Čo je a čo nie je dôležité pre rozvoj kybernetickej bezpečnosti na Slovensku (podľa Národnej autority)

So značným oneskorením oproti pôvodným plánom slovenská Národná autorita pre kybernetickú bezpečnosť konečne predložila na pripomienkovanie návrh Zákona o kybernetickej bezpečnosti (ZKB). Po prečítaní návrhu ma počiatočný náznak optimizmu, že konečne bude mať aj Slovensko slušný legislatívny rámec pre záležitosti okolo kybernetickej bezpečnosti, rýchlo prešiel. Continue reading

Prvých 15 mesiacov Národnej autority pre kybernetickú bezpečnosť

Pred 15 mesiacmi, 1.januára 2016, dostalo Slovensko svoju prvú Národnú autoritu pre kybernetickú bezpečnosť (ďalej „Národná autorita“). Pre úplnosť pripomeňme, že Národná autorita nezačínala úplne od nuly, keďže 17. júna 2015 vláda schválila základný inštitucionálny rámec, t.j. Koncepciu kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020 (ďalej „Koncepcia“), niečo neskôr bol (novelou zákona o organizácii činnosti vlády a organizácii ústrednej štátnej správy) Národný bezpečnostný úrad  (NBÚ) formálne ustanovený za Národnú autoritu a tiež formálne zriadený výbor pre kybernetickú bezpečnosť Bezpečnostnej rady Slovenskej republiky. Do konca roka 2015 bol tiež pripravený aj Štatút Komisie pre kybernetickú bezpečnosť či návrh Akčného plánu realizácie Koncepcie kybernetickej bezpečnosti (ďalej „Akčný plán“). Aj prvé tri mesiace existencie Národnej autority prispeli k posunu vnímania kybernetickej bezpečnosti na Slovensku, keď po voľbách v marci 2016 bola do Programového vyhlásenia vlády SR zaradená samostatná časť „Informačná a kybernetická bezpečnosť“. V ďalšom sa pozrieme (len na základe informácií z verejne dostupných zdrojov), ako počas ďalších 12 mesiacov Národná autorita nadviazala na takýto sľubný vývoj oblasti kybernetickej bezpečnosti na Slovensku. Continue reading

Digitálny archív života dnešného človeka

Internet a sociálne média sú už bežnou súčasťou nášho života, nie však dostatočne dlho na to, aby boli jasné aj dôsledky dlhodobých aktivít vo virtuálnom priestore. Zoberme si napríklad skutočnosť, že v tomto priestore za sebou zanechávame „digitálnu stopu“ – informácie, ktoré sme o sebe zverejnili, ale aj záznamy o našich aktivitách, názoroch, správaní voči ostatným, atď.  Na rozdiel od fyzického sveta je takáto „digitálna stopa“ jednak detailnejšia, jednak nie je ovplyvnená bežnou ľudskou vlastnosťou – zabúdaním. Zatiaľ čo vo fyzickom svete si človek – či už sám, alebo s pomocou ďalších ľudí – dokáže pripomenúť len niektoré časti svojej minulosti, jeho „digitálna stopa“ mu (ale aj iným!) dokáže až nepríjemne detailne pripomenúť, kedy a čo všetko povedal, napísal, čítal/videl, sľúbil, priznal, poprel, urobil či neurobil, ako menil či nemenil svoje názory, správanie voči druhým ľuďom, atď. a to aj mnoho rokov naspäť. Z fyzického sveta nie sme zvyknutí na existenciu takého detailného záznamu našej osobnej minulosti a preto stojí za zamyslenie, či a ako sa to na nás prejaví. Continue reading

Kybernetická bezpečnosť a diplomacia?

Či sa nám to páči, alebo nie, to, čo sa deje v kybernetickom priestore, stále viac ovplyvňuje náš život –jednotlivca, ale aj spoločnosti, pozitívne aj negatívne. Je preto celkom prirodzené zaujímať sa, či a ako na túto skutočnosť reaguje aj štát, resp. jeho súčasti, pričom sa realisticky v našom prostredí uspokojíme aj s čiastkovým úsilím a ani neočakávame komplexnú iniciatívu štátu smerom k tzv. Smart Nation. Skrátka, ide o to, či jednotlivé štátne inštitúcie v takto rozšírenej realite dokážu realisticky rozpoznať nové potreby či možnosti rozšírenia alebo úprav svojich aktivít. Ilustrujme to na príklade oblasti medzinárodných vzťahov. Z platného Akčného plánu realizácie Koncepcie kybernetickej bezpečnosti ako aj zo zatiaľ známych informácií o pripravovanom zákone o kybernetickej bezpečnosti je neprehliadnuteľná ambícia Národného bezpečnostného úradu (NBÚ) ako Národnej autority pre kybernetickú bezpečnosť  byť tým subjektom, ktorý má v tejto oblasti zastupovať Slovensko na medzinárodnej scéne. Hoci asi nikto nebude spochybňovať potrebu spolupráce Národnej autority pre kybernetickú bezpečnosť s obdobnými inštitúciami v rámci EÚ a NATO, uvedomuje si jej vedenie že medzinárodná spolupráca pre oblasť kybernetického priestoru pokrýva viac ako výmenu operatívnych informácií o kybernetických hrozbách a účasť na spoločných cvičeniach?  Continue reading

Aké pravidlá a zákony majú platiť v kybernetickom priestore?

Podľa strategického dokumentu EÚ medzi základné princípy kybernetickej bezpečnosti patrí aj požiadavka, aby hodnoty, zákony a normy,ktoré usmerňujú náš každodený život, platili rovnako v digitálnom ako aj fyzickom svete.  Znie to logicky a ľuďom by to nepochybne uľahčilo život. Na druhej strane onen digitálny svet – kybernetický priestor ešte nemáme dostatočne preskúmaný a pochopený a tak v ňom často aj dobre mienené rozhodnutie spôsobí netušené problémy. Napríklad, kým vo fyzickom svete je normálne, že výkon práva je obmedzený na územie, ktoré má pod kontrolou ten-ktorý štát, v kybernetickom priestore to tak jednoduché nie je.

Pekne sa to dá ilustrovať na prípade  Continue reading

Zvyšovanie povedomia o kybernetickej bezpečnosti

Aj na Slovensku sme dospeli do stavu, kedy je jednoduchšie nájsť človeka, ktorý používa Internet a notebook, tablet, smartfón, či iné „chytré“ zariadenie ako niekoho, kto takéto technologické výdobytky nepoužíva. Z toho logicky plynie, že kybernetická bezpečnosť je niečo, čo by sa malo týkať väčšiny občanov. Na druhej strane bežný občan o kybernetickej bezpečnosti nevie (skoro) nič – nemal sa o tom odkiaľ dozvedieť, pre naše média zrejme ani využitie domácich kamier a podobných zariadení na kybernetické útoky nie je dostatočne zaujímavá téma. Ku cti autorom Koncepcie kybernetickej bezpečnosti SR slúži, že túto skutočnosť neprehliadli a venovali sa jej aj v kapitole Návrh riešenia. Napríklad, v rámci navrhovaného Mechanizmu prevencie (sekcia 3.3) sa spomína “…posilňovanie bezpečnostného povedomia obyvateľstva v oblasti informačných a komunikačných technológií …“, alebo v sekcii 3.4 Koncepcie sa priamo uvádza:  „Kvalita, efektívnosť a účinnosť plnenia opatrení a úloh v oblasti kybernetickej bezpečnosti významnou mierou závisia od úrovne spoločenského povedomia, vzdelanostnej úrovne spoločnosti, ako aj od spôsobilostí aktérov v tejto oblasti. “ Základ by teda bol, ako sa tejto témy chopila naša Národná autorita pre kybernetickú bezpečnosť? Continue reading

Čo bude nasledovať po Akčnom pláne realizácie Koncepcie kybernetickej bezpečnosti?

Pri zbežnom pohľade na aktivity štátu v oblasti kybernetickej bezpečnosti na Slovensku vyzerá situácia celkom dobre – máme Koncepciu kybernetickej bezpečnosti ako aj Akčný plán pre jej implementáciu a bola ustanovená aj Národná autorita pre kybernetickú bezpečnosť. Detailnejšia analýza však ukáže, že stanovené ciele a úlohy sú zamerané na obdobie najbližších pár rokov – ale čo potom? K súčasným aktivitám v oblasti kybernetickej bezpečnosti nás, ako svojho člena, svojimi požiadavkami  „dokopala“ Európska únia a NATO – to aj v budúcnosti budeme čakať na inštrukcie zvonku čo máme urobiť? Alebo sa ráta s tým, že sa stane zázrak a o pár rokov budeme v oblasti kybernetickej bezpečnosti automaticky samostatnejšími, iniciatívnejšími a schopnejšími?  Ako inak vysvetliť, že v Koncepcii i Akčnom pláne absentujú iniciatívy zamerané na podporu strategického myslenia, zbieranie relevantných údajov, analýzy,  predikcie trendov a vôbec všetko, čo umožňuje aspoň trochu seriózne plánovanie do budúcnosti? Continue reading

Kto si uvedomuje, čo prinesie nové Nariadenie o ochrane osobných údajov?

Nedávno som bol účastníkom dvoch odborných konferencii o ochrane súkromia  – Annual Privacy Forum 2016 (Frankfurt, Nemecko) a NIOS 2016 (Mojmírovce, Slovensko). Obidve nadväzovali na v máji tohto roku zverejnené Nariadenie o ochrane osobných údajov, známe tiež pod skratkou GDPR (General Data Protection Regulation), ktoré od 25. mája 2018 v celej EÚ nahradí jednotlivé národné zákony o ochrane osobných údajov. Zaujímavá skúsenosť. Continue reading

Nová smernica EP a Rady EÚ o bezpečnosti sietí a informačných systémov

Dnes, t.j. 19.7.2016, bola v Úradnom vestníku EÚ zverejnená Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii. Bežný prevádzkovateľ informačných systémov sa (zatiaľ) nemusí plašiť, Smernica je určená členským štátom EÚ (pozri Článok 27 Smernice), ktorým ukladá povinnosť do 9. mája 2018 prijať a zverejniť “zákony, iné právne predpisy a správne opatrenia potrebné na dosiahnutie súladu s touto smernicou” (Článok 25, bod 1 Smernice). V našom prípade to bude zrejme predovšetkým Zákon o kybernetickej bezpečnosti, ktorý sa momentálne pripravuje. Slovenská verzia Smernice je dostupná napr. tu, anglická verzia tu.

Pre tých, ktorých stretávame, prestávame byť neznámymi

Vďaka Internetu možno s trochou nadsadenia povedať, že bežný človek dnes pôsobí v dvoch svetoch – fyzickom a virtuálnom. Vo fyzickom svete pri náhodných stretnutiach, na ulici,  či pri cestovaní dopravnými prostriedkami je človek, ktorého vidím, len jeden z mnohých, neznámy. Niečo málo sa o ňom síce dá odvodiť z pohľadu na neho (približný vek,  niektoré zdravotné problémy), ale to je asi tak všetko. Vývoj informačných a komunikačných technológií však už dospel do stavu, kedy sa aj o takýchto neznámych okoloidúcich či okolosediacich dá v krátkom čase zistiť oveľa viac. Continue reading