Kybernetická bezpečnosť vo verejnej správe nie je len o zavedení bezpečnostných opatrení, ale najmä o ich pravidelnom overovaní, hodnotení a zlepšovaní. Aj dobre nastavené procesy časom strácajú účinnosť, ak sa systematicky nekontrolujú a neprispôsobujú zmenám technológií, hrozieb a organizácie.

Práve preto je audit a interná kontrola jednou z oblastí Jednotného metodického rámca, ktorý Centrálny portál kybernetickej bezpečnosti sprístupňuje organizáciám ako praktický metodický nástroj.

Od legislatívnej povinnosti k reálnemu prínosu

Metodika auditu a internej kontroly vychádza z platného rámca kybernetickej bezpečnosti na Slovensku, najmä zo zákona o kybernetickej bezpečnosti a z vykonávacej vyhlášky o audite. Cieľom nie je vytvárať ďalšiu administratívu, ale pomôcť organizáciám splniť povinnosti zmysluplne, preukázateľne a efektívne.

Metodický postup sa zameriava na pravidelné overovanie toho, či:

• prijaté bezpečnostné opatrenia zodpovedajú požiadavkám predpisov,
• sú opatrenia správne implementované a reálne funkčné (nie iba „na papieri“),
• bezpečnostné politiky dodržiavajú zamestnanci, administrátori aj dodávatelia,
• organizácia dokáže včas identifikovať slabé miesta a riziká.

Audit nie je opatrenie. Je to dôkaz.

Audit kybernetickej bezpečnosti nemožno chápať ako bezpečnostné opatrenie samo o sebe. Je to systematický proces získavania a vyhodnocovania dôkazov, na základe ktorých možno objektívne posúdiť stav bezpečnosti v organizácii.

Zmyslom auditu je overiť mieru zhody prijatých opatrení s požiadavkami zákona a súvisiacich predpisov, a zároveň zhodnotiť, ako efektívne sú tieto opatrenia v praxi prevádzkované. Vyhláška o audite výslovne pracuje s overením plnenia povinností a posúdením zhody prijatých bezpečnostných opatrení zo zákonom a relevantnými predpismi.

Audit verzus testovanie: nie je to to isté

V praxi sa často zamieňajú pojmy audit a bezpečnostné testovanie. Rozdiel je zásadný:

Bezpečnostné testovanie (napr. sken zraniteľností, penetračné testy) overuje konkrétne technické vlastnosti systémov. Má opakovateľné postupy, scenáre a dá sa realizovať aj interne alebo cez dodávateľa.

Audit kybernetickej bezpečnosti ide ďalej: dôraz kladie na systematickosť, nezávislosť a dokumentované vyhodnocovanie dôkazov. Výstupom je nestranné posúdenie zhody s predpismi a/alebo normami.

Aj NIS2 ráta s tým, že orgány dohľadu môžu požadovať cielené bezpečnostné audity vykonané nezávislým subjektom, teda „audit“ v zmysle nezávislého hodnotenia, nie iba technického testu.

Nezávislosť a kvalifikácia ako základ dôveryhodnosti

Základným odlišovacím znakom auditu je požiadavka na osobu, ktorá ho vykonáva. Zákon o kybernetickej bezpečnosti stanovuje, že audit vykonáva certifikovaný audítor kybernetickej bezpečnosti; vyhláška o audite tento rámec ďalej rozpracúva.

Nezávislosť audítora a jeho odborná spôsobilosť sú kľúčové, aby výsledky auditu mali dôveryhodnú výpovednú hodnotu a aby boli použiteľné ako podklad pre rozhodovanie manažmentu (rozpočet, priority opatrení, akceptácia rizík, plán nápravy).

Nezabudnúť na sektorové požiadavky

Pri auditoch je dôležité pracovať nielen so „všeobecným“ rámcom kybernetickej bezpečnosti, ale aj so sektorovými vykonávacími predpismi, ktoré pre konkrétne prostredia dopĺňajú (a spresňujú) očakávané bezpečnostné opatrenia.

Vo verejnej správe sem patrí aj zákon o informačných technológiách verejnej správy (ZoITVS) a jeho vykonávací predpis, vyhláška o kategorizácii a obsahu bezpečnostných opatrení ITVS (č. 179/2020 Z. z.). V praxi to znamená, že audit by mal vedieť preukázateľne posúdiť aj súlad s minimálnymi bezpečnostnými opatreniami vyplývajúcimi z týchto „sektorových“ pravidiel (najmä tam, kde sú konkrétnejšie než všeobecné požiadavky).

Ako na audit v praxi (plánovanie, výkon, vyhodnotenie)

Metodika poskytuje jednoduchý a použiteľný postup, ako audit a internú kontrolu v organizácii:

• naplánovať (rozsah, kritériá, dôkazy, harmonogram),
• riadiť (roly, zodpovednosti, komunikácia, práca s nálezmi),
• vyhodnotiť (zistenia, riziká, odporúčania, plán nápravy),
• zlepšovať (sledovanie nápravných opatrení a opakované overenie).

Praktickou pridanou hodnotou sú aj kontrolné checklisty (napr. pre riadenie zmien, hodnotenie dodávateľov, cloudové služby či kontinuitu činností/BCM), ktoré pomáhajú preniesť metodiku z dokumentu do každodennej praxe. Metodické materiály k auditu zverejňuje aj NBÚ v rámci metodiky auditu kybernetickej bezpečnosti.

Audit ako nástroj prevencie, nie sankcie

Hlavným zmyslom auditu nie je „hľadať vinníkov“, ale včas odhaliť slabé miesta, skryté riziká a neodhalené hrozby a prijať nápravné opatrenia skôr, než dôjde ku kybernetickému incidentu s reálnymi dopadmi na služby, dôveryhodnosť či financie organizácie.

Zaradením oblasti auditu a internej kontroly do Jednotného metodického rámca získavajú organizácie verejnej správy ucelený, zrozumiteľný a praktický návod, ako si systematicky overovať úroveň svojej kybernetickej bezpečnosti a dlhodobo ju zvyšovať.