Obdobie, kedy podľa informácií z médií sa kybernetické útoky vyskytovali všade vo svete okrem Slovenska, skončilo. Pred pár dňami slovenské média informovali o kybernetickom útoku na naše Ministerstvo zahraničných vecí a európskych záležitostí (MZVaEZ) a dali nám tak možnosť sledovať, ako si v praxi v takejto situácii u nás počínajú jednak predstavitelia štátu, jednak médiá samotné. Predseda vlády, ktorý s touto informáciou prišiel, si zaslúži pochvalu za zverejnenie informácie o útoku i za rozvážny prístup keď odmietol špekulovať o páchateľovi predtým, ako sa incident dôkladne vyšetrí. Následne sa ukázalo, že slovenské médiá majú problém – po zverejnení základnej informácie predsedom vlády ako keby nevedeli čo sa pýtať a koho sa pýtať. Nie že by sa nesnažili, ale to, čo prezentovali, boli spravidla len všeobecné pravdy.
Neprekvapuje, že chýbajú detaily o útoku či o spôsobe jeho objavenia – veď na Slovensku len málokto môže beztrestne zverejňovať citlivé či utajované informácie. Priestor na otázky „k veci“ však existuje – len to vyžaduje mať aspoň základný prehľad širšieho kontextu kybernetickej bezpečnosti na Slovensku. Zaujímavé predsa môže byť aj to, čo sa nepovie/neurobí, hoci logicky by sa povedať či urobiť malo. A v tomto prípade akoby si nikto nevšimol, že sa zo strany predstaviteľov štátu úplne ignoroval existujúci rámec pre kybernetickú bezpečnosť na Slovensku.
Prinajmenšom formálne základný rámec pre riešenie kybernetickej bezpečnosti na Slovensku máme – zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ZKB). ZKB napríklad vymedzuje „Pôsobnosť orgánov verejnej moci“ v oblasti kybernetickej bezpečnosti, pričom na prvom mieste je to Národný bezpečnostný úrad (NBÚ) ako ústredný orgán štátnej správy pre kybernetickú bezpečnosť. Podľa §6 má NBÚ tiež postavenie národnej jednotky pre riešenie kybernetických bezpečnostných incidentov (tzv. „jednotka CSIRT“). Nie je potom zvláštne, že v súvislosti s oznámeným kybernetickým útokom na MZVaEZ chýba akákoľvek zmienka o NBÚ (a NBÚ k nemu ani nezverejnil svoje stanovisko)?
To však nie je jediná zaujímavosť. Nedávno schválený projekt Národného systému riadenia incidentov kybernetickej bezpečnosti vo verejnej správe rieši nákup vybavenia pre 4 jednotky CSIRT. Tá na NBÚ je „národná“,pri Úrade podpredsedu vlády pre investície a informatizáciu existuje tzv. „vládna“, pri Národnej agentúre pre sieťové a elektronické služby (NASES) by mala byť jednotka CSIRT najmä pre sieť Govnet. Ako potom interpretovať skutočnosť, že predseda vlády vynechal všetky tieto pracoviská a „nariadil šéfovi vojenského spravodajstva, aby hneď prešetril aktuálny stav zabezpečenia celej vládnej siete Govnet a infraštruktúry Národnej agentúry pre sieťové a elektronické služby (NASES) s cieľom odhalenia možnej ďalšej kompromitácie, vyhodnotenia a prípravy opatrení“? Aj v tomto prípade sa teda úplne obchádza existujúca infraštruktúra pre riešenie kybernetickej bezpečnosti na Slovensku – bez vysvetlenia i bez záujmu médií.
Žeby predseda vlády nevedel o ZKB a rozdelení pôsobnosti pre oblasť kybernetickej bezpečnosti, ktoré ZKB ustanovuje? Alebo má iný dôvod pre tak zreteľné ignorovanie NBÚ, národnej, vládnej i Govnet jednotky CSIRT (nedôveruje ich schopnosti prešetriť stav zabezpečenia Govnetu a infraštruktúry NASES)? Alebo je za tým NBÚ a jeho zvláštny spôsob interakcie s okolím ? Nezabúdajme tiež, že NBÚ v rámci riešenia pripomienok k návrhu ZKB odmietol zaradiť MZVaEZ do zoznamu „vecne príslušných štátnych orgánov, ktoré vykonávajú pôsobnosť v oblasti kybernetickej bezpečnosti“ a zaradil ho medzi orgány verejnej moci, ktoré síce majú nejaké postavenie v zabezpečovaní úloh kybernetickej bezpečnosti „… avšak na tieto orgány nie sú kladené náročné informačné, technické a finančné požiadavky …“ – nedá sa teda vylúčiť, že v súlade s tým považuje kybernetický útok na MZVaEZ za nehodný pozornosti ústredného orgánu štátnej správy pre kybernetickú bezpečnosť …
Možno je to len náhoda, možno náznaky budúcich zmien v riešení kybernetickej bezpečnosti na Slovensku … uvidíme.