Kybernetické incidenty a bežný slovenský občan

Bežný slovenský občan o kybernetickej bezpečnosti toho veľa nevie a ani v médiách sa o kybernetických incidentoch obvykle nepíše. Ak by sa náhodou o tom chcel dozvedieť viac, poľahky zistí, že pre kybernetickú bezpečnosť tu existuje ústredný orgán štátnej správy (Národný bezpečnostný úrad – NBÚ) , ktorý dokonca zverejnil Správu o kybernetickej bezpečnosti v Slovenskej republike za rok 2019 (ďalej „Správa“).

Už zbežné prečítanie Správy vzbudzuje dojem, že NBÚ kybernetické incidenty berie fakt vážne – venuje im viac ako polovicu celej Správy. Občan sa tak dočíta, že len v roku 2019 bolo zistených a nahlásených 36 255 329 incidentov, čo je vskutku pôsobivé číslo (najmä pre toho, kto si neuvedomí, že väčšina z toho – podľa Správy presne 35 704 832 – boli v podstate bezvýznamné incidenty kategórie „nežiadúci obsah“, t.j. spam). Občan však stále môže pokojne spávať, pretože Slovensko predsa má Národné centrum kybernetickej bezpečnosti SK-CERT, ktoré tieto incidenty rieši. A nielen to – pri riešení kybernetických incidentov dokonca prekračuje  bežné ľudské obmedzenia, keď – podľa Grafu 1 Správy  – v kategóriach „Podvod“, „Pokus o prienik“ a „Neoprávnený prístup k informáciám/únik informácií“ bolo na Slovensku riešených viac incidentov ako ich bolo zistených a nahlásených (zdá sa, že Stachanovské hnutie má aj v dnešnej dobe u nás svojich pokračovateľov…).

A potom zrazu hakerská firma síce štátu zodpovedne nahlási vážnu zraniteľnosť aplikácie prevádzkovanej štátnym Národným centrom zdravotníckych informácií (NCZI), ale po odstránení tejto chyby zverejní nielen technickú informáciu o zraniteľnosti samotnej, ale celkom správne upozorní, že zraniteľnosť ohrozila súkromie bezmála 400 000 ľudí. Bežný občan síce nesleduje stránku hakerskej firmy, ale iní áno a keď sa témy chytila odborná komunita (Slovensko Digital) a médiá, pred informáciami o incidente a o ohrození súkromia sa už prakticky nedalo skryť.  Čo je však podstatné, následné dianie ukázalo aké sú priority tých, čo na informácie o incidente reagovali, čo považovali za dôležité. Pozornosť sa v prevažnej miere sústreďovala na hľadanie vinníka (predchádzajúce či súčasné vedenie NCZI) – napr. tu, tu alebo tu, či nič nehovoriace frázy a prázdne gestá. Vcelku svižne zareagoval Úrad na ochranu osobných údajov informáciou na svojej webstránke o začatí konania o ochrane osobných údajov. Na druhej strane  NBÚ spolu s SK-CERT zaujali pozíciu mŕtveho chrobáka (prinajmenšom voči verejnosti, médiá z nich vypáčili informáciu o chystanom audite bezpečnosti NCZI) a na ich webstránkach sa o prípade neobjavila ani len zmienka.

Do očí bijúca absencia záujmu o obete tohto bezpečnostného incidentu názorne vypovedá o skutočnom stave kybernetickej bezpečnosti na Slovensku, vrátane onoho „povedomia o kybernetickej bezpečnosti“ o ktorého posilňovaní tak pekne píšu strategické dokumenty. Ľudia (a nebolo ich málo!), ktorých súkromie bolo takto ohrozené, ako keby nikoho nezaujímali – ani pokus v diskusii na odbornom fóre upriamiť pozornosť týmto smerom „Teraz je na mieste otazka, ake kroky poskytne stat na zmiernenie dosledkov tohto bezpecnostneho incidentu, vo vztahu k poskodenym obcanom“ sa nestretol s pochopením. Ani redaktori Zive.sk, ktorí prípad svedomito a dôsledne mediálne pokrývali, to nakoniec nevydržali, keď v článku príznačne nazvanom „Týždeň hanby“ napísali „Nevieme, či sa nejaké dáta dostali do rúk darebákov. Nikto nevysvetlil, načo vlastne NCZI malo túto záložnú databázu, kto jej prevádzku schválil, ako a či vôbec bolo preverované zabezpečenie tohto systému a ako sa to vlastne mohlo stať.  … Čo je však horšie, neprišla žiadna informačná kampaň, ktorá by všetkých dotknutých upozornila na problém a súčasne sa ich snažila upokojiť.“

Spôsob, akým štátne inštitúcie, vrátane tých špecializovaných na kybernetickú bezpečnosť, reagovali na bezpečnostný incident, ktorý nesporne ohrozil niekoľko stotisíc občanov, bude mať zrejme následky. NBÚ a SK-CERT môžu byť „zo zákona“ autoritami pre kybernetickú bezpečnosť, ale skutočnú autoritu si takto veru nezískajú. Ak sa štát tak okato nezaujíma o občana ako obeť kybernetického incidentu, aká bude asi účinnosť kampaní s deklarovaným cieľom zvyšovania povedomia občanov o kybernetickej bezpečnosti, ako je napríklad v súčasnosti prebiehajúci Európsky mesiac kybernetickej bezpečnosti?