Pred pár dňami bolo formálne ukončené pripomienkové konanie k návrhu Akčného plánu realizácie Koncepcie kybernetickej bezpečnosti Slovenskej republiky na roky 2015 – 2020. Hoci v porovnaní s pôvodným návrhom je výsledný dokument podstatne vylepšený, zaujalo ma predovšetkým to, čo som v ňom nenašiel (a podľa môjho názoru by tam logicky patrilo).
Ak pominieme sprievodný text v úvode a v závere dokumentu, Akčný plán je v podstate zoznam úloh, pričom pre každú z nich je určený „Zodpovedný subjekt“ a prípadne aj jeden či niekoľko „Súčinnostných subjektov“. Zaujalo ma, že medzi nimi sa vôbec nevyskytujú dve inštitúcie, ktoré sa podľa môjho názoru nemôžu tváriť, že Akčný plán, resp. kybernetická bezpečnosť sa ich vôbec netýka… mám na mysli Úrad na ochranu osobných údajov a Ministerstvo hospodárstva. Mimochodom, podľa vyhodnotenia pripomienkového konania, Úrad aj Ministerstvo hospodárstva sa ani nenamáhali na predložený návrh Akčného plánu nejako zareagovať (hoci len „nemáme pripomienky“).
Akčný plán sa o.i. v niekoľkých bodoch venuje reakciám na incidenty, vrátane spolupráce zainteresovaných pracovísk. Minimálne tu vidím nezanedbateľný prienik s oblasťou pôsobnosti Úradu na ochranu osobných údajov. Na jednej strane (Akčným plánom predvídaný) bezpečnostný incident nahlásený jednotke pre riešenie incidentov, prípadne aj postupy jeho riešenia, sa môžu týkať osobných údajov. Na druhej strane, pripravovaná regulácia EÚ pre oblasť ochrany osobných údajov (výsledný text je dohodnutý, definitívnemu schváleniu Európskym parlamentom už nič nebráni) o.i. ráta s povinným nahlasovaním bezpečnostných incidentov ohrozujúcich osobné údaje. Ak je/bude Úrad na ochranu osobných údajov „mimo“ záber Akčného plánu, vytvoria sa priaznivé podmienky na chaos a protirečenia (Komu vlastne nahlásiť incident? A nahlásiť ho dvojmo, teda jednotke pre riešenie incidentov a Úradu, alebo stačí iba jednému z nich (ktorému)? A keď sa ozvú s nejakými požiadavkami, kto má mať „prednosť“? A tak podobne…). Jedným z argumentov pre vznik národnej autority pre kybernetickú bezpečnosť pritom bolo práve volanie po zosúladení aktivít rôznych štátnych inštitúcií, ktorých pôsobenie v oblasti kybernetickej bezpečnosti sa môže prekrývať.
Ministerstvo hospodárstva má v doteraz vypracovaných dokumentoch o kybernetickej bezpečnosti na Slovensku zaujímavé postavenie. Na jednej strane je zrejme považované za dôležitého „hráča“ pre túto oblasť, nakoľko jeho zástupca je medzi 14 členmi novovytvoreného Výboru Bezpečnostnej rady SR pre kybernetickú bezpečnosť a tam nemôže sedieť hocikto (napríklad požiadavka Ministerstva kultúry mať v uvedenom výbore svojho zástupcu bola tvrdo zamietnutá). Na druhej strane predložený Akčný plán, teda úlohy/aktivity v oblasti kybernetickej bezpečnosti na najbližších 5 rokov, sa ho týkajú len vo všeobecnej rovine ako jedného z viacerých ústredných orgánov štátnej správy, teda nie nejako zvlášť významného „hráča“ pre oblasť kybernetickej bezpečnosti. Pre úplnosť dodajme, že to isté platí aj pre Ministerstvo zdravotníctva a Ministerstvo životného prostredia, ktoré sú takisto zastúpené vo Výbore Bezpečnostnej rady pre kybernetickú bezpečnosť, ale ich takto deklarovaný význam pre riadenie kybernetickej bezpečnosti na Slovensku nenašiel vyjadrenie v Akčnom pláne.
Priestor pre úlohu špeciálne pre Ministerstvo hospodárstva by v Akčnom pláne pritom mohol byť – napríklad by stačilo, keby sa v ňom okrem podpory výskumu aspoň uvažovalo o možnostiach podporiť slovenské startupy zamerané na kybernetickú bezpečnosť. A keby bol predkladateľ Akčného plánu dôslednejší a dokázal nahliadať na kybernetickú bezpečnosť naozaj komplexne, musel by sa zamyslieť aj nad otázkou technológií, používaných v slovenskom kybernetickom priestore i na jeho zabezpečenie – ich zahraničný pôvod totiž dáva možnosť rôznym (zahraničným) inštitúciam presadiť u ich dodávateľov/výrobcov účelové vytvorenie utajených bezpečnostných slabín, teda bezpečnostné riziko pre Slovensko. Podpora používania produktov pochádzajúcich zo Slovenska by takéto riziko mohla znížiť, čo možno považovať za argument pre dôslednejšiu analýzu možnosti podpory slovenskej produkcie technológií pre kybernetický priestor a jeho zabezpečenie, čo nepochybne spadá do oblasti pôsobenia Ministerstva hospodárstva.
Ako sa mohlo stať, že Akčný plán neráta s Úradom na ochranu osobných údajov ani s Ministerstvom hospodárstva? Predkladacia správa k Akčnému plánu výslovne uvádza, že „Predložený návrh Akčného plánu je vypracovaný na základe podkladov, ktoré boli úradu doručené z ministerstiev a ostatných ústredných orgánov štátnej správy v rámci plnenia úlohy B.5. vyplývajúcej z uznesenia vlády Slovenskej republiky č. 328 zo dňa 17. júna 2015.“ Zdá sa teda, že na to, aby sa Ministerstvo hospodárstva i Úrad na ochranu osobných údajov dostali mimo záber Akčného plánu, im stačilo neposlať Národnému bezpečnostnému úradu žiadne podklady (t.j. návrhy opatrení pre svoju oblasť pôsobnosti).
Ak to bolo tak, znamenalo by to, že naša národná autorita pre oblasť kybernetickej bezpečnosti (Národný bezpečnostný úrad) svoju úlohu v riadení kybernetickej bezpečnosti chápe predovšetkým ako obyčajné sústreďovanie poskytnutých podkladov a ich spracovanie do ucelenej formy – a čo nedostane v podkladoch, to pre ňu „neexistuje“. Rád by som veril tomu, že to tak nie je, pretože to by to znamenalo tragédiu hlavne z dlhodobého hľadiska. Nejakú dobu sa totiž dá fungovať aj tak, ale kto, ak nie národná autorita, má byť tým, kto má strategické videnie, schopnosť identifikovať potreby aj pre oblasti, pre ktoré ich „poskytovatelia podkladov“ žiadne potenciálne problémy či požiadavky nevidia, alebo nechcú vidieť? Skrátka, národná autorita by mala byť akousi poistkou pre prípady odbornej neschopnosti či povrchnosti orgánu štátnej správy.
Samozrejme, aj národná autorita pre oblasť kybernetickej bezpečnosti sú vlastne len ľudia a tí sa môžu mýliť či niečo prehliadnuť. Pre takýto prípad by mohol funkciu ďalšej „poistky“ zohrať ešte Výbor Bezpečnostnej rady pre kybernetickú bezpečnosť. Nakoľko Predkladacia správa k Akčnému plánu tvrdí, že tento materiál bol prerokovaný v Bezpečnostnej rade, ktorá ho vláde odporučila schváliť, dá sa predpokladať, že predtým úspešne prešiel aj zmieneným výborom, čo by však znamenalo, že táto „poistka“ nezabrala. Na druhej strane je potrebné priznať, že predseda a členovia výboru boli formálne vymenovaní až 27.1.2016 a teda na zodpovedné posúdenie Akčného plánu nemuseli mať k dispozícii dostatok času. V budúcnosti však takýto argument nebude a potom sa ukáže, či zloženie Výboru Bezpečnostnej rady pre kybernetickú bezpečnosť okrem zohľadnenia záujmov a postojov jednotlivých rezortov, ktoré sú v ňom zastúpené, dokáže zabezpečiť aj potrebný strategický, nadrezortný pohľad.