Čo bude nasledovať po Akčnom pláne realizácie Koncepcie kybernetickej bezpečnosti?

Pri zbežnom pohľade na aktivity štátu v oblasti kybernetickej bezpečnosti na Slovensku vyzerá situácia celkom dobre – máme Koncepciu kybernetickej bezpečnosti ako aj Akčný plán pre jej implementáciu a bola ustanovená aj Národná autorita pre kybernetickú bezpečnosť. Detailnejšia analýza však ukáže, že stanovené ciele a úlohy sú zamerané na obdobie najbližších pár rokov – ale čo potom? K súčasným aktivitám v oblasti kybernetickej bezpečnosti nás, ako svojho člena, svojimi požiadavkami  „dokopala“ Európska únia a NATO – to aj v budúcnosti budeme čakať na inštrukcie zvonku čo máme urobiť? Alebo sa ráta s tým, že sa stane zázrak a o pár rokov budeme v oblasti kybernetickej bezpečnosti automaticky samostatnejšími, iniciatívnejšími a schopnejšími?  Ako inak vysvetliť, že v Koncepcii i Akčnom pláne absentujú iniciatívy zamerané na podporu strategického myslenia, zbieranie relevantných údajov, analýzy,  predikcie trendov a vôbec všetko, čo umožňuje aspoň trochu seriózne plánovanie do budúcnosti?

Bolo by naivné očakávať, že stav a charakteristiky kybernetického priestoru a jeho bezpečnosti ostanú zakonzervované na dnešnej úrovni … naviac, autori Koncepcie i Akčného plánu nevenovali pozornosť ani len tomu, čo je doslova „pred dverami“, ako „Internet of Things“  či „Cyber-physical security“. Čo bude o pár rokov, keď vďaka Akčnému plánu (buďme optimistickí) dosiahneme uspokojivé riešenie súčasných závažných „prevádzkových“ problémov, ale medzitým sa kybernetický priestor i disciplína kybernetickej bezpečnosti posunie niekde inde? Medzi plánovanými aktivitami viditeľne chýba taká, ktorá by sa výslovne zamerala na vytváranie predpokladov pre kvalitné plánovanie do budúcnosti, na obdobie, ktoré bude nasledovať po Akčnom pláne. Katastrofálna úroveň prvej verzie návrhu Koncepcie kybernetickej bezpečnosti a následné dlhšie úsilie na jej prepracovanie do prijateľnej formy, to všetko mohlo poslúžiť ako výrazné varovanie, že kvalitný dokument, obsahujúci realistickú a akceptovateľnú víziu, sa u nás nedá vytvoriť len tak spakruky… Ak sa teraz pri tvorbe Koncepcie i Akčného plánu tolerovala absencia predvídavosti a s tým súvisiace včasné kultivovanie strategického nahliadania na oblasť kybernetickej bezpečnosti, aká je šanca, že o pár rokov na Slovensku dokážeme včas a vhodne reagovať na také zmeny?  Alebo to Národná autorita už vopred vzdala a automaticky ráta s našou „nesvojprávnosťou“, teda že proste budeme čakať, až nám opäť EÚ, prípadne NATO, povie, čo máme v oblasti kybernetickej bezpečnosti ďalej robiť?

Na konkrétnom príklade ilustrujme, o čo tu ide. Pred niekoľkými mesiacmi vláda v Singapure oznámila, že pre lepšiu ochranu pred kybernetickými hrozbami od mája 2017 „odpojí“ od Internetu všetkých cca 100 000 počítačov verejnej správy. O tom, že tento krok výrazne obmedzí možnosti pre vzdialené útoky na singapurské úrady, asi niet pochýb – princíp izolovania chráneného systému od vonkajšieho prostredia sa už dávnejšie používa pri ochrane utajovaných skutočností. Pre Národnú autoritu preto určite nie je novinkou … na druhej strane, doteraz sa nikto neodhodlal na prijatie takéhoto opatrenia v takom rozsahu. Nie je problém odpojiť od Internetu jeden počítač, odpojiť pracovné počítače v celej verejnej správe bez toho, aby došlo k paralyzovaniu jej práce, je netriviálna úloha, ktorá vyžaduje dôkladnú prípravu – nie náhodou tento krok singapurská vláda ohlásila rok vopred. Poznatky, hoci aj čiastkové,  o príprave, o tom, aké problémy sa museli riešiť či už počas plánovania, ale aj po prechode na ostrú prevádzku, nepochybne majú cenu pre každý štát, ktorý by o niečom podobnom  uvažoval, resp. chcel takéto bezpečnostné opatrenie (či už v plnom, alebo len čiastočnom rozsahu) zaviesť.

A teraz sa pozrime, akú má Slovensko šancu získať informácie o takomto zaujímavom prístupe k zlepšeniu ochrany dôležitej časti národného kybernetického priestoru (mohlo by nás to zaujímať, veď ak sa Singapur počtom obyvateľov príliš nelíši od Slovenska, je šanca, že niečo podobné platí aj pre veľkosť jeho verejnej správy). Akčný plán síce ráta aj s medzinárodnou spoluprácou, ale tú v podstate obmedzuje na účasť vo výboroch, pracovných skupinách a projektoch EÚ a NATO – dianie vo zvyšku sveta Národnú autoritu zrejme príliš nezaujíma. Z EÚ alebo NATO sprostredkovaná informácia o singapurskom opatrení asi nakoniec aj dorazí, ale ak, tak oneskorene a pravdepodobne aj skreslene. Naše médiá o nej neinformovali  (výnimkou je zive.sk – 9 viet a nulová diskusia) a na systematické analýzy, vyhľadávanie a vyhodnocovanie informačných zdrojov v Akčnom pláne nebola stanovená žiadna úloha, teda zrejme ani personálne a technické kapacity.

Ak to zhrnieme, pochopenie zmien v kybernetickom priestore a/alebo v disciplíne kybernetickej bezpečnosti a na jeho základe prehodnotenie doterajších, či stanovenie nových, priorít a sformulovanie zásad pre ďalší postup si vyžadujú okrem schopnosti strategického uvažovania, dostatku času na získavanie a vyhodnocovanie informácií aj schopnosť vedieť sa odosobniť od riešenia „prízemných“ (prevádzkových) problémov. Realisticky sa dá očakávať, že najbližších pár rokov budú personálne kapacity Národnej autority ponorené do plnenia úloh aktuálneho Akčného plánu, t.j. sústredia sa na vytvorenie a prijatie inštitucionálneho a legislatívneho rámca kybernetickej bezpečnosti, systému včasného varovania a reakcie na incidenty, atď., teda na riešenia aktuálnych „prevádzkových“ problémov. Za tie roky sa dianie v kybernetickej bezpečnosti vo svete v porovnaní so súčasným stavom určite zmení – pri súčasnom nastavení si to však Národná autorita všimne zrejme najskôr po r. 2020, dokedy sú naplánované úlohy Akčného plánu a bude potrebné rozhodnúť ako ďalej. Nebolo by lepšie už teraz sa zamyslieť nad tým, čo bude nasledovať po Akčnom pláne realizácie Koncepcie kybernetickej bezpečnosti?