétne tak, aby zaviedli systém riadenia bezpečnosti informácií, vrátane riadenia aktív (napríklad je dobré vedieť, kto má kľúče od serverovne a komu ich môže poskytnúť), rizík (ich vytipovanie a ošetrenie) alebo dohliadanie na dodávateľa. Zákon tiež nariaďuje pravidelné zálohovanie dát a testovanie ich obnovy po útoku.
Kontroly by mali byť časté. Nedodržiavanie zákona môže viesť k pokute až do výšky 10 miliónov eur alebo 2 % ročného obratu firmy. Podľa Suchánka je pokuta nastavená tak, aby motivovala k dodržiavaniu pravidiel. Cieľom Európskej únie aj Slovenska je predovšetkým zvýšiť úroveň kyberbezpečnosti, nie privádzať spoločnosti k bankrotu.
Nie každý zamestnanec sa má dostať všade
Ako sa NIS2 dotkne personalistov? Predovšetkým v dvoch oblastiach. Po prvé, ide o bezpečnosť ľudských zdrojov, správu a evidenciu prístupov do firemného systému a bezpečnostné roly.
Dôležité je povedať, že to sú procesy, ktoré by firmy mali zaviesť aj vtedy, ak pod NIS2 nespadajú. Určite sa to oplatí. Aj keď hackerom výkupné nezaplatíte, dať dohromady systém po útoku stojí veľa času a peňazí. Nezriedka sú to státisíce eur.
Začína sa to už pri nábore. U nového človeka je nutné nastaviť, do akých častí firmy a jej systému má mať povolené sa dostať. A všetko treba zaevidovať. Zároveň strážte zamestnancov, ktorí prechádzajú z oddelenia do oddelenia, aby mali tie správne práva. A ak nejaký človek z firmy odchádza, je nevyhnutné mu všetky prístupy odobrať. Znie to ako samozrejmosť, ale často sa na to zabúda.
Všeobecne sa pri nábore odporúča aj preverenie minulosti kandidáta a napríklad skúška kyberbezpečnostných znalostí, aby ste vedeli, ako na tom je.
Ďalej by ste mali mať podľa nového zákona bez ohľadu na veľkosť firmy obsadené tri základné roly:
- manažéra kybernetickej bezpečnosti, ktorý ju riadi,
- architekta kybernetickej bezpečnosti, ktorý systém stavia,
- bezpečnostného inžiniera, ktorý ho dennodenne monitoruje.
Počítajte s tým, že roly možno budete musieť outsourcovať, pretože dopyt po týchto profesiách je aj kvôli NIS2 obrovský.
Vzdelávanie o kyberbezpečnosti bude povinné
Druhá HR oblasť, o ktorej NIS2 hovorí, je povinné vzdelávanie bežných zamestnancov aj vrcholového manažmentu. Jeho súčasťou by mala byť aj evidencia. Bude sa to hodiť pri bezpečnostných auditoch, keď sa bude napríklad skúmať, či bol zamestnanec, ktorý pustil hackerov do firmy, dostatočne poučený, že nemá hovoriť svoje heslá cudziemu človeku do telefónu.
Inak ale za problémy v oblasti kyberbezpečnosti bude po novom primárne zodpovedať vedenie firmy.
Ak neviete, kde so vzdelávaním začať, skúste naše Seduo. Expert Karol Suchánek tam má okrem webinára zameraného na kybernetické výzvy v ére NIS2 ešte dva videokurzy venované bezpečnosti v online svete, ďalší pribudne najneskôr v marci 2025. Zamestnanci sa môžu preškoliť aj v bezpečnosti práce na cloude alebo ako na zabezpečenie počítača a hesiel pri práci s Macom. Po ich absolvovaní navyše vždy dostanete certifikát. A aj ten sa vám môže pri bezpečnostnom audite hodiť.
Článok vznikol v spolupráci s najväčšou česko-slovenskou advokátskou kanceláriou HAVEL & PARTNERS a dáta v ňom sú aktuálne k začiatku roka 2025. Hoci ho videli oči niekoľkých právnikov špecializujúcich sa na pracovné právo, chápte ho prosím iba ako informatívny a so všeobecným charakterom, nie ako návod. Ak vo vašej firme danú tému riešite, vždy sa poraďte s expertmi na pracovné právo a právo IT.
