Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA) vydala publikáciu, ktorej cieľom je poskytnúť národným expertom pre oblasť kybernetickej bezpečnosti a zamestnancom v štátnej správe nástroj na vyhodnocovanie národných stratégií kybernetickej bezpečnosti.
Tento nástroj sa zameriava viac na princíp než na zoznam cieľov, ktoré by mali členské štáty dosiahnuť. Pozostáva z modelu, ktorý tvorí súbor krokov na dosiahnutie stanovených cieľov a zoznam hlavných ukazovateľov úspešnosti dosahovania týchto cieľov. Užívatelia (národní experti zodpovední za definovanie, výkon a vyhodnocovanie politiky v oblasti kybernetickej bezpečnosti) si môžu z tohto súboru nástrojov a indikátorov zvoliť tie, ktoré najviac vyhovujú ich potrebám.
Prínosom takto vytvoreného nástroja by malo byť zlepšiť proces tvorby a implementácie stratégií kybernetickej bezpečnosti, čím by došlo k celkovému zvýšeniu kybernetickej bezpečnosti v členských štátoch EÚ.
Výzvou zostáva osobitý charakter kybernetickej bezpečnosti a prístupu k nej. Kybernetická bezpečnosť je natoľko špecifická, že nie je jednoduché stanoviť všeobecne platný spôsob riadenia kybernetickej politiky. Aj napriek tomu je však dôležité stanoviť hodnotiaci rámec, ktorý napomôže pri poskytovaní spätnej väzby, či a do akej miery sa darí v členských štátoch napĺňať stanovené ciele.
V súčasnosti má národnú stratégiu kybernetickej bezpečnosti 18 z 28 členských štátov Európskej únie, vrátane Slovenskej republiky. V týchto štátoch je stratégia základným východiskom v boji proti hrozbám v kybernetickom priestore. Zverejnený dokument sa snaží o analýzu národných stratégií a ich vyhodnotenie spolu s poskytnutím odporúčaní a podpory v tejto oblasti. Okrem 18 stratégií členských štátov EÚ ENISA vyhodnotila aj 8 národných stratégií, mimo členských štátov Európskej únie. Na základe analýzy bolo definovaných 5 kľúčových cieľov:
- rozvoj obranne zameranej kybernetickej politiky a kapacít,
- dosiahnutie odolnosti voči kybernetickým hrozbám,
- boj proti kybernetickým zločinom,
- podpora priemyslu zameraného na kybernetickú bezpečnosť,
- ochrana kritickej informačnej infraštruktúry.
Európska únia si uvedomuje, že kybernetický priestor ponúka značnú príležitosť na zvýšenie ekonomického rastu, ale aj sociálny rozvoj. Problémom sú však obavy o bezpečnosť a zneužitie údajov. Nedostatok dôvery v elektronické služby môže zapríčiniť nevyužitie potenciálu kybernetického priestoru, najmä v oblasti elektronického obchodovania a poskytovania služieb verejnej správy. Národné stratégie by mali byť zárukou, že členské štáty budú pripravené čeliť potenciálnym ohrozeniam. V súčasných podmienkach môže byť odstraňovanie následkov zapríčinených nedôslednosťou a slabou kybernetickou politikou omnoho nákladnejšie a zložitejšie ako prevencia. Dôležitú úlohu zohrávajú v tejto oblasti tzv. Jednotky pre riešenie počítačových incidentov (CSIRT/CERT). Takouto inštitúciou momentálne disponujú všetky členské štáty EÚ. Na Slovensku je to csirt.sk.
Spomínané kľúčové ciele a ich plnenie sú ovplyvnené viacerými faktormi. Podľa ENISA ide najmä o:
- legislatívne opatrenia a vymožiteľnosť práva,
- medzinárodnú a regionálnu spoluprácu,
- koordináciu a rozvoj štruktúr,
- podporu vedy a výskumu,
- vzdelávanie a šírenie informovanosti v oblasti kybernetickej bezpečnosti,
- investície do bezpečných systémov.
Pri hodnotení plnenia priorít majú kľúčovú úlohu najmä národné CERT/CSIRT tímy. Tie môžu vďaka svojmu postaveniu a prístupu k údajov o incidentoch ponúknuť jedinečný pohľad na pokrok zaznamenaný v oblasti kybernetickej bezpečnosti. Vo väčšine štátov, vrátane Slovenskej republiky, takéto hodnotenie prebieha na pravidelnej – ročnej, prípadne dvojročnej báze.
Osobitnú pozornosť si vyžaduje ochrana kritickej infraštruktúry, keďže jej ohrozenie, prípadne kolaps, by mali za následok znefunkčnenie služieb nevyhnutných pre plnohodnotné fungovanie spoločnosti. Zároveň je v tejto oblasti potrebná koordinácia štátneho a súkromného sektoru, keďže veľká časť zložiek patriacich do kritickej infraštruktúry je práve v súkromných rukách. V niektorých štátoch apeluje národná stratégia na priamu účasť súkromných subjektov v jednotkách pre riešenie incidentov (Holandsko, Nemecko). Iné navrhujú vytvorenie pracovných skupín na riešenie problematických sektorov (Španielsko, Česká republika) a verejno-súkromné partnerstvá (Taliansko). Špecifikom je Fínsko, kde hrá súkromný sektor hlavnú úlohu pri ochrane kritickej infraštruktúry.
Podľa ENISA je nevyhnutné, aby každá zo zložiek podieľajúcich sa na ochrane kybernetického priestoru poznala svoje základné zodpovednosti. Občania, resp. v tomto prípade užívatelia musia byť vzdelávaní a informovaní. Súkromný sektor musí rozvíjať partnerstvá so štátom a investovať do vytvorenia bezpečného kybernetického prostredia, keďže takéto prostredie je aj v ich záujme. Úlohou odborných tímov CERT/CSIRT je spolupracovať nielen s partnerskými organizáciami v ostatných štátoch, ale predovšetkým s verejným a súkromným sektorom vo vlastnom štáte.
V závere dokumentu ENISA identifikuje faktory, ktoré je potrebné brať do úvahy pri implementácií a vyhodnocovaní stratégií. Ide o správny výber ľudských zdrojov a ich koordináciu, finančnú podporu, spoločný postup orgánov štátnej správy a agentúr zaoberajúcich sa kybernetickou bezpečnosťou. Štátne inštitúcie sú zvyknuté, že operujú v rámci jasne vymedzeného mandátu. No keďže v kybernetickom priestore sa stierajú akékoľvek hranice, musia byť jednotlivé inštitúcie pripravené na prekrývanie a zdieľanie kompetencií.
Rovnako dôležitá je transparentnosť a vzdelávanie. Špecifikom kybernetického priestoru je element neistoty. V tejto oblasti je potrebné počítať s tým, že aj pri precízne naplánovanej stratégii môže vzniknúť hrozba, ktorá má potenciál narušiť systém a aj celú koncepciu. Z tohto dôvodu je nevyhnutné, aby kybernetická bezpečnosť a nástroje na jej zaisťovanie boli integrálnou súčasťou postupov pre riešenie kríz/krízového manažmentu.
Zdroj: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/an-evaluation-framework-for-cyber-security-strategies-1/an-evaluation-framework-for-cyber-security-strategies
(RK)