Kybernetická bezpečnosť už dávno nie je témou len pre IT oddelenia. V digitálnom svete, kde verejné inštitúcie denne spracúvajú tisíce citlivých údajov, je zabezpečenie systémov nevyhnutnosťou. Ministerstvo investícií, regionálneho rozvoja a informatizácie SR (ďalej len „MIRRI SR“) preto aktívne dohliada na to, aby štátne úrady a organizácie dodržiavali pravidlá kybernetickej bezpečnosti.

Proces kontroly sa uskutočňuje podľa zákona č. 10/1996 Z. z. o kontrole v štátnej správe. MIRRI SR kontroluje dodržiavanie povinností stanovených zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe v znení neskorších predpisov (ďalej len „ZoITVS“) a s ním súvisiacich vykonávacích predpisov, predovšetkým vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

Túto funkciu v rámci MIRRI SR plní odbor riadenia kybernetickej a informačnej bezpečnosti, v rámci sekcie kybernetickej bezpečnosti MIRRI SR. Zamestnanci MIRRI SR sa zúčastňujú kontrol na vybraných subjektoch verejnej správy osobne, v prípade potreby aj viackrát, a to v zmysle plánu kontrol vypracovaného na rok dopredu.

Kontroly v praxi: čo sa preveruje?

MIRRI SR prostredníctvom špecializovaného tímu pravidelne vykonáva kontroly kybernetickej bezpečnosti vo vybraných štátnych a verejných inštitúciách. Cieľom týchto kontrol nie je len identifikovať nedostatky ale najmä pomôcť – nasmerovať inštitúcie k lepšiemu zabezpečeniu bezpečnosti ich informačných systémov.

Najčastejšie chyby

Počas osobných návštev sa kontrolóri často stretávajú s opakujúcimi sa problémami:

• Zamestnanci nie sú dostatočne školení v oblasti kybernetickej bezpečnosti.
• Chýbajú plány na riešenie kybernetických incidentov alebo nie je jasné, komu ich nahlásiť.
• Zálohovanie dát nie je dostatočné – nie sú testované zálohy alebo sa nerobia pravidelne.
• Zraniteľnosti v systémoch sa neodstraňujú včas, čo zvyšuje riziko útokov.
• Prístupové údaje nie sú chránené – heslá sa zdieľajú alebo sa nemenia pravidelne.
• Chýba monitorovanie udalostí, ktoré by mohlo včas odhaliť podozrivú aktivitu.

Čo nasleduje po kontrole?

Po ukončení kontroly sa s vedením inštitúcie prerokuje protokol so zisteniami. V prípade akýchkoľvek nedostatkov (porušenie ZoITVS) nasleduje správne konanie, ktoré určí ďalší postup – vrátane možných sankcií.

Cieľ: zvýšiť odolnosť, nie trestať

Hlavnou úlohou týchto kontrol však nie je sankcionovať ale zvyšovať kybernetickú odolnosť verejného sektora. Tím odborníkov z MIRRI SR inštitúciám aktívne odporúča konkrétne zlepšenia, ktoré môžu výrazne znížiť riziko útokov či únikov dát.

Zistenia z kontrol zároveň slúžia ako dôležitý podklad pre tvorbu metodík, legislatívnych úprav či osvetových aktivít – ako napríklad KyberTour 2025, kde MIRRI SR šíri povedomie o kybernetickej bezpečnosti v regiónoch.