Čo v blízkej budúcnosti čaká kybernetickú bezpečnosť na Slovensku?
Odpoveď na takúto otázku som vo verejne dostupných informáciách od relevantných štátnych inštitúcií nenašiel. Nepomohli ani zverejnené volebné programy politických zoskupení pre nadchádajúce parlamentné voľby – ak sa v nich aj kybernetická bezpečnosť vyskytla, v tom lepšom prípade sa sľubovalo udržanie, resp. drobné vylepšenie toho, čo už na Slovensku je, v horšom prípade bola viditeľná až komická neznalosť súčasného stavu či zmätok v základných pojmoch. Skrátka, ohľadom realistickej vízie kybernetickej bezpečnosti nám ako súčasné tak aj potenciálne budúce vedenie Slovenska verejne prezentuje len svoju bezradnosť. Otázka z nadpisu pritom má význam, nakoľko v tomto roku končí platnosť aktuálnej Koncepcie kybernetickej bezpečnosti SR (tá bola sformulovaná pre obdobie 2015-2020).
Zdá sa, že – podobne ako v minulosti – nás do výraznejších aktivít v oblasti kybernetickej bezpečnosti „dokope“ až Brusel. Na rozdiel od našich inštitúcií Európska komisia túto oblasť vníma komplexne a nemá zábrany o svojich plánoch informovať verejnosť. Tzv. NIS direktíva z r. 2016, ktorú Slovensko premietlo do zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti, ani zďaleka nebola poslednou aktivitou Bruselu v tomto smere. V roku 2017 Komisia a Vysoká predstaviteľka EÚ pre zahraničné veci a bezpečnostnú politiku predložili tzv. Spoločné oznámenie Európskemu parlamentu a Rade „Odolnosť, odrádzanie a obrana: budovanie silnej kybernetickej bezpečnosti pre EÚ“, v ktorom zdôraznili, že je v strategickom záujme EÚ zabezpečiť zachovanie a rozvoj technologických kapacít v oblasti kybernetickej bezpečnosti s cieľom zabezpečiť svoj digitálny jednotný trh. Stručne povedané, EÚ má byť schopná autonómne zabezpečiť svoje digitálne aktíva, nakoľko v súčasnosti vo veľkej miere závisí od mimoeurópskych poskytovateľov produktov a riešení. Spoločné oznámenie tiež sformulovalo ambíciu EÚ byť schopná konkurovať na globálnom trhu kybernetickej bezpečnosti.
Nasledovalo dobrovoľné mapovanie tzv. centier odborných znalostí v oblasti kybernetickej bezpečnosti v EÚ (v r. 2018). Vzhľadom na dobrovoľnosť účasti na prieskume je však potrebné brať získané výsledky ako čisto orientačné, keď napr. Slovensko s 15 nahlásenými centrami expertízy s náskokom predbehlo Česko, z ktorého sa ozvalo len 6 pracovísk (Nórsko 12, Fínsko 13, Estónsko 7 pracovísk)… Do prieskumu sa celkovo prihlásilo vyše 660 organizácii, čo podľa názoru Komisie indikuje že potenciál EÚ v tejto oblasti nie je malý, chýba však zosúladenie a spoločná misia. Na zlepšenie situácie v tomto smere koncom r. 2018 Komisia zverejnila návrh Nariadenia, ktorým sa zriadi jednak Európske centrum odvetvových, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti („Kompetenčné centrum“), jednak sieť národných koordinačných centier.
Návrh Nariadenia je v súčasnosti v štandardnom legislatívnom procese a tak nie je vôbec jasné, aké bude jeho konečné znenie. Pôvodný návrh však v predposlednom článku (článok 46) predpokladá, že Kompetenčné centrum bude zriadené pre obdobie od 1.1.2021 do 31.12 2029, čiže ak to nebude zmenené, veľa času už neostáva… Komisia medzitým rozbehla ďalšie aktivity, ktoré s pripravovaným Nariadením súvisia. Napr. na účely zosúladenia terminológie a definícií iniciovala vytvorenie taxonómie kybernetickej bezpečnosti (aktuálne platná, už druhá verzia bola publikovaná koncom roku 2019). Taktiež začiatkom roku 2019 odštartovali 4 pilotné projekty – CONCORDIA, ECHO , SPARTA a CyberSec4Europe , ktorých úlohou je v praxi overiť základný zámer Nariadenia a získať poznatky umožňujúce doplniť niektoré detaily, ktoré návrh Nariadenia ponechal otvorené.
A čo na Slovensku? Jedinou aktivitou, ktorú som z verejne dostupných zdrojov zaznamenal, je nedávne vytvorenie Kompetenčného a certifikačného centra kybernetickej bezpečnosti, ktorého zriaďovateľom je Národný bezpečnostný úrad (NBÚ), aj keď ten – už tradične, prinajmenšom do času zverejnenia tohto príspevku – na svojej webstránke o tejto skutočnosti neinformuje… Zo zoznamu deklarovaných úloh tohto centra vidieť, že NBÚ jeho prostredníctvom mieni riešiť niektoré povinnosti, ktoré mu ukladá zákon o kybernetickej bezpečnosti (napr. plnenie úloh certifikačného orgánu). Zároveň ale z názvu centra i z jednej z úloh, ktoré má plniť vyplýva, že NBÚ má ambície takýmto spôsobom prevziať úlohy „národného odvetvového, technologického a výskumného centra v oblasti kybernetickej bezpečnosti“, čo je presne to, o čom hovorí vyššie spomenuté pripravované Nariadenie.
Znamenalo by to, že NBÚ má o.i. v úmysle plniť úlohu „styčného bodu s komunitou kyberneticko-bezpečnostných kompetencií“ (článok 7 ods. 1 písm. d) pôvodného návrhu Nariadenia), úlohu „propagácie a šírenia relevantných výsledkov činnosti siete, komunity kyberneticko-bezpečnostných kompetencií a kompetenčného centra na štátnej alebo regionálnej úrovni“ (článok 7 ods. 1 písm. g) pôvodného návrhu Nariadenia), ale aj „posudzovanie žiadostí … o začlenenie do komunity kyberneticko-bezpečnostných kompetencií“ (článok 7 ods. 1 písm. h) pôvodného návrhu Nariadenia). Komunita kyberneticko-bezpečnostných kompetencií pritom podľa návrhu Nariadenia „pozostáva z odvetvových, akademických a neziskových výskumných organizácií a združení, ako aj z verejných orgánov a iných orgánov, ktoré sa venujú prevádzkovým a technickým záležitostiam“ (článok 8 ods. 2 pôvodného návrhu Nariadenia). To, kto môže patriť do tejto komunity, má posudzovať práve ono národné centrum, pričom svoje rozhodnutie môže kedykoľvek zmeniť (článok 8 ods. 4 a 5 pôvodného návrhu Nariadenia).
Odpoveď na otázku z nadpisu teda môže znieť aj takto: ak sa nezmenia príslušné ustanovenia návrhu Nariadenia, NBÚ rozšíri oblasť svojej pôsobnosti aj mimo sféru verejných orgánov a bude o.i. rozhodovať aj tom, ktoré z akademických či neziskových výskumných organizácií a združení na Slovensku či orgánov, ktoré sa venujú prevádzkovým a technickým záležitostiam kybernetickej bezpečnosti vôbec môžu patriť do „komunity kyberneticko-bezpečnostných kompetencií“ .
