Neuškodí pripomenúť si a (opätovne) zhodnotiť niektoré udalosti z uplynulého obdobia – veď takým spôsobom sa dajú objaviť vzájomné súvislosti medzi rôznymi udalosťami, ktoré sa izolovane môžu zdať menej zaujímavými. Pozrime sa takto na to, čo sa v roku 2015 udialo na Slovensku v oblastiach ochrany osobných údajov a kybernetickej bezpečnosti.
V oblasti ochrany osobných údajov začal rok celkom dobre, keď na Deň ochrany osobných údajov zorganizoval Úrad na ochranu osobných údajov prvýkrát svoj „Deň otvorených dverí“. Zašiel som sa tam pozrieť a mal som dobrý pocit z rozhovorov s jeho zamestnancami ako aj z atmosféry, ktorá na Úrade vládla. Ak k tomu prirátam viditeľnú skutočnosť, že webstránka Úradu už dlhšie poskytuje návštevníkom rôzne užitočné informácie, zmena Úradu v porovnaní so stavom pred pár rokmi bola nesporne pozitívna. Toto potvrdzujú aj údaje z neskoršej Správy o stave ochrany osobných údajov za roky 2013 a 2014, ktorá aj sama osebe tiež stojí za prečítanie (napríklad kapitoly 7 a 10).
V roku 2015 však vo vedení Úradu došlo aj k závažným zmenám – funkcie sa vzdala predsedníčka Úradu, neskôr aj podpredseda Úradu, Úrad opustila aj riaditeľka odboru právnych služieb a medzinárodných vzťahov a významná spoluautorka zákona č. 122/2013 Z.z. o ochrane osobných údajov (prípadné ďalšie personálne zmeny sa mi z otvorených zdrojov nepodarilo zistiť, resp. odvodiť). Samozrejme si viem predstaviť aj osobné dôvody na odstúpenie od dobre rozbehnutej práce, ale rezignácia viacerých kľúčových osôb Úradu v krátkom čase skôr zaváňa nátlakom a snahou o ovládnutie Úradu ako náhodnou zhodou okolností.
Pre oblasť kybernetickej bezpečnosti bolo na Slovensku nesporne kľúčovou udalosťou vypracovanie dokumentu Koncepcia kybernetickej bezpečnosti. K prvému návrhu dokumentu i k schválenej verzii som sa tu už vyjadroval, za pripomenutie však stojí aj proces, ktorý predchádzal prijatiu Koncepcie, nakoľko na ňom sa dá pekne ilustrovať stav kybernetickej bezpečnosti na Slovensku v r. 2015. Katastrofálna úroveň prvého návrhu Koncepcie bola totiž zároveň peknou príležitosťou pre tých, ktorí o kybernetickej bezpečnosti čosi vedia, aby sa k nemu kriticky vyjadrili (teda aj inak ako len zopakovaním niektorých deklarácií z dokumentu, ako to učinili naše médiá) – veď nešlo o maličkosť, ale o zásadný dokument, ktorý mal vyznačiť spôsob, ako bude štát k tejto problematike pristupovať.
Takto poňatý „prehľad stavu kybernetickej bezpečnosti na Slovensku“ dopadol nasledovne (uvítam upozornenie na reakcie, ktoré mi prípadne „ušli“):
Keďže neskôr schválená Koncepcia výslovne navrhla kľúčovú pozíciu národnej autority pre kybernetickú bezpečnosť zveriť Národnému bezpečnostnému úradu, za pripomenutie určite stojí aj to, ako sa NBÚ postavil k onomu katastrofálnemu prvému návrhu Koncepcie. Neodškriepiteľným faktom je, že NBÚ dodal niekoľko pripomienok, za povšimnutie však stojí, že mu vôbec neprekážala biedna úroveň dokumentu či dokonca ani vyložené nezmysly (ako zaradenie ochrany pred spamom medzi kľúčové oblasti kybernetickej bezpečnosti). Namiesto toho navrhoval do koncepcie zaradiť zmienku (len zmienku, nič viac) o Národnom bezpečnostnom analytickom centre a o Koncepcii šifrovej ochrany, plus navrhol nepodstatné spresnenie pár formulácií (skratku ENISA doplniť o plný názov „Európska agentúra pre sieťovú a informačnú bezpečnosť“ a podobne). Dosť málo na budúcu národnú autoritu pre kybernetickú bezpečnosť… Na druhej strane sa zdá, že od toho času NBÚ akoby prešiel istým vývojom, nakoľko o Akčnom pláne realizácie Koncepcie kybernetickej bezpečnosti SR na roky 2015-2020, ktorý NBÚ predložil na pripomienkovanie koncom roka 2015 sa dá povedať, že jeho autori majú slušne premyslenú predstavu o komplexnom prístupe k realizácii Koncepcie (aj keď na môj vkus je v ňom „civilná“ časť kybernetickej bezpečnosti zastúpená nedostatočne). Nuž, uvidíme…