Úpadok kybernetickej bezpečnosti na Slovensku?

Ako je Slovensko na tom keď ide o kybernetickú bezpečnosť? Ešte prednedávnom sa dalo argumentovať, že v porovnaní s inými krajinami na tom nie sme vôbec zle –  podľa štúdie Global Cybersecurity Index (GCI) v r. 2014 Slovensko (spolu s Fínskom) dosiahlo piate najlepšie skóre v rámci Európy a ôsme celosvetovo (spolu s Fínskom, Hong-Kongom, Katarom a Uruguajom). V apríli 2016 sa slovenský tím stal celkovým víťazom najväčšieho medzinárodného cvičenia kybernetickej bezpečnosti Locked Shield (a tiež  víťazom jednej plus umiestnenie v prvej päťke ďalších dvoch čiastkových kategórií). A teraz?

Od r. 2016 je kybernetická bezpečnosť na Slovensku „dirigovaná“ Národným bezpečnostným úradom (NBÚ) v roli tzv. Národnej autority pre kybernetické bezpečnosť.  Súvisí táto zmena s tým, že keď sa v apríli 2017 opäť konalo cvičenie Locked Shield,  v oficiálnej správe o víťazoch celkovo aj v jednotlivých kategóriach  sa  slovenský tím vôbec, ale vôbec  nespomína ? Samozrejme, víťazstvo v jednom roku negarantuje podobný výsledok o rok neskôr, ale umiestnenie nášho tímu v konkurencii súťažiacich z 25 krajín asi nebola žiadna sláva, keď Národná autorita zverejnila iba informáciu o konaní cvičenia ale výsledky už nie.

Pochopiteľne, úspech či neúspech na jednom cvičení síce môže niečo naznačiť, ale ťažko ho možno označiť za niečo, čo dostatočne vypovedá o úrovni kybernetickej bezpečnosti krajiny. Niečo iné je premyslený prieskum stavu kybernetickej bezpečnosti v jednotlivých krajinách. Pred pár dňami bol zverejnený aktuálny Global Cybersecurity Index pre rok 2017 (GCI 2017) ktorý opäť dáva možnosť  pozrieť sa, ako na tom sme v porovnaní s ostatnými krajinami.

GCI 2017 síce hodnotí  rovnaké oblasti  opatrení pre kybernetickú bezpečnosť, ako GCI 2014 (legal, technical, organizational, capacity building and cooperation), ale ide viac do detailov (boli pridané viaceré nové otázky) a mierne upravil aj metodiku, takže jeho hodnotenie nie je priamo porovnateľné s GCI 2014. GCI 2017 prostredníctvom 25 indikátorov a 157 otázok prináša hodnotenie kybernetickej bezpečnosti pre 193 krajín (členské krajiny Medzinárodnej telekomunikačnej únie, ktorá túto štúdiu zastrešuje). Ako dopadlo Slovensko?

Naše globálne skóre 0,362 nás v r. 2017 v Európe zaraďuje na 25. miesto (za nami sa umiestnilo Slovinsko, Albánsko, Srbsko, Monako, Lichtenštajnsko, San Marino, Bosna a Hercegovina, Andorra a Vatikán), celosvetovo sme na 81. mieste (pre ilustráciu, Botswana je na 68., Bangladéš na 53., Česká republika na 35. mieste). Trochu viac naznačí orientačné skóre Slovenska pre jednotlivé oblasti – pre dve oblasti (Technical measures, Organizational measures) je skóre „medium“, pre zvyšné tri (Legal measures, Capacity building, Cooperation) je „low“ (viď GCI 2017, strana 37 obrázok 6.6.2).

Nuž, nemáme sa čím chváliť a je dôvodné podozrenie, že vyššie uvedené skutočnosti ilustrujú úpadok kybernetickej bezpečnosti na Slovensku v posledných rokoch.  Súvisí to s už zmieneným ustanovením NBÚ za Národnú autoritu pre kybernetickú bezpečnosť od 1.1.2016 (predtým dlhé roky agendu informačnej bezpečnosti riadila Sekcia informatizácie spoločnosti Ministerstva financií)? Koniec koncov aj kritika kľúčovej aktivity Národnej autority za posledné obdobie – návrh zákona o kybernetickej bezpečnosti – príliš nesvedčí o schopnostiach NBÚ zastrešiť kybernetickú bezpečnosť na Slovensku.

Dá sa samozrejme argumentovať, že od ustanovenia NBÚ za Národnú autoritu pre kybernetickú bezpečnosť uplynulo príliš málo času na to, aby bolo možné túto kompetenčnú zmenu spájať so zmenou úrovne kybernetickej bezpečnosti na Slovensku. Ktovie, Global Cybersecurity Index však ilustruje aj zmenu úrovne kybernetickej bezpečnosti krajiny v podobne krátkom čase po takejto kompetenčnej zmene – ale opačným smerom. Singapur, ktorý sa počtom obyvateľov od Slovenska až tak nelíši, mal pred pár rokmi (podľa GCI 2014) celosvetovo šieste najlepšie skóre a v ázijsko-pacifickom regióne ho  predbehlo 6 iných krajín. V r. 2015 bola ustanovená Cyber Security Agency of Singapore, v r. 2016 prijatá Singapore’s Cybersecurity Strategy  a v roku 2017 Singapur predbehol všetkých, keď v celosvetovom hodnotení podľa GCI 2017 obsadil prvé miesto. Skrátka, viditeľná zmena úrovne kybernetickej bezpečnosti sa dá dosiahnuť aj v krátkom čase po zmene na mieste Národnej autority.