Kybernetická bezpečnosť nie je záležitosťou len informatikov

Kybernetická bezpečnosť sa na Slovensku spomína obvykle v kontexte, ktorý ju fakticky stotožňuje so zabezpečením informačných a komunikačných systémov a ochranou citlivých dát – teda s tým, čo sa týka predovšetkým informatikov. Ako ukážem ďalej, kybernetická bezpečnosť sa dotýka viacerých oblastí a problémy či inšpirácie v nej nájdu aj iní špecialisti ako informatici … áno, aj politológovia.

Začnime od základov, v tomto prípade štátu a štátnej moci. Štátna moc je suverénna, ak nie je podriadená inej moci, resp. v medzinárodnom práve je suverenita chápaná ako nezávislosť štátnej moci od akejkoľvek inej moci, či vo vnútri štátu alebo mimo hraníc daného štátu. Je vôbec možné hovoriť o suverenite štátu v kybernetickom priestore, ak kybernetický priestor i prostriedky jeho zabezpečenia tvoria komponenty takého stupňa zložitosti, že sa v nich dajú skryť úpravy umožňujúce tretej strane získať nad nimi kontrolu bez súhlasu či čo i len vedomia ich majiteľa? Vďaka Snowdenovi sa už nemôžme tváriť, že nevieme o tom, že takéto niečo sa nielen dá, ale sa aj reálne uskutočňuje, a to aj voči napohľad spriaznenej či dokonca aj formálne spojeneckej štátnej moci. Ako sa k tomu postaviť nie je úloha len pre informatikov – do výberu z možných alternatív (predstierať, že problém neexistuje, priznať problém a implementovať opatrenia na zmiernenie vybraných dôsledkov, pokúsiť sa o odstránenie problému, …) by mali čo-to povedať napríklad aj právnici (teória štátu a práva), diplomati či politológovia.

S kybernetickou bezpečnosťou však súvisia aj „prízemnejšie“ problémy ako – pre mnohých ľudí príliš abstraktné – otázky štátnej suverenity. Podľa Európskej stratégie pre kybernetickú bezpečnosť jedným z princípov, ktorými by sa mala riadiť politika kybernetickej bezpečnosti je zabezpečiť, aby kľúčové hodnoty („core values“) platili rovnako v digitálnom ako vo fyzickom svete („The same laws and norms that apply in other areas of our day-to-day lives apply also in the cyber domain”). Pre začiatok by možno stačilo pozrieť sa, čo v súčasnosti platí v našom fyzickom svete a zamyslieť sa nad tým, či súvisiace zákony, normy a prístupy dostatočne pokrývajú (približné) ekvivalenty v kybernetickom priestore.

Napríklad, asi nebude prehnané konštatovanie, že aj v súčasnosti by sa už dalo nájsť niečo, čo existuje len v digitálnej forme a pritom vypovedá o našej spoločnosti a dianí v nej v istom časovom období, resp. mohlo by ašpirovať na označenie za „kultúrne dedičstvo“ (môj osobný tip – začiatky blog.sme.sk a výber z článkov tam uverejnených (nie o politike)). Ochranu kultúrneho dedičstva pokrýva zákon č. 206/2009 Z. z. o múzeách a o galériách a o ochrane predmetov kultúrnej hodnoty. Základným pojmom, okolo ktorého sa všetko „točí“, je pojem predmet kultúrnej hodnoty, ktorý je v §2 ods. 1 zákona definovaný ako „pôvodný hmotný alebo duchovný doklad, ktorý má schopnosť priamo alebo sprostredkovane vypovedať o vývoji spoločnosti a má trvalý vedecký, historický, kultúrny alebo umelecký význam. Za predmet kultúrnej hodnoty na účely tohto zákona sa považuje aj prírodnina, ktorá má schopnosť vypovedať o vývoji prírody a má trvalý vedecký a historický význam.“ Môžem sa mýliť, ale zatiaľ som nezaregistroval nič, čo by nasvedčovalo tomu, že do tejto definície sa „zmestí“ aj niečo, čo existuje, resp. svojho času existovalo, len v digitálnej forme, resp. že by Ministerstvo kultúry v rámci svojej úlohy určovať „strategické a koncepčné smery rozvoja múzejnej a galerijnej činnosti“ (§6 písm. b zákona) rátalo aj so zachovaním kultúrneho dedičstva v kybernetickom priestore. Domnievam sa, že ani zákon č. 212/1997 Z. z. o povinných výtlačkoch periodických publikácií, neperiodických publikácií a rozmnoženín audiovizuálnych diel nepokrýva dostatočne problém zachovania kultúrneho dedičstva existujúceho čisto len v digitálnej forme. Obávam sa, že v tejto oblasti by prípadné iniciatívy zo strany informatikov – bezpečnostných špecialistov skončili vznikom Múzea hackingu (osobne by som také múzeum skutočne uvítal) a pre zachovanie slovenského kultúrneho dedičstva v kybernetickom priestore bude preto potrebné zapojiť aj iné špecializované profesie.

Podľa zákona č. 395/2002 Z. z. o archívoch a registratúrach je súčasťou kultúrneho dedičstva Slovenskej republiky aj archívne dedičstvo (§3 ods. 1 zákona), to však spadá pod iný rezort (Ministerstvo vnútra). Za zamyslenie stojí skutočnosť, že (prinajmenšom niektoré) webstránky a informácie na nich zohrávajú a budú zohrávať v živote ľudí významnú úlohu … ich obsah sa v čase mení a pri neexistencii autoritatívneho a dôveryhodného archívu (vybraných) dôležitých častí kybernetického priestoru hrozí možnosť napr. cielenej „zmeny histórie“. Znenie §2 ods. 2 zákona „Archívny dokument je záznam, ktorý má trvalú dokumentárnu hodnotu pre poznanie dejín Slovenska a Slovákov. Archívnym dokumentom je aj filmový alebo zvukový záznam, ktorý vznikol do roku 1950. Archívnym dokumentom nie je knižničný dokument a zbierkový predmet.“ nedáva jednoznačnú odpoveď na otázku, či do archívneho dedičstva sa rátajú aj webstránky či videoklipy ako záznamy s dokumentárnou hodnotou pre poznanie dejín Slovenska a Slovákov. Môže sa občan spoľahnúť, že čo sa týka archívnictva (archívneho dedičstva), v slovenskom kybernetickom priestore platia obdobné pravidlá ako na území Slovenska?

O nedávno (a vlastne ešte stále) široko medializovanom „prípade Volkswagen“ vie asi každý pracovník štátnej správy … koľkých z nich však napadlo, že ide o názorné pripomenutie rizika, ktoré prináša slepá dôvera v správnu činnosť zložitého systému? Alebo, že je potrebné aspoň z času na čas podrobiť vlastnosti deklarované výrobcom nezávislému testovaniu? Prinajmenšom v prípadoch, kedy sú možné dôsledky naozaj vážne. Napríklad ako v prípade usvedčenia človeka z vraždy na základe výsledkov analýzy DNA, pri ktorom spoločnosť, ktorá analýzu vykonala, odmietla sprístupniť zdrojový kód príslušného programového vybavenia na overenie správnosti jeho postupov a vyprodukovaných výsledkov. Spomenutý prípad by mohol byť zaujímavý skôr pre Ministerstvo spravodlivosti ako pre informatikov, čo však neznamená, že základné poučenie sa ich netýka. Veď už aj v dnešnej dobe (o budúcnosti ani nehovoriac) môžu byť dôsledky zlyhania zle navrhnutého/naprogramovaného informačného systému rovnako vážne (prípadne horšie) ako dôsledky zrútenia zle postavenej budovy … zatiaľ čo v stavebníctve štát ako jedno z preventívnych opatrení predpisuje tzv. stavebný dozor, pre budovanie rozsiahlych informačných systémov (t.j. dôležitých častí slovenského kybernetického priestoru) však ten istý štát potrebu obdobného „softvérového“ dozoru – minimálne pre budovanie vybraných naozaj dôležitých systémov – akosi nevidí…

Uvedené príklady len ilustrujú tvrdenie z úvodu, teda že kybernetická bezpečnosť sa dotýka viacerých oblastí a problémy či inšpirácie v nej nájdu aj iní špecialisti ako informatici … v žiadnom prípade nejde o vyčerpávajúci zoznam. V podstate ide o spôsob myslenia, o skúmanie, či kľúčové hodnoty spoločnosti pre konkrétnu oblasť platia obdobne v kybernetickom priestore ako vo fyzickom svete, a ak nie, zváženie potreby nápravy. Zvláštnu pozornosť si zaslúžia nárazové, časovo obmedzené udalosti a s nimi spojené problémy – vtedy totiž nie je podstatná aktualizácia zákonov, ale skôr „aktualizácia spôsobu uvažovania“. Ilustrujme to na príklade chystaného slovenského predsedníctva EÚ. Jedným zo sprievodných javov môže byť nutnosť Ministerstva zahraničných vecí a európskych záležitostí (MZVaEZ) vysporiadať sa s takými aktivitami v slovenskom kybernetickom priestore, ktoré sa líšia od bežnej rutiny … okrem obvykle predpokladaných trvalých špionážnych a podobných aktivít môže napríklad ísť o jednorázové kybernetické útoky ako prejavy nespokojnosti či protestov proti konkrétnym akciám či aktivitám MZVaEZ, šírenie dezinformácií, a podobne. Reálnosť možných hrozieb, aká je šanca, že pripravovaná aktivita vyvolá výtržnosti, prejavy nespokojnosti či protesty (a z ktorej strany), to asi lepšie posúdia analytici MZVaEZ monitorujúci príslušnú oblasť, ako informatici … aj keď výber a nasadenie potrebných bezpečnostných opatrení v kybernetickom priestore sa bez informatikov už nezaobíde.

Spektrum oblastí, ktorých sa kybernetická bezpečnosť dotýka, zároveň zvýrazňuje význam tzv. odvetvových autorít pre kybernetickú bezpečnosť ako aj potrebu ich do značnej miery samostatných iniciatív. Alternatívou totiž je nutnosť takého personálneho vybavenia ústredného orgánu štátnej správy pre kybernetickú bezpečnosť (= Národný bezpečnostný úrad), ktoré by mu umožňovalo kvalifikovane usmerňovať „kybernetické“ aspekty oblastí patriacich pod jednotlivé ústredné orgány štátnej správy – o reálnosti takej predstavy si urobí názor každý sám.