Nová Koncepcia kybernetickej bezpečnosti SR čaká na pripomienky

Úrad vlády Slovenskej republiky predložil do medzirezortného pripomienkového konania dlhoočakávanú Koncepciu kybernetickej bezpečnosti Slovenskej republiky. Napriek tomu, že dokument je prínosom pre diskusiu o kybernetickej bezpečnosti, zďaleka neposkytuje odpovede na mnohé kľúčové otázky, s ktorými sa Slovenská republika potýka v oblasti kyberbezpečnosti.

K vypracovaniu stratégie do konca roka 2014 sa zaviazala vláda SR v Správe o bezpečnosti Slovenskej republiky za rok 2013. Dokument tak vstúpil do pripomienkovania s takmer dvojmesačným omeškaním.

Proporčne najrozsiahlejšia, prvá kapitola, popisuje charakteristiku aktuálneho stavu, strategického, legislatívneho a inštitucionálneho rámca v oblasti kybernetickej bezpečnosti v rámci Slovenska, NATO a EÚ. Prínosom kapitoly, ktorá poskytuje zväčša strohý súhrn právnych predpisov a národných aj medzinárodných záväzkov, je najmä občasný výpočet problémových oblastí.

Podľa koncepcie existujúce inštitúcie, právne normy či kapacity nepostačujú, aby Slovensko držalo krok s dynamicky sa meniacim prostredím a hrozbami. Pretrvávať má tiež rôzna úroveň spôsobilostí a pripravenosti na kybernetické hrozby a podceňovanie otázky kybernetickej ochrany.  Spolupráca verejného sektora so súkromným sektorom, akademickou sférou a občianskou spoločnosťou podľa stratégie nie je rozvinutá z dôvodu absencie rámca na spoluprácu. Za najvážnejší problém považuje komplexné ošetrenie ochrany kybernetického priestoru v platnej legislatíve.

Mierne nekoherentným a značne mätúcim dojmom však pôsobia nasledujúce časti dokumentu. Koncepcia prechádza od definície strategického cieľa, pravdepodobne celej kybernetickej politiky, ku výpočtu cieľov predmetnej koncepcie do časti s ničnehovoriacim názvom „Všeobecné charakteristiky a implikácie“, v ktorom opäť nepriamo definuje niekoľko cieľov pre Slovenskú republiku. Je preto ťažké vyabstrahovať, čo má byť cieľom stratégie kybernetickej bezpečnosti Slovenskej republiky ako takej.

Koncepcia za svoju úlohu považuje poukázať na strategický význam oblasti kybernetickej bezpečnosti, zadefinovať priority na roky 2015 až 2019 a navrhnúť inštitucionálny rámec. Ako riešenie kritickej situácie v nasledujúcej časti navrhuje zriadenie Národnej autority kybernetickej bezpečnosti, Národnej jednotky pre riešenie incidentov, Odvetovej autority kybernetickej bezpečnosti, Odvetovej jednotky pre riešenie incidentov, Výboru Bezpečnostnej rady pre SR pre kybernetickú bezpečnosť a vytvorenie formálnej platformy pre spoluprácu na národnej úrovni.

Napriek tomu, že tieto návrhy majú svoje opodstatnenie, a práve správne rozdelenie kompetencií je dôležité pre napĺňanie cieľov kybernetickej politiky, obeťou detailného rozpracovania inštitucionálneho ukotvenia kybernetickej bezpečnosti sa stali ostatné problémové oblasti, ktorým koncepcia nevenuje žiadnu pozornosť. Opomína napríklad nedostatočné personálne kapacity, odlišný stupeň spôsobilostí jednotlivých vládnych tímov zaoberajúcich sa kybernetickou ochranou, či absenciu výcvikového prostredia na národnej úrovni, na ktoré už aj v minulosti upozorňoval riaditeľ NBÚ poverený rozvojom obranných spôsobilostí v oblasti kybernetického priestoru. Prehlbovanie spolupráce medzi verejným sektorom, akademickou a súkromnou sférou ostáva aj naďalej nejasné, pričom nie je ani známe, či odborníci zo spomínaných sektorov mali možnosť spolutvoriť tento dokument.

Otázniky však visia aj nad realizáciou spomínaných, málo ambicióznych, návrhov. Aktuálna koncepcia totiž nedefinuje žiadne úlohy pre relevantných aktérov a neposkytuje ani časový harmonogram realizácie jednotlivých krokov, či finančné zábezpeky potrebných nákladov. Konkrétne zadania vyplynú až z Akčného plánu realizácie Koncepcie kybernetickej bezpečnosti SR na roky 2015-2019. Skúsenosti z minulých rokov však ukazujú, že jeho rozpracovanie sa môže natiahnuť na niekoľko mesiacov, čím sa realizácia krokov môže oddialiť. Medzi schválením poslednej koncepcie a prislúchajúceho akčného plánu totiž uplynulo takmer 1,5 roka.

V neposlednom rade bude tiež dôležité sledovať ako sa záväzky z koncepcie kybernetickej ochrany preklopia do novej Bezpečnostnej stratégie SR, o príprave ktorej sa v kuloároch začína diskutovať, nakoľko kybernetická bezpečnosť predstavuje len jeden aspekt bezpečnosti. Súčasná Bezpečnostná stratégia z roku 2005 je neaktuálna a kybernetická bezpečnosť sa v nej vôbec nespomína.

Dokument predstavuje posun v strategickej diskusii o kybernetickej ochrane na Slovensku a môže poslúžiť ako východisko na ďalšie precíznejšie došpecifikovanie výziev, priorít a cieľov Slovenskej republiky, ktoré sa priezerovo trúsia vo viacerých častiach dokumentu. Bohužiaľ, v čase, kedy by už bolo treba hovoriť o kvalitatívnom posune od budovania základných kapacít nevyhnutných k elementárnemu zabezpečeniu kybernetickej ochrany ku jej robustnejšiemu a ďaleko sofistikovanejšiemu zabezpečeniu, predstavuje koncepcia pre odbornú komunitu sklamanie.