vyskoc.sk
  • O nás
    • Martina
    • Jozef
    • Eduard
  • Zaujímavé linky
  • Kontakt

Kybernetická bezpečnosť vo svete a na Slovensku

  • Domov
  • Informačná bezpečnosť
  • Kybernetická bezpečnosť vo svete a na Slovensku
23 októbra, 2013
Kategórie
  • Informačná bezpečnosť
Tags

Na začiatku bola počítačová bezpečnosť (computer security). Ani vtedy to nebolo niečo jednoduché, ale prinajmenšom bolo jasné, o čom tá disciplína je, čomu sa venuje, o akú bezpečnosť/čoho bezpečnosť ide. Jeden počítačový systém, zabezpečenie záujmov jeho majiteľa, hardvérové a softvérové bezpečnostné prostriedky, ako bezpečnostní špecialisti ľudia s technickým backgroundom a hlbokými znalosťami hardvérového a/alebo softvérového vybavenia.

Po čase sa ukázalo, že len hardvérové a softvérové bezpečnostné prostriedky nestačia, nedokážu zabrániť rizikám, ktoré prináša najslabší článok – človek (či už v roli používateľa, alebo tvorcu hardvéru alebo softvéru). Naviac, okrem toho, že hardvérové a softvérové prostredie sa neustále komplikovalo, jednotlivé systémy sa začali spájať do sietí, objavili sa nové hrozby. Pojem počítačová bezpečnosť už nestačil, nevyjadroval dosť dobre zmenenú situáciu a tak sa postupne presadili nové, výstižnejšie pojmy.  Technologicky orientovaná časť počítačovej bezpečnosti sa pomerne plynule pretransformovala do pojmu bezpečnosť informačných a komunikačných technológií – IKT (ICT security), resp. sa špecializovala na sieťovú bezpečnosť (network security). Komplexnejší prístup, pokrývajúci aj riadenie „ľudí okolo IKT“, bezpečnosť informácií a iné netechnické aspekty bezpečnosti sa začal presadzovať pod pojmom informačná bezpečnosť (information security, tiež INFOSEC). Zmenil sa počet chránených systémov či zariadení, špecializovali sa experti, ale základný cieľ – ochrana záujmov majiteľa chránených systémov (nejaká organizácia) – sa nezmenil.

Pred nejakým časom sa začal vo svete objavovať ďalší pojem – kybernetická bezpečnosť (cyber security, tiež CYBERSEC). Čo je zaujímavé, okrem žurnalistov  o nej najviac hovorili a písali politici, diplomati, politológovia, … – skrátka ľudia bez obvyklého počítačového (resp. informatického) backgroundu. Tým sa azda dá vysvetliť aj skutočnosť, že sa nikto príliš netrápil presnejšou definíciou tohto pojmu – všeobecné „vysvetlenie“ že ide o bezpečnosť kybernetického priestoru plne postačovalo na texty o tom, aká je kybernetická bezpečnosť dôležitá. A ak už bolo potrebné uviesť niečo konkrétnejšie, DDoS (distributed denial of service) útok v r. 2007 na webstránky v Estónsku sa ešte aj teraz štandardne používa ako ilustratívny príklad kybernetického útoku. Hoci pôvodne sa kybernetická bezpečnosť priraďovala do „military“ sféry, neskôr sa jej záber rozšíril aj na civilnú sféru, ako to demonštruje napríklad aj Európska stratégia pre kybernetickú bezpečnosť, zverejnená začiatkom tohto roka.

Keď si takto kybernetická bezpečnosť upevnila pozície v mocenských štruktúrach, začala sa prebúdzať aj INFOSEC komunita a riešiť otázku vzťahu medzi CYBERSEC a INFOSEC. V tomto roku som napr. mal možnosť vidieť článok juhoafrických autorov či vypočuť si prednášku britského špecialistu G.Pricea na túto tému – v obidvoch prípadoch s rôznou argumentáciou ale v podstate s rovnakým záverom, teda že CYBERSEC je len mierne rozšírená INFOSEC. Zaujímavé je, že takéto úvahy úplne opomenuli jasný fakt, že o CYBERSEC najviac hovoria a píšu politológovia, diplomati či politici, ktorí určite nemajú INFOSEC background. Podľa môjho názoru je pritom vysvetlenie vzťahu CYBERSEC a INFOSEC vcelku jednoduché – v obidvoch prípadoch ide o zaistenie bezpečnosti „kybernetického priestoru“ (zjednodušene Internetu), akurát že kým v prípade INFOSEC ide v tomto priestore o ochranu záujmov organizácie, v prípade CYBERSEC ide o úplne inú úroveň, o zabezpečenie záujmov štátu, resp. medzinárodného spoločenstva krajín – teda to, čo je „parketou“ diplomatov, politológov i politikov. Vzťah medzi CYBERSEC a INFOSEC by som preto prirovnal k vzťahu medzi makroekonómiou (úroveň štátu) a mikroekonómiou (úroveň individuálneho podniku) – v obidvoch prípadoch ide o ekonómiu, ale s rozdielnymi pohľadmi na záujmy, ciele a priority, ktoré sa chcú dosiahnuť, ako aj rozdielnymi nástrojmi na dosiahnutie týchto cieľov.

O tom, že INFOSEC sa nedá jednoducho aplikovať na zabezpečenie záujmov štátu, sa dá presvedčiť aj jednoduchým zamyslením: na ochranu záujmov organizácie v kybernetickom priestore INFOSEC okrem technických prostriedkov využíva rôzne „best practices“, ktoré sa v prípade potreby dajú účinne vynucovať – v extrémnom prípade až tak, že zamestnanec organizácie neurobí na Internete nič okrem výslovne povolených aktivít. Postupy INFOSEC, ktoré sú použiteľné (a vynútiteľné) v prostredí organizácie, sa nedajú priamočiaro aplikovať v prostredí štátu – aspoň nie štátu takého charakteru, k akému sa hlásime … predstava, že by štát ochranu svojich záujmov v prostredí Internetu realizoval tak, že by každému svojmu občanovi určoval čo smie v Internete robiť, a tieto obmedzenia by si aj účinne vynucoval, je naozaj absurdná.

A ako je to s kybernetickou bezpečnosťou na Slovensku? Nuž, vyznať sa v tom nie je vôbec jednoduché. Ešte pred nejakým rokom to bolo prinajmenšom zo strany zodpovedných za informatizáciu spoločnosti (resp. budovanie informačnej spoločnosti) na Slovensku vcelku jednoznačné – to, čo Slovensko potrebuje, je informačná bezpečnosť. Potom prišiel slovenský digitálny líder a na jeho stránke sa začali diať veci … Medzi kľúčové priority digitálneho lídra vraj patrí digitálna bezpečnosť a bola zriadená aj pracovná skupina Digitálna bezpečnosť. Pojem digitálnej bezpečnosti síce nie je definovaný či vysvetlený, z textu „Hlavným cieľom činnosti pracovnej skupiny má byť podpora Digitálneho lídra SR … tak, aby Slovensko bolo schopné naplniť Národnú stratégia pre informačnú bezpečnosť v SR“ sa však dá usúdiť, že to asi bude len iný názov pre starú známu informačnú bezpečnosť.

A čo vo svete tak omieľaná kybernetická bezpečnosť? Európska komisia medzi 7 „key areas for further efforts to stimulate the conditions to create growth and jobs in Europe“ pod číslom 4 uvádza „Propose EU cyber-security strategy and Directive“. Na stránke digitálneho lídra sa však k tej istej téme  pod číslom 4  uvádza „Návrh stratégie a smernice EÚ pre bezpečnosť informačných technológií“. Z toho by vyplývalo, že slovenskému digitálnemu lídrovi (resp. jeho tímu) pojem cyber security splýva s pojmom ICT security, alebo že nerozlišuje medzi informačnou bezpečnosťou a bezpečnosťou IKT … tomu by nasvedčovalo aj to, že na inej podstránke digitálny líder informuje, že „Európska komisia 7. februára 2013 zverejnila stratégiu pre oblasť kybernetickej (informačnej) bezpečnosti“. Ale hoci to vyzerá, ako keby sa slovenský digitálny líder ako čert krížu vyhýbal použitiu termínu kybernetická bezpečnosť, predsa sa len prešmykla na jeho stránku – to keď medzi podporovanými aktivitami sa ocitlo aj oznámenie o konaní tzv. expertnej diskusie za okrúhlym stolom k téme Kybernetická bezpečnosť. Je zaujímavé, že na tejto diskusii sa malo diskutovať o novom zákone o kybernetickej bezpečnosti … pritom platný Plán legislatívnych úloh vlády na rok 2013  ráta iba s návrhom zákona o informačnej bezpečnosti (december).

Skrátka, chaos v používaných pojmoch. Nejde o zanedbateľný detail – ak má digitálny líder naozaj byť lídrom, teda spojiť úsilie viacerých subjektov na dosiahnutie želaného cieľa, mal by (resp. jeho tím) dokázať jednoznačne a zrozumiteľne sformulovať ciele a vízie týkajúce sa bezpečnosti v „cyberspace“. To znamená aj používanie jazyka a pojmov, ktoré sú rovnako chápané všetkými zainteresovanými subjektami (ako sa píše v Knihe Genezis, bolo to práve zmätenie jazykov, ktoré ľuďom zabránilo dohovoriť sa a dostavať Babylonskú vežu). Ak je pre digitálneho lídra digitálna, informačná, či kybernetická bezpečnosť jedno a to isté,  nie je jednoduchšie namiesto troch používať iba jeden pojem? Ak tieto pojmy nie sú pre digitálneho lídra ekvivalentné, potom jasné vymedzenie ich obsahu a vzájomných vzťahov zmenší šancu na „zmätenie jazykov“ a teda prispeje k dosiahnutiu želaného cieľa. Niečo podobné platí aj pre komunikáciu so subjektami mimo Slovenska. To všetko, pravda, za predpokladu, že v tíme digitálneho lídra sa nájde niekto, kto je schopný sformulovať a vyargumentovať jednoznačný názor na obsah týchto pojmov a prípadné vzťahy medzi nimi – zatiaľ však stránka digitálneho lídra pôsobí skôr opačným dojmom.

P.S. Slovenský digitálny líder sa síce pomerne úspešne snaží vyhýbať pojmu kybernetickej bezpečnosti, v iných inštitúciach štátnej správy však také zábrany nemajú. Napríklad, Ministerstvo zahraničných vecí a európskych záležitostí v dokumente Zameranie zahraničnej a európskej politiky Slovenskej republiky na rok 2014  v časti venovanej vzťahom s USA uvádza „V bilaterálnej rovine sa SR sústredí na kultivovanie vzťahov s existujúcimi americkými investormi a získavanie nových, pričom sľubnou oblasťou sa javí spolupráca v oblasti informačných technológií a kybernetickej bezpečnosti.“ V tom istom dokumente sa v časti Reakcia na globálne výzvy a hrozby  zas uvádza „… SR sa bude podieľať na zvyšovaní spôsobilostí a schopností čeliť aj ďalším hrozbám a výzvam, ktoré v súčasnosti naberajú na dôležitosti. Zvláštnu pozornosť v tomto smere bude venovať predovšetkým hľadaniu možností na aktívne zapájanie sa SR, jej ekonomických subjektov a vedecko-výskumných inštitúcií do medzinárodného úsilia na ochranu proti kybernetickým útokom.“ Takže už aj slovenskí diplomati rátajú s nutnosťou aktivít súvisiacich s kybernetickou bezpečnosťou …  Nuž a Plán práce Bezpečnostnej rady Slovenskej republiky na rok 2014 v sebe zas skrýva napríklad úlohy „Pripravenosť SR na plnenie úloh v oblasti kybernetickej ochrany vyplývajúcich z cieľov spôsobilostí pre SR“ (marec 2014) či „Stratégia kybernetickej ochrany“ (máj 2014). Keďže v týchto prípadoch sa cyber security prekladá ako kybernetická bezpečnosť, a nie ako digitálna či informačná bezpečnosť, zdá sa, že v týchto prípadoch je/bol digitálny líder „mimo hry“. Takže ako to vlastne je/bude s kybernetickou bezpečnosťou na Slovensku, ešte nie je vôbec jasné.

 

 

Zdielať:
Jozef Vyskoc
Jozef Vyskoc

Súvisiace príspevky

30 decembra, 2022

Kybernetická bezpečnosť a etika (a NBÚ)

čítať ďalej
29 marca, 2022

Komunita kybernetickej bezpečnosti na Slovensku

čítať ďalej
1 decembra, 2020

O Národnej stratégii kybernetickej bezpečnosti na roky 2021 až 2025

čítať ďalej

Pridaj komentár Zrušiť odpoveď

Vaša e-mailová adresa je spracúvaná výlučne na účel prípadnej neskoršej komunikácie a nebude zverejnená. Komentár bude zverejnený po jeho odsúhlasení správcom stránky.

Kategórie

  • Cestovanie (9)
  • Informačná bezpečnosť (56)
  • Knihy (1)
  • Nezaradené (7)
  • Ochrana súkromia (43)
  • Pataveda (1)
  • Peniaze (1)
  • Statika (1)
  • Tipy a triky (5)
  • Vzdelávanie (5)

Tag

akčný plán app bombaj brexit cestovanie cezhraničný prenos osobných údajov cyber security Deň ochrany osobných údajov digitálna gramotnosť digitálny podpis ECSM eID foto GDPR General Data Protection Regulation Global Cybersecurity Index GLOBSEC 2013 goa história kybernetickej bezpečnosti india informačná bezpečnosť kerala koncepcia koncepcia kybernetickej bezpečnosti kybernetická bezpečnosť kybernetická etika kybernetický útok Nariadenie EÚ NBÚ národná autorita občan ochrana osobných údajov online voľby povedomie o kybernetickej bezpečnosti počítačová etika pune reakcia na kybernetický útok reforma ochrany osobných údajov v EÚ statika stavba tipy umenie varca zákon o kybernetickej bezpečnosti Úrad na ochranu osobných údajov
© 2019 Rodinný Blog Vyskočovcov
      Tento web používa súbory cookie. Informácie o tom, ako používate tento web, sa zdieľajú s Googlom. Používaním tohto webu vyjadrujete svoj súhlas s používaním súborov cookie.
      Viac info Rozumiem