Kybernetická bezpečnosť na Slovensku v roku 2013

Ak napíšem, že Slovensko v r. 2013 objavilo kybernetickú bezpečnosť, bude to prehnané, ale len trochu.  Po tom, ako bol pojem kybernetickej bezpečnosti v r. 2008 Národnou stratégiou pre informačnú bezpečnosť SR na niekoľko rokov odsunutý do úzadia, v r. 2013 sa situácia začala výraznejšie meniť. „Na vine“ sú Európska únia a NATO,  ktoré ignorujú tézu Národnej stratégie o obmedzení kybernetickej bezpečnosti len na ochranu utajovaných skutočností a tvrdošijne jej prisudzujú širší záber. A tak, hoci sa šéfovi informatizácie Slovenska, tzv. Digitálnemu lídrovi, na jeho  webstránke väčšinu roka darilo vyhýbať sa zmienkam o kybernetickej bezpečnosti (i za cenu premenovania oficiálnej Európskej stratégie pre kybernetickú bezpečnosť na Európsku stratégiu pre informačnú bezpečnosť), zvlášť v druhej polovici roka 2013 sa na Slovensku s aktivitami okolo kybernetickej bezpečnosti „roztrhlo vrece“.  A to aj napriek tomu, že vzhľadom na zjavne vyhýbavý postoj orgánu zodpovedného za informatizáciu spoločnosti na Slovensku ani neprekvapuje, že už druhýkrát vyhlásený Európsky mesiac kybernetickej bezpečnosti (október) na Slovensku prešli mlčaním prakticky všetky relevantné inštitúcie štátnej správy – vzácnou a povšimnutia hodnou výnimkou bola len Jednotka pre riešenie počítačových incidentov CSIRT.SK.

Značný podiel na „objavení“ kybernetickej bezpečnosti Slovenskom má zverejnenie Európskej stratégie pre kybernetickú bezpečnosť a súvisiaceho návrhu Direktívy EÚ začiatkom februára 2013. Hoci sa Ministerstvu financii, resp. Digitálnemu lídrovi vcelku darilo nespomínať kybernetickú bezpečnosť, rovnakú zdržanlivosť sa nepodarilo presadiť v iných súčastiach štátnej správy –  kybernetická bezpečnosť sa dostala aj do agendy Ministerstva zahraničných vecí či Bezpečnostnej rady.

Pozoruhodný a neprehliadnuteľný však bol nárast záujmu o kybernetickú bezpečnosť zo strany mimovládnych organizácií. Ešte v prvej polovici roka Central European Policy Institute (regionálny „think-tank“ Slovenskej atlantickej komisie) odštartoval dva projekty o kybernetickej  bezpečnosti v krajinách V4 (Vyšehradskej skupiny) – jeden orientovaný na civilnú a druhý na „military“ oblasť kybernetickej bezpečnosti. Po prázdninách to však nabralo obrátky – už začiatkom septembra sa malo uskutočniť stretnutie pri okrúhlom stole na tému kybernetickej bezpečnosti ( len pre pozvaných, v priestoroch Americkej obchodnej komory, ale na webe komory som o tej udalosti nenašiel zmienku).  V novembri sa tejto téme venovalo 11. Slovenské strategické fórum (organizátor Centrum pre európske a severoatlantické vzťahy – CENAA) a v polovici decembra Central European Policy Institute pri príležitosti ukončenia obidvoch už spomenutých projektov v spolupráci s Ministerstvom obrany pripravil špecializovaný medzinárodný Cyber Visegrad Workshop. Okrem zorganizovania týchto udalostí pribudla aj videoprezentácia vysvetľujúca dôležitosť tejto témy, ako aj rôzne texty venované kybernetickej bezpečnosti – závery 11. Slovenského strategického fóra, výstupy obidvoch už zmienených projektov Central European Policy Institute (tu a tu) a vyšli prvé tri čísla Cyber Security Newsletter (CENAA) – tu, tu a tu.

Nebolo by však správne nechať sa učičíkať číslami dosvedčujúcimi výrazný nárast záujmu o kybernetickú bezpečnosť na Slovensku, nakoľko je známe, že kvantita ešte negarantuje automaticky aj kvalitu. Napríklad, hoci vyššie zmienené akcie boli deklarované ako stretnutia odborníkov (resp. expertov), pri absencii ďalších informácií (účasť len pre pozvaných, minimum informácií o účastníkoch resp. o prednesených príspevkoch) je v podstate nemožné utvoriť si názor o skutočnej odbornej úrovni takého množstva odborníkov/expertov na kybernetickú bezpečnosť, ktorí sa podľa toho na Slovensku zrazu vyrojili. Osobne som sa zúčastnil len Cyber Visegrad Workshop a nadobudol som dojem, že výrazná väčšina účastníkov patrila do kategórie záujemcov o tému kybernetickej bezpečnosti, nie ľudí zorientovaných v tejto oblasti, schopných k nastolenému problému vyjadriť svoj názor a v diskusii ho podporiť aj nejakými argumentami (aspoň také je moje chápanie pojmu expert). Ak naozaj máme na Slovensku toľko expertov na kybernetickú bezpečnosť, to sú tak hanbliví, že o svojich aktivitách a odbornosti nedávajú vedieť?

Zoberme si napríklad aj inak chvályhodnú aktivitu vydávať Cyber Security Newsletter – neviem, aký je zámer jeho vydavateľa, ale viem si niečo takéto  predstaviť ako priestor na prezentáciu názorov odborníkov na rôzne teoretické i praktické problémy kybernetickej bezpečnosti. V skutočnosti však bližší pohľad ukáže, že všetky doteraz vydané čísla priniesli len zbierku linkov na články popisujúce zväčša len rôzne prípady kybernetickej kriminality vo svete – úplne absentovali analýzy, názory, zhrnutia či aspoň pokusy o poskytnutie niečoho viac ako len povrchný popis nejakého prípadu. Ešte aj závery 11. Slovenského strategického fóra, organizovaného vydavateľom Cyber Security Newsletter (CENAA) boli zverejnené v samostatnom dokumente a v samotnom newslettri čitateľ nenájde ani len zmienku o fóre či link na dokument so závermi fóra … Škoda.

Ak to zosumarizujem – v roku 2013 sa viditeľne zvýšil záujem o kybernetickú bezpečnosť na Slovensku a dá sa predpokladať, že v roku 2014 tento záujem neopadne (napr. už zavedená úspešná pravidelná bezpečnostná konferencia GLOBSEC sa má v roku 2014 okrem iných tém zamerať aj na kybernetickú bezpečnosť). Bude zaujímavé sledovať, ako sa s touto skutočnosťou vysporiada vrcholný orgán zodpovedný za informatizáciu spoločnosti na Slovensku, ktorého postoj – hoci v istom zmysle pochopiteľný – zatiaľ skôr vedie k chaosu v používaných pojmoch (používajú sa pojmy kybernetická bezpečnosť, informačná bezpečnosť, digitálna bezpečnosť, bez objasnenia ich obsahu a vzájomných vzťahov – už som o tom na tomto blogu písal). A pri takom „zmätení jazykov“ sa len ťažko podarí spojiť úsilie viacerých subjektov na dosiahnutie želaného cieľa – v tomto prípade primeranej úrovne bezpečnosti kybernetického či digitálneho priestoru na Slovensku.

Jozef