Prvým rozhodnutím po audite bolo personálne posilnenie tímu

Prípadová štúdia pre audit kybernetickej bezpečnosti
Sieť nemocníc Svet Zdravia, a.s. 

Audit vykonaný v čase: január – marec 2021

„V aktuálnej, ešte stále pretrvávajúcej pandemickej situácii, si zaslúžia najväčšiu pozornosť služby súvisiace s ochranou života a zdravia ľudí, už aj vzhľadom na to obrovské množstvo zhromažďovaných údajov o obyvateľoch a ich zdravotnom stave.“

Peter Dufek
IT Security Officer, manažér kybernetickej bezpečnosti ProCare, a.s., Svet Zdravia, a.s.

V sieti nemocníc Svet zdravia bolo v čase výkonu auditu 11 poskytovateľov základnej služby, ktorí boli registrovaní v registri prevádzkovateľov základnej služby na NBU.

Stanovisko audítora

Nakoľko riadenie kybernetickej bezpečnosti a prevádzky je zabezpečované centrálne pre všetky zdravotnícke zariadenia skupiny Procare, a.s. a Svet zdravia, a.s. a teda pre všetkých registrovaných poskytovateľov základnej služby, bola pri výpočte času trvania auditu zohľadnená aj táto skutočnosť.

Na začiatku auditu boli overení traja proporcionálne vybraní poskytovatelia základnej služby v plnom rozsahu, po potvrdení informácií o centrálnom riadení a správe prevádzky IT a kybernetickej bezpečnosti , boli pri ostatných poskytovateľoch základnej služby tejto siete opatrenia v centrálne riadených oblastiach overené v redukovanom rozsahu. Oblasti, ktoré nie sú centrálne riadené, resp. opatrenia, ktoré sú nastavené a spravované špecificky pre každého poskytovateľa základnej služby, boli overované v plnom rozsahu.

Primárnym kontaktom pri audite bol manažér kybernetickej bezpečnosti Sveta zdravia, a.s., ktorý organizoval stretnutia a identifikoval povinné osoby, bol prítomný na všetkých stretnutiach a zároveň centrálne zhromažďoval  všetky požadované dôkazy.

Pre každého poskytovateľa základnej služby bola vypracovaná samostatná správa z auditu.

Každá organizácia bude len tak bezpečná, aký význam a dôležitosť kybernetickej bezpečnosti pripisuje manažment organizácie. Je nesmierne dôležité, že vedenie prikladá tejto problematike veľký význam, a preto je možné zhodnotiť, že kybernetická bezpečnosť,  a to aj z dôvodu medializovaných útokov na nemocnice v Českej republike a iných okolitých krajinách, má svoje postavenie v činnosti takejto organizácie.

Je zrejmé, že zmena od povedomia ku kultúre kybernetickej bezpečnosti v organizácii nie je jednoduchá, no len postupné a cieľavedomé vzdelávanie vo veciach kybernetickej bezpečnosti pomôže ochrániť organizáciu pred kybernetickými hrozbami.

Marián Illovský audítor kybernetickej bezpečnosti

Skúsenosť zákazníka

Akú najvýznamnejšiu skúsenosť priniesol audit kybernetickej bezpečnosti?

Nakoľko išlo o vôbec prvé posudzovanie zhody prijatých opatrení s požiadavkami zákona od jeho účinnosti formou auditu v sektore zdravotníctva, najvýznamnejšou skúsenosťou bolo praktické oboznámenie sa s postupmi, zásadami a metódami výkonu auditu kybernetickej bezpečnosti certifikovaným audítorom kybernetickej bezpečnosti.

Aké boli nároky na súčinnosť pri audite z Vašej strany? Je to záťaž v dennom výkone?

Špecifickosť výkonu auditu, čo do počtu dotknutých samostatných právnych subjektov (jedenásť) registrovaných ako prevádzkovateľov základnej služby združených v sieti nemocníc Svet zdravia, bola celková dĺžka auditu takmer tri mesiace a samotný audit si vyžadoval súčinnosť veľkého množstva zamestnancov jednotlivých subjektov, ako z radov IT špecialistov, tak aj HR tímu, špecialistov kvality, prevádzkových zamestnancov a v neposlednom rade vysoké nasadenie samotného manažéra kybernetickej bezpečnosti.

Preskúmanie všetkých oblastí požadovaných zákonom a vyhláškou si vyžadoval presné stanovenie a dodržiavanie auditného harmonogramu, jeho rozsahu, zdrojov a osobnú účasť na mieste výkonu auditu vo všetkých auditovaných subjektoch.

Ako sa líšia vaše predstavy o kybernetickej bezpečnosti pred a po audite?

Každý manažér kybernetickej bezpečnosti alebo osoba v obdobnej pozícii v organizácii si musí byť plne vedomá svojich výkonných ako aj tzv. governance povinností, ktorými sú zaistenie ochrany informačných aktív organizácie implementáciou a riadením procesov kybernetickej bezpečnosti. Organizuje výkon činností súvisiaci so zaručením bezpečnosti informačných aktív v zmysle najlepšej praxe a snaží sa ho neustále zdokonaľovať, vylepšovať .

Audit je následným systematickým, nezávislým a zdokumentovaným procesom a objektívnym posúdením miery, v akej sa splnili určené vopred definované bezpečnostné požiadavky. Preto sa v tomto smere predstavy  a snahy o nastavenie všetkých opatrení  kybernetickej bezpečnosti pred výkonom auditu, teda v čase ich implementácie a udržiavania, aspoň pre nás, ničím nelíšia od predstáv a cieľov po výkone auditu.

Aké následné procesy po výsledkoch auditu ste nastavili?

Audit kybernetickej bezpečnosti v organizácii sa nekončí odovzdaním auditnej správy. Ide o systematický proces – cyklus budovania a udržiavania celého ekosystému opatrení a procesov. Bezprostredne po získaní výsledkov sa museli stanoviť záväzné opatrenia a harmonogram odstránenia nedostatkov voči požiadavkám zákona a vyhlášky.

Teda následným krokom bolo stanovenie úloh a termínov jednotlivým dotknutým zložkám v organizácii. Významným krokom bolo aj napr. personálne posilnenie tímu IT bezpečnosti a v spolupráci s manažmentom kvality ustanovenie procesov a naštartovanie mechanizmov internej kontroly a vnútorného auditu.

Peter Dufek
IT Security Officer, manažér kybernetickej bezpečnosti ProCare, a.s., Svet Zdravia, a.s.