Pozrime sa na denné povinnosti z hľadiska kyberbezpečnosti a ako si s tým poradiť

Za informačnú bezpečnosť zodpovedajú manažéri kybernetickej bezpečnosti aj vtedy, keď riziká vznikajú u dodávateľov, v cloudových službách alebo v dôsledku ľudských chýb. Táto asymetria medzi zodpovednosťou a reálnym dosahom patrí vôbec k najväčším stresovým faktorom.

Jedna úloha za druhou

Požiadavky vyplývajúce z kyberzákona, zo smerníc a medzinárodných noriem sú rozsiahle, prepojené a často otvorené výkladu. Ani najlepšie tímy nemajú absolútnu kontrolu nad všetkými rizikami a hrozbami. Manažéri si uvedomujú, že niekde môžu existovať slepé miesta, no zároveň musia rozhodovať, čo je v danom momente najkritickejšie.

Bezpečnostné tímy sú často malé a zahltené operatívou, čo obmedzuje priestor na systematické zlepšovanie. Zároveň musia komunikovať s vrcholovým vedením a prekladať technické riziká do jazyka biznisových dopadov. Ak sa bezpečnosť dostane do konfliktu s rozpočtom alebo obchodnými cieľmi, tlak narastá.

Pre prácu v kyberbezpečnosti je výmena skúseností zásadná. Na konferencii Cyber Summit 2026 sa stretlo viac ako dvestopäťdesiat profesionálov, čo je medziročný dvojnásobný nárast. Najväčší záujem bol o praktické workshopy, ktoré prezentovali riešenia a kyberbezpečnostné nástroje.

Základná ochrana nestačí

Tradičné antivírusy nezvládajú moderné hrozby a útoky, čo ohrozuje bezpečnosť sietí. Zlyhávajú pri sofistikovaných, viacfázových útokoch, ktoré cielene obchádzajú klasické bezpečnostné mechanizmy.

Ondrej Krajč zo spoločnosti ESET zároveň dokumentuje tento fakt na dátach z minulého roka: „Ransomvér sa stal systematickým biznisovým rizikom. Počet obetí medziročne vzrástol o 40 percent. Útočníci zároveň čoraz častejšie zneužívajú legitímne administrátorské nástroje, pričom útoky cez PowerShell narástli o 59 percent, čo výrazne znižuje šancu včasnej detekcie.“

Kľúčovú úlohu v kyberbezpečnosti preto zohráva telemetria a korelácia bezpečnostných udalostí. Práve schopnosť zbierať, prepájať a vyhodnocovať údaje z rôznych častí infraštruktúry výrazne skracuje reakčný čas a umožňuje rýchlu detekciu, izoláciu a zastavenie hrozby ešte pred tým, než spôsobí reálne škody.

Platformový prístup

Efektívna ochrana si vyžaduje platformový prístup k bezpečnosti. Prevencia, detekcia a reakcie sa spájajú do jedného integrovaného riešenia. Zvyšuje to odolnosť organizácie voči moderným útokom a eliminuje aj riziká vyplývajúce z fragmentovaných bezpečnostných nástrojov.

Zákon o kybernetickej bezpečnosti a európske smernice kladú dôraz nielen na ochranu dát, ale aj na schopnosť detekcie incidentov, riadenú reakciu a auditovateľné procesy. Bez pokročilejších bezpečnostných mechanizmov už dnes nie je možné tieto požiadavky dlhodobo a obhájiteľne napĺňať.

V praxi sa čoraz častejšie ukazuje, že plnenie požiadaviek kyberzákona nie je len o formálnych opatreniach, ale o reálnej schopnosti predchádzať incidentom, včas ich odhaliť a preukázateľne ich riešiť.

Malé firmy, veľké ohrozenie

Medzi najatraktívnejšie ciele kyberútokov patria firmy strednej veľkosti. Sú viac orientované na organický rast, každodenné „prežitie“ v tvrdej konkurencii a rýchle rozhodnutia. Typickým znakom je, že bezpečáci tu majú obmedzený rozpočet, kapacity aj pozornosť vedenia. Zároveň tu však je relatívne veľká plocha útokov – veľa služieb, cloudov, externých nástrojov a improvizovaných riešení.

Útočníci to dobre vedia. Ich uvažovanie je pragmatické, takmer podnikateľské. Hľadajú minimálne úsilie s maximálnym efektom, takže opakovane využívajú rovnaké komponenty a exploity. Fungujú tu „kobercové nálety“, čiže masové skenovanie a útoky.

Tomáš Vobruba zo spoločnosti Check Point Software Technolgies sa sústredil v prezentácii na takmer nemožné. Ukázal, že aj v režime obmedzeného rozpočtu, znalostí, ľudí či podpory vedenia sa dá urobiť zásadný rozdiel v bezpečnosti. Treba začať správnou otázkou.

Správna otázka znie: „Sme atraktívny cieľ?“

Cieľom nie je byť najlepší v kyberbezpečnosti, to snáď ani nie je možné. Stačí znížiť svoju atraktivitu a viditeľnosť v zozname potenciálnych cieľov. Kyberbezpečnosť je hra s neúplnými informáciami a útočník si vždy vyberá cestu najmenšieho odporu.

A tak certifikáty, bezpečnostná politika či ocenenia majú aj pri pohľade zvonka veľký význam. Niečo musí byť viditeľné technologicky, niečo môže byť zámerne „nenápadné“. Nejde o marketing, ide o zvýšenie nákladov pre útočníka.

Tu však Tomáš Vobruba upozorňuje na opatrenia, ktorých absencia je jednoducho neobhájiteľná. Patria sem jasné roly a zodpovednosti, riadenie prístupov, viacfaktorová autentifikácia najmä pre online služby, segmentácia, incident manažment, riadenie kontinuity činností, manažment zraniteľností a plán obnovy po incidente.

Niečo ako účtovníctvo

Z kybernetickej bezpečnosti sa stáva nielen technická, ale aj manažérska a psychologická výzva. A tu nastupujú nástroje, ktoré automatizujú činnosti a prinášajú prehľad a systém.

Zároveň to vysvetľuje, prečo mal Peter Hudák na workshope toľko účastníkov. Platforma na správu kybernetickej bezpečnosti Securea.io pomáha riadiť pravidlá, riziká a súlad s predpismi systematicky a na jednom mieste. Patrí do kategórie Governance, Risk, Compliance (GRC) nástrojov.

Namiesto zdĺhavého hľadania dokumentov v tabuľkách, e-mailoch či rôznych systémoch Securea centralizuje všetky relevantné údaje o bezpečnosti. Tým sa zjednodušuje aj prípravu na audity a certifikácie a podklady sa generujú priamo z platformy. Platforma je zároveň živý systém a umožňuje sledovať zlepšovanie bezpečnosti v čase, nielen vyrábať zoznamy.

Európske parametre

Za robustnosťou a aktualizáciou systému je dvadsaťčlenný autorský programátorský tím Binary Confidence. „Vždy, keď príde vyhláška, rozporcujeme ju na požiadavky a pridáme ich do rozhrania,“ vysvetľuje Peter Hudák. Výsledkom pre používateľa sú aktualizované šablóny v súlade s legislatívou.

Dôležitou súčasťou Securea.io sú prehľadné reporty, zrozumiteľné nielen pre technické tímy, ale aj pre manažment. Práve premostenie medzi technickým a riadiacim pohľadom je jedným z hlavných dôvodov, prečo takéto nástroje získavajú stále viacej popularity vo firmách každej veľkosti. Pre bezpečnostných konzultantov a IT dodávateľov to je nástroj, kde spravujú klientov.

A kde je paralela s účtovníctvom? Ak účtovníctvo dáva manažmentu istotu, že čísla sedia, tak  GRC nástroj má dávať rovnakú istotu, že organizácia má pod kontrolou riziká, bezpečnosť aj súlad s reguláciami.

Chcete si overiť, či spĺňate požiadavky zákona o kybernetickej bezpečnosti? Vyplňte dotazník.