Septembrový summit NATO vo Walese podčiarkol dôležitosť aktívnej kybernetickej stratégie a rastúci význam kybernetických útokov ako bezpečnostnej hrozby. Asymetrické hrozby sú na vzostupe a medzinárodné bezpečnostné organizácie sa tomuto faktu snažia v čo najväčšej možnej miere prispôsobiť. Kybernetické útoky boli zahrnuté do článku 5 Washingtonskej zmluvy a napadnutie kritickej infraštruktúry členského štátu tak môže viesť k odpovedi Severoatlantickej aliancie. Rozhodujúci však bude rozsah útoku.
Slovenská republika, ako členský štát NATO, by mala byť na externé hrozby v tejto oblasti takisto pripravená. A to nielen preto, že sa v rámci informatizačného procesu v Európskej únii zaviazala k digitalizácii mnohých oblastí verejnej správy. To, že kybernetické hrozby nemusia byť namierené len voči mocnostiam s rozsiahlou infraštruktúrou, dokazuje aj mnohokrát spomínaný príklad Estónska. Slovensko preto potrebuje aktívnu, no hlavne aktuálnu kybernetickú politiku. Niektoré skutočnosti však potvrdzujú, že tomu tak úplne nie je.
Národná stratégia pre informačnú bezpečnosť (NSIB) v Slovenskej republike bola vytvorená v roku 2008, pričom svoje strategické ciele stanovuje v súlade s Bezpečnostnou stratégiou SR pochádzajúcou ešte z roku 2005. NSIB vychádza z nariadení stanovených Európskou úniou, odporúčaní OECD, medzinárodných noriem a štandardov platných pre informačnú bezpečnosť, ale aj z vtedajších pomerov v oblasti kybernetickej bezpečnosti, ktoré sú však už dnes prekonané. Jedným z bodov a výsledkov tejto stratégie je aj zriadenie CSIRT.SK, čiže špecializovaného útvaru pre riešenie počítačových incidentov.
NSIB definuje ciele kybernetickej politiky Slovenska na troch úrovniach. Prvú predstavujú strategické ciele, teda prevencia, pripravenosť, udržateľnosť. Na ich dosiahnutie je potrebná súčinnosť všetkých orgánov štátnej správy, vhodné legislatívne prostredie, adekvátne materiálne a finančné podmienky. Avšak proces, ktorý by priniesol súčinnosť orgánov štátnej správy ešte stále nie je ukončený a bezpečnostná problematika je finančne dlhodobo poddimenzovaná. Fakt, že na konci roku 2014 je ešte stále v platnosti stratégia schválená v roku 2008 svedčí aj o tom, že v legislatívnej oblasti sa kybernetickej a informačnej bezpečnosti takisto nevenuje dostatok pozornosti. Druhá úroveň spočíva v 7 strategických prioritách. Medzi najdôležitejšie patrí ochrana ľudských práv a slobôd (v súlade s Listinou ľudských práv a slobôd), budovanie povedomia o informačnej bezpečnosti, či medzinárodná a národná spolupráca. Tretia úroveň definuje najdôležitejšie problémy a na ich základe stanovuje kľúčové úlohy.
Národná stratégia bola v roku 2010 podporená Akčným plánom. Práve tento plán predstavuje zložku, ktorá by mala byť pravidelne dopĺňaná, odrážať dynamické zmeny vo svete a snahu SR priblížiť sa v oblasti kybernetickej a informatickej bezpečnosti najvyspelejším štátom (či už ide o členské štáty NATO alebo EÚ). Úlohy akčného plánu sú začlenené do ôsmich oblastí:
- prevencia a pripravenosť;
- detekcia a reakcia;
- zmierňovanie a obnova;
- medzirezortná a medzinárodná spolupráca;
- ochrana kritickej infraštruktúry;
- ochrana ľudských práv a slobôd;
- budovanie povedomia a kompetentnosti v oblasti informačnej bezpečnosti;
- vytváranie bezpečného prostredia.
Podľa Správy o plnení Akčného plánu na roky 2009 až 2013 k dokumentu Národná stratégia pre informačnú bezpečnosť v SR je jedným z kľúčových problémov SR stagnácia vo zvyšovaní miery zabezpečenia jednotlivých orgánov a inštitúcií, ako aj kritickej infraštruktúry štátu. Túto úlohu plní práve spomínaný CSIRT.SK podliehajúci riadeniu Ministerstva financií SR, ktorého cieľom je okrem zvyšovania úrovne zabezpečenia a riešenia bezpečnostných incidentov aj šírenie povedomia o kybernetických hrozbách. K neuspokojivému stavu pri posilňovaní ochrany kritickej infraštruktúry a zabezpečenia citlivých údajov jednotlivých inštitúcií prispieva nedostatočná spolupráca medzi bezpečnostnými útvarmi jednotlivých ministerstiev (Ministerstvo obrany SR, Ministerstvo vnútra SR, Ministerstvo zahraničných vecí a európskych záležitostí SR), Národným bezpečnostným úradom SR, Slovenskou informačnou službou a CSIRT.SK. Oproti roku 2009, kedy sa začalo s implementáciou akčného plánu, je síce v tejto oblasti badateľné zlepšenie, stav však naďalej nezodpovedá dostupným možnostiam.
Na Slovensku sa teda pri ochrane kritickej infraštruktúry štátu prelínajú zodpovednosti viacerých inštitúcií, pričom garantom tejto činnosti je Ministerstvo financií SR Nejednoznačnosť v rozdelení právomocí súvisí najmä s tým, že rozšírenie kybernetických útokov je pomerne novou a ťažko definovateľnou hrozbou. Ich počet sa pritom priebežne zvyšuje, čo potvrdzujú aj údaje CSIRT.SK, podľa ktorých len v období prvého polroka 2014 zaznamenal viac ako dva milióny hlásení, ktoré poukazovali na možný výskyt škodlivej aktivity súvisiacej so slovenskými IP adresami. Najčastejšími incidentmi na Slovensku sú pritom phishing a malware, teda hrozby, ktoré sú zamerané na bežných používateľov. CSIRT.SK však preukazuje pomerne dobrú pripravenosť na riešenie počítačových incidentov, čo potvrdilo aj štvrté miesto jeho tímu na celoeurópskom cvičení s názvom Cyber Europe 2014, ktorého sa zúčastnilo 214 útvarov.
Vďaka aktivite CSIRT.SK tak bolo v posledných rokoch zaznamenané výrazné zlepšenie v oblasti sledovania, analyzovania a identifikovania narušení a potenciálnych hrozieb. Ďalší progres by mohla priniesť aktualizácia NSIB, najmä prostredníctvom umožnenia inovatívnejších prístupov k riešeniu konkrétnych problémov, a to aj prostredníctvom zapojenia súkromnej sféry (najmä IT firiem a bankového sektora) do prípravy dokumentov a akčných plánov, no aj do samotného zaisťovania kybernetickej bezpečnosti. Neschopnosť reagovať na aktuálne trendy znižuje možnosti Slovenskej republiky v rámci veľmi potrebnej spolupráce s väčšími štátmi a medzinárodnými organizáciami. Veľmi dôležitým bodom je aj vzdelávanie štátnych pracovníkov a širokej verejnosti. Rozširovanie povedomia o bezpečnostných hrozbách v oblasti kybernetickej bezpečnosti predstavuje jeden z hlavných pilierov aktívnej ochrany pred útokmi.
Žiadúce je taktiež zásadnejšie riešenie inštitucionálnych a legislatívnych rezerv, ktoré v minulom roku okrem iného potvrdili závery cvičenia NATO Cyber Coalition 13. Vo väčšine prípadov ide len o preberanie smerníc a podnetov v rámci Európskej únie, prípadne iných zahraničných aktérov. Kompetencie jednotlivých inštitúcií nie sú jednoznačne definované, čo je dôsledkom absencie špecializovanej inštitúcie, ktorá by sa zamerala primárne vytváraním a riadením bezpečnostnej politiky v kybernetickom priestore. CSIRT.SK sa síce do istej miery snaží suplovať danú úlohu, no táto agenda nepatrí medzi jeho hlavné úlohy. Hoci by tento útvar mohol v prípade posilnenia kompetencií aktívnejšie dozerať na verejné inštitúcie, ktoré disponujú prístupom k citlivým dátam, no v dostatočnej miere neplnia bezpečnostné opatrenia.
Výsledkom inštitucionálnych zmien v slovenských podmienkach by mala byť najmä nová koncepcia kybernetickej bezpečnosti. Vypracovanie tohto dokumentu prebieha pod vedením medzirezortnej pracovnej skupiny s očakávaním výsledku do konca roka 2014. Do tohto procesu je výrazne zapojený Národný bezpečnostný úrad, ktorý okrem toho, že primárne zodpovedá za oblasť utajovaných skutočností a jej ochranu, sa stal i garantom rozvoja spôsobilostí v oblasti kybernetickej bezpečnosti na Slovensku. Ten by mohol nastať aj s využitím regionálnej spolupráce, najmä v rámci vyšehradskej skupiny. Koordinácia postupov jednotlivých štátov je totiž vďaka existencii platformy V4 podstatne jednoduchšia, čoho dôkazom je spoločné cvičenie Central European Cyber Security Platform, ku ktorému sa okrem štátov V4 pripojilo aj Rakúsko.
Rastislav Kačmár, november 2014