Bývalý zamestnanec poradenskej firmy špecializovanej na kybernetickú bezpečnosť nedávno vypovedal pred súdom o praktikách svojho bývalého zamestnávateľa. Podľa jeho výpovede prinajmenšom v jednom prípade firma Tiversa v r. 2010 najprv zorganizovala „hacknutie“ počítačov nádejného klienta (spoločnosť LabMD) , aby ho potom oslovila s ponukou svojich služieb reakcie na bezpečnostný incident. Keď nádejný klient ponuku odmietol, pridala vyhrážku, že o tomto bezpečnostnom incidente bude informovať štátneho regulátora (Federal Trade Commission – FTC) – a po odmietnutí aj takto „vylepšenej“ ponuky svoju hrozbu splnila. FTC stačilo málo – tvrdenie, že Tiversa na jednej peer-to-peer file-sharing sieti našla súbor s fakturačnými údajmi zákazníkov LabMD (neskôr sa údajne u bližšie nešpecifikovaných „zlodejov identity“ (v úplne inom mieste) tiež objavili dokumenty s osobnými údajmi zákazníkov LabMD). Na základe tohto FTC obvinila spoločnosť LabMD z nedostatočného zabezpečenia osobných údajov svojich zákazníkov, a nariadila jej implementovať rozsiahly bezpečnostný program, ktorý by bol nasledujúcich 20 rokov každý druhý rok auditovaný nezávislým špecialistom. Majiteľovi LabMD sa to zdalo neprimerané a vzoprel sa – nasledoval vyčerpávajúci boj právnikov, ktorý malá spoločnosť nevydržala a v minulom roku ukončila činnosť.
Škoda, že tento prípad u nás nevzbudil pozornosť … pekne totiž ilustruje niektoré riziká, ktoré sa môžu vyskytnúť aj u nás, pričom nejde len o možnosť neférových praktík získavania klientov ich vydieraním zo strany firiem, ktoré poskytujú služby v oblasti informačnej či kybernetickej bezpečnosti. Za oveľa dôležitejšie považujem upriamiť pozornosť na riziká spojené so štátnou reguláciou, zvlášť keď príslušný regulačný orgán sa bez zaváhania spoľahne na tvrdenie externej špecializovanej firmy, ako to bolo v popisovanom prípade. Firma Tiversa mala za sebou históriu spolupráce so štátnymi inštitúciami a hľadanie stôp únikov citlivých údajov na sieti tiež údajne robila v rámci štátnej zákazky (nie však FTC), zároveň však ponúkala aj služby opačného charakteru práve pre klientov, ktorých bezpečnostné pochybenia mala odhaľovať – pekný dôvod na to, aby jej udanie štátnemu regulátorovi bolo podrobené aspoň pokusu o prešetrenie.
Nemyslím si, že popísaný prípad by mohol poslúžiť ako presvedčivý argument proti akejkoľvek štátnej regulácii v oblasti informačnej/kybernetickej bezpečnosti … kybernetický priestor a vzťahy a závislosti v ňom sú príliš zložité na to, aby sa jedinec mohol sám brániť, ani nehovoriac o tom, že je pre neho v podstate nemožné čo i len zistiť, kde všade sa nachádzajú jeho osobné údaje a kto s nimi pracuje … Nejakej forme zásahov i kontrolnej činnosti zo strany štátu (voči organizáciam, spracúvajúcim citlivé údaje) sa asi nevyhneme … ide však o to, ako sa k tomu výkonná moc či zákonodarcovia postavia. Napríklad, aby namiesto obľúbeného sústredenia sa len na kompetencie regulačného a kontrolného orgánu zvolili komplexnejší prístup, v rámci ktorého by zvažovali aj to, koho vlastne „obdaria“ možnosťami skomplikovať existenciu regulovanému či kontrolovanému subjektu, no a aby nezabudli ani na potrebu kontroly nad tým, ako tento orgán so zverenými právomocami nakladá. Nedávno zverejnený návrh Koncepcie kybernetickej bezpečnosti SR môže poslúžiť ako ukážkový príklad, ako by to nemalo vyzerať … bude zaujímavé sledovať, v akej forme sa tento dokument nakoniec k zákonodarcom dostane, a aký bude konečný výsledok.