Využijeme príležitosť?
Zodpovedný prístup ku kybernetickej bezpečnosti nemôže opomenúť prípravu na zvládanie (bezpečnostných) incidentov a krízových situácií, ktoré sú s nimi spojené. Nejde len o okamžitú „technickú“ reakciu na udalosť, ktorá vyvolala krízovú situáciu, ale predovšetkým o zabezpečenie toho, aby rozhodnutia a opatrenia prijaté počas reakcie na situáciu boli „rozumné“, t.j. aby nespôsobovali zbytočné škody. Krízová situácia, spôsobená koronavírusom, môže poslúžiť ako názorný príklad incidentu, ktorý súčasne, či už priamo alebo nepriamo, ovplyvnil v podstate všetky inštitúcie i obyvateľov. Aj keď základná príčina, ktorá krízu spustila, priamo nesúvisí s informačnými a komunikačnými technológiami, sprievodné javy a najmä reakcie na krízovú situáciu môžu pri vhodnom zovšeobecnení poslúžiť na prípravu na zvládanie kybernetických incidentov veľkého rozsahu.
Pre stratégiu kybernetickej bezpečnosti (KB) na Slovensku prišla krízová situácia, spôsobená koronavírusom, v tom správnom čase. V roku 2020 totiž „končí“ Koncepcia kybernetickej bezpečnosti a tak tvorcovia nového dokumentu, ktorý ju má nahradiť, budú mať šancu do neho zahrnúť čerstvé poučenia zo situácie, s akou sme sa (nielen) na Slovensku doteraz v praxi nestretli. Či túto príležitosť využijú, ešte len uvidíme, už teraz sa však črtajú možné témy pre zamyslenie sa a prípadné zapracovanie do strategického dokumentu.
Ukázalo sa napríklad, že v krízovej situácií sa pri prijímaní rozhodnutí o opatreniach (napr. využitie aplikácie pracujúcej s osobnými údajmi) môžu otázky bezpečnosti či ochrany súkromia a s tým súvisiacej nutnosti kompenzačných opatrení dostať do úzadia – a to nielen z pohľadu politikov a štátnych úradníkov. Pekne to ilustruje napríklad ostrá diskusia na platforme Slovensko Digital (súhrn hlavných výhrad je tu). Jasné usmernenie a priority pre zohľadnenie bezpečnosti a ochrany súkromia pri prijímaní opatrení počas krízovej situácie, ako aj dôveryhodné prezentovanie tejto témy navonok by teda boli naozaj vhodné.
S tým súvisí aj ďalší problém, keď pripravovaná aplikácia má vážne bezpečnostné nedostatky, ktoré odhalí niekto „zvonku“ a nie je jasné ako/kde môže na problém poukázať a dosiahnuť tak zlepšenie či aspoň kvalifikovanú odbornú diskusiu. Samozrejme, strategický dokument takéto detaily nerieši, ale mohol by aspoň presadzovať taký prístup k riešeniu KB, resp. k príprave na zvládanie krízových situácií, ktorý ráta aj s konštruktívnou spätnou väzbou „zvonku“.
Ďalšie poučenie je síce menej priamočiare, ale stále použiteľné aj pre incidenty v kybernetickom priestore. Stačí abstrahovať niektoré skúsenosti získané z krízy spôsobenej koronavírusom a uvažovať o možnom vplyve médií na šírenie obáv, v extrémnom prípade až paniky, medzi ľuďmi. Aký vplyv na konanie politikov, štátnych úradníkov, ale aj občanov môžu mať napríklad zo všetkých strán sa valiace ilustrácie rýchleho šírenia „infekcie“ či pôsobivo zostrihané a dramaticky prezentované scény z prostredia zasiahnutého incidentom či dôsledkami prijatých opatrení? V prostredí, v ktorom nezanedbateľná časť občanov i inštitúcií prijíma informácie najmä z internetových zdrojov, sa nedá ani spoliehať na to, že panike zabráni aktivovanie prípadného „Internet kill switch“, nakoľko tým by zároveň boli odstrihnutí od informácií a pokynov krízového štábu…
V súčasnej dobe, kedy médiá dokážu ľahkovážne označiť za „experta“ v podstate hocikoho, tak môže v čase krízy zohrať významnú pozitívnu rolu viditeľný, dostatočne dôveryhodný a kompetentný „hlas rozumu“ – máme ho aspoň pre KB? Formálna autorita, ustanovená zákonom, nemusí byť automaticky vnímaná ako dôveryhodná a kompetentná, ako to pekne ukázala krízová situácia spôsobená koronavírusom – veď proti skutočne dôveryhodnej autorite sa predsa neorganizujú blokády a protesty či nepodávajú podania na Ústavný súd. Dôraz na viditeľný a dôveryhodný spôsob komunikovania rozhodnutí a opatrení krízového štábu smerom k občanom ako nevyhnutnej súčasti prípravy na krízovú situáciu by v stratégií KB zrejme nemal chýbať, rovnako ako dôraz na trpezlivé budovanie a udržiavanie dôveryhodnosti vybraného subjektu tak, aby bol schopný (nielen) v čase krízy pôsobiť v pozícii „hlasu rozumu“ KB.
Nepochybne existujú (a ešte pribudnú) aj iné praktické skúsenosti z krízy, spôsobenej koronavírusom, resp. prijatými opatreniami. Bude zaujímavé sledovať, či a do akej miery sa odrazia v novej stratégii KB na Slovensku.
