Digitálna transformácia so sebou nesie aj vlnu kybernetických útokov, ktoré podkopávajú fungovanie orgánov verejnej správy a ich informačných systémov. Ako ale s nepreberným množstvom firewallov na trhu vybrať vhodné riešenie kybernetického zabezpečenia?

Možné odpovede na to v troch bodoch podáva Raphaël Granger, account manager pre verejnú správu v spoločnosti Stormshield.

Aké regulačné povinnosti sa viažu na verejný sektor?

Verejný sektor podlieha rôznym predpisom spojeným s kybernetickou bezpečnosťou. Každá organizácia musí najprv identifikovať, ktoré nariadenia sa na ňu vzťahujú. Napríklad v SR sa verejný sektor musí riadiť okrem iného zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti, zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a zákonom č. 18/2018 Z. z. o ochrane osobných údajov (Nariadenie EÚ č. 2016/679). S tým úzko súvisí aj eIDAS – nariadenie európskeho parlamentu a rady EÚ č. 910/2014 “o elektronickej identifikácii a službách vytvárajúcich dôveru pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93 / ES”.

V súčasnosti sú Stormshield Network Security (SNS) jedinými firewally, ktoré francúzska vládna agentúra ANSSI* klasifikuje ako „štandard“. Záleží na tom?

Je to výsledok zložitého procesu, ktorý ide nad rámec certifikácie a potvrdzuje spoľahlivosť týchto produktov. Je to tiež znamenie dôvery ANSSI vo Stormshield (ktorý je francúzskou spoločnosťou) – vládna agentúra skúma tiež zdrojový kód riešenia a udeľuje túto kvalifikáciu po šiestich až ôsmich mesiacoch testovania.

* Pozn. prekl .: ANSSI má tiež silné zastúpenie na úrovni Európskej únie a NATO, a to prostredníctvom svojej úlohy Národného úradu pre bezpečnú komunikáciu a kybernetickú bezpečnosť (National Communication Security Authority – NCSA a National Cyberdefence Authority – NCDA). Podieľa sa na zabezpečení komunikácie v rámci týchto organizácií a zabezpečuje, aby EÚ a NATO mali k dispozícii potrebné štruktúry a zdroje pre vlastnú kybernetickú bezpečnosť. ANSSI tiež zastupuje Francúzsko v správnej rade Agentúry EÚ pre bezpečnosť sietí a informácií (ENISA) a v sieti národných styčných dôstojníkov (NLO) zriadené medzi agentúrou ENISA a členskými štátmi.

Aké ďalšie kritériá by mala verejná správa zohľadňovať pri výbere riešenia kybernetického zabezpečenia?

Je veľmi dôležité:

  • Zamerať sa na základné funkcie, ktoré budú skutočne vyhovovať vašim nárokom na firewall a naplní zhodu so zákonnými požiadavkami. Namiesto výberu produktu disponujúceho širokou plejádou funkcií, ktoré sa nebudú reálne používať, je dôležitejšie vybrať produkt, ktorý dokonale napĺňa potreby verejnej správy.
  • Uistiť sa, že riešenie je vhodné pre potreby a architektúru vášho informačného systému (IS).
  • Vybrať si spoľahlivého partnera, ktorý sa špecializuje na ochranu informačných systémov verejnej správy (napr. medzi zákazníkov Stormshieldu patria rôzne miestne samosprávy, ministerstva alebo bezpečnostné zložky).
  • Vybrať si lokálneho partnera (Stormshield prostredníctvom svojej distribučnej siete rozširuje regionálnu prítomnosť – v SR ho zastupuje VPGC a sieť partnerov).

Autor: Florian Bonnet, ředitel produktového vývoje, Stormshield
Preklad a úpravy: Jan Mazal, CCO, VPGC
Zdroj: Stormshield – Public administrations: how shouls you choose your cybersecurity solution?