Vo štvrtok 20. júna 2024 sa tieto témy otvorili na odbornom seminári na Katolíckej univerzite v Ružomberku. Program obsahoval prednášky o najnovších kybernetických hrozbách, dopadu legislatívy NIS2, osvedčených postupoch pre kybernetickú bezpečnosť a významu hlásenia kybernetických incidentov.

Odolnosť cirkevných inštitúcií voči kybernetickým útokom je témou, ktorá získava na dôležitosti vzhľadom na rastúci počet a sofistikovanosť kybernetických hrozieb vo všeobecnosti. Aj cirkvi a náboženské organizácie sú často terčom kybernetických útokov z viacerých dôvodov, napríklad pre rozsiahlosť a citlivosť databáz obsahujúcich osobné informácie o veriacich, finančné údaje či ďalšie dôležité informácie.

Čo teda robiť na zvýšenie kybernetickej bezpečnosti?

Pravidelné školenia zamestnancov cirkevných inštitúcií o kybernetickej bezpečnosti sú nevyhnutné a mali by zahŕňať rozpoznávanie phishingových e-mailov, bezpečné používanie hesiel a postupy pri práci s citlivými informáciami. Aj veriacim by sa malo pravidelne pripomínať, aby boli opatrní pri zdieľaní osobných údajov a dbali na bezpečnostné odporúčania.

Ak ide o technické opatrenia, bezpečnostné opatrenia by mali byť aplikované na úrovni siete (implementácia firewallov, antivírusových programov a systémov na detekciu a prevenciu prienikov), pri šifrovaní dát (citlivé údaje ako sú osobné informácie veriacich a finančné záznamy) a zálohovaní dát (pravidelné zálohovanie dôležitých údajov a bezpečné ukladanie týchto záloh mimo hlavnej siete.

Inštitúcie by mali mať bezpečnostné politiky a postupy (incident management) na riešenie bezpečnostných incidentov vrátane krokov na minimalizáciu škôd a rýchle obnovenie prevádzky. Potrebné je uplatňovať princíp minimálnych právomocí, t.j. každý zamestnanec má prístup iba k tým systémom a údajom, ktoré sú nevyhnutné pre jeho prácu.

Keďže (nielen) cirkevné inštitúcie vo väčšine prípadov nemajú vlastné kapacity na kontrolu bezpečnostných rizík, nevyhnutná je spolupráca s odborníkmi, ktorí môžu vykonávať pravidelné audity a testy zraniteľnosti, alebo koordinovať túto činnosť s inými inštitúciami.

Vybudovanie silnej odolnosti voči kybernetickým útokom je dlhodobým a kontinuálnym procesom, ktorý vyžaduje angažovanosť celej organizácie pri vytváraní kultúry bezpečnosti. Je preto potrebná aktívna podpora a angažovanosť vedenia cirkevnej inštitúcie v otázkach kybernetickej bezpečnosti a zároveň  pravidelné hodnotenie a zlepšovanie bezpečnostných opatrení a postupov na základe nových hrozieb a technologického pokroku.

Odborným garantom seminára bolo Národné centrum kybernetickej bezpečnosti SK-CERT. Útvar zabezpečuje národné a strategické aktivity v oblasti riadenia kybernetickej bezpečnosti, v oblasti analýzy hrozieb ale aj koordinácie riešenia kybernetických bezpečnostných incidentov na celonárodnej úrovni, výuky, vzdelávania, tréningov ako aj výskumu. 

Odborný seminár sa uskutočnil za účasti spišského diecézneho biskupa Mons. Františka Trstenského a rektora Katolíckej univerzity doc. Jaroslava Demka.

Prednášajúci:

• René Baran, riaditeľ odboru medzinárodných vzťahov a bezpečnostných politík, sekcia regulácie a dohľadu, Národný bezpečnostný úrad
• Milan Pikula, SK-CERT, Národná jednotka na riešenie kybernetických bezpečnostných incidentov, riaditeľ
• Mario Minarovský, CREDIBILIS, riaditeľ; ecclesia.sk, Senior Consultant
• Peter Tyko, Trend Micro, Regional Account Manager / MKB
• Peter Melniček a Kevin Seman, IstroSec, Offensive security specialist / etický hacker