Premárnená príležitosť – Koncepcia kybernetickej bezpečnosti Slovenskej republiky

Bezmála dva mesiace po termíne sme sa konečne dočkali – včera poobede bol zverejnený návrh Koncepcie kybernetickej bezpečnosti Slovenskej republiky, ktorý do pripomienkového konania predložil Úrad vlády. Stručné zhrnutie prvého dojmu z 19 strán textu (titulnú stranu, obsah a 4 nepodstatné prílohy nerátam) vyprodukovaného neznámym autorom (autormi): nepochopenie problému a jeho zložitosti, absencia ucelenej vízie, protirečenia, ale zato silný ťah na získanie nových právomocí a kompetencií.

Ak veľkoryso prehliadneme niekoľko viet plných bezobsažných fráz, prvá polovica Koncepcie sa pritom číta vcelku dobre – to preto, že okrem vymenovania niektorých známych skutočností, na čom niet veľmi čo pokaziť, v podstate ide o kompilát vybraných pasáží z oficiálnych dokumentov NATO a Európskej únie. Aj sekcia 2.4, ktorá na záver druhej kapitoly sumarizuje ciele Koncepcie, je vcelku OK.

Potom však nasleduje tretia kapitola, nazvaná Všeobecné charakteristiky a implikácie, a dojem sa začne rýchlo kaziť … zvýšená hustota bezobsažných frázovitých viet a kategoricky formulovaných tvrdení, ktoré nie sú ničím podložené, resp. nesvedčia o tom, že by sa autori zamysleli nad tým, čo tvrdia. Napríklad, strašne rád by som si prečítal odôvodnenie pre mňa nepochopiteľného zaradenia ochrany pred nevyžiadanou elektronickou poštou medzi „hlavné oblasti kybernetickej bezpečnosti“ (strana 12 Koncepcie) … nie že by som spam obľuboval, ale dávať ho na rovnakú úroveň s (kybernetickým) terorizmom či ochranou kritickej informačnej infraštruktúry podľa môjho názoru nesvedčí o pochopení problému kybernetickej bezpečnosti.

O užitočnosti spolupráce sa ľudia mohli prakticky poučiť už v dávnej minulosti … aj takýto samozrejmý poznatok však autori Koncepcie dokážu podať až neuveriteľne zložito (pobaví aj odvolávanie sa na spravodajské služby): „Na základe skúseností vyplývajúcich z medzinárodnej spolupráce so spravodajskými službami, z členstva v medzinárodných organizáciách (a na základe skúseností iných krajín) je základným predpokladom na efektívny výkon opatrení kybernetickej bezpečnosti širokospektrálna spolupráca nie len štátnej správy a územnej samosprávy, ale zároveň aj akademickej obce, vedeckých kruhov a súkromnej sféry.“

Akosi som nepochopil dôvod zaradenia takejto bezobsažnej kapitoly do tak dôležitého dokumentu, akým by Koncepcia bezpochyby mala byť … jediné z tejto kapitoly, s čím sa v Koncepcii ďalej pracuje, je zabalené do takejto formulácie: „Z globálnosti a významnosti dopadu možného kybernetického útoku jednoznačne vyplýva potreba osobitného, na centrálnej úrovni, odvetvovo nezávislého riešenia kompetenčného zabezpečenia oblasti kybernetickej bezpečnosti …“ Preložené do normálneho jazyka, Slovensko potrebuje centrálnu autoritu pre kybernetickú bezpečnosť.

Štvrtá kapitola (Návrh riešenia) už potom bez okolkov ide priamo k veci „… najvyššou prioritou významného zvýšenia účinnosti a efektívnosti ochrany kybernetického priestoru v podmienkach Slovenskej republiky je formálno – právne nastavenie systému riadenia kybernetickej bezpečnosti“, pričom tento má zabezpečiť „vykonávanie výkonnej činnosti (vykonávanie zákonov a ostatných aktov štátnej moci), nariaďovacej činnosti (oprávnenie správnych orgánov vydávať normatívne a individuálne správne akty a používať štátne donútenie) a organizátorskej činnosti (každodenná riadiaca, koordinačná a kontrolná činnosť) v mene a v záujme štátu“. Kategorické vymenovanie toho, čo všetko má takýto systém riadenia zvládnuť, obsahuje aj veľmi zaujímavú formuláciu, podľa ktorej okrem garantovania práva a právom chránených záujmov má tento systém riadenia upravovať aj (bližšie nešpecifikované) povinnosti právnických a fyzických osôb! Skrátka, centralizovaný systém riadenia, ktorého snahy dirigovať sa neobmedzujú len na štátnu a verejnú správu či právnické osoby vo všeobecnosti, ale chce upravovať aj povinnosti občanov tejto krajiny.

Navrhovaná štruktúra riadenia kybernetickej bezpečnosti je vskutku ambiciózna a neobmedzuje sa len na vytvorenie tzv. Národnej autority kybernetickej bezpečnosti a Národnej jednotky pre riešenie incidentov … Národnej autorite kybernetickej bezpečnosti majú podliehať tzv. Odvetvové autority kybernetickej bezpečnosti (zriadené v rámci ústredných orgánov štátnej správy) a tým zas odvetvové jednotky pre riešenie incidentov. Zamysleli sa autori Koncepcie nad tým, či Slovensko vôbec má dostatok kvalifikovaných odborných kapacít dostatočne zorientovaných v zákutiach kybernetickej bezpečnosti ?

Koncepcia sa v Návrhu riešenia zaoberá v podstate len vytvorením mocenskej štruktúry (Národnej autority) a vôbec nereaguje na ostatné aspekty, spomenuté v prvej polovici dokumentu. Napríklad, Návrh riešenia je orientovaný dovnútra (vecná pôsobnosť Národnej autority je výslovne formulovaná ako „kybernetická bezpečnosť na národnej úrovni“) a úplne ignoruje medzinárodný rozmer, teda zahraničnopolitické aktivity súvisiace s touto oblasťou. Pritom samotná Koncepcia v prvej polovici dokumentu uvádza „Bezpečnosť kybernetického priestoru má byť jednou z hlavných priorít budúcej zahraničnej politiky EÚ v oblasti bezpečnosti“ … autorov Koncepcie však akosi nenapadlo položiť si súvisiacu celkom logickú otázku – kto a na základe čoho (akých dokumentov, stanovísk, …) bude pripravovať kvalifikované podklady pre našich diplomatov na rokovania v oblasti bezpečnosti?

O prípadnom hodnotení činnosti či kvality práce Národnej autority návrh Koncepcie cudne mlčí … zato obsahuje dosť podrobný popis právomocí samotnej Národnej autority i povinností podriadených zložiek. Absencia akejkoľvek kontroly je zvlášť pozoruhodná v súvislosti so sekciou 4.2, ktorá začína prehlásením „Z dôvodu zabezpečenia odborných úloh na účely dosiahnutia odolnosti kybernetického priestoru Koncepcia identifikuje a navrhuje aplikáciu a rozpracovanie nasledujúcich základných mechanizmov:“ … pozorný čitateľ v ďalšom texte zistí, že Koncepcia navrhuje aplikáciu a rozpracovanie aj „ofenzívnych aktivít“!!!

Ak by som to mal zosumarizovať, v prvej polovici dokumentu autori Koncepcie preukázali schopnosť naštudovať si niekoľko základných dokumentov z oblasti kybernetickej bezpečnosti, vybrať z nich niekoľko kľúčových častí a usporiadať ich do vcelku zmysluplného textu. V druhej polovici dokumentu autori Koncepcie preukázali schopnosť ignorovať skoro všetko, čo uviedli v prvej polovici, sústrediť sa v podstate len na jednu požiadavku, ktorou je vytvorenie Národnej autority kybernetickej bezpečnosti, a pomerne podrobne navrhnúť zabezpečenie tohto jediného prvku z celého komplexu problémov, ktoré kybernetická bezpečnosť prináša. Pri tomto návrhu preukázali schopnosť sústrediť sa na formálne aspekty riešenia a zároveň ignorovať praktické problémy, ktoré sú s navrhovaným riešením nevyhnutne spojené. Podľa mňa dosť slabý výsledok, ale nevylučujem, že vzhľadom na úroveň slovenského vysokoškolského vzdelávania by to mohlo prejsť ako taká poslabšia bakalárska práca. Na medzinárodnú konferenciu by som to však neodporúčal posielať.

Na záver na vyváženie niečo pozitívne … podľa Koncepcie je strategickým cieľom Slovenskej republiky „národný kybernetický priestor poskytujúci bezpečné a dôveryhodné prostredie, ktoré zabezpečí:

• jednotlivcom a skupinám bezpečný sociálny rozvoj a integráciu prostredníctvom slobodnej a bezpečnej komunikácie s garanciou ochrany osobných údajov,
• komerčnému sektoru rozvoj dobre fungujúcich a inovatívnych podnikateľských riešení,
• deťom a mládeži základné vzdelávacie hodnoty a zdravý mentálny vývoj,
• verejnej správe bezpečné zavádzanie inovatívnych riešení a rozvoj e-služieb“

Máme sa teda na čo tešiť!!!