Zaistenie ochrany národného kybernetického priestoru tvoreného prepojenými informačnými a komunikačnými systémami, časťami  riadiacich a prevádzkových systémov, inteligentnými zariadeniami (v rámci IoT) naprieč celým spektrom vybudovanej technologickej infraštruktúry štátu predstavuje dlhodobý kľúčový cieľ, osobitne zohľadnený aj v rámci programového obdobia 2014-2020. 

Všetky základné ciele stanovené pre cieľovú architektúru 2020 sú kriticky závislé od dôveryhodného a bezpečného prostredia, v ktorom budú prevádzkované, a ktorým budú zároveň chránené. Súčasné paradigmy v oblasti informatizácie, zachytené aj v NKIVS, ako je otvorenosť riešení, vysoké požiadavky na transparentnosť, zdieľanie údajov naprieč inštitúciami, agilný vývoj, outsourcing, prevádzka v cloude - v kombinácii s rastúcou závislosťou verejnej správy na spoľahlivo fungujúcich informačných systémoch v národnom kybernetickom priestore, kladie nové výzvy na riešenia v oblasti kybernetickej bezpečnosti.

Stratégia riešenia v oblasti ochrany systémov v kybernetickom priestore sa zameriava najmä na šírenie najlepších praktík a aplikovanie medzinárodne platných a uznávaných štandardov a metodík v oblasti bezpečnosti z centrálnej úrovne. Vytvorí sa tak základ pre prácu expertných skupín zameraných na reálny výkon činností potrebných pre zaistenie bezpečnosti, či už v rámci informačných a komunikačných systémov verejnej správy, v rámci ochrany kritickej infraštruktúry štátu alebo v bezpečnosti inteligentných zariadení.

Nové riešenia pre kybernetickú bezpečnosť vo verejnej správe budú budované na nasledovných zásadách:

- silná štandardizácia riešení, najmä v zmysle určených bezpečnostných opatrení pre typizované situácie,

- stanovia sa minimálne nevyhnutné požiadavky na bezpečnosť, tak z dôvodu efektívnosti investícií, ako aj pre minimalizáciu obmedzení vyplývajúcich z nasadených bezpečnostných opatrení,

- dôsledné sa odmieta princíp „security by obscurity“, utajené a neprístupné budú iba nevyhnutné záležitosti,

-  realizuje sa systematická podpora používateľov pri bezpečnom používaní elektronických služieb,

-  dôsledne pristúpime k riešeniu rizík prameniacich zo zdieľanej zodpovednosti za prevádzku integrovaného informačného systému verejnej správy.

Pre zaistenie zodpovedajúcej právnej sily a vhodných podmienok pre vymáhanie požiadaviek stanovených pre oblasti bezpečnosti je potrebné prijať aj právne predpisy v oblasti  kybernetickej bezpečnosti a novelizovať existujúce legislatívne predpisy v oblasti riadenia a správy informačnej bezpečnosti zohľadňujúc aj novú smernicu Európskeho parlamentu a Rady (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii[1].

Na úrovni samotných rezortov budú určení zamestnanci zastávať role v jednotlivých oblastiach bezpečnosti podľa medzinárodných štandardov. Zodpovední zamestnanci budú pod jednotným centrálnym dohľadom gestora  kybernetickej bezpečnosti zabezpečovať to, aby bolo v rámci existujúcich aj vznikajúcich informačných a komunikačných systémov, technických riešení, aplikácií a  príslušných projektov kontrolované a vynucované dodržiavanie definovaných bezpečnostných politík a pravidiel. 

Uvedené bude možné najmä vďaka definovaniu bezpečnostných požiadaviek na každý nový systém alebo aplikáciu v súlade so strategickou a rezortnou bezpečnostnou architektúrou už v čase ich prípravy, respektíve overením ich dodržania prostredníctvom testovania bezpečnosti dodávaných riešení a kontrolu odstránenia identifikovaných nedostatkov.

Obrázok 11: Rámcový pohľad na bloky realizujúce kybernetickú bezpečnosť

Z architektonického pohľadu sú pre oblasť kybernetickej bezpečnosti základnými blokmi správa bezpečnosti ISVS, ktorá predovšetkým definuje základné politiky, bezpečnostné pravidlá a odporúčania pre jednotlivých prevádzkovateľov a následne samotné riadenie ich bezpečnosti, v rámci ktorého
už expertné skupiny priamo zasahujú a zabezpečujú konkrétne procesy a systémy v súlade so základnými cieľmi, ktoré si oblasť bezpečnosti vyžaduje. 

Ďalšími blokmi sú oblasť akreditácie a certifikácie, ktoré zaistia jednotné kritériá certifikácii v oblasti kybernetickej bezpečnosti naprieč rezortmi a stavebný blok riešenia súladu s reguláciami, zameraný najmä na kontrolu a audit súladu so stanovenými požiadavkami v reálnom prostredí.

Z pohľadu kybernetickej bezpečnosti je ďalej požadované pokrytie piatich základných oblastí. 

Prvým blokom je správa kybernetickej bezpečnosti zameraná najmä na vydávanie metodických pokynov, základných pravidiel a politík, ale aj na správu bezpečnostnej architektúry a rozvoj v tejto oblasti aj mimo informačného prostredia verejnej správy. Kriticky dôležité sú oblasti kybernetická ochrana  monitorovanie a aktívna obrana proti kybernetickým útokom, najmä voči kritickej infraštruktúre štátu. 

Ďalším blokom je oblasť riadenia a interného vyšetrovania bezpečnostných incidentov a oblasť riadenia bezpečnosti spoločnej komunikačnej infraštruktúry, ktorá má vzhľadom na prepojenie systémov kritický dosah na všetky aspekty prevádzky informačných systémov a bezpečnosti mobilných zariadení.

Na aplikačnej úrovni bude implementácia bezpečnostných riešení rozdelená nasledovne:

- Centrálna úroveň informačných systémov verejnej správy a bezpečnostných riešení za účelom zabezpečenia podpory pre správu jednotlivých oblastí kybernetickej bezpečnosti – primárne určené pre subjekty, ktoré budú riešiť správu v oblasti verejnej správy.

- Centrálna úroveň informačných systémov a bezpečnostných riešení za účelom zabezpečenia podpory riadenia kybernetickej bezpečnosti pre jednotlivé inštitúcie verejnej správy. Ide
o centralizované riešenia, ktoré zabezpečia:

- Požadovanú úroveň bezpečnosti (najmä ochrany, bezpečnostného monitoringu, kontroly a pod.) pre centrálne komponenty architektúry verejnej správy (ako sú napr. spoločné moduly, integračné platformy, spoločné bloky, vládny cloud a pod.).

- Požadované bezpečnostné funkcie, ktoré je efektívnejšie implementovať centralizovane (napríklad testovanie zraniteľnosti, identifikácia a autentifikácia, a podobne) pre jednotlivé inštitúcie verejnej správy.

- Decentralizovaná úroveň bezpečnostných riešení za účelom zabezpečenia podpory riadenia a výkonu kybernetickej bezpečnosti pre jednotlivé inštitúcie verejnej správy. Ide o implementáciu bezpečnostných funkcií na úrovni jednotlivých projektov a riešení jednotlivých inštitúcií verejnej správy, ktoré nie je možné (najmä z pohľadu bezpečnosti) realizovať centralizovaným spôsobom. Táto úroveň je plne v gescii a kompetencii jednotlivých inštitúcií verejnej správy.

V ďalšom postupe systematického zvyšovania kybernetickej bezpečnosti vo verejnej správe budú rozpracované riešenia najmä v nasledovných oblastiach:

- zjednotenie formálnych požiadaviek na riešenie jednotlivých oblastí kybernetickej bezpečnosti,

- riadenie rizík pre ISVS, inteligentné systémy a technické riešenia - založené na centrálne spravovanej metodike / šablóne pre kvalitatívnu analýzu rizík a katalógu hrozieb,

- centralizované riadenie kontinuity činností, vrátane realizácie vyhodnotenia dopadov pre jednotlivé komponenty, ako aj plánovanie náhradného výkonu (napríklad nedostupnosť platformy dátovej integrácie), koordinácia havarijného plánovania a podobne.

- navrhnú sa programy zvyšovania bezpečnostného povedomia používateľov (interných
aj externých)

- centrálne riadenie požiadaviek na bezpečnosť u dodávateľov IT riešení pre verejnú správu,

- zavedenie sa režim nepretržitého výkonu auditu bezpečnosti prevádzkovaných riešení,

- podporí sa inovácia štandardov a riešení v oblasti identifikácie, autentifikácie, autorizácie
a vytvárania záznamov,

- navrhne sa špecifické systematické riešenia ochrany údajov pri realizácii princípu "jeden krát
a dosť", najmä v oblasti ochrany osobných údajov a riadenia prístupu k údajom, ktorý bude štandardne založený na princípe „laissez-faire“ (pozri tiež slovník pojmov).

[1]http://eur-lex.europa.eu/legal-content/SK/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.SLK&toc=OJ:L:2016:194:TOC