Judgment day 12 je názov konferencie o kybernetickej bezpečnosti, ktorú 9. novembra 2017 v Bratislave usporiadala spoločnosť Tempest. Išlo o dvanásty ročník podujatia, o ktorom sa odborné kruhy zmieňujú ako o špičke v danej oblasti. Minimálne z pohľadu agendy a účasti zahraničných, ale aj domácich hostí, ktorí priniesli pohľad na súčasné trendy v oblasti hrozieb prichádzajúcich z kybernetického priestoru.
To bol asi najdôležitejší dôvod, prečo som sa rozhodol zúčastniť tohto podujatia. Hneď úvodná prezentácia hlavného rečníka Davida Clarka, ktorý je uznávaným expertom na tému ochrany osobných údajov, mi potvrdila, že som sa rozhodol správne. Na pochybách ma nenechali ani ďalšie príspevky so zásadnými pointami smerujúcimi k otázkam, či už vlastne nenastala doba, keď technológie prekročili prah kontrolovateľnosti ľudstvom, alebo či sa neblížime k momentu, ktorý nás zastihne neočakávane, a zas si raz povieme, že odteraz už bude všetko inak. To sú však skôr vizionárske témy, akokoľvek sa môžu zdať realistické, najmä ak sa dajú do súladu s rýchlosťou rozvoja technológií, povedzme za posledných 30 rokov.
V máji 2018 začnú byť účinné dva veľmi konkrétne zákony s veľmi konkrétnymi dôsledkami. Vo svete je už istý čas top témou GDPR (General Data Protection Regulation). Ide o nariadenie Európskej únie o ochrane osobných údajov. S niekoľkodňovým predstihom vstúpi do platnosti aj povinnosť členských štátov Európskej únie zverejniť v ich národnom legislatívnom prostredí direktívu NIS. Vo voľnom preklade Zákon o kybernetickej bezpečnosti.
To, že ochrana údajov a kybernetická bezpečnosť spolu súvisia, je zrejmé už z podstaty veci. Preto nebolo prekvapením, že usporiadateľ sa rozhodol na úvod konferencie, ktorej sa zúčastnilo asi sto expertov a manažérov kybernetickej bezpečnosti, uskutočniť „rozbehovú“ anketu s otázkou, či implementácia nariadenia GDPR pomôže k zníženiu počítačovej kriminality v Únii. Odpoveď sa zdala byť jasná až natoľko, že Ján Mečiar, ktorý konferenciu moderoval, automaticky oznámil výsledok ankety s pozitívnym výsledkom a až na upozornenie auditória vlastne musel potvrdiť, že výrazná väčšina odpovedí znela na prvý pohľad prekvapivo – nie!
Popri dôležitosti oboch zákonov, o ktorých obsahu sa veľa hovorí, a zrejme ešte len bude hovoriť, sa už len samotné spochybnenie ich prínosu dá vnímať ako zásadný moment, ktorý si zaslúži pozornosť, a to hneď z niekoľkých dôvodov:
Prvým je fakt, že oba zákony, ale najmä zákon o ochrane osobných údajov, sú určené nám, verejnosti. Ich zavedenie je dané dnes už dlhodobou skúsenosťou, že v tejto oblasti treba priniesť jasné pravidlá. Iniciatíva teda vzišla výrazne z právnického prostredia, ale podnetom bol rozmach technológií a ich vplyv na praktický život, čo je prvý moment, ktorý stojí za povšimnutie.
Druhým momentom je široký záber novej normy – ťažko si už dnes predstaviť činnosť, do ktorej by informačné technológie nezasahovali. Každá činnosť ľudstva je presiaknutá informačnými a komunikačným technológiami až tak, že sa to už považuje za samozrejmé a väčšina ľudí si to ani neuvedomuje. Pointa je však v tom, že zákon je zákon a jeho ustanovenia sa musia dodržiavať v celom rozsahu jeho platnosti. A keďže hranice internetu, počítačov, mobilov a vôbec všetkého, čo sa na internet dá pripojiť a bude dať pripojiť, majú globálny charakter, tak ten záber je veľmi široký a bude sa týkať pravdepodobne každého z nás. Či už ako potenciálnej obete, alebo jednej zo strán možného súdneho sporu.
Potom je tu dvojička „procesy a technológie“, bez ktorých súlad so zákonom nie je možné uskutočniť. Keď si k tomu pridáme najdôležitejší element tejto súvahy – pripravenosť, tak asi nie je prekvapením, že na otázku auditóriu, koľko percent firiem je pripravených na nové zákonné pravidlá, sa počet zdvihnutých rúk blížil k nule. Bolo zjavné, že si nik netrúfal odhadnúť dnešnú realitu, alebo skôr že každý tuší, že pripravenosť sa tiež od nuly veľmi nevzďaľuje. Aspoň nie k dnešnému dňu.
Keď už hovoríme o pointách, tak je tu ešte jedna, možno tá najzásadnejšia, a síce povinnosť zverejniť informácie o bezpečnostnom incidente, pri ktorom došlo k ohrozeniu dát najneskôr do 72 hodín od jeho zistenia, respektíve ak nastanú účinky súvisiace s týmto ustanovením. Ak to dotknuté subjekty neurobia, hrozia im až mnohomiliónové pokuty.
V snahe zachovať princíp pozitívneho prístupu by toto mohol byť účinný nástroj, ako dotlačiť spoločnosti a inštitúcie pracujúce s osobnými údajmi k opatreniam, aby sme sa my, konzumenti ich služieb, mohli cítiť bezpečne. Narastajúci tlak a široké povedomie k tomu iste prispejú a buďme aj ozajstnými optimistami, že to všetko povedie k dobrému výsledku.
Nebyť dlhodobej skúsenosti s reálnou vymožiteľnosťou práva, tak tu by sme mohli aj optimisticky končiť. Žiaľ, skutočnosť je iná. Ak si k tomu pridáme komplexnosť a vysokú mieru intelektuálnej a technickej zložitosti problematiky, nutne vznikajú nové otázky. A zďaleka sa netýkajú iba slovenského prostredia.
Predstavme si napríklad situáciu, ktorá môže nastať na druhý deň po nadobudnutí účinnosti zákonov. Ktorákoľvek bežná spoločnosť alebo inštitúcia bude zrazu konfrontovaná s novými povinnosťami a bude hľadať partnera, ktorý jej s nimi pomôže. A keďže hovoríme o počítačovej kriminalite, je nutné vnímať aj možné hrozby, keď útočníci už napadnutý systém využijú vo svoj prospech a zo strany prevádzkovateľa a vlastníka bude potrebné prijať veľmi rýchle a zásadné rozhodnutia. Nie je totiž otázkou či bude niekto obeťou kybernetického útoku, ale kedy. Obete navyše často o napadnutí ani netušia.
Z tohto pohľadu je už len krok k myšlienke, ako to vlastne celé bude fungovať a či účinok nových pravidiel a povinností bude naozaj slúžiť len v prospech ich hlavného cieľa, teda ochrane pred kybernetickými hrozbami.
Zrejme viacerým napadne, že za týchto okolností je lepšie žiadny informačný systém nevlastniť. V ére cloudových služieb má táto myšlienka isté opodstatnenie, ale asi stále platí, že výsledok ankety z úvodu konferencie nemusel byť až taký neočakávaný. Podľa všetkého sme len na začiatku tŕnistej cesty, na ktorej nás môže mnohé ešte prekvapiť.
Igor Šenkarčin, riaditeľ programu Kybernetická bezpečnosť v Slovenskom Inštitúte pre bezpečnostnú politiku