Komu dnes ešte niečo hovorí termín „Národná stratégia pre informačnú bezpečnosť“?

Najprv trochu optimizmu – dokument Národná stratégia pre informačnú bezpečnosť SR schválila vláda SR 27. augusta 2008. Prejav prezidenta USA „On securing our nation’s cyber infrastructure” ktorým odštartoval obdobnú iniciatívu v USA, odznel 29. mája 2009, teda až o 9 mesiacov neskôr. Uplynulo pár rokov a …

Google pre výraz “America’s economic prosperity in the 21st century will depend on cybersecurity” (veta zo zmieneného prejavu prezidenta USA) hlási 23 800 výsledkov, pri prechádzaní ponúkaného zoznamu stránok však ponuku zredukoval na 346. Oproti tomu 30 800 výsledkov pre stránky zo Slovenska pre  Google „Národná stratégia pre informačnú bezpečnosť“ tiež nevyzerá zle – pri podobnom prechádzaní ponúkaného zoznamu Google ponuku zredukoval na 204.

Zaujímavé však nie sú počty, ale to, na akých stránkach sa hľadané spojenie vyskytovalo. Vetu “America’s economic prosperity in the 21st century will depend on cybersecurity” citujú na širokom spektre stránok – štandardných médií, stránkach rôznych vládnych inštitúcií (USA), mimovládnych zoskupení a think-tankov, na blogoch, stránkach komerčných organizácií, atď. Na druhej strane pre výraz „Národná stratégia pre informačnú bezpečnosť“ Google najčastejšie odkazuje na „rodnú stránku“ dokumentu, t.j. na špecializovanú stránku Ministerstva financii www.informatizacia.sk . Spomedzi ďalších  stránok s odstupom nasleduje www.itapa.sk a www.rokovania.sk, a s ďalším odstupom stránky ministerstiev financii a kultúry. Pozoruhodná je absencia médií, obzvlášť celoštátnych či tzv. mienkotvorných … Piešťanský denník,  Parlamentný kuriér či IT News do takej kategórie asi nepatria a iné sa v zozname ani nevyskytujú. Odkazy na všetkých spomenutých stránkach pritom reprezentujú len informáciu o Stratégii, nie čo i len pokus o jej hodnotenie. Trochu iný charakter sa dá očakávať od blogov, tie však zastupujú v podstate len moje články na blog.sme.sk a diskusné príspevky k nim … presne som to nerátal, ale odhadujem, ze počtom odkazov na Národnú stratégiu pre informačnú bezpečnosť sa môj blog zaraďuje na celkové druhé alebo tretie miesto.

V čom však Američanov totálne valcujeme, je hromadný výskyt odkazov na Národnú stratégiu pre informačnú bezpečnosť v plánoch činnosti slovenských základných a stredných škôl pre školský rok 2011/2012 – kto neverí, nech pozrie napríklad tu, tu, tu, alebo tu. Tento pozoruhodný úkaz má vcelku jednoduché vysvetlenie – Ministerstvo školstva na svoje stránke zverejnilo Pedagogicko-organizačné pokyny na školský rok 2011/1012, a v ich prílohe č.2, v časti nazvanej Platné koncepcie a stratégie sa v zozname rôznych koncepcií a stratégií spomína aj Národná stratégia pre informačnú bezpečnosť (bez nadväznosti na samotné Pokyny). A potom už stačilo málo – mnohé školy sa týmito pokynmi riadili pri vytváraní svojich Plánov činnosti na školský rok 2011/2012 až tak dôsledne, že do nich tieto zoznamy verne skopírovali (samozrejme bez nadväznosti na plánované činnosti).

Nemyslím si, že štatistiky získané cez Google sú stopercentne presné, ale čosi predsa aspoň naznačujú. V tomto prípade to, že Národná stratégia pre informačnú bezpečnosť na Slovensku veľa vody nenamútila, zatiaľ čo obdobná iniciatíva v USA sa dočkala neporovnateľne väčšej pozornosti. Príčin bude zrejme viac a dá sa o nich diskutovať, domnievam sa však, že nezanedbateľnú úlohu zohrala skutočnosť, že v USA si príslušnú iniciatívu osvojil a verejne prezentoval kľúčový „decision-maker“, čím jednoznačne zvýraznil jej vážnosť a dôležitosť – zatiaľ čo na Slovensku vláda len schválila Stratégiu (na čo odhadom  stačila minúta či dve z času zasadnutia vlády) bez toho, aby nejaký „decision-maker“ či iná známa postava,  sa unúval aspoň pred médiami tento dokument predstaviť, zvýrazniť jeho dôležitosť, skrátka spropagovať celú iniciatívu.

Prečo to tak bolo? Keďže nie je známe, že by pán Obama pred svojim zvolením za prezidenta USA bol nejakým nadšencom kybernetickej bezpečnosti, dá sa predpokladať, že skutočnosť, že si iniciatívu osvojil a verejne ju presvedčivým spôsobom prezentoval, bola výsledkom premyslenej a trpezlivej prípravy a presviedčania „v zákulisí“. Na druhej strane nie je známe, že by sa v rámci prípravy Národnej stratégie pre informačnú bezpečnosť vyvíjalo nejaké úsilie na získanie vhodného reprezentanta iniciatívy – z textu samotného dokumentu skôr vyplýva, že jeho autori vôbec nemali ambície nejakým spôsobom oslovovať kľúčové riadiace štruktúry a získavať ich pre myšlienku potreby zlepšenia informačnej bezpečnosti v krajine (pravdou však je, že objednávateľ to od nich ani nepožadoval).

Netvrdím, že Národnou stratégiou pre informačnú bezpečnosť sa na Slovensku nič nedosiahlo (napr. vznikol CSIRT.SK, aj keď aj ten nie je bohvieako „viditeľný“), domnievam sa však, že sa premrhala príležitosť dostať informačnú bezpečnosť viac do povedomia ľudí i inštitúcií a tak aj uľahčiť jej ďalší rozvoj. Škoda. A pokiaľ bude u nás aj naďalej absentovať snaha hodnotiť úspešnosť tej-ktorej iniciatívy nie len formálnym plnením uložených úloh, ale aj kvalitatívnym zhodnotením jej presadenia do života, nebude ani dôvod meniť zaužívané postupy a zvyklosti pri príprave a realizácii podobných aktivít.

Jozef