Webinár KyberAliancie Slovensko: Kyberútok na váš biznis

Čo ak bude vaša firma obeťou kyberútoku? Aké sú prvé kroky po incidente? Kde hľadať pomoc? Ako rozbehnúť chod firmy po napadnutí? Ako sa z útoku poučiť? Ako by ste mohli predchádzať hackerským útokom? Aký je aktuálny stav novej legislatívy? Vyplývajú vašej firme z novely zákona o kybernetickej bezpečnosti (ZoKB) nejaké povinnosti? 

Množstvo otázok, na ktoré sa oplatí odpovedať stále dokola. Aby boli slovenské spoločnosti čoraz viac pripravené na reálne kybernetické hrozby a vedeli im čeliť. Aby mohli minimalizovať škody a obnoviť dôveru svojich klientov. Aj preto je tu KyberAliancia Slovensko, ktorá chce podať firmám pomocnú ruku a sprevádzať ich všetkými zákonnými povinnosťami. Na bezplatnom webinári vystúpil s odborným príspevkom zástupca Kompetenčného a certifikačného centra kybernetickej bezpečnosti, Tomáš Hettych, s témou Základný prehľad v novej legislatíve.

Kedy?

Utorok 29. 4. 2025

9:00 – 11:00 hod.

Ako?

Webinár prebiehal online cez Webex v slovenskom jazyku. Webinár bol nahrávaný.

Pre  koho?

Webinár bol určený spoločnostiam, ktorých sa týka novela ZoKB, vyplývajúca zo smernice NIS2.

Za koľko?

Účasť bola bezplatná.

Z obsahu:

9:00 – 9:20 – Predstavenie KyberAliancie Slovensko

9:20 – 9:45 – Základný prehľad v novej legislatíve, popis aktuálneho stavu

Tomáš Hettych, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti

9:45 – 10:10 – Naša firma je pod kyberútokom. Čo teraz?

Moderovaná diskusia medzi Štefanom Porubčanom, SOITRON a Ivanom Gašpercom, NOMUS, moderuje Silvia Strežová, void SOC

10:10 – 11:00 – Q&A

Pozrite si webinár

ZAUJÍMAVÉ OTÁZKY A ODPOVEDE Z WEBINÁRA

Počas kybernetického útoku

Predstavme si situáciu. Je bežné ráno, zamestnanec príde do práce, zapne počítač a niečo nesedí. Spomalený systém, čudné okno, alebo niekde beží podozrivý proces. Dáta sú zašifrované, nastane panika. Organizácia bola pravdepodobne napadnutá. Čo je tá úplne prvá vec, prvý krok, ktorý by mala spraviť počas útoku?

Keďže ešte neviete, o aký typ incidentu ide, ani čo všetko je ním zasiahnuté, chcete rýchlo zabrániť ďalšiemu šíreniu škôd. Reakcie na rôzne typy incidentov sa samozrejme budú diametrálne odlišovať, no niektoré aktivity môžu byť považované za univerzálne.

  • Duchaprítomná reakcia jednotlivca – zvláštne sa správajúci počítač odpojiť okamžite.
  • Zvolajte Krízový štáb – budú pravdepodobne prijímané náročné rozhodnutia.
  • Nepodliehajte panike, zachovajte pokoj a snažte sa nepodceniť rozsah útoku.
  • V prípade podozrenia na šírenie škodlivého kódu izolujete sieť: Odpojte jednotlivé časti siete (segmenty) od internetu a od seba navzájom. Ak nemáte žiadne lepšie možnosti, siahnete po najjednoduchšom riešení – vytiahnete sieťové káble (nie napájacie).
  • V prípade cloudovej infraštruktúry spravíte snapshot aktuálneho stavu a zakážete ku nim prístup (z rovnakých dôvodov).

Ako je to z právneho hľadiska, keď len tušíme, že máme problém, ale nie sme si istí. Máme už počas útoku nejaké povinnosti? Napríklad voči Úradu na ochranu osobných údajov alebo Národného bezpečnostného úradu (NBÚ)?

V situácii, keď ešte len existuje vážne podozrenie, že máme problém – či už ide o možné narušenie systémov, únik údajov alebo podozrivú aktivitu – už v tomto štádiu nám vznikajú určité právne povinnosti a dôvody na aktiváciu interných procesov.

Ide najmä o tzv. všeobecnú prevenčnú povinnosť – podľa Občianskeho zákonníka, keď každý je povinný počínať si tak, aby nedochádzalo k škodám na zdraví, majetku, prírode atď. V kontexte kybernetickej bezpečnosti to znamená, že ak máme dôvodné podozrenie, že sa niečo deje, je potrebné konať aktívne a obozretne, aby sa škoda minimalizovala alebo sa jej úplne predišlo.

V tejto fáze je však rovnako dôležitý aktívny prístup a je potrebné zdokumentovať celý postup riešenia resp. preverovania daného bezpečnostného incidentu, a to od úplne prvotného zistenia, tak aby v prípade pokiaľ sa pri ďalšom preverovaní zistí, že ide o závažný kybernetický incident, mala firma všetky potrebné dôkazy a podklady pre ďalšie vyšetrovanie.

V prvých minútach teda, keď si ešte nie sme istí, či skutočne ide o kybernetický incident alebo len napríklad systémovú chybu, nie je potrebné ešte nikoho informovať. Z pohľadu práva, ak sa organizácia rozhodne v rámci reakcie na kybernetický incident radikálne obmedziť činnosť (napr. „vytiahnuť káble“ a vypnúť systémy), takýto postup je odôvodnený, a za určitých okolností aj chránený zákonom. V tomto prípade je opäť potrebné upozorniť na všeobecnú prevenčnú povinnosť v zmysle Občianskeho zákonníka, ktorá ukladá organizícii povinnosť aktívne konať tak, aby zamedzila vzniku škody.

V prípade vzniku škody na strane zákazníkov prichádza do úvahy aj inštitút krajnej núdze v zmysle Občianskeho zákonníka, kedy podnikateľ, ktorý spôsobil škodu zákazníkovi prerušením poskytovania služieb/nedodaním tovaru riadne alebo včas, nie je za ňu zodpovedný, pokiaľ sa odvracalo priamo hroziace kybernetické nebezpečenstvo, ktoré sám nevyvolal.

Úpravu zodpovednosti za škodu v neskorších fázach, t.j. keď do procesu je už zainteresovaný aj NBÚ, obsahuje priamo aj zákon o kybernetickej bezpečnosti (ZoKB). V takom prípade podnikateľ nezodpovedá za škodu spôsobenú iným subjektom – napr. zákazníkom, ktorým sa dočasne obmedzí prístup k službám/tovarom na základe rozhodnutia NBÚ. Zodpovednosť v tomto prípade prechádza priamo na NBÚ.

Prvé hodiny po útoku

Čo všetko by mala firma spraviť do prvých 24 hodín od útoku? Hovorí sa o forenznom uchovaní dát, izolovaní systému, ale čo presne to znamená? Možno si povedzme aj to, ako by sme mali zorganizovať Incident Response tím, kto by v ňom mal byť, a aké vybavenie je potrebné zabezpečiť?

Začína naozajstná operácia, ktorú buď máte vopred vymyslenú vo forme Incident Response plánu alebo pod tlakom musíte čosi vymyslieť a vykonať.

  • Vybavenie: Pre tím, ktorý pracuje na riešení incidentu, potrebujete minimálne „čisté“ PCčka a mobily. Musíte ich rýchlo zohnať, pripraviť, vybaviť potrebnými nástrojmi, dôkladne „hardenovať“ a ochrániť, aby sa pri práci na infikovanom prostredí sami neinfikovali znovu. Rovnako to bude so základnou infraštruktúrou na ktorej budú fungovať (sieť, dátové nosiče atď.).
  • Mapovanie škôd: Začnete zisťovať, čo všetko je zasiahnuté – ktoré systémy, dáta, servery. Používate dostupné nástroje, ako napr. AV, EDR, FW, NDR, SIEM a pod., aby ste získali čo najviac informácií.
  • Zbieranie dôkazov: Uchovávate stopy pre ďalšie forenzné vyšetrovanie. Všetko dokumentujete.
  • Stanovenie priorít: Rozhodujete sa, ktoré systémy alebo dáta sú najdôležitejšie a majú prednosť.
  • Heslá: Zmeníte ich najlepšie na všetkých účtoch za nové, silné a unikátne.
  • Hunting: Začínate pátrať, kde všade sa útočník v systéme „zašil“ – či už ide o novovytvorené účty, scheduled tasks, powershell skripty, zmenené konfigurácie alebo milión ďalších spôsobov ako si zabezpečil opätovný prístup.

Okrem interných zdrojov vo forme oddelenia IT, či špecialistov na bezpečnosť je možné obrátiť sa s prosbou o pomoc na vlastných IT dodávateľov, na štátne jednotky Computer Security Incident Response Team CSIRT (CSIRT-SK, prípadne rezortné CSIRTy), prípadne aj komerčné centrá Security Operation Center SOC, či v prípade niektorých poisťovní využiť Incident Response tím poisťovne.

 

Aké ohlasovacie povinnosti má firma už počas prvých 24 hodín po útoku, respektíve keď už vie, že došlo ku kybernetickému útoku?

Z právneho hľadiska je veľmi dôležité identifikovať závažnosť a dopady kybernetického bezpečnostného incidentu. Z pohľadu ZoKB je organizácia povinná bezodkladne hlásiť až závažný kybernetický bezpečnostný incident, teda nie každý incident. Pokiaľ teda atakovaná firma posúdi, že došlo k závažnému kybernetickému bezpečnostnému incidentu, je povinný najneskôr do 24 hodín od jeho zistenia hlásiť NBÚ včasné varovanie.

Ak by incident mohol viesť k úniku osobných údajov, je potrebné vykonať posúdenie dopadov a rozhodnúť, či ide o porušenie ochrany osobných údajov, nakoľko v takom prípade vzniká oznamovacia povinnosť aj voči Úradu na ochranu osobných údajov (ÚOOÚ) do 72 hodín od zistenia porušenia.

Rovnako je dôležité upozorniť na povinnosť oznámiť orgánom činným v trestnom konaní skutočnosti, že bol spáchaný trestný čin, ktorého sa kybernetický bezpečnostný incident týka. Napadnutá organizácia sa nemusí v prvých hodinách s uvedeným stresovať, ale zároveň po riadnom prešetrení incidentu by nemala dlho otáľať s prípadným podaním trestného oznámenia.

V neposlednom rade, ak ide o regulovaný sektor (napr. energetika, zdravotníctvo) – treba tiež sledovať osobitné regulácie. Napríklad distribútor elektriny má povinnosť evidovať výpadky a na požiadanie ich hlásiť Úradu pre reguláciu sieťových odvetví (ÚRSO). V iných sektoroch môžu byť obdobné oznamovacie alebo evidenčné povinnosti voči príslušným regulátorom.

Z právneho pohľadu nejde len o technické riešenie situácie, ale aj o právne dôsledky toho, kedy, ako a s kým firma incident rieši. V prvom rade – ak organizácia nemá vlastný Incident Response tím, neznamená to, že je bezmocná. Dôležité je neotáľať, pretože oneskorené alebo nezvládnuté riešenie môže mať nielen technické, ale aj právne následky.

Z právneho hľadiska odporúčame:

  • Mať pripravený rámec pre spoluprácu s externistami – vopred, nie až keď horí. To môže byť v zmluvách s IT dodávateľmi, v interných smerniciach alebo aspoň v krízovom pláne.
  • Zabezpečiť, aby zvolený externý partner vedel pomôcť aj s povinnosťami voči štátu – teda aby vedel pomôcť s prípravou včasného varovania (24 hodín) a v neskoršej fáze aj oznámenia incidentu (72 hodín), alebo podkladov pre OČTK či Úrad na ochranu osobných údajov.
  • Nenechávať rozhodnutie o privolaní pomoci na poslednú chvíľu. Zákon o kybernetickej bezpečnosti (§ 19) predpokladá aktívnu spoluprácu a dokumentáciu – čím skôr je odborník pri incidente, tým lepšie sa dajú splniť zákonné povinnosti aj ochrániť záujmy organizácie.
  • Dôležitá je aj právna ochrana voči tretím stranám – zákazníkom, obchodným partnerom či štátnym orgánom. Rýchle a správne riešenie incidentu je často najlepšou ochranou proti prípadným súdnym sporom alebo sankciám.

Prvé dni po útoku

Povedzme, že útok sa nám už podarilo zastaviť a izolovať. Ako vyzerá proces obnovy prvé dni po útoku? Kedy začať a ako dlho to bude trvať? A možno aj na čo si dať veľký pozor?

Prichádza na rad dlhodobý boj a snaha rýchlo obnoviť prevádzku, ale zároveň zabezpečiť, že sa incident nezopakuje hneď znovu. Ako to vyzerá v praxi?

  • Osvojíte si paranoidný prístup: To, čo nebolo dostatočne overené a zabezpečené, jednoducho považujete za kompromitované.
  • Staviate novú sieť: Začínate prakticky od nuly – budujete novú, čistú sieťovú infraštruktúru. Tá by mala byť segmentovaná (ideálne mikrosegmentovaná), a komunikácia medzi jednotlivými časťami sa riadi zásadou “least privilege” (minimálne nevyhnutné prístupy).
  • Monitorujete: Po celú dobu podrobne sledujete, čo sa v tejto novej infraštruktúre deje – v reálnom čase.
  • Obnova systémov: V samostatnej časti infraštruktúry začnete obnovovať systémy:
    • Nanovo inštalujete operačné systémy a aplikácie.
    • Dáta obnovujete zo záloh, ale až po dôkladnej kontrole, že sú čisté a nezmenené.
    • Všetko hardenujete a aktualizujete.
    • Na nové systémy nasadzujete bezpečnostné nástroje (napr. EDR) a tiež monitorujete, čo sa v nich deje.
    • Po dôkladnej kontrole presúvate systémy do pripravených nových segmentov.
  • Forenzná analýza: Paralelne s obnovou robíte dôkladnú analýzu incidentu, aby ste zistili ako presne k útoku došlo, aké zraniteľnosti boli zneužité (a ako), čo ste mohli a mali spraviť inak. Zistenia (lessons learned) použijete na zlepšenie svojej obrany a reakcie v budúcnosti.

Z právneho hľadiska, čo všetko je potrebné mať zaznamenané prvé dni po útoku? Aké dokumenty a dôkazy by sme mali zhromaždiť pre prípadné vyšetrovanie, a možno aj ako ich správne uchovávať?

V prvom rade je dôležité myslieť na to, že každý krok počas riešenia incidentu je potrebné zaznamenávať – nielen kvôli internej analýze, ale aj pre audit, komunikáciu s úradmi (NBÚ, ÚOOÚ) a zákazníkmi či v prípadnom trestnom konaní.

Odporúča sa viesť incident log s údajmi o:

  • časovej osi incidentu a prijatých opatreniach,
  • komunikácii (interná/externá),
  • technických dôkazoch (logy, snímky, forenzné dáta). Tieto dôkazy musia byť uložené bez možnosti manipulácie (napr. read-only, s hashovaním).

Pri závažnom incidente musí organizácia do 72 hodín od zistenia hlásiť oznámenie (v ktorom sa aktualizujú a dopĺňajú informácie z včasného varovania) a následne do jedného mesiaca predložiť záverečnú správu.

Z právneho hľadiska sú kľúčové:

  • preukázateľnosť konania,
  • dokumentácia rozhodnutí a opatrení,
  • spolupráca s úradmi (čo, kedy a komu bolo nahlásené).

Odporúča sa pripraviť si:

  • šablónu záverečnej správy,
  • interný Incident Response protokol s časťou o dôkazoch,
  • zodpovednú osobu za dokumentáciu (napr. manažér kybernetickej bezpečnosti + právnik).

Vieme, že incident môže trvať hodiny, dni, niekedy sa rieši celé týždne aj mesiace. A riešia ho ľudia. Ako vlastne zvládnuť takúto krízovú situáciu z pohľadu ľudí? Prečo je dôležité riešiť ľudský faktor uprostred technickej katastrofy?

Ak ste napadnutí, nezabudnite, že aj Incident Response tím sú len ľudia. Aj pri katastrofe a ich dobrých úmysloch a úprimnej snahe, každý z nich musí niekedy jesť, piť, nadýchať sa čerstvého vzduchu, oddýchnuť si, či odísť sa vyspať. Len tak dokážu podávať špičkový výkon aj počas vypätých dní, ktoré sa veľmi pravdepodobne pretiahnu na týždne, alebo dokonca mesiace. Bez fyzického aj psychického odpočinku riskujete ich vyčerpanie, vyhorenie a prudké zníženie kvality práce.

Z právneho hľadiska je dôležité si povedať, akým spôsobom daná organizácia zabezpečuje plnenie svojich povinností, a teda, či ich zabezpečuje prostredníctvom externého dodávateľa alebo interne prostredníctvom svojich zamestnancov. V prípade externého dodávateľa (spoločnosti / živnostníka), sa predpokladá, že má daný dodávateľ dostatočné personálne zázemie na pokrytie takýchto krízových situácií.

V prípade vlastných zamestnancov nám Zákonník práce stanovuje limity, ktoré sa rôznia podľa samotnej povahy prevádzky danej organizácie a tiež rozdelenia pracovného času. Ak sa bavíme napríklad o zamestnancoch s pracovným časom 40 hodín týždenne, tak Zákonník práce umožňuje vo výnimočných prípadoch (medzi ktoré by sme mohli klasifikovať aj naliehavú potrebu riešenia kybernetického incidentu) nariadiť zamestnancovi prácu nadčas. Podmienkou však je, že sa nepretržitý odpočinok medzi dvoma zmenami nesmie skrátiť na menej ako osem hodín. Teda pokiaľ by pracoval takýto zamestnanec 16 hodín a ďalšia pracovná zmena mu začne až po 8 hodinách je to v rámci ustanovení Zákonníka práce. K tomuto ešte dopĺňam, že ak je zamestnávateľ oprávnený nariadiť prácu nadčas a zamestnanec to nerešpektuje, dopúšťa sa porušenia pracovnej disciplíny.

Nasledujúce týždne a mesiace po útoku

Ak je už incident uzavretý, čo ďalej? Čo sa bude diať nasledujúce týždne / mesiace po útoku? Často sa skloňujú dva výrazy, a to post-mortem analýza a lessons learned. Čo všetko by mala firma spraviť ako post-mortem? A ako možno spraviť analýzu bez toho, aby sa to zvrhlo na hľadanie vinníka?

Post-mortem analýza (incident review):

  • Zaznamenanie časovej osi incidentu: Kedy a ako začal, ako sa šíril, kto ho spozoroval.
  • Presné identifikovanie vektoru útoku – technické zraniteľnosti, ľudské chyby, procesné medzery.
  • Prehľad, čo fungovalo dobre – napr. zálohy, komunikácia, detekcia.
  • Čo nefungovalo – kde zlyhal monitoring, kto nevedel, čo má robiť, chýbajúce rozhodnutia.
  • Využitie všetkých dostupných logov, SIEM, EDR, výpisov zo sietí.
  • Spolupráca s forenzným tímom – ak bol zapojený.

„Lessons learned“ prístup:

  • Cieľ nie je nájsť vinníka, ale zlepšiť reakciu nabudúce.
  • Vytvoriť kultúru otvorenosti – každý môže povedať, čo sa dalo urobiť lepšie.
  • Zaviesť konkrétne zmeny: nové procesy, technické úpravy, školenia.
  • Zapísať odporúčania do Incident Response plánu a krízového plánu.
  • Zvážiť interné cvičenie po 1–2 mesiacoch, ktoré preverí, či sa zmeny naozaj implementovali.

Tipy, ako sa vyhnúť hľadaniu vinníka:

  • Diskusiu viesť formou “čo sa stalo” a “čo urobíme inak”, nie “kto to spôsobil”.
  • Pripomenúť, že každý môže spraviť chybu, ale dôležité je neopakovať ju.
  • Namiesto obviňovania použiť vetu: „Ak by sme mali túto situáciu opäť, čo by sme urobili lepšie?“

Ak príde kontrola alebo audit, čo by sme mali mať pripravené ako dôkaz, že sme incident zvládli dobre? Ako sa pripraviť na prípadné kontroly zo strany regulátorov?

Z právneho pohľadu je najdôležitejšie nasledovné:

  • Preukázateľnosť konania – že organizácia konala promptne a v súlade so zákonom,  a to nie len technicky, ale aj z hľadiska rozhodovacích procesov
  • Dokumentácia rozhodnutí a opatrení – prečo sme sa rozhodli vypnúť systém, ako sme incident klasifikovali, prečo sme ho hlásili (alebo nehlásili) ako závažný. Je nevyhnutné viesť dokumentáciu priebežne, nie až spätne.
  • Súlad s inými reguláciami, prípadne ISO normami, ak sa aplikujú a spolupráca s úradmi – zaznamenať, kedy a aké informácie boli odovzdané NBÚ, Computer Security Incident Response Team (CSIRT-u), Úradu na ochranu osobných údajov atď.

Záverečná správa je často prvé, čo si NBÚ vyžiada. Preto ju netreba podceniť a mala by byť pripravená dôsledne.

Krízová komunikácia pri útoku

Ako je to s komunikáciou? Keď už vieme, že máme incident, máme hneď písať zamestnancom, klientom, partnerom, dodávateľom? Alebo radšej ešte stále nerobiť nič, kým nemáme istotu, čo sa stalo?

Interná komunikácia by sa určite nemala odkladať. Zamestnanci musia vedieť, čo majú (a nemajú) robiť. Tu nejde len o informovanie, ale o zamedzenie ďalšiemu šíreniu incidentu alebo nevedomému konaniu, ktoré by mohlo situáciu zhoršiť (napr. klikanie na podozrivé e-maily, zapínanie zariadení späť do siete atď.).

Interná komunikácia by mala byť strohá, jasná a koordinovaná – napr. z IT alebo bezpečnostného oddelenia, po konzultácii s právnikom alebo krízovým tímom. Z právneho pohľadu je dôležité, aby zazneli pokyny, nie špekulácie o príčinách incidentu.

Pri klientoch, partneroch a dodávateľoch treba byť opatrnejší. Kým nie je isté, že incident ich mohol alebo môže zasiahnuť, odporúčam nekomunikovať unáhlene. Ale zároveň, ak zistíme, že došlo k úniku dát, kompromitácii služieb alebo inému riziku pre tretie strany, máme zmluvnú a zákonnú povinnosť informovať.

V tejto fáze navrhujeme:

  • komunikáciu si pripraviť vopred, ale s odoslaním čakať, kým máme aspoň základné fakty.
  • poradiť sa s právnikom alebo PR krízovým tímom, aby sa predišlo zbytočnému reputačnému alebo právnemu riziku.

Pri incidentoch vždy lepšie mať koordinovanú komunikáciu – nie reflexívnu reakciu. Každý deň, dokonca každá hodina môže zásadne zmeniť hodnotenie situácie. Zároveň platí, že ak incident môže mať právne dôsledky voči tretím stranám, komunikácia sa nesmie odkladať neprimerane dlho, aby sa organizácia neocitla v postavení, že neinformovala včas alebo porušila zmluvné a zákonné oznamovacie povinnosti.

Radíme preto mať komunikačný plán ako súčasť Incident Response plánu, kde sú vopred určení:

  • komu sa komunikuje,
  • čo sa komunikuje,
  • kedy a kto to robí,
  • a kto to schvaľuje.

Čo určite nerobiť

Čo sú tie najväčšie chyby, ktoré by organizácia v prípade kyberútoku rozhodne robiť nemala, a ako sa im vyhnúť? Čo sú tie najčastejšie omyly, na ktoré by sme si mali dávať pozor?

Stretli sme sa napríklad s tým, že prvá reakcia IT tímu bola, že si povedali – rýchlo to vyčistíme. Vymazali logy, reštartovali servery, to všetko samozrejme v dobrej viere, že tým pomôžu, ale vlastne len zmazali dôkazy.

Napadnutá firma by sa rozhodne mala vyvarovať týchto vecí:

  • Vyčkávať a nekonať
  • Nechať systémy online napriek podozreniam
  • Mazanie logov alebo údajov
  • Obnovenie záloh bez overenia
  • Komunikačné prešľapy

Ako veľmi môže z právneho pohľadu predčasná alebo zle formulovaná komunikácia – aj zvonka, aj zvnútra – poškodiť firmu? Čo ešte by firma určite robiť nemala z právneho hľadiska?

Určite by sa nemala snažiť o zatajenie incidentu. Takto sa môže firma alebo aj priamo manažér kybernetickej bezpečnosti vystaviť administratívno-právnym, trestno-právnym ale aj súkromno-právnym postihom.

Z administratívno-právneho hľadiska sa zatajením incidentu môže organizácia dopustiť správneho deliktu, za ktorý ZoKB stanovuje prísne pokuty. V prípade, ak napadnutej firme vyplýva povinnosť nahlásiť kybernetický incident a túto povinnosť nedodrží, môže jej NBÚ, v závislosti od okolností, udeliť pokutu až do výšky 10 miliónov EUR alebo 2 % celkového celosvetového ročného obratu za predchádzajúce účtovné obdobie, podľa toho, ktorá suma je vyššia.

Pokiaľ by išlo o narušenie ochrany osobných údajov, môže firme hroziť pokuta aj za porušenia ustanovení podľa Nariadenia GDPR. Obdobne môžu hroziť firme sankcie aj za nedodržanie oznamovacím povinností v prípade osobitných regulácií daného odvetvia (energetika, zdravotníctvo).

Z trestno-právneho hľadiska, najmä v prípade, že ide o incident, ktorý mal alebo mohol mať závažný dopad na chránené hodnoty, ako sú osobné údaje, verejná bezpečnosť či dôveryhodnosť služieb – môže zatajenie viesť až k trestno-právnej zodpovednosti, a to buď právnickej osoby (firmy) alebo samotnej fyzickej osoby – napr. manažéra kybernetickej bezpečnosti. Zatajenie incidentu by mohlo naplniť niektoré z nasledovných skutkových podstát:

  • Neohlásenie trestného činu (§ 340 Trestného zákona),
  • Porušenie povinnosti pri správe cudzieho majetku (§ 237 Trestného zákona),
  • V špecifických prípadoch, ak by zatajenie viedlo k ďalšej škode alebo napr. k ohrozeniu verejného záujmu (napr. pri kritickej infraštruktúre), mohlo by ísť aj o trestné činy všeobecného ohrozenia.

V prípade zatajenia incidentu hrozia aj súkromno-právne postihy, a to hlavne zodpovednosť za škodu v prípade porušenia oznamovacích povinností v zmysle Obchodného zákonníka a porušenia všeobecnej prevenčnej povinnosti podľa Občianskeho zákonníka, tak ako sme spomenuli v úvode.

Taktiež by sa organizácia mala vyvarovať bezhlavého platenie výkupného. Na konanie pri platné požadovaného výkupného neexistuje právny rámec. S ohľadom na mnohé skúsenosti pri kybernetických útokoch, ktorých následkom je aj požiadavka na zaplatenie výkupného, môžeme skonštatovať, že neexistuje právna garancia na vyriešenie stavu po jeho zaplatení.

Poistenie kybernetických rizík

Je bežné si dnes takéto pokuty poisťovať? Mysleli sme, že sa poistenie týka skôr IT útokov.

V minulosti to naozaj bežné nebolo, ale práve kvôli NIS2 a výške možných pokút sme vymysleli produkt, ktorý kryje aj regulačné sankcie. Tie sa totiž po novom môžu vyšplhať na desaťtisíce eur a práve pre tieto prípady máme pripravený produkt v rámci KyberAliancie Slovensko, ktorý vie firmu finančne podržať aj v takýchto situáciách.

 

Poistenie pokút a nákladov si vieme vybaviť aj ako menšia firma alebo je to len pre veľké spoločnosti?

Náš produkt sme nastavovali v balíkoch M, L a XL. Balík M je navrhnutý špeciálne pre menšie a stredné firmy, ktoré potrebujú kryť základné riziká a pokuty podľa NIS2. Nie je to len produkt pre veľké spoločnosti, ale pre každú firmu, ktorá spadá pod túto smernicu a chce mať istotu, že nebude musieť sankcie platiť z vlastného rozpočtu.

 

Keď už máme nejaké firemné poistenie, vieme si overiť, či tam náhodou niečo podobné nemáme zahrnuté?

Áno, a práve preto sme v rámci nášho produktu pripravili možnosť bezplatného auditu poistného portfólia. Firmám vieme bezplatne preveriť ich existujúce zmluvy a povedať im, či už nejaké krytie majú, prípadne odporučiť, čo doplniť, aby mali istotu aj voči NIS2 sankciám a kyberincidentom.

 

Keď nám kyberincident spôsobí škodu, tak to rieši poisťovňa alebo KyberAliancie Slovensko?

V prípade incidentu sa aktivuje celý náš tím v aliancii. IT tím Soitron rieši technické veci, právnici z NOMUS komunikujú s úradmi a poisťovňa cez Centrum poistenia rieši financie a preplácanie nákladov. Klient tak nemusí behať od dverí k dverám, všetko zabezpečíme cez jeden kontaktný bod.

KyberAliancia Slovensko

Ide o spojenie skúsených hráčov na slovenskom trhu, ktorí spoločne ponúkajú svojim klientom komplexné služby v oblasti kybernetickej bezpečnosti, či už technologické, právne alebo poisťovacie. Partnerskými členmi KyberAliancie Slovensko je niekoľko spoločností, od technologických gigantov SOITRON a ORANGE, cez advokátsku kancelária NOMUS, až po finančnú spoločnosť CENTRUM POISTENIA.

soitron logo
Logo Orange Business
Logo Nomus
Logo Centrum poistenia

Máte ďalšie otázky?

Chceli by ste s nami prebrať kybernetickú bezpečnosť vašej spoločnosti? Nechajte nám kontakt a naši špecialisti sa vám ozvú.