I-01 Ideový zámer (Ideovy_zamer)

Naposledy upravil Adriana Mlynarovicova 2025/03/14 09:56

 

IDEOVÝ ZÁMER

manažérsky výstup I-01 

 podľa vyhlášky MIRRI SR č. 401/2023 Z. z. 

verzia 1.2

Pre rýchlejšiu prípravu projektu a vyššiu spokojnosť používateľov.

Identifikácia projektu

Názov:Kybernetická bezpečnosť v samospráve do 6.000 obyvateľov
Realizátor:Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
Kontaktná osoba:Bc. Adriána Mlynarovičová adriana.mlynarovicova@mirri.gov.sk
Dátum:18.12.2024
Predpokladaný začiatok:03/2025
Dátum schválenia projektovou komisiou:Dátum schválenia projektovou komisiou, resp. vedením organizácie (ak relevantné)
  1. POPIS PROJEKTU
    1. Stručný popis východiskovej situácie

V zmysle zákona  č.69/2018 Z.z. o kybernetickej bezpečnosti, je každá obec s počtom obyvateľov viac než 1.000 prevádzkovateľom základnej služby štátu a je povinná dodržiavať bezpečnostné opatrenia podľa §20 (1). Sú to úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov.

V zásade ide o opatrenia, ktoré majú za cieľ minimalizovať riziko vzniku negatívnej udalosti akými sú napríklad:

  • Narušenie prevádzky siete alebo informačného systému, ktoré ohrozí integritu alebo dôvernosť spracovávaných osobných údajov,
  • úniku osobných údajov v dôsledku čoho môže vzniknúť škoda na zdraví, či ujma na majetku,
  • obmedzenie výkonu, alebo ohrozenie pôsobnosti obce, najmä s ohľadom na schopnosť zabezpečenia bezpečia, verejného poriadku alebo zvládnutia mimoriadnej udalosti.

Dôležité je povedať, že hoci zákon hovorí explicitne o obciach nad 1000 obyvateľov, zo všetkých obcí na Slovensku s počtom obyvateľov do 6000 až 1859 obcí, teda viac než 2/3 error, má menej než 1000 obyvateľov a spolu v týchto obciach žije viac než 800 000 obyvateľov. Z pohľadu kybernetickej bezpečnosti dáta týchto občanov nie sú chránené takmer vôbec.

Zvýšená schopnosť detekcie a prevencie hrozieb znižuje riziko kybernetických incidentov a znefunkčnenia informačných systémov územnej samosprávy a poskytovaných služieb občanom a podnikateľom. Zvýšením úrovne kybernetickej bezpečnosti dôjde k skvalitneniu ochranu aktív a celkovej dôveryhodnosti občanov voči samospráve a jej službám.

file:///C:/Users/MLYNAR~1/AppData/Local/Temp/msohtmlclip1/01/clip_image001.jpg  

Náhľad č.1 Schéma motivačnej architektúry

Zainteresovanými stranami projektu sú Ministerstvo investícií, regionálneho rozvoja a informatizácie SR ako vecný gestor pre oblasť informatizácie a orgán vedenia, Národný bezpečnostný úrad ako riadiaci a koordinačný orgán pre oblasť kybernetickej bezpečnosti, obce ako samosprávny orgán a občania resp. podnikatelia v roli konzumentov údajov a služieb verejnej správy. Hnacími prvkami sú predovšetkým zaistenie bezpečnosti aktív, prevencia pred kybernetickým útokom, optimalizácia procesov a súvisiaci efektívny výkon agendy a kompetencií a v neposlednom rade zabezpečenie súladu s legislatívou, pričom tieto hnacie prvky sa synergicky dopĺňajú. Projekt má byť realizovaný so zreteľom naplnenia čiastkových cieľov, ktoré korešpondujú s identifikovanými hnacími prvkami. Jedná sa predovšetkým o zvýšenie kybernetickej a informačnej bezpečnosti, zvýšenie kvality, štandardu a dostupnosti elektronických služieb a pokračovanie v modernizácii a racionalizácii verejnej správy IKT prostriedkami.

KOMPLEXNOSŤ - Dôvod realizácie národného projektu

Najvyšší kontrolný úrad SR opakovane poukázal na to, že obce samostatne bez aktívnej podpory štátu nemajú dostatočné zdroje. Najmä v menších obciach absentuje akákoľvek infraštruktúra informačnej a kybernetickej bezpečnosti a to hlavne z dôvodu obmedzených rozpočtových zdrojov. V komunikácii s NKÚ obce uviedli nedostatok finančných prostriedkov ako jednu z významných bariér pri realizácii akýchkoľvek opatrení kybernetickej a informačnej bezpečnosti.

Oblasť kybernetickej bezpečnosti je súčasťou širokej škály kompetencií samospráv, pričom sa jedná o nezriedka zanedbávanú a ťažko uchopiteľnú kompetenciu. Oblasť kybernetickej bezpečnosti je z veľkej časti otázkou prevencie, často nemá v porovnaní s inými kompetenciami samospráv hmatateľný dopad na kvalitu života obyvateľov samosprávy. To však platí iba do vzniku kybernetického incidentu, kedy môžu byť ohrozené nie len služby občanom, ale aj ich dáta a spôsobené výrazné škody. Obce tiež často nedisponujú nie len dostatočnými finančnými zdrojmi, ale ani odbornými kapacitami, čo vyvoláva potrebu zamestnania externých odborníkov na kybernetickú bezpečnosť. To kumulatívne vedie k nedostatočnému povedomiu a nedostatočnému zdokonaleniu bezpečnostných postupov v rámci interných procesov samospráv, osvojenia si zásad bezpečného používania IKT nástrojov zamestnancami a disponovania reálne použiteľnou sadou kyberbezpečnostných nástrojov. Ďalším dôsledkom nedostatku finančných prostriedkov a vlastných odborníkov v danej oblasti je prevádzka starších IT systémov a nedostatočnej aktualizácie softvéru.

URGENCIA

S narastajúcou digitalizáciou verejných služieb je dôležité, aby verejnosť mala dôveru v to, že ich údaje sú bezpečné a chránené. V súčasnom digitálnom prostredí, v ktorom sa významná časť kritických informácií a transakcií presúva do online sféry, sa vytvára potreba osobitného dôrazu na zachovanie dôvery medzi verejnosťou a verejnými inštitúciami. Niet pochýb o tom, že bezpečnostné mechanizmy zohrávajú strategickú úlohu pri ochrane dôvernosti údajov. Ak by však došlo k neautorizovanému prístupu či narušeniu bezpečnosti údajov, vzniká nebezpečenstvo nielen pre samotnú integritu údajov, ale aj pre základné vzťahy medzi verejnosťou a verejnými inštitúciami. Kvalita a úroveň poskytovaných služieb (vrátane prevádzkovateľov tzv. základnej služby štátu) priamo závisí od funkčnosti a dostupnosti informačných systémov samospráv pričom vo väčšine prípadov možno dokonca konštatovať, že služby sú od prevádzky informačných systémov dokonca plne závislé. Nedostupnosť informačných aktív v dôsledku kybernetického incidentu preto môže mať fatálny vplyv nielen na základnú službu a poskytovanie ostatných služieb obcí ale i prípadných organizácií v zriaďovateľskej pôsobnosti (napr. zariadenia sociálnych služieb, technické služby a pod.), ktoré sú na jeho infraštruktúru naviazané.
 

Z dôvodu zabezpečenia súladu s požiadavkami zákonov o kybernetickej bezpečnosti a informačných technológiách vo verejnej správe samosprávy vykonali samohodnotenie alebo zrealizovaný audit úrovne kybernetickej bezpečnosti. Uvádzame najčastejšie sa vyskytujúce nedostatky:

  • identifikácia zraniteľnosti rizík je neaktualizovaná resp. nie je vedená vôbec,
  • identifikácia hrozieb nebola realizovaná, je zastaraná a nezodpovedá aktuálnemu zoznamu identifikovaných aktív,
  • dokumentácia kybernetickej a informačnej bezpečnosti neobsahuje určeného vlastníka rizika, resp. sa nerobila vôbec,
  • v obciach nie sú zadefinované postupy pre presun práv a povinnosti k vzťahu ku kybernetickej bezpečnosti,
  • samospráva nemá vypracovaný plán vzdelávania, v rámci rozvoja bezpečnostného povedomia sa za posledné dva roky nekonalo žiadne školenie zamestnancov,
  • hodnotenie účinnosti plánu rozvoja bezpečnostného povedomia sa za posledné dva roky nerobilo alebo nerobilo vôbec,
  • vyhodnocovanie prevádzkových záznamov sa nevykonáva,
  • nevykonáva sa detegovanie existujúcich zraniteľností programových prostriedkov a ich častí,
  • samospráva nepoužíva nástroj na detegovanie zraniteľnosti technických prostriedkov a ich častí,
  • samospráva nemá zavedený proces riadenia záplat a aktualizácií,
  • samospráva nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov,
  • nie je implementovaný nástroj na zber a nepretržité vyhodnocovanie kybernetických bezpečnostných udalostí,
  • zamestnanci pri ukončení pracovného pomeru alebo iného obdobného pracovného vzťahu zadokumentovaným spôsobom nevracajú späť všetky zverené aktíva,
  • neboli spracované procesy riadenia kontinuity činností a realizácie opatrení na zvýšenie odolnosti sietí a informačných systémov základnej služby.

S ohľadom na vyššie uvedené nedostatky je predmetom projektu súbor riešení, ktoré zlepšia celkovú úroveň kybernetickej bezpečnosti obcí a umožnia dosiahnuť požadovanú úroveň ich kybernetickej a informačnej bezpečnosti v súlade s platnou legislatívou. Zámerom projektu je posilniť kybernetickú a informačnú bezpečnosť obcí do 6 000 obyvateľov  prostredníctvom komplexného prístupu zameraného na vypracovanie zodpovedajúcej bezpečnostnej dokumentácie a zlepšenie prehľadnosti a kontroly nad informačnou infraštruktúrou.

CIEĽOVÁ SKUPINA

V sektore „Verejná správa“, podsektor „Informačné systémy verejnej správy“, v ktorom sa nachádza najväčší počet poskytovateľov základnej služby sa situácia podľa vyššie uvedenej správy v oblasti kybernetickej bezpečnosti dlhodobo nemení. Stále tu možno pozorovať až kritické zanedbávanie bezpečnosti. Najmä samosprávy a menší prevádzkovatelia si dostatočne neuvedomujú dôležitosť témy kybernetickej bezpečnosti, k problematike pristupujú povrchne a zameriavajú sa skôr na formálne aktivity (napríklad kupovanie generickej dokumentácie). Takisto sa často snažia preniesť zodpovednosť za riešenie tejto problematiky na externé spoločnosti, vrátane zodpovedností, ktoré prináležia len štatutárovi spoločnosti a sú teda neprenosné. Celkové riadenie kybernetickej bezpečnosti pri PZS v tomto sektore často chýba, je chaotické alebo čiastkové.

Cieľom projektu je z dôvodov uvedených vyššie realizovať národný projekt, ktorý by plošne a adresne zvýšil úroveň kybernetickej bezpečnosti v samosprávach do 6 000 obyvateľov. Projekt adresuje nedostatočnú úroveň kybernetickej bezpečnosti v obciach do 6 000 obyvateľov, čo predstavuje až 95,39% všetkých obcí na Slovensku. Berúc do úvahy obmedzenia v oblasti financií a dostupnosti ľudských zdrojov je preferovanou formou odstránenia nedostatku súčasného stavu národný projekt a nie dopytová výzva.

Vzhľadom na komplexnosť a dôležitosť tohto projektu je prioritou jeho včasná realizácia, aby sa predišlo potenciálnym rizikám a zabezpečila vysoká úroveň ochrany pre všetky zainteresované strany. Určitou výhodou je, že charakteristické správanie obcí a ich činnosť je v podobne veľkých obciach úplne rovnaká. Preto ekonomicky najrozumnejším a najefektívnejším variantom realizácie projektu je vytvorenie národného projektu zabezpečenia implementácie kybernetickej bezpečnosti pre obce do 6.000 obyvateľom jedným projektom. Ekonomicky sa tak ušetria násobné finančné prostriedky zavedením rovnakého štandardu jednorazovým procesom, zaškolením a konzultáciami.

Navrhovaným merateľným ukazovateľom je počet podporených obcí – Počet obcí so zvýšenou úrovňou bezpečnostného štandardu v oblasti kybernetickej a informačnej bezpečnosti nasadením procesného, technického a softvérového vybavenia.

HRANICA

Predpokladaná investičná hodnota projektu je 9,3 mil.€. Exaktná investičná hodnota projektu bude stanovená CBA analýzou v kombinácii s predpokladanou hodnotou zákazky pre licencie, softvérové a hardvérové riešenia. V odhadovanej sme počítali s kalkuláciou so zapojením 2 500 obcí.


    1. Situácia po realizácii projektu

Súlad navrhovaného riešenia so stratégiami, politikami a cieľmi

Projekt vychádza z Národnej stratégie kybernetickej bezpečnosti na roky 2021 až 2025 (ďalej len “Národná stratégia”), ktorá zakotvila smerovanie Slovenskej republiky (ďalej len „SR“) v oblasti kybernetickej bezpečnosti. V Národnej stratégii sú popísané princípy, na ktorých stojí systém riadenia kybernetickej bezpečnosti, ako aj hrozby, ktoré vplývajú na procesy a činnosti v oblasti kybernetickej bezpečnosti a majú významný dopad na bezpečnosť štátu, ako aj jeho obyvateľov. Ako reakcia na tieto hrozby Národná stratégia určila strategické ciele, na ktoré je potrebné sa najbližších minimálne 5 rokov zamerať:

  1. Dôveryhodný štát pripravený na hrozby
  2. Efektívne odhaľovanie a objasňovanie počítačovej kriminality
  3. Odolný́ súkromný sektor
  4. Kybernetická bezpečnosť ako základná súčasť verejnej správy
  5. Silné partnerstvá
  6. Vzdelaní odborníci a vzdelaná verejnosť
  7. Výskum a vývoj v oblasti kybernetickej bezpečnosti

Projekt je v súlade s Národnou koncepciou informatizácie verejnej správy 2021, nakoľko minimalizáciou bezpečnostných incidentov a škôd ako aj zvyšovaním úrovne ekosystému kybernetickej a informačnej bezpečnosti, teda zvyšovaním schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe, prispieva k napĺňaniu cieľov prioritnej osi 4- Kybernetická a informačná bezpečnosť.

Z pohľadu životných situácií sa projekt venuje nasledovným životným situáciám:

Kód v číselníku (MetaIS)Názov
131Práca vo verejnom záujme
051Demokracia
058Účasť na veciach verejných

Tabuľka č. 1 - Zoznam projektom zlepšovaných životných situácií

STANOVENIE ALTERNATÍV:

  1. Zachovanie súčasného stavu bez realizácie projektu - stav zostane nezmenený (v kritickom režime), bez dostatočných finančných kapacít a kvalifikovaných ľudských zdrojov dostupných pre potreby obcí, kedy prípadný kybernetický/bezpečnostný incidentu môže viesť k nedostupnosti časti alebo celého riešenia. Táto alternatíva predstavuje vysoké riziko vzhľadom na citlivosť údajov.
  2. Kybernetická bezpečnosť  realizovaná obcami  samostatne (decentralizovane)- alternatíva predstavuje zabezpečenia kybernetickej bezpečnosti zo strany samotných obcí za zvýšenej metodickej a odbornej pomoci MIRRI SR. Toto riešenie si vyžaduje posilnenie personálnych kapacít MIRRI SR, avšak vzhľadom na početnosť individuálnych samospráv predstavuje neefektívne riešenie bez ďalších dokumentačných, SW a HW nástrojov. Samotné zabezpečenie súladu s legislatívnymi požiadavkami KB kategórie I. podľa zákona č. 69/2018 Z.z. naprieč všetkými používanými informačnými systémami a internými procesmi by bolo výlučne na pleciach príslušnej obce.
  3. Realizácia Kybernetická bezpečnosť pre samosprávy SR do 6000 obyvateľov – realizáciou projektu sa zabezpečí zvýšenie úrovne kybernetickej a informačnej bezpečnosti obcí do 6000 obyvateľov prostredníctvom zabezpečenia bezpečnostnej dokumentácie, efektívneho centrálneho obstarania, inštalácie. Zabezpečí sa aj zastrešenie zdieľanej funkcie IT security experta pre kybernetickú bezpečnosť.

AKTIVITY PROJEKTU:

Aktivita A.1 Technologické zvýšenie bezpečnosti

Aktivita bude realizovaná v jednotlivých etapách.

A.1.1  

V prvej etape bude realizovaná implementácia hardvérových a softvérových riešení na základe vykonanej vstupnej GAP analýzy pre každú obec samostatne.

Implementácia softvérových nástrojov kybernetickej bezpečnosti: Budú zavedené konkrétne softvérové nástroje na zabezpečenie kybernetickej bezpečnosti.

Nasadenie a inštalácia NAS, EDR a Firewall:

  • NAS (Network Attached Storage): Zariadenie na ukladanie a zdieľanie dát v rámci siete.
  • EDR (Endpoint Detection and Response): Technológia na monitorovanie a reakciu na kybernetické hrozby na koncových zariadeniach.
  • Firewall: Zariadenie alebo softvér na kontrolu a filtrovanie sieťovej komunikácie.

V zmysle požiadaviek vyhlášky 401/2023 Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy, ktoré vyžadujú realizáciu pilotného overenia za účelom minimalizácie rizík, overenia konceptu, funkčnosti riešenia a získania spätnej väzby od používateľov bude v prvom kroku realizovaný pilotné nasadenie bezpečnostných opatrení nasledovne:

Pilotné overenie na vzorke obcí (max. 10), ktorého analytickým výstupom bude vypracovaná vzorová dokumentácia, ktorá sa bude upravovať a aktualizovať pre potreby každej obce pre oblasti: organizácia kybernetickej a informačnej bezpečnosti, riadenia rizík, personálnej bezpečnosti, riadenie prístupov, riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, bezpečnosť pri prevádzke informačných systémov a sietí, hodnotenie zraniteľností a bezpečnostné aktualizácie, ochrana proti škodlivému kódu, sieťová a komunikačná bezpečnosť, riešenie kybernetických bezpečnostných incidentov, kontinuita prevádzky a audit a kontrolné činnosti.

  • odladenie procesu implementácie aktivít na jednotlivých typoch obcí s cieľom potvrdenia ich užitočnosti a využitia na obciach
  • automatizácia procesov, a výkon úloh tak, aby sa do projektu mohlo zapojiť maximum obcí so záujmom zabezpečenia vlastnej kybernetickej bezpečnosti a súladu so zákonom o kybernetickej bezpečnosti
  • vypracovanie štandardov pre rollout, využitie existujúcich podkladov a materiálov

A.1.2.

Postupný rollout na ďalšie obce na základe prejaveného záujmu obcí. Platforma Centrálny portál kybernetickej bezpečnosti ďalej nazývaný ako „kyberportál“, bude slúžiť ako hlavný komunikačný nástroj ohľadom možnej participácie obcí na projekte (nahlasovanie sa do databázy žiadateľov, zasielanie dokumentácie/informácie o AS IS stave obce z pohľadu KB, atď.). Obce si cez katalóg služieb v kyberportáli vyberú záujem o službu (NAS, EDR, Firewall, školenie zamestnancov, konzultačné služby kybernetickej a informačnej bezpečnosti experta, podpora pri implementácii dokumentácií kybernetickej bezpečnosti, dispečing).

Aktivita A.2 Zabezpečenie súladu s legislatívnymi požiadavkami

A.2.1.

Táto aktivita bude zameraná na zistenie stavu bezpečnostných opatrení pomocou checklistu pre subjekty kategórie I podľa vyhlášky č. 179/2020 Z.z. Celkovo ide o systematický prístup k hodnoteniu a zlepšovaniu bezpečnosti IT systémov pomocou kontrolného zoznamu a analýzy rozdielov.

  • Zistenie stavu bezpečnostných opatrení pomocou checklistu: Použije sa kontrolný zoznam (checklist), ktorý je určený pre subjekty kategórie I podľa vyhlášky 179/2020. Tento zoznam obsahuje konkrétne kritériá a otázky, ktoré pomôžu zistiť, aké bezpečnostné opatrenia sú aktuálne zavedené.
  • Základný stav bezpečnosti IT systémov: Checklist umožní získať prehľad o aktuálnom stave bezpečnosti IT systémov. To znamená, že sa identifikujú existujúce bezpečnostné opatrenia a ich účinnosť (napríklad kontrola active directory, firewall-konfigurácia, a pod.).
  • GAP analýza: Bude vykonaná analýza rozdielov (GAP analýza), ktorá porovná aktuálny stav (as-is) s požiadavkami a osvedčenými postupmi (best practice). Táto analýza pomôže identifikovať slabé miesta a nedostatky v zabezpečení IT systémov. Zároveň budú navrhnuté oblasti zlepšenia tak, aby sa dosiahla požadovaná úroveň bezpečnosti.

A.2.2.

Spracovanie bezpečnostnej dokumentácie v súlade s požiadavkami zákona č. 95/2019 Z. z.

o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov  (ďalej len ako ZoITVS) a zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len ako ZoKB)

ZoKB: Tento zákon stanovuje pravidlá a požiadavky na ochranu informačných systémov a sietí pred kybernetickými hrozbami. Zahŕňa opatrenia na prevenciu, detekciu a reakciu na kybernetické incidenty.

ZoITVS: Tento zákon upravuje používanie informačných technológií v orgánoch verejnej správy. Stanovuje štandardy a postupy na zabezpečenie efektívneho a bezpečného využívania IT systémov v štátnej správe.

Spracovanie bezpečnostnej dokumentácie v súlade s týmito zákonmi znamená, že dokumentácia musí obsahovať všetky potrebné informácie a opatrenia, ktoré sú vyžadované týmito právnymi predpismi, aby bola zabezpečená požadovaná kybernetická a informačná bezpečnosť v súlade s platnými normami a predpismi.

A.2.3.

Implementácia zavedenia procesov a organizácie kybernetickej bezpečnosti

  • Implementácia procesov: Vytvorenie a zavedenie postupov a pravidiel, ktorými sa bude riadiť KB. To môže zahŕňať pravidelné bezpečnostné kontroly, monitorovanie systémov, reakcie na incidenty a obnovu po útokoch.
  • Organizácia kybernetickej bezpečnosti: Stanovenie štruktúry a zodpovedností v rámci organizácie, ktoré sa budú zaoberať kybernetickou bezpečnosťou. To môže zahŕňať určenie za KIB zodpovedných osôb, definovanie ich úloh a povinností.

Celkovo ide o to, aby organizácia mala jasne definované a efektívne fungujúce mechanizmy na ochranu svojich informačných systémov a dát pred kybernetickými hrozbami

A.2.4.

Zdieľanie pozície IT security experta pre kybernetickú bezpečnosť

  • Zdieľaná funkcia: Expert nebude pracovať výlučne pre jednu organizáciu, ale bude svoje odborné znalosti a skúsenosti poskytovať viacerým subjektom. To môže byť efektívne riešenie pre menšie organizácie, ktoré nemajú dostatočné zdroje na zamestnanie vlastného bezpečnostného experta na plný úväzok.
  • IT security expert: Ide o odborníka, ktorý má hlboké znalosti a skúsenosti v oblasti kybernetickej a informačnej bezpečnosti. Tento expert bude zodpovedný za identifikáciu, hodnotenie, riadenie kybernetických rizík a riešení.
  • Kybernetická bezpečnosť: Oblasť, ktorá sa zaoberá ochranou informačných systémov, sietí a dát pred kybernetickými hrozbami a útokmi.

Celkovo teda ide o to, že jeden IT bezpečnostný expert bude poskytovať svoje služby viacerým organizáciám alebo oddeleniam, aby im pomohol zabezpečiť ich informačné systémy a dáta pred kybernetickými hrozbami

Aktivita A.3 Zvýšenia povedomia o kybernetických hrozbách

A.3.1.

Školenia technológiou čo bude inštalovaná na obciach úrovni používateľov (NAS, EDR, firewall)

  • NAS (Network Attached Storage): Toto je zariadenie, ktoré umožňuje ukladať a zdieľať dáta v rámci siete. Používatelia sa naučia, ako efektívne ukladať, spravovať a pristupovať k svojim dátam pomocou NAS.
  • EDR (Endpoint Detection and Response): Toto je bezpečnostná technológia, ktorá monitoruje a reaguje na kybernetické hrozby na koncových zariadeniach (napr. počítače, mobilné zariadenia). Školenie bude zamerané na to, ako používatelia môžu rozpoznať a reagovať na potenciálne bezpečnostné incidenty.
  • Firewall: Toto je bezpečnostné zariadenie alebo softvér, ktorý kontroluje a filtruje sieťovú komunikáciu s cieľom zabrániť neoprávnenému prístupu. Používatelia sa naučia, ako firewall funguje a ako ho môžu používať na ochranu svojich zariadení a dát.

Celkovo teda školenia zabezpečia, že používatelia budú vedieť, ako používať tieto technológie na zvýšenie bezpečnosti a efektivity svojej práce.

V rámci projektu budú kľúčoví používatelia nielen zapojení do školení, ale aj do fázy testovania navrhovaných opatrení. Tento prístup má za cieľ zabezpečiť, aby konečné výsledky projektu presne reflektovali ich potreby a prispeli k zlepšeniu celkovej kybernetickej a informačnej bezpečnosti v obci. Okrem toho bude zabezpečené, že všetci používatelia budú dôkladne oboznámení a zaškolení na prácu s novými procesmi. Tým sa nielen zvýši ich efektivita, ale aj prispeje k vytvoreniu bezpečnejšieho pracovného prostredia.

A.3.2.

Školenia pre štatutárov a zamestnancov

Tieto školenia budú zamerané na základy kybernetickej bezpečnosti, phishingové útoky, bezpečné používanie hesiel. Súčasťou školení bude aj predstavenie spracovanie bezpečnostnej dokumentácie a oboznámenie zamestnancov so základnými zásadami z pohľadu KB.

  • Základy kybernetickej bezpečnosti: Účastníci sa naučia základné princípy a postupy na ochranu svojich informačných systémov a dát pred kybernetickými hrozbami. To zahŕňa pochopenie rôznych typov hrozieb a základných bezpečnostných opatrení.
  • Phishingové útoky: Školenia budú obsahovať informácie o tom, čo sú phishingové útoky, ako ich rozpoznať a ako sa pred nimi chrániť. Phishing je technika, ktorou sa útočníci snažia získať citlivé informácie (napr. heslá, finančné údaje) tým, že sa vydávajú za dôveryhodné osoby alebo organizácie.
  • Bezpečné používanie hesiel: Účastníci sa naučia, ako vytvárať a používať silné heslá, ako ich bezpečne ukladať a ako sa vyhnúť bežným chybám, ktoré môžu viesť k ich kompromitácii. To zahŕňa aj používanie dvojfaktorovej autentifikácie a ďalších bezpečnostných opatrení.
  • Zaškolenie na bezpečnostnú dokumentáciu a smernice: Okrem vydania týchto dokumentov bude potrebné, aby používatelia boli zaškolení na ich správne používanie. To znamená, že budú organizované školenia, kde sa účastníci naučia, ako aplikovať tieto metodiky a smernice v praxi. Školenia zabezpečia, že všetci používatelia budú rozumieť obsahu dokumentácie a budú vedieť, ako ju správne implementovať.

Celkovo tieto školenia pomôžu účastníkom získať dôležité znalosti a zručnosti na ochranu svojich digitálnych aktív a aby boli vytvorené jasné a zrozumiteľné pravidlá pre kybernetickú bezpečnosť

Popis implementovaných riešení:

NAS

Pre obce, ktoré riešenie NAS nemajú implementované, bude projektom dodané a implementované sieťové úložisko (Network Attached Storage) s cieľom uchovávať, spravovať a zálohovať dáta v rámci internej siete. Úložisko typu NAS umožní jednoduché a efektívne zálohovanie dát rôznych zariadení a používateľov a riadenie prístupov k nim.

Firewall

Firewall ako základný prvok sieťovej bezpečnosti bude na obciach implementovaný a konfigurovaný za účelom kontroly komunikácie medzi externou a internou sieťou s cieľom zabrániť neoprávnenému prístupu k sieti alebo koncovým zariadeniam. Okrem monitorovania komunikácie v reálnom čase a jej filtrovania prostredníctvom preddefinovaných pravidiel bude poskytovať funkciu obmedzenia prístupu vybraným potencionálne rizikovým službám alebo aplikáciám.

EDR

Projektom je navrhovaná implementácia technológie EDR (Endpoint Detection and Response) na infraštruktúre obcí. Prostredníctvom EDR bude zabezpečená ochrana koncových zariadení (počítače, notebooky, servery a iné koncové zariadenia pripojené na sieť) pred pokročilými hrozbami. Technológia umožní monitorovať koncové zariadenia v reálnom čase a na základe analýzy údajov odhaliť anomálie podozrivých aktivít. Aplikované algoritmy a strojové učenie zvyšujú pravdepodobnosť adekvátnej reakcie na podozrivé správanie aj prostredníctvom moderných útočných metód, izolovať v sieti infiltrované koncové zariadenie a zamedziť šíreniu útoku. Dáta zaznamenané prostredníctvom EDR umožnia ďalšiu, hĺbkovú analýzu útoku, vizualizovať údaje a reportovať.

Firewall zabraňuje prieniku základných hrozieb do siete a blokuje škodlivý prístup zvonku. Ak však škodlivý kód firewallom prejde alebo ak je hrozba interná (napr. neoprávnené aktivity zamestnanca), EDR má schopnosť detegovať podozrivú aktivitu priamo na zariadení. Dokáže rýchlo reagovať na konkrétnom zariadení, izolovať ho alebo spustiť automatizované procesy na odstránenie hrozby. Firewall prináša sieťové reporty a logy, zatiaľ čo EDR dodáva hĺbkové informácie o aktivitách a správaní na koncových zariadeniach. Kombinácia týchto technológií znižuje šancu úspešného prieniku a infekcie siete a zariadení. Spolupráca firewallu a EDR poskytuje komplexné zabezpečenie, ktoré je nevyhnutné pre ochranu moderných sietí.

Po úspešnej implementácii projektu sa predpokladá výrazné posilnenie kybernetickej a informačnej bezpečnosti. Tento projekt prináša komplexné vylepšenia vo viacerých oblastiach,  od základnej  infraštruktúrnej ochrany obcí, informačnej pripravenosti až po zvyšujúcej odolnosti proti kybernetickým hrozbám.

V oblasti infraštruktúry dôjde k výraznému posilneniu prostredníctvom modernizácie firewallovej infraštruktúry, centrálnej správy EDR  monitorovacích a reakčných systémov. Tieto opatrenia zabezpečia rýchlejšie odhaľovanie a reagovanie na bezpečnostné incidenty, čo je kľúčové pre minimalizáciu rizík a potenciálnych škôd. Implementácia NAS prostredníctvom riadenia prístupov a efektívneho zdieľania dát zvýši úroveň ochrany aktív. Výsledkom realizácie projektu bude že obce, budú nielen lepšie chránené pred kybernetickými hrozbami, ale že sú tiež pripravené na využívanie digitálnych príležitostí s väčšou dôverou a bezpečnosťou pre všetkých svojich obyvateľov.


    1. úprava procesov

Vychádzajúc z výsledkov rozhovorov so starostami, nedávnych samohodnotení alebo auditov kybernetickej bezpečnosti, ktorý odhalil potrebné oblasti zlepšenia, sa niektoré obce  zameriavajú na predbežné úpravy svojich procesov pred zavedením vybraných opatrení. Vysoká komplexnosť nástrojov kybernetickej bezpečnosti však sťažuje štatutárom orientáciu v oblasti kybernetickej ochrany.

Prvým krokom bude dôkladná analýza a optimalizácia súčasných procesov, aby sa zabezpečilo, že nové postupy a technológie budú implementované efektívne a budú podporovať už existujúce zjednodušené postupy. Týmto sa zvýši celková úroveň kybernetickej a informačnej bezpečnosti v samospráve úradov do 6 tis. obyvateľov. Následne sa obce zamerajú na integráciu nových opatrení tak, aby sa prirodzene integrovali do upravených procesov. To bude zahŕňať aj aktualizáciu interných smerníc a príslušnej dokumentácie, čím sa zabezpečí súlad dokumentov s novými postupmi a technológiami. Tento prístup umožní hladkú integráciu a zvýši efektivitu nových riešení v rámci organizácie. Kľúčovou súčasťou bude aj zaškolenie zamestnancov, ktoré im poskytne potrebné znalosti a zručnosti pre prácu s novými nástrojmi a v rámci optimalizovaných procesov pre oblasť kybernetickej a informačnej bezpečnosti. To zvýši ich schopnosť efektívne reagovať na bezpečnostné výzvy a prispieť k ochrane identifikovaných aktív obce. Po komplexnej implementácii týchto opatrení, budú obce lepšie vybavené na detekciu a reakciu na kybernetické hrozby. Zvýšená kybernetická a informačná odolnosť tak prispeje k posilnenej dôvere v digitálne služby, ktoré obce poskytuje svojim obyvateľom a návštevníkom

  1. Používatelia riešeniaZabe

Počas vykonávaných auditov, samohodnotení a diskusií ohľadom kybernetickej bezpečnosti sa aktívne získavali názory kľúčových používateľov, ktoré poskytli detailný pohľad na súčasný stav a identifikovali kritické oblasti potrebné pre zlepšenie. Tento proces odhalil, že používatelia vnímajú problémy súvisiace s ochranou dát, prístupnosťou k systémom a celkovou pripravenosťou na kybernetické hrozby. Aj na základe týchto informácií sa navrhli zlepšenia, ktoré sú obsahom projektu. Aplikované riešenia majú poskytnúť základný perimeter kybernetickej ochrany koncových zariadení používaných na obciach a na základe vypracovanej bezpečnostnej dokumentácie zlepšiť procesy s prítomným rizikom vzniku kybernetického incidentu.

V rámci projektu budú kľúčoví používatelia zapojení do aj školení a do fázy testovania opatrení s cieľom zabezpečiť, aby konečné výsledky reflektovali ich potreby a zlepšili celkovú kybernetickú a informačnú bezpečnosť v obci. Okrem toho bude zabezpečené, že všetci používatelia budú adekvátne oboznámení a zaškolení na prácu s novými procesmi, čo zvýši ich efektivitu a prispeje k bezpečnejšiemu prostrediu.

  1. prínosy

KVALITATÍVNE PRÍNOSY:

Zvýšenie kybernetickej bezpečnosti

Projekt prinesie zlepšenie ochrany obcí pred stále rastúcimi kybernetickými hrozbami. S progresom informatizácie a elektronizácie služieb rastie aj riziko vzniku, no predovšetkým potencionálneho dopadu kybernetického incidentu. Zvýšená efektivita reakcie na kybernetické hrozby a spoľahlivosť IT infraštruktúry prinesie organizácii významný prínos, a to v podobe zníženia rizika straty dôveryhodnosti, finančných strát a poškodenia povesť. Týmto spôsobom sa projekt stáva kľúčovým opatrením v oblasti kybernetickej bezpečnosti a ochrany organizácie pred hrozbami v dnešnom digitálnom svete. V rámci rozvoja manažmentu kybernetickej a informačnej bezpečnosti bude zvýšené povedomie zamestnancov o dôležitosti kybernetickej bezpečnosti. Toto je kľúčové pre prevenciu a efektívnu reakciu na incidenty.

Centralizovaná podpora

Nasadenie unifikovaných bezpečnostných riešení a služieb (FW a EDR) prináša výhodu efektívnej a centralizovanej podpory v oblasti kybernetickej bezpečnosti pre obce. Toto znamená, že obce si nebudú musieť jednotlivo zabezpečovať a spravovať komplexné bezpečnostné opatrenia, čo by mohlo byť časovo náročné a nákladné. Týmto spôsobom projekt znižuje administratívne zaťaženie samospráv.

Rýchlejšia reakcia na hrozby

Implementácia technologických riešení a automatizácia procesov v nástroji EDR umožní rýchlejšiu identifikáciu, analýzu a riešenie kybernetických hrozieb. Tým sa zabezpečí včasná reakcia a minimalizácia potenciálnych škôd. V rámci projektu budú implementovať najmodernejšie technológie a nástroje, ktoré umožnia okamžité rozpoznanie potenciálnych hrozieb a ich priradenie do správnych kategórií. Implementáciou projektu dôjde k okamžitejšom nasadení potrebných opatrení na minimalizáciu potenciálnych škôd. Výsledkom je nielen zníženie rizika pre organizáciu, ale aj minimalizácia možných škôd, ktoré by takéto hrozby mohli spôsobiť.

KVANTITATÍVNE PRÍNOSY:

Zníženie % výpadku služieb obcí a s tým súvisiaceho „prestoja“ zamestnancov samosprávy

Počítané ako percento zníženia výpadkov infraštruktúry z dôvodu výmeny a/alebo doplnenia niektorých kľúčových HW a SW komponentov infraštruktúry. Prínos sme vypočítali ako rozdiel medzi nedostupnosťou infraštruktúry v AS-IS a TO-BE stave. Konkrétne vyčíslenie finančného prínosu bude predmetom prípravnej a iniciačnej dokumentácie.

Zamedzenie výpadku z dôvodu bezpečnostného incidentu a nutného recovery.

Nasadením riešenia dôjde k zníženiu pravdepodobnosti dopadu závažného incidentu. V prípade závažného výpadku sa predpokladá výpadok v dĺžke týždňov. Vzhľadom na podobné softvérové vybavenie obcí je možné predpokladať rýchlu replikáciu incidentu a teda multiplikovanie rizika. Konkrétne vyčíslenie finančného prínosu bude predmetom prípravnej a iniciačnej dokumentácie.

Zabránené riziku narušenia údajov implementáciou EDR pre obce do 6000 obyvateľov

Prínos je vypočítaný ako rozdiel medzi sumárom pravdepodobných priemerných nákladov v prípade narušenia údajov medzi prostredím bez implementovaného riešenia EDR a prostredím s implementovaným EDR. Priemerné náklady pre AS_IS sú vypočítané ako úspora na priemerných nákladoch pri úspešnom porušení údajov. Implementácia riešenia EDR počíta so snížením rozsahu dopadu o 97%

Úspora z rozsahu pri verejnom obstarávaní

Prínos je vypočítaný ako rozdiel medzi sumárom nákladov pri individuálnom obstarávaní obcou a sumou nákladov pri centrálnom verejnom obstarávaní. Úspora pri centrálnom verejnom obstarávaní je na úrovni 4%.

Úspora času zamestnanca OÚ (zamestnanec VO)

Prínos úspory času zamestnanca VO počítame ako počet obcí * super hrubá hod. mzda zamestnanca VO * počet VO per obec * počet hodín zamestnanca strávených realizovaním 1 VO.