Úloha odborného zamestnanca pre kybernetickú bezpečnosť podľa požiadaviek Národného bezpečnostného úradu (NBÚ) sa nedá redukovať iba na technické aspekty. V praxi ide o multidisciplinárnu rolu, ktorá kombinuje právne, organizačné aj technologické znalosti. Jednou z najdôležitejších činností je správna identifikácia a ochrana osobných údajov a citlivých informačných aktív.

Bez tohto kroku sa akýkoľvek systém riadenia kybernetickej bezpečnosti stáva neefektívnym. Ak organizácia nevie, čo má hodnotu, čo je citlivé a čo je pre jej činnosť kritické, nedokáže efektívne nasadiť opatrenia, investovať do správnych technológií a nastaviť bezpečnostnú politiku.

Osobné údaje ako základná kategória citlivých informácií

Ochrana osobných údajov predstavuje jadro problematiky informačnej bezpečnosti a je jedným z najdôležitejších pilierov, na ktorých stojí aj práca odborného zamestnanca podľa NBÚ. V modernom digitálnom prostredí, kde sú údaje zbierané, spracúvané a prenášané vo veľkom rozsahu, sa práve osobné údaje stávajú kritickým informačným aktívom.

Definícia a právny rámec osobných údajov

Podľa Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 – GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov sa osobnými údajmi rozumejú akékoľvek informácie, na základe ktorých je možné priamo alebo nepriamo identifikovať fyzickú osobu. To znamená, že nejde iba o údaje, ktoré jednoznačne určujú konkrétneho jednotlivca (napríklad rodné číslo), ale aj o také informácie, ktoré sa dajú skombinovať s inými a tým identifikovať konkrétnu osobu.

Ilustráciou uvedeného právneho rámca je samotné Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679, známe ako GDPR. Už v úvodných ustanoveniach je zdôraznené, že ochrana fyzických osôb pri spracúvaní osobných údajov patrí medzi základné práva a musí byť vždy vyvážená s ostatnými právami a slobodami. Z toho vyplýva, že právo na ochranu osobných údajov síce nie je absolútne, no tvorí kľúčový prvok právneho poriadku Európskej únie. Tento obrázok znázorňuje samotný úvod nariadenia, ktoré tvorí fundamentálny právny základ pre všetky členské štáty vrátane Slovenskej republiky.

GDPR nariadenia európskeho parlamentu a rady EÚ

Odborný zamestnanec musí byť schopný rozoznať tieto údaje a nastaviť pre nich adekvátne procesy spracúvania a ochrany. Nejde totiž iba o legislatívnu povinnosť, ale aj o dôležitú súčasť budovania dôveryhodnosti organizácie vo vzťahu k občanom, klientom a partnerom. Praktickým vyjadrením týchto povinností je aj zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý upravuje ochranu práv fyzických osôb, vymedzuje povinnosti organizácií pri spracúvaní údajov a určuje postavenie Úradu na ochranu osobných údajov Slovenskej republiky. Tento zákon detailne definuje, čo sa rozumie pod pojmom osobné údaje, pričom zdôrazňuje, že ide nielen o tradičné identifikátory ako meno, priezvisko či rodné číslo, ale aj o lokalizačné údaje, online identifikátory alebo charakteristiky fyzickej, genetickej či psychickej identity človeka. Práve tento rámec dáva odbornému zamestnancovi jasné pravidlá, podľa ktorých musí nastaviť procesy spracúvania a ochrany údajov v praxi.

zákon 18-2018 Z.z. zákon o ochrane osobných údajov

Príklady osobných údajov v organizáciách

Osobné údaje sa vyskytujú v takmer každom type organizácie a to od škôl a zdravotníckych zariadení až po banky, obchody či mestské úrady. Ich podoba je rozmanitá a odborný zamestnanec musí rátať s tým, že môžu byť spracúvané v papierovej, elektronickej alebo kombinovanej forme.

Medzi najčastejšie kategórie patria:

• Základné identifikačné údaje: meno, priezvisko, rodné číslo, dátum narodenia.
• Kontaktné údaje: adresa bydliska, telefónne číslo, emailová adresa.
• Elektronické identifikátory: IP adresa, cookies, geolokačné údaje, ktoré vznikajú pri používaní internetu alebo mobilných aplikácií.
• Zamestnanecké údaje: informácie o mzdách, dochádzke, pracovných výkonoch či hodnoteniach zamestnancov.

Na praktickej úrovni sa osobné údaje často zhromažďujú prostredníctvom interných systémov a formulárov, kde sa zaznamenávajú základné informácie o zamestnancoch. Typickým príkladom je evidenčný formulár, ktorý obsahuje polia pre meno a priezvisko, rodné číslo, číslo občianskeho preukazu, kontaktné údaje, adresu či email. Takéto systémy slúžia na administratívne účely a evidenciu pracovnoprávnych vzťahov, no zároveň predstavujú vysoké riziko v prípade, že nie sú správne zabezpečené. Práve preto je úlohou odborného zamestnanca dbať na to, aby sa tieto údaje spracúvali v súlade s legislatívou a boli chránené technickými i organizačnými opatreniami.

osobné údaje a citlivé údaje

Tieto príklady ukazujú, že osobné údaje nie sú iba administratívnou záležitosťou, ale zasahujú do každodenného chodu organizácie a môžu sa nachádzať v rôznych systémoch – od účtovníctva cez HR až po marketingové nástroje.

Riziká a dôsledky úniku osobných údajov

Únik osobných údajov alebo ich neoprávnené použitie môže viesť k viacerým negatívnym dôsledkom:

• právne následky – vysoké pokuty od dozorných orgánov (na Slovensku Úrad na ochranu osobných údajov SR),
• finančné straty – kompenzácie poškodeným osobám, náklady na obnovu systémov, súdne spory,
• strata reputácie – oslabenie dôvery klientov, občanov alebo obchodných partnerov,
• zvýšené riziko útokov – osobné údaje sú často využívané na phishing alebo identity theft (krádež identity).

Praktický príklad zo Slovenska

Mestský úrad v jednej z väčších slovenských samospráv sa v nedávnej minulosti musel vysporiadať s bezpečnostným incidentom, pri ktorom neoprávnená osoba získala prístup do informačného systému evidencie obyvateľov. Kompromitované boli údaje ako mená, adresy a dátumy narodenia. Aj keď na prvý pohľad môže ísť o bežné a často verejne dostupné informácie, v kombinácii dokážu vytvoriť silný základ na podvody a zneužitie identity. Útočníci ich môžu použiť na falošné žiadosti o úvery, zakladanie účtov alebo iné podvodné aktivity. Tento prípad jasne ukazuje, že aj údaje, ktoré sa laikovi zdajú neškodné, majú vysokú hodnotu a musia byť chránené s rovnakou starostlivosťou ako finančné či obchodné dáta.

Odporúčania pre odborného zamestnanca

1. Zmapovať všetky osobné údaje v organizácii a viesť o nich presný register.
2. Určiť kategórie a úrovne citlivosti, aby bolo jasné, ktoré údaje si vyžadujú prísnejšiu ochranu.
3. Nastaviť prístupové práva podľa princípu minimálnych oprávnení (least privilege).
4. Pravidelne školenie zamestnancov o tom, ako nakladať s osobnými údajmi v praxi.
5. Monitorovať a auditovať spracovanie osobných údajov, aby sa včas odhalili prípadné zlyhania alebo incidenty.

Špeciálne kategórie osobných údajov a citlivé údaje

Okrem bežných osobných údajov rozlišuje legislatíva aj tzv. špeciálne kategórie osobných údajov, ktoré sú považované za obzvlášť citlivé. Podľa článku 9 GDPR a v súlade so zákonom č. 18/2018 Z. z. je ich spracúvanie zakázané, pokiaľ nie sú splnené presne definované výnimky (napríklad súhlas dotknutej osoby, spracúvanie na účely zdravotnej starostlivosti alebo plnenia povinností v oblasti pracovného práva).

Tieto údaje majú zvýšenú ochranu z jednoduchého dôvodu a to ich zverejnenie alebo zneužitie môže viesť k diskriminácii, poškodeniu ľudskej dôstojnosti alebo priamemu ohrozeniu fyzickej osoby. Odborný zamestnanec podľa NBÚ preto musí venovať špeciálnu pozornosť ich identifikácii, klasifikácii a ochrane.

Na lepšie pochopenie kontextu je dôležité pripomenúť, že aj pri spracúvaní bežných osobných údajov musí mať organizácia vždy oporu v zákone alebo v súhlase dotknutej osoby. GDPR definuje šesť hlavných právnych základov, na ktorých môže spracúvanie stáť a to od výslovného súhlasu jednotlivca, cez plnenie zmluvných povinností či ochranu životne dôležitých záujmov, až po zákonné požiadavky a oprávnené záujmy prevádzkovateľa. Tento rámec platí všeobecne, no pri špeciálnych kategóriách osobných údajov sú podmienky výrazne prísnejšie a výnimky presne ohraničené. Obrázok preto dobre ukazuje základnú logiku GDPR: každé spracúvanie údajov musí mať jasný právny dôvod a pri citlivých údajoch je potrebná ešte vyššia miera opatrnosti a zdôvodnenia.

GDPR pravidlá pre spracovanie osobných údajov

Kategórie citlivých osobných údajov

Medzi najčastejšie spracúvané špeciálne kategórie patria:

• Údaje o zdravotnom stave: lekárske správy, diagnózy, výsledky vyšetrení, anamnézy alebo údaje o predpísaných liekoch. Tieto údaje sú mimoriadne hodnotné, pretože odhaľujú súkromné informácie o fyzickej kondícii jednotlivca.
• Biometrické a genetické údaje: odtlačky prstov, snímky dúhovky, DNA profily alebo údaje zo systémov rozpoznávania tváre. Používajú sa najmä na autentifikáciu a identifikáciu, čo z nich robí atraktívny cieľ pre útočníkov.
• Údaje odhaľujúce rasový alebo etnický pôvod: môžu byť zneužité na diskrimináciu alebo cielené útoky voči konkrétnym skupinám obyvateľstva.
• Politické názory a náboženské vyznanie: odhalenie týchto údajov môže viesť k ohrozeniu osobnej slobody, najmä v prostredí s vysokým stupňom polarizácie spoločnosti.
• Členstvo v odborových organizáciách: informácia o tom, či je človek súčasťou odborovej štruktúry, môže byť zneužitá zamestnávateľom alebo tretími stranami pri pracovnoprávnych sporoch.

Prečo sú rizikové osobné údaje

Na rozdiel od bežných osobných údajov môžu mať tieto kategórie oveľa závažnejšie následky pri úniku alebo neoprávnenom spracovaní:

• môžu viesť k priamej diskriminácii (napríklad odmietnutie pracovnej pozície na základe zdravotného záznamu),
• môžu spôsobiť stigmatizáciu a spoločenské vylúčenie (napríklad zverejnenie politických názorov),
• môžu byť zneužité na vydieranie alebo nátlak (napríklad citlivé zdravotné informácie použité proti verejne známej osobe),
• môžu mať finančnú hodnotu na čiernom trhu, kde sa predávajú hacknuté databázy s kompletnými profilmi osôb.

Príklad z praxe zo Slovenska

Pandémia COVID-19 ukázala, že zdravotnícke dáta sú jedny z najcennejších informačných aktív. Médiá priniesli informácie o kybernetických útokoch na slovenské nemocnice, pri ktorých sa hackeri snažili získať prístup k databázam pacientov. Zdravotné záznamy sa následne stali predmetom vydierania a boli ponúkané na predaj na čiernom trhu. Tieto prípady potvrdili, že citlivé údaje sú nielen predmetom legislatívnej ochrany, ale aj reálnym cieľom organizovaných skupín útočníkov.

Odporúčania pre odborného zamestnanca

1. Identifikovať všetky procesy, v ktorých organizácia spracúva špeciálne kategórie údajov.
2. Minimalizovať rozsah spracúvania, zhromažďovať iba tie údaje, ktoré sú nevyhnutné na daný účel.
3. Implementovať silné technické opatrenia: šifrovanie, pseudonymizáciu, segmentáciu dátových úložísk.
4. Zabezpečiť prísnu kontrolu prístupu: viacfaktorová autentifikácia, logovanie a audit prístupov.
5. Školenie zamestnancov: zamestnanci musia rozumieť tomu, prečo sú tieto údaje citlivé a ako s nimi zaobchádzať.
6. Pripraviť incident response plán: organizácia musí vedieť rýchlo reagovať na únik citlivých údajov, informovať dotknuté osoby a komunikovať s Úradom na ochranu osobných údajov.

Citlivé informačné aktíva a širší pohľad

Osobné údaje predstavujú len jednu kategóriu hodnotných informácií, ktoré organizácia musí chrániť. V praxi však existuje množstvo ďalších dát a dokumentov, ktoré možno zaradiť medzi citlivé informačné aktíva. Ich strata, únik alebo neoprávnené pozmenenie môže mať vážne dôsledky – od finančných škôd, cez prerušenie prevádzky až po poškodenie reputácie.

Úlohou odborného zamestnanca podľa NBÚ je preto vytvoriť komplexný prehľad všetkých informačných aktív, určiť ich dôležitosť a zabezpečiť pre ne primerané technické a organizačné opatrenia. Na rozdiel od osobných údajov, ktoré sú definované zákonom, citlivé informačné aktíva sa identifikujú podľa hodnoty pre samotnú organizáciu.

Najčastejšie typy citlivých informačných aktív

• Finančné záznamy a účtovné výkazy
  Účtovné knihy, daňové priznania, bankové výpisy či interné finančné analýzy obsahujú citlivé informácie, ktoré sú dôležité nielen pre každodennú prevádzku, ale aj pre konkurencieschopnosť. Ich kompromitácia môže viesť k podvodom alebo strate dôvery investorov.
• Zmluvy s dodávateľmi a klientmi
  Zmluvná dokumentácia obsahuje obchodné podmienky, cenové dohody, záväzky či dôverné informácie o partneroch. Únik týchto dát môže oslabiť vyjednávaciu pozíciu organizácie alebo spôsobiť právne spory.
• Technická dokumentácia, vývojové projekty, výskumné dáta
  Pre technologické firmy, univerzity alebo výskumné inštitúcie sú tieto informácie kľúčovým know-how. Útočníci ich môžu využiť na priemyselnú špionáž, kopírovanie riešení alebo predaj konkurencii.
• Prístupové heslá, tokeny a kryptografické kľúče
  Ide o najkritickejšie technické aktíva. Ak sa dostanú do nesprávnych rúk, môžu útočníci získať úplnú kontrolu nad informačnými systémami a dátovými úložiskami. Kompromitácia hesiel je často prvým krokom k rozsiahlym kybernetickým incidentom.
• Strategické dokumenty: marketingové plány, interné analýzy, obchodné stratégie
  Aj keď nejde o osobné údaje, tieto aktíva sú kľúčové pre konkurencieschopnosť. Únik strategického plánu alebo cenovej politiky môže oslabiť pozíciu organizácie na trhu.

Príklad z praxe

V minulosti bol kompromitovaný informačný systém jednej strednej školy. Útočníci sa nedostali len k údajom o študentoch, ale získali aj prístupové údaje do elektronickej žiackej knižky. To im umožnilo manipulovať s dátami, čo malo okamžitý dopad na dôveryhodnosť školy a vyžadovalo zásah IT oddelenia aj Národného ústavu certifikovaných meraní vzdelávania (NÚCEM). Tento incident ukázal, že citlivé aktíva sa nachádzajú aj v sektoroch, kde by to možno nikto nečakal – a že ich ohrozenie môže priamo zasiahnuť fungovanie základných procesov.

Riziká spojené s citlivými aktívami

• finančné straty spôsobené podvodmi, sankciami alebo súdnymi spormi,
• prerušenie prevádzky v dôsledku straty kľúčových dát,
• poškodenie reputácie, ktoré môže viesť k odchodu klientov a partnerov,
• oslabenie konkurencieschopnosti únikom know-how alebo strategických plánov.

Odporúčania pre odborného zamestnanca

• vytvoriť register informačných aktív so zaradením podľa hodnoty a rizikovosti,
• klasifikovať aktíva na úrovne (napr. interné, dôverné, prísne dôverné),
• zaviesť bezpečnostné opatrenia podľa kategórie aktíva (šifrovanie, zálohovanie, segmentácia siete),
• pravidelne testovať pripravenosť organizácie na incidenty cez simulácie a cvičenia,
• zabezpečiť kontinuitu činností – mať pripravené záložné systémy a plány obnovy.

Proces identifikácie a klasifikácie aktív

Účinná ochrana dát a informačných aktív sa nezaobíde bez ich presnej identifikácie a klasifikácie. Odborný zamestnanec podľa NBÚ musí zaviesť systematický proces, ktorý poskytne organizácii jasný obraz o tom, aké údaje spracúva, kde sa nachádzajú, kto s nimi pracuje a akú hodnotu majú pre jej fungovanie. Tento proces sa začína mapovaním informačných tokov. Je potrebné vedieť, kde údaje vznikajú, v akých systémoch sa ukladajú a akými cestami prechádzajú medzi jednotlivými oddeleniami či externými partnermi. Dôležitou súčasťou je aj identifikácia osôb, ktoré majú k údajom prístup. Takto vzniká ucelený obraz o životnom cykle dát a odhaľujú sa miesta, kde je riziko úniku alebo neoprávneného zásahu najvyššie.

Obrázok jasne ukazuje, že informačné aktíva predstavujú samotné jadro kybernetickej bezpečnosti. Na jednej strane na ne pôsobia rôzne hrozby a zraniteľnosti, ktoré môžu spôsobiť škody, na druhej strane ich existencia vždy prináša určité riziká pre organizáciu. Úlohou odborného zamestnanca je preto tieto prvky správne identifikovať, posúdiť ich vážnosť a následne nastaviť také opatrenia, ktoré ochránia najcennejšie dáta a systémy. Bez systematického mapovania a klasifikácie aktív by organizácia nemala jasný prehľad o tom, čo je potrebné chrániť a aké opatrenia je vhodné zaviesť, čo by v praxi viedlo k oslabenej odolnosti voči kybernetickým hrozbám.

proces identifikácie aktív assets kybernetická bezpečnosť

Odborný zamestnanec by mal zaviesť systematický proces, ktorý obsahuje tieto kroky:

1. Zmapovanie informačných tokov – kde údaje vznikajú, kde sa ukladajú, kto k nim pristupuje.
2. Register osobných údajov a aktív – základný dokument, ktorý musí mať každá organizácia v súlade s GDPR.
3. Klasifikácia dát – delenie na úrovne (napr. verejné, interné, dôverné, prísne dôverné).
4. Riziková analýza – určenie, aký dopad by mal únik alebo strata konkrétneho aktíva.
5. Priradenie zodpovedností – určenie, kto je vlastník aktíva, kto ho spravuje a kto je zaň zodpovedný.
6. Zavedenie opatrení – technických (šifrovanie, zálohovanie, segmentácia siete) aj organizačných (školenia, smernice, interné audity).

Na základe týchto zistení sa vytvára register osobných údajov a citlivých informačných aktív. Ide o základný dokument, ktorý je povinný podľa GDPR a súčasne tvorí základ pre bezpečnostné opatrenia v zmysle zákona o kybernetickej bezpečnosti. Register obsahuje zoznam všetkých aktív, ich typ, miesto uloženia, zodpovednú osobu a opis už existujúcich ochranných opatrení. Aby bol prakticky využiteľný, musí byť pravidelne aktualizovaný pri každej zmene technologických alebo organizačných procesov.

Ďalším krokom je samotná klasifikácia dát. Nie všetky údaje majú rovnakú citlivosť a hodnotu, preto je potrebné rozdeliť ich do kategórií podľa významu. Organizácie obvykle rozlišujú údaje verejné, interné, dôverné a prísne dôverné. Takéto rozdelenie umožňuje presne stanoviť, aký režim ochrany sa na konkrétne údaje vzťahuje, a tým efektívne riadiť prístupové práva. Na klasifikáciu nadväzuje riziková analýza, pri ktorej sa hodnotí pravdepodobnosť incidentu a jeho potenciálne dopady na organizáciu. Výsledkom býva zoznam priorít, ktorý ukáže, ktoré aktíva si vyžadujú najvyššiu úroveň ochrany.

Schéma znázorňuje, že aktíva možno rozdeliť do viacerých kategórií podľa ich povahy a významu pre organizáciu. Rozlišujeme neinformačné aktíva, ktoré môžu byť kritické (napríklad infraštruktúra či zariadenia potrebné na prevádzku) alebo menej kritické, a informačné aktíva, kam patria údaje nevyhnutné pre chod organizácie. Tie sa ďalej členia na obchodne kritické údaje a osobné údaje. Osobné údaje možno následne podrobnejšie rozdeliť na zákaznícke dáta a iné typy údajov. Takéto vizuálne znázornenie jasne ukazuje, prečo je potrebné vytvoriť register aktív a zaviesť klasifikáciu. Pomáha to odlíšiť, ktoré dáta si vyžadujú najvyšší stupeň ochrany a ktoré je možné chrániť jednoduchšími opatreniami.

assety informačné aktíva proces identifikácie a klasifikácie

Typický príklad systému klasifikácie podľa úrovne citlivosti môže vyzerať nasledovne:

• Verejné – údaje určené na zverejnenie (napr. informácie na webovej stránke).
• Interné – údaje určené iba pre zamestnancov, ale bez prísnej dôvernosti.
• Dôverné – údaje, ktorých únik môže spôsobiť značné škody (napr. zmluvy, finančné dáta).
• Prísne dôverné – údaje, ktorých kompromitácia môže ohroziť existenciu alebo činnosť organizácie (napr. kryptografické kľúče, strategické plány).

Neoddeliteľnou súčasťou procesu je aj priradenie zodpovedností. Každé aktívum musí mať jasne určeného vlastníka, ktorý zodpovedá za jeho správu a ochranu. Vlastníkom pritom nemusí byť IT oddelenie – finančné záznamy patria ekonómovi, personálne údaje HR oddeleniu a strategické dokumenty manažmentu. Ak sú kompetencie jasne rozdelené, predchádza sa situáciám, keď nie je zrejmé, kto nesie zodpovednosť za prípadné pochybenie alebo únik.

Záverečnou fázou je zavedenie primeraných opatrení. Ochrana sa zabezpečuje kombináciou technických riešení, ako je šifrovanie, zálohovanie či segmentácia siete, a organizačných opatrení, akými sú školenia zamestnancov, interné smernice alebo pravidelné audity. Tieto opatrenia musia byť priamo úmerné hodnote a citlivosti aktív, pričom sa zohľadňujú výsledky rizikovej analýzy.

Takto nastavený proces poskytuje organizácii prehľad o tom, čo chráni a prečo to chráni. Umožňuje lepšie plánovať investície do bezpečnosti, minimalizovať riziká a zároveň preukázať súlad s legislatívnymi požiadavkami. Najmä však zvyšuje odolnosť organizácie voči kybernetickým hrozbám a buduje dôveru klientov, partnerov a verejnosti.

Slovenská legislatíva a európsky kontext

Správne nakladanie s osobnými údajmi a citlivými informačnými aktívami nie je iba odporúčaním Národného bezpečnostného úradu, ale predstavuje priamo zákonnú povinnosť. Právny rámec, ktorý sa vzťahuje na odborného zamestnanca aj na organizácie pôsobiace na Slovensku, je výsledkom prepojenia európskej a národnej legislatívy. Základom je nariadenie GDPR, ktoré platí jednotne v celej Európskej únii a vytvára štandard pre spracúvanie osobných údajov. Ide o všeobecne záväznú normu, ktorá definuje, čo sa rozumie osobnými údajmi, aké sú práva dotknutých osôb a aké povinnosti majú prevádzkovatelia a sprostredkovatelia údajov. GDPR sa v slovenskom právnom poriadku premietlo do zákona č. 18/2018 Z. z. o ochrane osobných údajov, ktorý spresňuje postupy a mechanizmy dozoru na národnej úrovni a určuje právomoci Úradu na ochranu osobných údajov SR.

slov lex zákon 8-2018 Z.z. Zákon o ochrane osobných údajov

Samostatným, no úzko súvisiacim predpisom je zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorý reaguje na rastúce hrozby v digitálnom prostredí. Tento zákon zavádza povinnosti pre prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb, pričom osobitne zdôrazňuje potrebu zavedenia systémov riadenia bezpečnosti a povinnosť menovať odborného zamestnanca. Práve tento rámec určuje, že ochrana osobných údajov a informačných aktív nie je iba záležitosťou právneho súladu, ale aj súčasťou komplexnej stratégie kybernetickej odolnosti.

slov lex zákon 69-2018 Z.z. Zákon o kybernetickej bezpečnosti

Na európskej úrovni sa legislatíva ďalej rozvíja prostredníctvom smernice NIS2, ktorá nadväzuje na pôvodnú smernicu o bezpečnosti sietí a informačných systémov. NIS2 rozširuje okruh povinných subjektov, sprísňuje zodpovednosti manažmentu a kladie väčší dôraz na riadenie rizík a oznamovanie incidentov. Odborný zamestnanec musí v praxi sledovať nielen slovenské zákony, ale aj tieto európske požiadavky, keďže určujú minimálne štandardy bezpečnostných opatrení v celej Únii.

Správne nakladanie s osobnými údajmi a informačnými aktívami vyplýva z:

• Nariadenie GDPR – základná norma pre spracúvanie osobných údajov v celej EÚ.
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov – slovenská implementácia GDPR.
• Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti – definuje povinnosti organizácií a úlohu odborného zamestnanca.
• Smernica NIS2 – posilňuje požiadavky na kybernetickú odolnosť a sprísňuje zodpovednosti organizácií v rámci EÚ.

Obrázok prehľadne znázorňuje, ako sa rozšírila pôsobnosť európskej legislatívy v oblasti kybernetickej bezpečnosti. Pôvodná smernica NIS sa vzťahovala najmä na životne dôležité sektory, ako je zdravotníctvo, energetika, doprava, bankový sektor či zásobovanie vodou. Nová smernica NIS2 však pridáva ďalšie odvetvia, ktoré sú v digitálnej dobe čoraz významnejšie a to od potravinárstva, odpadového hospodárstva a verejnej správy, až po poskytovateľov elektronických komunikačných sietí, poštové služby, sociálne siete či výrobu kritických produktov. Tento posun jasne ukazuje, že kybernetická odolnosť už nie je úlohou iba pre úzky okruh infraštruktúrne dôležitých subjektov, ale stáva sa povinnosťou pre oveľa širšie spektrum organizácií. Odborný zamestnanec preto musí poznať nielen slovenskú legislatívu, ale aj tento európsky rámec, aby vedel nastaviť procesy ochrany v súlade s najnovšími požiadavkami.

smernica NIS a NIS2 kybernetická odolnosť bezpečnosť

Všetky uvedené predpisy vytvárajú spolu prepojený rámec, ktorý má zabezpečiť, aby osobné údaje a citlivé aktíva boli spracúvané zodpovedne, transparentne a bezpečne. Odborný zamestnanec podľa NBÚ sa preto musí orientovať nielen v technických postupoch ochrany, ale aj v legislatívnom prostredí, ktoré tieto povinnosti definuje. V praxi to znamená vedieť vysvetliť rozdiel medzi povinnosťami podľa GDPR a zákona o kybernetickej bezpečnosti, určiť, ktoré opatrenia vyplývajú zo slovenskej legislatívy a ktoré zo smerníc Európskej únie, a zabezpečiť, aby organizácia plnila všetky záväzky v oboch rovinách.

Prečo je správna identifikácia kľúčová

Každá organizácia pracuje s množstvom údajov a informačných aktív, ktoré majú rozdielnu hodnotu a citlivosť. Nie všetky dáta si vyžadujú rovnakú úroveň ochrany a práve preto je presná identifikácia základným predpokladom účinnej bezpečnostnej stratégie. Ak odborný zamestnanec vie, aké aktíva organizácia vlastní, kto k nim pristupuje a aký význam majú pre jej fungovanie, dokáže nastaviť primerané úrovne ochrany. To znamená, že kľúčové systémy a citlivé údaje budú zabezpečené na najvyššej úrovni, zatiaľ čo menej dôležité informácie nebudú zaťažované zbytočne nákladnými opatreniami.

Správna identifikácia zároveň bráni neefektívnemu vynakladaniu zdrojov. V praxi sa často stáva, že organizácie investujú do drahých bezpečnostných technológií bez toho, aby vedeli, ktoré oblasti skutočne potrebujú chrániť. Výsledkom je, že kritické aktíva zostávajú poddimenzované, zatiaľ čo nepodstatné systémy sú prehnane zabezpečené. Ak má však organizácia vypracovaný register aktív a jasnú klasifikáciu, môže investície smerovať tam, kde prinesú najvyššiu pridanú hodnotu.

Správna identifikácia je kľúčová pretože:

• umožňuje nastaviť primerané úrovne ochrany
• zabraňuje neefektívnemu vynakladaniu zdrojov
• pomáha organizácii dodržiavať legislatívu a vyhnúť sa sankciám
• chráni reputáciu a dôveryhodnosť organizácie
• zvyšuje pripravenosť na incidenty a krízové situácie

Ďalším zásadným prínosom identifikácie je súlad s legislatívou. Predpisy, ako GDPR či zákon o kybernetickej bezpečnosti, jednoznačne vyžadujú, aby organizácie mali prehľad o tom, aké údaje spracúvajú a aké opatrenia na ich ochranu zavádzajú. Nesplnenie týchto povinností môže viesť k vysokým sankciám a právnym dôsledkom. Ak je proces identifikácie dôsledne vykonaný a dokumentovaný, organizácia dokáže preukázať svoju zodpovednosť pri kontrolách a auditoch.

Obrázok prehľadne ukazuje, že dosiahnutie súladu s GDPR a zákonom o kybernetickej bezpečnosti si vyžaduje komplexný prístup. Nejde len o vyhlásenie, že údaje sú chránené, ale o zavedenie konkrétnych mechanizmov, ako je obmedzený prístup k dátam, právo dotknutej osoby vedieť, aké údaje sa o nej spracúvajú, či právo byť zabudnutý. Kľúčovými nástrojmi sú auditovanie prístupov, riadenie oprávnení a autentifikácia používateľov. Rovnako dôležité je vytvoriť inventár údajov, správne ich kategorizovať a následne minimalizovať ich rozsah, aby sa spracúvali len tie informácie, ktoré sú skutočne potrebné. Takýto prístup je nielen o splnení legislatívnych požiadaviek, ale aj o budovaní dôvery a transparentnosti voči klientom, partnerom a verejnosti.

GDPR compliance

Identifikácia aktív však neznamená len právnu povinnosť. Je to aj spôsob, ako chrániť reputáciu a dôveryhodnosť organizácie. Únik citlivých údajov má okamžitý dopad na vzťahy s klientmi, partnermi a verejnosťou. Strata dôvery sa často nedá napraviť ani po odstránení technických problémov a jej následky môžu byť dlhodobé. Transparentný prístup k správe aktív a zodpovedné nakladanie s údajmi naopak posilňuje imidž organizácie ako spoľahlivého partnera.

Napokon, správna identifikácia zvyšuje pripravenosť na incidenty a krízové situácie. Organizácia, ktorá vie, čo je pre ňu najdôležitejšie, dokáže rýchlejšie reagovať na útoky alebo zlyhania systémov. V prípade incidentu je jasne určené, ktoré údaje je potrebné prioritne obnoviť a aké postupy je nutné uplatniť. Tým sa skracuje čas potrebný na obnovu prevádzky a minimalizujú sa škody.

Z uvedeného je zrejmé, že identifikácia a klasifikácia aktív nie je len formalitou, ale strategickým krokom, ktorý rozhoduje o tom, ako efektívne a odolne dokáže organizácia čeliť hrozbám súčasného digitálneho prostredia.

Odporúčania pre odborného zamestnanca

Úloha odborného zamestnanca podľa NBÚ sa nevyčerpáva len identifikáciou aktív, ale pokračuje v každodennej práci na ich ochrane a správnom manažmente. Aby bola organizácia skutočne odolná voči hrozbám a zároveň spĺňala legislatívne požiadavky, je potrebné zaviesť súbor praktických krokov, ktoré sa postupne stanú prirodzenou súčasťou jej fungovania.

Odporúčania pre odborného zamestnanca

• vypracovať a pravidelne aktualizovať register údajov a aktív
• zaviesť jasný klasifikačný systém dát
• školenie zamestnancov v oblasti ochrany údajov a kybernetickej bezpečnosti
• používať princíp minimálnych prístupových práv (least privilege)
• vykonávať interné audity a penetračné testy
• zaviesť monitorovanie a systém včasného varovania

Jedným zo základných odporúčaní je vypracovať a pravidelne aktualizovať register údajov a informačných aktív. Tento dokument nesmie byť vnímaný ako jednorazová povinnosť, ale ako živý nástroj, ktorý sa musí prispôsobovať zmenám v technológiách, procesoch a organizačnej štruktúre. Len ak je register aktuálny, môže slúžiť ako spoľahlivý podklad pre rozhodovanie a preukazovanie súladu s právnymi predpismi.

Na register nadväzuje zavedenie jasného klasifikačného systému dát. V praxi to znamená, že každé aktívum dostane svoju kategóriu citlivosti a hodnoty, pričom od tejto klasifikácie sa odvíjajú pravidlá sprístupňovania, archivácie a ochrany. Takýto systém znižuje riziko chýb pri manipulácii s údajmi a zjednodušuje prácu zamestnancov, ktorí vedia, ako majú s konkrétnym typom dát narábať.

Neoddeliteľnou súčasťou bezpečnostnej kultúry je školenie zamestnancov. Ani najdokonalejšie technické opatrenia nedokážu nahradiť informovaného a zodpovedného pracovníka. Pravidelné školenia v oblasti ochrany údajov a kybernetickej bezpečnosti pomáhajú predchádzať ľudským chybám, ktoré patria medzi najčastejšie príčiny incidentov. Odborný zamestnanec by mal preto dbať na to, aby sa vzdelávanie stalo kontinuálnym procesom, nie jednorazovou aktivitou.

Pri nastavovaní prístupových práv je kľúčové uplatňovať princíp minimálnych oprávnení (least privilege). Každý používateľ by mal mať prístup len k tým údajom a systémom, ktoré nevyhnutne potrebuje na svoju prácu. Tento princíp znižuje riziko zneužitia právomocí a minimalizuje škody v prípade, že sa útočníkovi podarí kompromitovať niektorý účet.

Odporúčaným opatrením sú aj pravidelné interné audity a penetračné testy. Audity umožňujú overiť, či sa bezpečnostné politiky reálne dodržiavajú a či sú opatrenia účinné, zatiaľ čo penetračné testy simulujú útoky útočníkov a ukazujú slabiny, ktoré by inak ostali nepovšimnuté. Tieto nástroje dávajú odbornému zamestnancovi možnosť získať reálny obraz o stave bezpečnosti a cielene prijímať opatrenia.

Napokon, organizácia by mala zaviesť monitorovanie a systém včasného varovania. Ide o proaktívny prístup, ktorý umožňuje identifikovať podozrivé aktivity ešte predtým, ako prerastú do incidentu. Neustále sledovanie logov, sieťovej prevádzky a systémov zabezpečuje, že reakcia na hrozbu môže byť okamžitá a efektívna.

Tieto odporúčania tvoria ucelený rámec, ktorý odbornému zamestnancovi pomáha systematicky budovať bezpečnostné prostredie organizácie. Ich dodržiavanie znamená nielen vyššiu odolnosť voči útokom a incidentom, ale aj dlhodobé posilňovanie dôvery zamestnancov, klientov a partnerov.

Praktické scenáre z praxe

Teoretické požiadavky na ochranu údajov a citlivých aktív získavajú konkrétny význam až vo chvíli, keď sa stretnú s reálnymi situáciami. Príklady z praxe ukazujú, že bezpečnostné incidenty môžu zasiahnuť každý sektor a to od komerčných firiem, cez verejnú správu, až po zdravotnícke zariadenia. Závažnosť dopadov pritom závisí nielen od typu kompromitovaných dát, ale aj od toho, ako dobre bola organizácia pripravená reagovať.

Obrázok ilustruje, že príprava na incidenty sa dá realizovať prostredníctvom rôznych simulačných scenárov, ktoré pomáhajú preveriť pripravenosť organizácie. Ide napríklad o phishingové kampane, kde sa testuje, ako zamestnanci reagujú na podozrivé emaily, alebo o cvičenia zamerané na zvládnutie ransomvérového útoku. Rovnako dôležité sú simulácie zásahov pri narušení dodávateľského reťazca či dokonca cvičenia orientované na útoky sofistikovaných aktérov, akými môžu byť štátom podporovaní útočníci. Takéto tréningy umožňujú nielen zlepšiť reakčný čas IT tímov, ale aj preveriť schopnosť manažmentu správne eskalovať incidenty, komunikovať s regulačnými orgánmi a minimalizovať reputačné škody. Vďaka tomu sa teoretické pravidlá kybernetickej bezpečnosti pretavujú do konkrétnej praxe, ktorá môže v reálnej krízovej situácii rozhodnúť o tom, či organizácia obstojí alebo utrpí vážne škody.

praktické scenáre z praxe kybernetická bezpečnosť

Typické scenáre z prace:

• E-shop: strata databázy zákazníkov s menami, adresami a históriou objednávok. Dopadom je strata dôvery a možné pokuty od Úradu na ochranu osobných údajov.
• Nemocnica: únik zdravotnej dokumentácie pacientov. Dopadom je reputačná kríza, možné vydieranie, právne následky.
• Mesto: kompromitácia prístupov do evidencie obyvateľov. Dopadom ohrozenie základných služieb pre občanov.

Prvým príkladom je e-shop, ktorý prišiel o databázu zákazníkov obsahujúcu mená, adresy a históriu objednávok. Na prvý pohľad ide o informácie bežného charakteru, v skutočnosti však tvoria komplexný profil, ktorý možno zneužiť na phishing, podvody či vytváranie falošných účtov. Pre samotnú spoločnosť má incident dvojitý dopad – okamžitú stratu dôvery zákazníkov, ktorí sa cítia ohrození, a zároveň riziko vysokých pokút zo strany Úradu na ochranu osobných údajov. Obnova reputácie je často náročnejšia než technické riešenie problému a môže trvať mesiace alebo roky.

Ešte citlivejším scenárom je situácia v nemocnici, kde dôjde k úniku zdravotnej dokumentácie pacientov. Tieto dáta patria do špeciálnej kategórie osobných údajov a ich zverejnenie má závažné následky. Pacienti môžu byť vystavení stigmatizácii, vydieraniu alebo strate dôvery v zdravotnícky systém. Pre samotné zdravotnícke zariadenie to znamená reputačnú krízu, ktorá oslabuje vzťah s pacientmi a môže viesť aj k právnym následkom. Útočníci navyše často využívajú tieto údaje na vydieranie organizácie s cieľom získať finančný zisk, čo predstavuje ďalšie riziko.

Špecifickým príkladom je incident v meste, kde boli kompromitované prístupy do evidencie obyvateľov. Takáto situácia neznamená iba únik údajov, ale priamo ohrozuje poskytovanie základných služieb občanom. Neoprávnená manipulácia s údajmi môže mať dopad na procesy spojené s registráciou obyvateľov, vydávaním dokladov či správou miestnych daní. Dôsledkom je narušenie chodu samosprávy a oslabenie dôvery obyvateľov v schopnosť verejných inštitúcií chrániť ich údaje.

Tieto príklady jasne ukazujú, že kybernetická bezpečnosť a ochrana údajov sa netýka len veľkých firiem alebo špecializovaných inštitúcií. Každý sektor – súkromné podniky, zdravotníctvo, školstvo či štátna a verejná správa – je rovnako zraniteľný a musí venovať identifikácii a ochrane dát maximálnu pozornosť. Odborný zamestnanec zohráva v tomto procese kľúčovú úlohu, pretože práve jeho systematický prístup môže rozhodnúť o tom, či bude organizácia schopná minimalizovať škody a zachovať si dôveru verejnosti.

Záver a odporúčania kybernetickej bezpečnosti: Význam osobných údajov a citlivých informačných aktív

Ochrana osobných údajov a citlivých informačných aktív nie je iba technickou úlohou, ale predstavuje strategickú zodpovednosť každej organizácie. Odborný zamestnanec podľa NBÚ zohráva v tomto procese kľúčovú úlohu, pretože práve on musí zabezpečiť, aby organizácia mala jasný prehľad o tom, čo chráni, prečo je to dôležité a akým spôsobom sa ochrana realizuje. Správna identifikácia aktív je pritom nevyhnutným prvým krokom, od ktorého sa odvíja účinnosť všetkých ďalších opatrení.

Ak je tento proces vykonaný dôsledne, organizácia získava pevný základ na budovanie komplexného systému kybernetickej bezpečnosti. Dokáže nastaviť vhodné politiky, zaviesť primerané technické a organizačné opatrenia a pripraviť postupy pre reakciu na incidenty. Vďaka tomu vie rýchlejšie a efektívnejšie reagovať na hrozby, minimalizovať škody a zároveň preukázať súlad s legislatívnymi požiadavkami.

Naopak, ak je identifikácia a klasifikácia aktív zanedbaná, ani najmodernejšie technológie nedokážu poskytnúť dostatočnú ochranu. Organizácia sa vystavuje riziku únikov, právnych sankcií, finančných strát a najmä strate dôvery zo strany klientov, partnerov či verejnosti. Kybernetická bezpečnosť sa tak stáva iba formálnym pojmom bez reálnej schopnosti čeliť hrozbám.

Odporúčania pre odborného zamestnanca sú preto jednoznačné. V prvom rade musí dbať na systematickú identifikáciu a pravidelnú aktualizáciu registra osobných údajov a citlivých aktív. Rovnako dôležité je zaviesť jasný klasifikačný systém dát, ktorý umožní priraďovať im primeranú úroveň ochrany. Súčasťou práce musí byť aj vzdelávanie zamestnancov, pretože práve ľudský faktor je často najslabším článkom bezpečnostného reťazca. Kľúčové je tiež uplatňovanie princípu minimálnych prístupových práv, pravidelné vykonávanie auditov a penetračných testov, ako aj nasadenie monitorovacích systémov, ktoré dokážu včas odhaliť hrozby.

Správne nastavený prístup k ochrane údajov a informačných aktív prináša organizácii nielen vyššiu odolnosť voči útokom, ale aj dlhodobú stabilitu a dôveryhodnosť. V prostredí, kde kybernetické incidenty pribúdajú a ich dôsledky sú čoraz závažnejšie, sa tieto kroky stávajú nevyhnutnou súčasťou riadenia. Odborný zamestnanec podľa NBÚ je tak nielen technickým garantom bezpečnosti, ale aj strategickým partnerom manažmentu pri budovaní odolnej a zodpovednej organizácie.

Objavte naše online kurzy Kybernetickej bezpečnosti

Použité zdroje a literatúra Kybernetická bezpečnosť

Online zdroje:

1. https://eur-lex.europa.eu/legal-content/SK/TXT/?uri=CELEX%3A32016R0679 – (GDPR – Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679)
2. https://www.dataprotection.gov.sk/uoou/sk – (Úrad na ochranu osobných údajov SR – usmernenia a rozhodnutia)
3. https://www.nbu.gov.sk – (Národný bezpečnostný úrad SR – kybernetická bezpečnosť a odborný zamestnanec)
4. https://eur-lex.europa.eu/legal-content/SK/TXT/?uri=CELEX%3A32022L2555 – (Smernica NIS2 – legislatívny rámec kybernetickej odolnosti)
5. https://www.enisa.europa.eu/topics/data-protection – (ENISA – európske odporúčania pre ochranu dát)
6. https://www.iso.org/standard/54534.html – (ISO/IEC 27001 – Informačná bezpečnosť a riadenie aktív)
7. https://www.csoonline.com/article/2120383/what-is-confidentiality-integrity-availability-cia.html – (CIA triáda – dôvernosť, integrita, dostupnosť)

Odborné články a knihy:

1. Andress, J. (2021). Cybersecurity Essentials. 2nd ed. Sybex.
2. Bayuk, J. (2012). Cybersecurity Policy Guidebook. Wiley.
3. Cvrček, D. (2017). Ochrana osobních údajů: GDPR v kontextu kybernetické bezpečnosti. Praha: Wolters Kluwer.
4. Gordon, L. A., Loeb, M. P., & Zhou, L. (2021). The Impact of Information Security Breaches: Has There Been a Downward Shift in Costs? Journal of Computer Security, 29(3), 289–308. https://doi.org/10.3233/JCS-200055.
5. Kertész, I., & Rehák, M. (2020). Cybersecurity in Slovakia: National Strategy and Challenges. Journal of Cyber Policy, 5(2), 203–220. https://doi.org/10.1080/23738871.2020.1772239.
6. Kissel, R. (Ed.). (2020). NIST Special Publication 800-12 Rev.1: An Introduction to Information Security. National Institute of Standards and Technology.
7. Kumar, P., & Mallick, P. K. (2018). Blockchain Technology for Security and Privacy: A Review. IEEE Access, 6, 67980–68006. https://doi.org/10.1109/ACCESS.2018.2873784
8. Mitnick, K. D., & Simon, W. L. (2011). The Art of Deception: Controlling the Human Element of Security. Wiley.
9. Peltier, T. R. (2016). Information Security Policies, Procedures, and Standards: guidelines for effective information security management. CRC Press.
10. Rouse, M. (2023). What is IAM (Identity and Access Management)? TechTarget. https://www.techtarget.com/searchsecurity/definition/identity-management-ID-management.
11. Solove, D. J. (2021). Understanding Privacy. Harvard University Press.
12. Stallings, W. (2022). Network Security Essentials: Applications and Standards. 6th ed. Pearson.
13. Tikk, E., & Kerttunen, M. (2018). International Cyber Norms: Legal, Policy & Industry Perspectives. Geneva: UNIDIR.
14. Tkáčik, S. (2019). Právna úprava ochrany osobných údajov na Slovensku po prijatí GDPR. Justičná revue, 71(6), 741–756.
15. Von Solms, R., & Van Niekerk, J. (2013). From information security to cyber security Computers & Security, 38, 97–102. https://doi.org/10.1016/j.cose.2013.04.004.
16. Warren, S., & Brandeis, L. (2018, pôvodne 1890). The Right to Privacy. Harvard Law Review. (klasický text, aktuálne reedície).
17. Whitman, J. Q. (2019). The Two Western Cultures of Privacy: Dignity Versus Liberty. Yale Law Journal, 113(6), 1151–1221.
18. Whitman, M. E., & Mattord, H. J. (2021). Principles of Information Security. 7th ed. Cengage Learning.
19. Zuboff, S. (2019). The Age of Surveillance Capitalism. New York: PublicAffairs.