Byť lídrom v kybernetickej bezpečnosti
„… Slovensko je krajina, ktorá chce byť lídrom v kybernetickej bezpečnosti “ – toto (podľa denníka SME) pred cca mesiacom prehlásil predseda vlády Slovenskej republiky. Sympatická ambícia, ktorej som mal chuť zatlieskať a „držať palce“ pri jej napĺňaní. Pochopiteľne, sformulovanie cieľa je len začiatkom a tak som s tlieskaním pár týždňov počkal, pretože som bol zvedavý čo sa bude diať aby sa Slovensko nasmerovalo a prípadne aj začalo blížiť k naplneniu tejto ambície. Zatiaľ to však vyzerá tak, že Slovensko možno chce byť lídrom, ale nič (viditeľné) pre to nerobí.
Pripomeňme si, aká je vlastne súčasná pozícia Slovenska v kybernetickej bezpečnosti (KB). Máme vytvorený základný rámec pre riadenie KB, t.j. určený ústredný orgán štátnej správy pre KB (Národný bezpečnostný úrad – NBÚ) a prijatý zákon o KB (ZKB), ktorým sa do nášho právneho systému implementovala tzv. NIS direktíva Európskej únie. Realita je však taká, že pri prvej vhodnej príležitosti bol tento rámec odignorovaný, a to samotným predsedom vlády.
Na strategickej úrovni Slovensko prijalo dokument nazvaný Koncepcia kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020. Porovnanie tohto dokumentu s obdobnými strategickými materiálmi iných krajín však ukazuje značne zúžené chápanie KB na Slovensku. Presnejšie, tzv. strategický prístup Slovenska ku KB pozostáva z dôrazu na zabezpečenie prevádzkovej bezpečnosti vybraných sietí a informačných systémov kritickej infraštruktúry (de facto už spomenutá NIS direktíva). Strategické dokumenty iných krajín však do rozvoja KB okrem prevádzkovej bezpečnosti vo väčšej či menšej miere zahrňujú napríklad aj opatrenia na koordináciu KB na politicko-strategickej úrovni, aktívne zapojenie do riešenia nadnárodných problémov KB (normy, legislatíva, …), podpora rozvoja priemyslu a technológií KB a tiež potláčanie kybernetickej kriminality s cieľom zvýšenia bezpečnosti kybernetického priestoru. Môže sa stať lídrom v kybernetickej bezpečnosti krajina, ktorá doteraz nepredviedla schopnosť sformulovať vlastnú presvedčivú víziu a súvisiace dlhodobé plány, ktorá nevníma KB ako komplexnú záležitosť a aj v tej jedinej téme, na ktorú sa obmedzila, dokáže nanajvýš implementovať zásady, ktoré sformuloval niekto iný (NIS direktívu)?
Sformulovať víziu „Slovensko ako líder v KB“ môže aj jednotlivec, jej praktické naplnenie je však nemožné bez dlhodobého priameho i nepriameho úsilia veľkého počtu ľudí. Slovensko nesporne má šikovných, technologicky zdatných odborníkov na rôzne špecializované témy KB a zdá sa, že ponuka zatiaľ zhruba zodpovedá dopytu (aj ten je však primárne zo súkromného sektoru). Čo sa týka špecialistov na komplexnejšie nahliadanie na oblasť KB, schopných formulovať strategicky orientované dlhodobejšie ciele a vízie – ak sa aj na Slovensku vyskytujú, nie sú nejako viditeľní a nepodarilo sa mi ani objaviť známky dopytu po takýchto zručnostiach. Môže sa súčasný stav KB na Slovensku zmeniť k lepšiemu bez systematického vyhľadávania a podpory špecialistov, či už technologicky zdatných, alebo schopných strategického uvažovania?
Nejde však len o špecialistov, od krajiny ašpirujúcej na označenie „lídra v KB“ možno celkom prirodzene očakávať, že svoje kvality demonštruje v praxi a do hry sa tým dostávajú aj nešpecialisti – občania v roli používateľov informačných a komunikačných technológií, využívajúcich možnosti kybernetického priestoru. Napríklad nedávna Parížska výzva na dôveru a bezpečnosť v kybernetickom priestore medzi potrebnými opatreniami výslovne uvádza posilnenie „kyber-hygieny“ všetkých používateľov kybernetického priestoru ako aj zavádzanie medzinárodných noriem zodpovedného správania v kybernetickom priestore. Slovensko sa síce pridalo k Parížskej výzve, ale keďže na stránke Ministerstva zahraničných vecí (MZVaEZ) som o tom márne hľadal čo i len krátku informáciu, zrejme šlo len o formálny akt bez ďalšieho záujmu o vykonanie nejakých praktických krokov. Či o prihlásení sa Slovenska k Parížskej výzve vie ústredný orgán štátnej správy pre KB nie je jasné, na jeho stránke som taktiež nenašiel ani len zmienku o tejto iniciatíve. Škoda, pri jeho doterajšom spôsobe interakcie s okolím by ma naozaj veľmi zaujímalo, akým spôsobom by sa usiloval posilniť kyber-hygienu používateľov či viesť ich k zodpovednému správaniu v kybernetickom priestore…
Zhodou okolností nedávno malo Slovensko výbornú príležitosť na konkrétnom príklade objasniť občanom nielen dôležitosť KB ako takej, ale aj prezentovať konkrétne „pikošky“ spojené s kybernetickým útokom a následnou reakciou na bezpečnostný incident. Príležitosť ostala nevyužitá, po oznámení kybernetického útoku na MZVaEZ nasledovalo informačné ticho. To v takom Singapure na to šli inak … Politici a zodpovedné inštitúcie sa neuspokojili s rozsiahlym informovaním verejnosti o kybernetickom útoku na najväčšie zoskupenie poskytovateľov zdravotnej starostlivosti v Singapure a o bezprostredne prijatých opatreniach. Bol vymenovaný špeciálny vyšetrovací výbor, ktorého zasadnutia boli verejné (s výnimkou jedného, ktoré sa zaoberalo utajovanými skutočnosťami) a tak občania mohli či už osobne alebo z médií, získať informácie nielen o priebehu útoku, ale aj o chybách, ktorých sa dopustili subjekty zodpovedné za bezpečnosť napadnutých systémov, vyhodnotenie signálov indikujúcich narušenie bezpečnosti, i za reakciu na samotný útok. Zvýšila sa tak šanca, že budú venovať väčšiu pozornosť rešpektovaniu bezpečnostných zásad a nebudú opakovať chyby a postoje, ktoré útok uľahčili. Singapur ukázal, že otvorené informovanie občanov o kybernetických incidentoch, zistených nedostatkoch a chybách, možno v praxi realizovať – prečo by sa niečo podobné nemohlo stať normálnou praxou v krajine, ktorá „chce byť lídrom v kybernetickej bezpečnosti“?
Slovensko vraj chce byť lídrom v kybernetickej bezpečnosti. Mám chuť zatlieskať. Na to, aby sa takýto výrok mohol brať aspoň trochu vážne, by však muselo niečo pre to (u)robiť. Chuť zatlieskať sa stráca…
