Ľudia ako prvá línia obrany

V rámci implementácie Jednotného metodického rámca kybernetickej bezpečnosti sa čoraz výraznejšie ukazuje, že ľudský faktor je jedným z najkritickejších prvkov ochrany informačných systémov verejnej správy. Efektívne riadenie ľudských zdrojov (ďalej len „HR“) v kybernetickej bezpečnosti nie je len otázkou organizačnej kultúry, ale aj zákonnej povinnosti.

Prihlásení užívatelia majú smernicu a metodiku k dispozícií na stiahnutie TU

Prečo je HR dôležité pre kybernetickú bezpečnosť?

Zamestnanci verejnej správy sú často prvou líniou obrany proti kybernetickým hrozbám. Ich informovanosť, kompetencie a správanie rozhodujú o tom, či sa organizácia stane obeťou útoku, alebo ho dokáže včas identifikovať a eliminovať. Preto je nevyhnutné, aby HR procesy zahŕňali:

• Bezpečnostné preverovanie zamestnancov pred nástupom do funkcie.
• Pravidelné školenia a testovanie vedomostí v oblasti kybernetickej bezpečnosti.
• Zavedenie bezpečnostných štandardov do pracovných zmlúv a interných predpisov.
• Riadenie prístupových práv a kontrola nad citlivými údajmi.
• Incident management – jasne definované postupy pri porušení bezpečnosti.

HR ako súčasť metodického rámca

Jednotný metodický rámec definuje HR ako jeden zo základných pilierov kybernetickej bezpečnosti. V praxi to znamená, že každá organizácia verejnej správy by mala:

• Identifikovať kľúčové roly v oblasti kybernetickej bezpečnosti.
• Vytvoriť kompetenčný model pre jednotlivé pozície.
• Zaviesť cyklické hodnotenie rizík spojených s ľudským faktorom.
• Pravidelne aktualizovať vzdelávacie plány a interné politiky.

Príklady z praxe

• Mestský úrad zaviedol školenia s phishing simuláciou

Mestský úrad v strednom Slovensku začal pravidelne testovať zamestnancov pomocou simulovaných phishingových e-mailov. Výsledkom bolo zníženie počtu kliknutí na škodlivé odkazy o 70 % v priebehu šiestich mesiacov. Tento prístup sa stal súčasťou onboarding procesu nových zamestnancov.

• Ministerstvo s jasne definovanými rolami

Jedno z ministerstiev SR implementovalo kompetenčný model pre pozície ako „bezpečnostný správca“ a „správca prístupových práv“. Vďaka tomu sa znížila duplicita prístupov a zlepšila sa auditovateľnosť systémov.

• Obecný úrad a incident s USB kľúčom

V roku 2024 došlo na obecnom úrade k incidentu, keď zamestnanec použil neautorizovaný USB kľúč, čím ohrozil bezpečnosť systému. Po incidente bol zavedený systém technických a organizačných opatrení – vrátane školení, interných smerníc a technických obmedzení – ktoré podobné situácie eliminovali.

• Zdieľanie osvedčených postupov medzi úradmi

Viaceré úrady začali spolupracovať na vytváraní spoločných vzdelávacích modulov, čím sa znížili náklady a zvýšila kvalita školení. Vznikla tak platforma pre výmenu skúseností a incidentov, ktorá pomáha predchádzať opakovaniu chýb.

Odporúčania pre orgány verejnej moci

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR odporúča, aby orgány verejnej moci:

1. Zrevidovali svoje HR procesy v kontexte kybernetickej bezpečnosti.
2. Zabezpečili školenia pre všetkých zamestnancov, vrátane manažmentu.
3. Zaviedli mechanizmy kontroly a auditu HR procesov.
4. Spolupracovali s odborníkmi na kybernetickú bezpečnosť pri tvorbe HR politík.

Ak nemáte vytvorený používateľský účet na Centrálnom portály kybernetickej bezpečnosti, pokračujte podľa návodu na registráciu TU.

V ďalšej časti seriálu sa budeme venovať oblasti Jednotného metodického rámca pod názvom Riadenie tretích strán.