Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

Mýty a povery

V tejto kapitole sú uvedené najčastejšie reakcie k téme kybernetickej bezpečnosti OT systémov. Mnohé reakcie vychádzajú z minulosti, nízkej znalosti problematiky alebo len jednoducho podceňovania významu a dôležitosti riešenia kybernetickej bezpečnosti.

Mýtus č.1:

„doteraz sme to nepotrebovali a nič sa nestalo“ … dopĺňame „áno ale iba zatiaľ“. Nástupom nových technológií priemyselných riadiacich systémov založených na mikroprocesorových riešeniach a vznikom nových typov škodlivých kódov (malvéru) vzniká nevyhnutná potreba riešenia kybernetickej bezpečnosti.

Mýtus č.2:

„máme samostatnú technologickú LAN sieť ktorá je zabezpečená firewall-om“ oddelenie LAN sietí prostredníctvom samostatného firewallu je v súčasnosti nepostačujúce, keďže štatistika dokazuje, že cca 80% kybernetických útokov je „z vnútra“, to znamená že škodlivý kód je zanesený priamym pripojením sa do vnútornej LAN siete alebo dokonca priamym pripojením sa na koncové OT zariadenie. Dôvody môžu byť aj prozaické, či už sa jedná o úmyselnú alebo aj neúmyselnú činnosť ako napr. servisné práce, plánované úpravy na zariadeniach a pod. Účinnú a odskúšanú bezpečnosť predstavuje dôsledná implementácia princípov popísaných v koncepte Defence-in-depth v každom koncovom zriadení OT systémov.

Pozn.: V súčasnosti má každé koncové zariadenie IT systémov (počítač, server, notebook, …) implementovaný vlastný samostatný firewall, antivírové a šifrovacie funkcie. O väčšine súčasných OT zariadeniach sa to však tvrdiť nedá.

Mýtus č.3:

„naše systémy sú zabezpečené menom a heslom“ zabezpečenie len pomocou prihlasovacieho mena a hesla v súčasnosti už neposkytuje dostatočnú úroveň zabezpečenia OT systémov. Nehovoriac o tom, že samotný proces prideľovania a správy prihlasovacích mien a hesiel je v praxi založený na „ľudskom faktore“ a vnáša zraniteľnosť do systému. Riešením je implementácia princípov popísaných v koncepte Defence-in-depth.

Mýtus č.5:

„u nás to riešia IT-čkári“ typická reakcia svedčiaca o nízkej znalosti rozdielov IT a OT systémov, resp. ľudská vlastnosť hodiť „problém na plecia iného“. Kybernetická bezpečnosť systémov IT a OT je v základných rysoch podobná téma. Napriek tomu majú OT systémy svoje vlastné špecifiká presahujúce požiadavky IT. Naviac samotné OT zariadenia nepatria do správy a údržby IT technikov.

Kybernetickú bezpečnosť OT systémov si vyžaduje komplexný prístup a treba ju riešiť aj na úrovni vnútrofiremných procesov, kompetencií a zodpovedností a tomu prispôsobiť aj organizačnú štruktúru.

Mýtus č.6:

„výrobcovia OT systémov nám tvrdia, že to majú vyriešené“ ďalšia typická reakcia typu „jedna pani povedala…“ alebo „papier znesie všetko“ alebo „nikto Ti nevie splniť, to čo Ti ja viem sľúbiť“. Pravda je taká, že čelíme tlaku dezinformácií, polo-právd a zmanipulovaných informácií.  Stretávame sa aj s prípadmi, kedy výrobca predloží certifikát o kybernetickej bezpečnosti, ktorý si vystavil sám sebe.