GDPR.SK

Vyhľadať
Close this search box.

FAQ

Kybernetická bezpečnosť je zabezpečenie informačných a počítačových systémov. Jej cieľom je predchádzať neodôvodnenému alebo nezákonnému prístupu a manipulácii so systémami, zariadeniami a dátami. Zahŕňa analýzu a identifikáciu rizík, ich odstránenie a nastavenie účinných spôsobov ochrany pred kyberútokmi.

FAQ

KYBERBEZPEČNOSŤ

Kybernetická bezpečnosť zahŕňa zabezpečenie informačných a počítačových systémov, analýzu a identifikáciu rizík a ich odstránenie. Základným cieľom je predchádzať neodôvodnenému alebo nezákonnému prístupu a manipulácii so systémami, zariadeniami alebo dátami.

S našou službou manažéra KB 2.0 môžete získať kybernetické zabezpečenie už od 30€ mesačne. Ponúkame tiež rôzne úrovne manažéra KB, z ktorých si viete vybrať tú, ktorá vám najviac vyhovuje.

Kybernetický útok je neoprávnený a zámerne vykonaný pokus o získanie neautorizovaného prístupu k počítačovým systémom, s cieľom poškodiť, odcudziť alebo narušiť dáta či iné digitálne prostriedky.

Existujú desiatky kybernetických útokov, z ktorých najrozšírenejšie sú malware, ransomware, či phishing. Kybernetické útoky sa dajú tiež rozdeliť podľa toho, aké médium využívajú (napr. kybernetický útok cez email, sociálne siete, sms, a ďalšie), aký majú zámer (napr. ransomware, ktorého cieľom je získať výkupné) alebo aké technológie využívajú (napr. kybernetický útok XSS alebo SQL injekcia).

V prípade kybernetického incidentu alebo útoku by mal byť postup nasledovný:

1. DETEKCIA
2. REAKCIA
3. OBNOVA
4. REPORTING
5. ANALÝZA

Ide o druh malvéru (škodlivého softvéru) s cieľom získať výkupné. Obdobne ako pri únose si útočník zoberie na diaľku za rukojemníka celé vaše zariadenie alebo dáta v ňom.

Môže vám napríklad šifrovaním zablokovať celý disk, dáta na disku alebo uzamkne obrazovku.  Následne dostanete na zariadení oznámenie, že musíte zaplatiť výkupné, aby ste svoje zariadenie a dáta mali späť pod kontrolou.

Heslá a prihlasovacie údaje sú stále pre kybernetických útočníkov najľahšie získateľné. Ak však vaše počítačové siete nie sú dostatočne zabezpečené, všetky vaše dáta sú potenciálne ohrozené v prípade kybernetického útoku.

Sociálne inžinierstvo je jednou z metód využívaných pri kybernetických útokoch. Útočníci využívajú manipuláciu a klamstvá na získanie dôverlivých informácií od jednotlivcov alebo organizácií.

Phishing je kybernetický útok, ktorého cieľom je získať citlivé informácie, ako sú heslá a osobné údaje tým, že páchateľ vystupuje ako spoľahlivá entita, teda napríklad banka.

Najčastejšie sa môžete stretnúť s phishingovými e-mailmi a webovým phishingom, no útočníci využívajú aj sociálne siete, telefonické hovory alebo SMS správy.

Medzi hlavné kroky implementácie kybernetickej bezpečnosti patrí audit a analýza, aplikácia opatrení vyplývajúcich z analýzy a neustále aktualizovať opatrenia, aby zabezpečili čo najlepšiu odolnosť. V prípade, že ide o firmu alebo organizáciu, ktorá je prevádzkovateľom základnej služby podľa zákona o kybernetickej bezpečnosti vyžaduje sa tiež audit od certifikovaného audítora.

Penetračný test je bezpečnostná skúška, ktorá simuluje útoky od potenciálnych hrozieb na informačné či počítačové systémy. Jej cieľom je identifikovať slabiny v bezpečnostných opatreniach a zabezpečiť, aby organizácia alebo firma mohla prijať opatrenia na zlepšenie kybernetickej bezpečnosti. Priebeh zahŕňa externý a interný simulovaný útok či scan portov. 

Vďaka školeniu o kybernetickej bezpečnosti sa dozviete nielen základné informácie týkajúce sa kybernetickej bezpečnosti, ale aj najnovšie hrozby a taktiky kybernetických útočníkov. Okrem prevencie útokov sa dozviete ako postupovať v prípade, že kybernetický útok nastane.

Bezpečná komunikácia so serverom na webe je nevyhnutná a mala by prebiehať s použitím SSL certifikátu / https spojenia. To je identifikovateľné aj podľa symbolu uzatvoreného zámku, ktoré nájdete pri názve webovej adresy. SSL certifikát ako bezpečnostný certifikát umožňuje aktiváciu zabezpečeného spojenia medzi prehliadačom a serverom.

V dnešnej dobe je možné si vybrať z množstva softvérových riešením na zabezpečenie sociálnych sietí. Je však dôležité, aby správne rozoznávali nebezpečné odkazy na sociálnych sieťach. Samotný užívateľ by si mal v prvom rade nastaviť silné a jedinečné heslo, dvojfaktorovú autentifikáciu (2FA) a nenechávať svoj účet prihlásený na iných ako svojich zariadeniach.

Audit je potrebný na to, aby mala organizácia úplný prehľad o všetkých činnostiach týkajúcich sa spracovania údajov. Pri audite sa kontroluje hardvér aj softvér a ak firma alebo organizácia patrí medzi prevádzkovateľov základných služieb, overuje sa naplnenie požiadaviek, ktoré vyplývajú zo zákona o kybernetickej bezpečnosti.

Efektívna kybernetická bezpečnosť predstavuje najúčinnejší spôsob ochrany siete. Zabezpečuje, že neoprávnené osoby nemajú prístup k vašim zariadeniam, účtom ani dátam. Zabezpečenie dát a údajov je nevyhnutné aj kvôli ochrane osobných údajov, ktorých únik môže viesť k závažným problémom.

KYBERŠIKANA​

Pri kyberšikane dochádza k urážaniu, ohováraniu, vydieraniu, či obťažovaniu tak ako pri šikane, len sa odohráva cez elektronickú komunikáciu.

Aktuálne sa z veľkej časti odohráva na sociálnych sieťach, ktoré sú u detí veľmi populárne.

Online prostredie, v ktorom sa kyberšikanovanie odohráva, spôsobilo aj vznik špecifických foriem tohto druhu šikany. Patrí medzi ne vytesňovanie z rovesníckych online skupín (napr. chatov), vydávanie sa za obeť/krádež identity obete (napr. tvorbou falošných profilov obete), zverejňovanie osobných údajov, najmä fotografií/videí, kybergrooming, či online prenasledovanie.

Šikana a kyberšikana môžu mať značný negatívny vplyv na psychické, emocionálne a sociálne blaho detí. Medzi časté prejavy patrí znížené sebavedomie, sociálna izolácia, no i preajvy na psychickom a fyzickom zdraví.

Rozpoznať obeť šikany nemusí byť vôbec jednoduché a pri kyberšikane to platí dvojnásobne. Práve preto je dobré poznať najčastejšie prejavy, ktoré môžu signalizovať, že sa dané dieťa obeťou kyberšikany stalo.

Medzi najčastejšie prejavy patria:
1. Zmeny v používaní telefónu/počítača
2. Zmeny v socializovaní
3. Záškoláctvo
4. Zmeny v komunikácii
5. Psychické ťažkosti

Dôvody vzniku kyberšikany môžu súvisieť s osobnými skúsenosťami detí, ich sociálnym prostredím, či online interakciami. Medzi časté dôvody patré nedostatok empatie, opakovanie správania iných, či pocit neviditeľnosti.

Šikana a kyberšikana môžu mať značný negatívny vplyv na psychické, emocionálne a sociálne blaho detí. Medzi časté dopady patrí znížené sebavedomie, sociálna izolácia, úzkosť a depresia, či sebapoškodzovanie.

NIS 2

NIS 2 je nová smernica Európskej únie, ktorá dopĺňa existujúci zákon o kybernetickej bezpečnosti. Prináša so sebou nové opatrenia kyberbezpečnosti a rozširuje sa aj jej pôsobnosť.

Pôsobnosť novej smernice sa rozšírila na celé nové odvetvia, ako aj druhy firiem a organizácií. NIS 2 sa týka napríklad aj všetkých stredných a veľkých podnikov v odvetviach spadajúcich pod smernicu a tiež subjektov verejnej správy na centrálnej a regionálnej úrovni bez ohľadu na veľkosť.

Medzi opatrenia NIS 2 patrí kontrola stavu bezpečnosti, nastavenie postupov v prípade ohrozenia, ale napríklad aj šifrovanie komunikácie, či dvojfaktorové overovanie. Pribúda tiež 24-hodinová ohlasovacia povinnosť kybernetických incidentov.

Smernica NIS 2 je v platnosti od 16. januára 2023 a začne sa uplatňovať 18. októbra 2024. Dovtedy by všetky subjekty, ktorých sa dotýka, mali spĺňať jej predpisy.

Je dôležité byť na NIS 2 včas pripravení, keďže pri nesplnení jej opatrení subjektom v jej pôsobnosti hrozia pokuty a sankcie. Najjednoduchším spôsobom, ako sa na NIS 2 pripraviť je využiť službu manažéra kybernetickej bezpečnosti.  Pre viac informácií nás neváhajte kontaktovať.

Pri nedostatočnom plnení požiadaviek a opatrení NIS 2 hrozia subjektom administratívne pokuty, sankcie až do výšky 10 000 000 €, či zákazy pre štatutárov vykonávať riadiace funkcie.

Prednedávnom skončilo medzirezortné pripomienkové konanie k návrhu nového kybernetického zákona, ktorý NIS 2 zapracováva. Finálna podoba zákona však musí byť schválená najneskôr do 17. októbra 2024. Zákon následne naberie účinnosť pravdepodobne už 1. 1. 2025.

GDPR

General Data Protection Regulation (GDPR) je zaužívaná skratka pre Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), ktoré sa od 25. mája 2018 uplatňuje vo všetkých členských štátoch EÚ, Európskeho hospodárskeho priestoru a zároveň rieši a upravuje aj export osobných údajov mimo oblastí EÚ a EHP.

Nariadenie GDPR je na území Slovenska priamo aplikovateľné, pričom nahradilo dovtedy platný a účinný zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a stanovuje povinnosti pre fyzické alebo právnické osoby, orgány verejnej moci, agentúry alebo iné subjekty, ktoré samé alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.

Všetkých, ktorí spracúvajú osobné údaje, pričom za spracúvanie sa považuje akákoľvek operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov.

Ide napr. o získavanie (zhromažďovanie), zaznamenávanie (ukladanie informácií na akýkoľvek nosič t. j. do systémov, aplikácií, na médiá a pod.), usporadúvanie (triedenie podľa určitých kategórií), uchovávanie (nevymazanie osobných údajov počas určitej doby), prepracúvanie alebo zmena (napr. oprava neaktuálnych alebo nesprávnych údajov), prehliadanie (prezeranie osobných údajov bez ich modifikácie), vymazanie alebo likvidácia (zrušenie osobných údajov ich vymazaním, rozložením, zničením hmotných nosičov a pod.) a mnohé ďalšie.

V súčasnosti je takmer nemožné predstaviť si organizáciu alebo spoločnosť, ktorá osobné údaje nespracúva v zmysle nariadenia GDPR.

Medzi zásadné zmeny, ktoré nariadenie GDPR zaviedlo, možno zaradiť:

  • povinné ustanovenie zodpovednej osoby (ZO / DPO) pre všetky mestá a obce,
  • povinné ustanovenie zodpovednej osoby (ZO / DPO) pre všetky školy a materské školy,
  • povinnosť opätovne nahlásiť všetky informačné systémy (IS),
  • nové tlačivá a bezpečnostná dokumentácia v súlade s GDPR,
  • zjednotenie opatrení pre ochranu osobných údajov naprieč celou EÚ,
  • povinnosť oznamovať a dokumentovať bezpečnostné incidenty,
  • nová úprava súhlasu zo strany neplnoletých dotknutých osôb,
  • nové pravidlá cezhraničného prenosu osobných údajov,
  • posilnenie práv dotknutých osôb,
  • likvidačné pokuty až do výšku 20 miliónov eur, resp. do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma bude vyššia.

Úrad môže v prípade zistenia porušenia povinností ustanovených GDPR alebo novým zákonom o ochrane osobných údajov uložiť:

  • pokutu do výšky 10 000 000 eur alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia – za menej závažné porušenia povinností,
  • pokutu do výšky 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia – za závažné porušenia povinností,
  • poriadkovú pokutu do výšky 2 000 eur,
  • poriadkovú pokutu do výšky 10 000 eur.

Uvedené sumy pokút predstavujú horný strop, teda ide o maximálnu hornú hranicu pokuty, ktorá môže byť uložená.

V prvom rade by maI manažment spoločnosti pochopiť, čo je GDPR, aké povinnosti z GDPR plynú, aké sú termíny a sankcie. Následne by mala spoločnosť prejsť na vzdelávanie ľudí, ktorí budú implementáciu realizovať – odporúčame preto školenia pre manažérov a zamestnancov.

Ďalším krokom je analýza dopadu implementácie GDPR pre spoločnosť. Výsledok analýzy vám dodá podklad pre akčný plán, vrátane časového a finančného aspektu. Pokiaľ spoločnosť neriadi informačnú bezpečnosť, je potrebné sa zamerať najskôr na túto oblasť, keďže je to nutná podmienka implementácie GDPR.

WHISTLEBLOWING

Whistleblowing alebo v slovenčine oznamovanie protispoločenskej činnosti je proces, kedy jednotlivec (známy ako whistleblower) odhaľuje informácie o nelegálnych, neetických, alebo neprimeraných činnostiach vo svojej organizácii alebo vo verejnom sektore. Tento termín sa používa, keď sa jednotlivec rozhodne verejne alebo s nadriadenými informovať o činnostiach, ktoré by mohli byť škodlivé alebo nebezpečné pre verejnosť alebo organizáciu ako celok.

Whistleblower môže byť bývalý alebo aktuálny zamestnanec alebo člen verejnosti, ktorý sa dozvie o nelegálnej, neetickej alebo inak problematickej činnosti vo svojej organizácii/firme alebo verejnom priestore a rozhodne sa o tom informovať vedenie alebo verejnosť.

Dôvody, prečo sa niekto rozhodne stať whistleblowerom, môžu zahŕňať obavy o etiku, zákonitosť alebo bezpečnosť. Často človeka motivuje cieľ chrániť iných alebo zlepšiť situáciu vo svojej organizácii alebo v spoločnosti.

Protispoločenská činnosť sa obvykle definuje ako konanie alebo správanie jednotlivca alebo skupiny, ktoré je v rozpore s normami, hodnotami a zákonmi spoločnosti, kde sa daná činnosť vyskytuje. Na Slovensku zákon č. 54/2019 Z.z. definuje protispoločenskú činnosť ako kriminalitu alebo inú protispoločenskú činnosť, pričom odkazuje na ustanovenia § 3 písm. b) a c) zákona č. 583/2008 Z.z. Za závažnú protispoločenskú činnosť je potrebné považovať trestné činy a správne delikty uvedené v §2 písm. d) zákona č. 54/2019 Z.z.

Novela zákona o ochrane oznamovateľov protispoločenskej činnosti platí od 1. marca 2019 ako Zákon č. 54/2019 Z. z..

Poskytuje ochranu whistleblowerom, teda tým, ktorí sa rozhodnú upozorniť na protispoločenskú činnosť (napr. korupciu) z vnútra inštitúcie, kde pracujú.

Oznamovateľ tak v dobrej viere a vo verejnom záujme nahlási správanie svojich kolegov alebo nadriadených, ktorí porušujú zákony. Uvedené skutočnosti od oznamovateľa majú významnou mierou pomôcť objasneniu protispoločenskej činnosti, čiže usvedčeniu samotného páchateľa.

Zamestnávateľ musí určiť zodpovednú osobu alebo organizačnú zložku, ktorá na úseku oznamovania a vybavovania protispoločenskej činnosti bude plniť úlohy zamestnávateľa. Ďalej musí zamestnávateľ zabezpečiť spôsob oznamovania protispoločenskej činnosti, či vydať vnútorné predpisy, ktoré budú určovať podrobnosti týkajúce sa oznamovania a vybavovania oznámení o protispoločenskej činnosti.

MANAŽÉR KYBERNETICKEJ BEZPEČNOSTI

Manažér KB je interný alebo externý odborník na kybernetickú bezpečnosť, ktorý zaisťuje bezpečnosť počítačových systémov, zariadení a dát vo firme či organizácii. Viac informácií nájdete tu.

Manažéra KB potrebujú prevádzkovatelia základných služieb, ktorým to prikazuje zákon, no je veľmi dôležitý pre všetky organizácie či firmy, ktoré využívajú počítačové systémy so zariadeniami a dôležitými dátami. Viac informácií nájdete tu.

Funkciou kybernetického manažéra je predchádzať a riešiť situácie porušenia kybernetickej bezpečnosti. Jeho úlohou je zabezpečiť, aby všetky procesy od identifikácie cez oznámenie až po reakciu na kybernetický bezpečnostný incident prebehli hladko. Viac informácií nájdete tu.

Každý prevádzkovateľ základnej služby je povinný určiť osobu kybernetického manažéra, ktorá je kontaktnou osobou pre Národný bezpečnostný úrad. Môže ísť o interného alebo externého pracovníka, je však dôležité, aby mal na túto pozíciu dostatočnú kvalifikáciu. Viac informácií nájdete tu.

S našou službou môžete získať manažéra KB 2.0 už od 30€ mesačne. Ponúkame tiež rôzne úrovne manažéra KB, z ktorých si viete vybrať tú, ktorá vám najviac vyhovuje. Viac informácií nájdete tu.