O Národnej stratégii kybernetickej bezpečnosti na roky 2021 až 2025

Základné ľudské práva a slobody v kybernetickom priestore na prvom mieste – takto úderne je v návrhu Národnej stratégie kybernetickej bezpečnosti na roky 2021 až 2025 (ďalej „Stratégia“) sformulovaný hneď prvý princíp systému kybernetickej bezpečnosti. Pôsobivá formulka, ktorej prázdnotu odhaľuje už to, že v Stratégii sa toto slovné spojenie ďalej vôbec nevyskytuje .. ale aj to, že v zozname tzv. zainteresovaných subjektov (sekcia 6.5) nápadne absentujú inštitúcie dohliadajúce na ľudské práva a slobody ako Úrad na ochranu osobných údajov či Verejný ochranca práv.  O tom, ako „vážne“  autori Stratégie berú tento princíp svedčí aj to, že do zoznamu zainteresovaných subjektov nezaradili ani Komisára pre deti (žeby nepočuli o šikane a psychickom týraní v kyberpriestore a netušia, že aj deti majú nejaké práva?).  Za takých okolností už ani neprekvapí, že medzi zainteresované subjekty autori Stratégie nezaradili ani občanov, hoci práve občanmi sa v Stratégii oháňajú kde je to len možné. Ešte horšie dopadli orgány samosprávy, ktorým sa neušla ani len zmienka kdekoľvek v dokumente, nielen v zozname zainteresovaných subjektov.

Na rozdiel od takéhoto veľmi vyberavého prístupu k vnútroštátnej spolupráci je prístup Stratégie k medzinárodnej spolupráci úplne odlišný, keď sa jej autori až komicky chytajú každej príležitosti priradiť sa k nejakému medzinárodnému zoskupeniu. Dalo by sa nad tým len zhovievavo pousmiať, v prípade európskej siete kompetenčných centier kybernetickej bezpečnosti ich sväté nadšenie spolupracovať však doviedlo k viditeľnému úletu. Totiž, základným poslaním tejto siete je zachovanie a rozvoj technologických a industriálnych kapacít kybernetickej bezpečnosti. Na úrovni EÚ ide o tak dôležitú špecializovanú tému, že na založenie a prevádzku tejto siete sa pripravuje celoeurópske Nariadenie a boli rozbehnuté aj štyri pilotné projekty (CONCORDIA, ECHO, SPARTA a CyberSec4Europe)… v Stratégií sa však pre túto tému nenašiel ani len odstavček. Inak povedané – téma nie je pre nás zaujímavá, ale Stratégia plánuje podieľať sa na riadení súvisiacej siete (formou účasti v správnej rade). Zdá sa, že u autorov Stratégie prevládla túžba pridať si ďalšiu čiaročku za medzinárodnú spoluprácu. Samozrejme, členstvo v EÚ nám zaručuje, že z tej siete nás nevyradia, parazitov, ktorí sa len vezú, však obvykle nikto nemá v úcte.

Dôvera občanov v štát, dôveryhodný štát – to sú ďalšie slovné spojenia, s ktorými autori Stratégie zručne žonglujú – až tak, že hneď prvý zo strategických cieľov nazvali Dôveryhodný štát pripravený na hrozby (sekcia 4.1). Zaujalo ma to predovšetkým s ohľadom na nedávne skúsenosti s tým, ako rýchlo štát „hodil cez palubu“ občanov keď sa títo bez vlastného zavinenia stali obeťami bezpečnostného incidentu a ako dôsledne oficiálne špičky kybernetickej bezpečnosti (NBÚ spolu s SK-CERT) zaujali pozíciu mŕtveho chrobáka. Vzletné formulácie sa najjednoduchšie preveria, keď ich  aplikujeme na známe incidenty, v ktorých štát pri komunikácii s občanmi zohral trápnu úlohu a hneď sa ukáže, či si z toho autori Stratégie zobrali nejaké poučenie. Stručná odpoveď – nie. Z nahliadnutia do kapitol 3 a 4 Stratégie (Hrozby, resp. Strategické ciele) sa zdá, že objavenie  významného oslabenia existujúceho bezpečnostného mechanizmu (známe komunikačné fiasko s eID kartou) či občania a ich údaje ako obete zraniteľnosti ktorej vznik či dôsledky nemali šancu ovplyvniť (nedávne komunikačné fiasko s NCZI aplikáciou) nepatria medzi udalosti, ktoré autori Stratégie zaraďujú medzi kybernetické incidenty.

Dôveryhodný štát pripravený na hrozby je strategický cieľ, ktorý rozhodne má zmysel. Akurát pre jeho dosiahnutie je potrebné aj niečo urobiť a to, čo autori Stratégie prezentujú ako cestu k cieľovému stavu, môže ovplyvniť dôveru nanajvýš u časti odbornej komunity, nie však u  bežných občanov (áno, tých, ktorými sa autori Stratégie tak radi oháňajú). Formulka „Občan musí vnímať, že služby poskytované štátom, ale aj jeho vlastné aktivity, sú bezpečné“ je pekná, ale zároveň úplne vyprázdnená, keď Stratégia nespomína ani len potrebu komunikačnej stratégie pri incidentoch – neviem si predstaviť koho by pozícia mŕtveho chrobáka s obľubou zaujímaná štátnymi inštitúciami po bezpečnostnom incidente viedla k dôvere v štát, v bezpečnosť štátom poskytovaných služieb, či vôbec v odborné či manažérske schopnosti oficiálnych špičiek kybernetickej bezpečnosti na Slovensku (porovnaj s nedávnym prípadom v Singapúre). A už úplne nepochopiteľná je Stratégiou naprosto ignorovaná úloha médií v tak často proklamovanom budovaní bezpečnostného povedomia – česť výnimkám, ale to, čo v oblasti kybernetickej bezpečnosti predvádzajú slovenskí žurnalisti, má často od solídnej práce veľmi ďaleko.

Nie všetko, čo sa v Stratégii dá nájsť, znamená katastrofu.Ak sú však zmysluplné pasáže prekryté prázdnym „plkotaním“, o dôvere v Stratégiu a následne o dôvere v štát a jeho pripravenosti na hrozby možno len snívať.