Mikuláš je tu! Získaj 90 % extra kreditov ZADARMO s promo kódom CERTIK90 pri nákupe od 1 199 kreditov. Len do nedele 7. 12. 2025! Zisti viac:
NOVINKA: Najžiadanejšie rekvalifikačné kurzy teraz s 50% zľavou + kurz AI ZADARMO. Nečakaj, táto ponuka dlho nevydrží! Zisti viac:

31. diel - Hlásenie bezpečnostných incidentov podľa NIS2 Nové

Predchádzajúci

V predchádzajúcej lekcii, Plán reakcie na bezpečnostné incidenty , sme si ukázali, ako pripraviť plán reakcie na bezpečnostné incidenty a ako vyzerá životný cyklus incidentu.

V tomto tutoriále kyberbezpečnosti si vysvetlíme, ako prebieha hlásenie bezpečnostných incidentov a prečo je tento proces zásadný pre ochranu dát, kontinuitu služieb i reputáciu organizácie.

Ukážeme si, čo sa považuje za bezpečnostný incident, ako rozlíšiť jeho závažnosť a kedy už nestačí interné riešenie, ale vzniká povinnosť udalosť formálne nahlásiť. Zameriame sa tiež na to, komu incidenty hlásiť, aké informácie je nutné odovzdať a ako incidenty dokumentovať tak, aby na ne bezpečnostné tímy dokázali rýchlo a efektívne reagovať.

Hlásenie bezpečnostných incidentov

Hlásenie bezpečnostných incidentov je kľúčovou súčasťou riadenia kybernetickej bezpečnosti. Umožňuje rýchlo aktivovať zodpovedné osoby, nastaviť priority, koordinovať ďalší postup a zabrániť šíreniu útoku. Jasne definovaný postup hlásenia zároveň pomáha splniť povinnosti dané právnymi predpismi a udržať konzistentnú komunikáciu vo vnútri organizácie aj smerom k externým subjektom.

Bezpečnostný incident je udalosť, ktorá narúša alebo môže narušiť dôvernosť, dostupnosť alebo integritu informácií, systémov alebo služieb.

Táto trojica vlastností sa často označuje ako model CIA (Confidentiality, Integrity, Availability) a predstavuje základný pilier informačnej bezpečnosti.

Medzi incidenty patria nielen cielené útoky, ale aj technické chyby, zlyhanie procesov alebo neúmyselné ľudské chyby, ktoré môžu ohroziť chod organizácie – od krátkodobého výpadku systému až po únik citlivých dát.

Ilustračné foto z prostredia firmy - Kybernetická bezpečnosť - Kybernetická bezpečnosť

Vplyv týchto útokov sa môže výrazne líšiť – niekedy je možné vyriešiť incident v rámci bežného interného procesu, inokedy ide o závažnú udalosť s dopadom na služby alebo zákazníkov. Práve pri takýchto incidentoch už do hry vstupujú povinnosti hlásenia podľa NIS2 a súvisiacej legislatívy.

Incidenty podliehajúce hláseniu

V rámci NIS2 sa nerieši každý drobný bezpečnostný incident, ale predovšetkým tie, ktoré majú významný vplyv na poskytované služby alebo na chránené aktíva organizácie.

Za závažné sa obvykle považujú incidenty, ktoré napríklad:

  • naruší poskytovanie zásadných služieb (napríklad v zdravotníctve alebo energetike),
  • majú významný vplyv na dostupnosť alebo kvalitu služby (dlhší výpadok, výrazné obmedzenie funkčnosti),
  • zasiahnu dôležité informačné systémy,
  • vedú k úniku osobných, citlivých alebo strategických informácií,
  • môžu spôsobiť významnú ekonomickú škodu alebo ohroziť bezpečnosť či zdravie osôb.
Tento typ bezpečnostných incidentov je potrebné formálne hlásiť príslušnému orgánu v stanovených lehotách.

Okrem NIS2 môže hlásenie vyplývať aj z ďalších predpisov – typicky GDPR, ktoré ukladá povinnosť oznámiť incident s dopadom na osobné údaje do 72 hodín od jeho zistenia.

Subjekty na hlásenie incidentov

V prípade bezpečnostného incidentu je zásadné vedieť, kam hlásenie smerovať. Správne zvolený príjemca hlásenia rozhoduje o tom, ako rýchlo sa incident začne riešiť, ako sa obmedzia škody a či organizácia získa potrebnú podporu.

Interné hlásenie

Každá firma, úrad alebo inštitúcia by mala mať jasne popísaný interný postup, ako a komu sa incidenty oznamujú. Aj keď incident nie je zvonku viditeľný, je dôležité, aby sa nestratil, nebol bagatelizován a dostal sa k zodpovedným osobám.

Ilustračný obrázok bezpečnostného tímu - Kybernetická bezpečnosť - Kybernetická bezpečnosť

Incident môžu nahlásiť zamestnanci, IT administrátori, externí dodávatelia alebo dokonca klienti. Dôležité je, aby každý vedel, že sa má ozvať, aj keby išlo „len“ o neobvyklý e-mail alebo podozrivú správu. Firmy obvykle poskytujú niekoľko kanálov pre hlásenia, ktoré umožnia rýchlu reakciu bezpečnostného tímu.

Najčastejšie sa na hlásenie incidentov používa špeciálna e-mailová adresa určená (napr. [email protected]), interný online formulár v rámci helpdesku alebo vyhradené telefónne číslo pre urgentné hlásenie. Vďaka tomu má organizácia istotu, že sa informácia o incidente dostane na správne miesto a že na ňu niekto včas zareaguje.

Väčšie organizácie používajú na prácu s incidentmi tzv. ticketovacie systémy (napr. Jira, ServiceNow, Zendesk), kde sa každý incident zaznamená ako samostatný záznam alebo úlohu pre bezpečnostný tím. Tým sa zaisťuje dohľadateľnosť, prehľad o stave riešenia a možnosť spätného vyhodnotenia.

Externé subjekty

Pri závažnejších incidentoch už samotné interné riešenie nestačí. Organizácia má podľa NIS2 a Zákona o kybernetickej bezpečnosti povinnosť incident formálne hlásiť a zároveň môže využiť podporu špecializovaných tímov, ktoré jej pomôžu situáciu zvládnuť:

  • SOC (Security Operations Center) je pracovisko, ktoré zaisťuje nepretržitý dohľad nad prostredím, detekciu podozrivých aktivít a prvotnú reakciu na incidenty. SOC incident často ako prvý odhalí, zatiaľ čo CSIRT sa podieľa na jeho hlbšej analýze a riešení.
  • CSIRT (Computer Security Incident Response Team) je tím na riešenie bezpečnostných incidentov, pomáha s návrhom krokov reakcie a koordinuje zásah.
Niekedy sa používa aj označenie CERT (Computer Emergency Response Team).

Tieto tímy typicky pomáhajú organizáciám zvládať bezpečnostné incidenty – od ich analýzy až po návrh nápravných opatrení. Zároveň koordinujú reakciu v prípade rozsiahlejších alebo sektorovo významných hrozieb, zhromažďujú a zdieľajú informácie o aktuálnych útokoch a zraniteľnostiach a spolupracujú s políciou a štátnymi orgánmi, ak incident spĺňa kritériá pre povinné hlásenie alebo trestné vyšetrovanie.

CSIRT Logo - Kybernetická bezpečnosť - Kybernetická bezpečnosť

Typy CSIRT tímov

CSIRT tímy sa delia podľa toho, komu poskytujú podporu a aký je ich rozsah pôsobnosti. Každý typ má svoju špecifickú úlohu – od národnej úrovne, cez štátnu správu, až po interné tímy vo firmách alebo špecializované sektorové jednotky:

Typ tímu Pre koho je určený Príklad
Národné CSIRT Subjekty v celej krajine CSIRT.CZ – prevádzkuje CZ.NIC
Vládne CERT Verejná správa GovCERT.CZ - spadá pod NÚKIB
Interné CSIRT Jedna organizácia či skupina Napr. banky, telekomunikácie, energetika
Sektorový CSIRT Konkrétne odvetvie Napr. zdravotníctvo, školstvo, doprava
Prakticky to môže vyzerať napríklad takto: Pokiaľ pracujeme v nemocnici a zistíme podozrivú aktivitu na serveri s citlivými dátami, najprv incident nahlásime interne. Pokiaľ sa potvrdí, že ide o vážny incident (napr. útok typu ransomware s dopadom na prevádzku), organizácia má povinnosť incident hlásiť a môže zároveň požiadať o podporu CSIRT.CZ alebo GovCERT.CZ.

Národné úrady

V Českej republike hrajú pri hlásení a riešení závažných bezpečnostných incidentov dôležitú úlohu dva dozorné orgány – NÚKIB a ÚOOÚ. Každý z nich má iný rozsah pôsobnosti a reaguje na iný typ incidentov.

Národný úrad pre kybernetickú a informačnú bezpečnosť

NÚKIB je hlavným regulačným orgánom v oblasti kybernetickej bezpečnosti v Českej republike. Dozoruje dodržiavanie Zákona o kybernetickej bezpečnosti. Rozhoduje, na ktoré organizácie sa tento zákon vzťahuje (ktoré subjekty majú povinnosť incidenty hlásiť), a koordinačne zaisťuje ochranu kritickej informačnej infraštruktúry a významných služieb. Úrad prevádzkuje vládny tím GovCERT.CZ a zároveň vydáva metodiky, varovania a odporúčania.

Povinné subjekty (napr. nemocnice, dátové centrá, banky, operátory alebo ďalších regulovaných poskytovateľov služieb) musia zistené incidenty na NÚKIB nahlásiť do 24h, spolupracovať na ich riešení a viesť záznamy o incidentoch a prijatých opatreniach.

Úrad na ochranu osobných údajov

(ÚOOÚ) je štátny úrad, ktorý v Česku dohliada na to, ako firmy, úrady a ďalšie organizácie zaobchádzajú s osobnými údajmi. Sleduje, či dodržiavajú pravidlá podľa GDPR a slovenských zákonov. Môže vykonávať kontroly, dávať odporúčania aj ukladať pokuty, pokiaľ sú tieto pravidlá porušené. Riešia aj sťažnosti ľudí, ktorí majú pocit, že niekto ich osobné údaje použil alebo zabezpečil nesprávne.

V prípade závažnejších incidentov, kedy dôjde k úniku alebo inému narušeniu bezpečnosti osobných údajov, má správca dát povinnosť takúto udalosť ÚOOÚ nahlásiť.

Polícia SR a orgány činné v trestnom konaní

Pri niektorých incidentoch nejde len o porušenie interných pravidiel alebo regulačných povinností, ale aj o trestný čin – napríklad neoprávnený prístup do systému, šírenie škodlivého kódu, podvod, vydieranie (typicky pri ransomware) alebo úmyselné poškodenie dát a systémov.

V týchto prípadoch je vhodné podať trestné oznámenie na Polícii SR.

Pri vyšetrovaní zohráva zásadnú úlohu dôkladná dokumentácia incidentu – sieťové logy, záznamy udalostí, prehľad systémovej aktivity a ďalšie technické dôkazy, ktoré pomáhajú zistiť priebeh útoku, rozsah škôd i prípadného páchateľa.

Rýchle a presné hlásenie umožňuje včasnú reakciu, minimalizuje škody a zvyšuje celkovú odolnosť organizácie voči kybernetickým hrozbám, čo je jeden z hlavných cieľov požiadaviek podľa NIS2 i súvisiacich predpisov.


 

Predchádzajúci článok
Plán reakcie na bezpečnostné incidenty
Všetky články v sekcii
Kybernetická bezpečnosť
Článok pre vás napísal Max Snítil
Avatar
Užívateľské hodnotenie:
Ešte nikto nehodnotil, buď prvý!
.
Aktivity