Kybernetická bezpečnosť na Slovensku a v Európe

O kybernetickej bezpečnosti sa hovorí od vzniku prvých počítačov. Problém bezpečnosti sa ešte zvýraznil ich prepájaním prostredníctvom internetu. Dnes, keď sa hovorí o tzv. internete vecí, sa znásobuje počet prístupových bodov, ktoré môžu byť zneužité.

Kybernetická bezpečnosť
(zdroj: Perspecsys Photos/Flickr)

Bezpečnostné incidenty sú častejšie, intenzívnejšie a rozsiahlejšie. Predpovedá sa, že počet zámerných útokov bude rásť exponenciálne. Bezpečné siete sú pritom predpokladom pre rozvoj digitálnej agendy EÚ, ktorá má byť v nasledujúcich rokoch motorom ekonomiky starého kontinentu.

Stratégie na ochranu dát rýchlo zastarajú. Odborníci tiež priznávajú, že predpovedanie ďalšieho vývoja je veľmi náročné. Na bezpečnostnú situáciu na Slovensku a v Európe nevplývajú iba regionálni aktéri. Oblasť kybernetickej bezpečnosti sa rieši na množstve medzinárodných fór. Kým na slovenskú legislatívu priamo vplývajú len dokumenty prijaté Európskou úniouSeveroatlantickou alianciou, tak na medzinárodnom fóre sa o presadzovanie multilaterálnych dohôd starajú aj OSNOrganizácia pre bezpečnosť a spoluprácu v Európe, prípadne Organizácia pre hospodársku spoluprácu a rozvoj (OECD).

Na ceste k smernici NIS

Európska únia sa kybernetickej bezpečnosti venuje už 2 desaťročia. Momentálne má v jej snahách najvyššiu prioritu príprava smernice o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii (COM(2013) 48 final). Tento dokument predstavila Európska komisia vo februári 2013. Dodnes sa o smernici NIS (Network and Information Security) rokuje na viacerých fórach. Jej schválenie bude podmienené dohodou všetkých troch inštitúcií.

Od členských štátov žiada zvyšovanie pripravenosti a zlepšovanie vzájomnej spolupráce, od prevádzkovateľov kritickej infraštruktúry žiada prijatie potrebných opatrení a ohlasovanie bezpečnostných incidentov. Komisia priznáva, že Európa je zraniteľnejšia v dôsledku rozdielnej spôsobilosti jednotlivých krajín, no chýba aj účinný mechanizmus pre spoluprácu. „Toto môže mať za následok nekoordinované zásahy regulačných orgánov, nesúvisiace stratégie a rôznorodé normy, čo povedie k nedostatočnej ochrane sietí a informácií v EÚ,“ vysvetľujú zástupcovia EK.

Pre dokončenie projektu jednotného digitálneho trhu (DSM) bude kľúčové, aby informačné siete a systémy dokázali odolávať v každom členskom štáte. Súkromní poskytovatelia kritickej infraštruktúry budú musieť prijímať opatrenia na riadenie rizík a podávať správy o závažných incidentoch, čo mali doteraz v rámci európskej legislatívy prikázané iba sprostredkovatelia informačných a komunikačných technológií (IKT). Po novom by sa táto povinnosť mala rozšíriť na dopravu, bankovníctvo, výrobu a distribúciu energie, internetové služby a verejnú správu.

Sprievodným javov prípravy novej smernice sú konferencie na vysokej úrovni. Počíta s nimi stratégia kybernetickej bezpečnosti a zatiaľ boli dve, posledná v máji 2015. Popri predstaviteľoch medzinárodných organizácii sa ich zúčastnila približne stovka súkromných spoločností z oblastí softvérového inžinierstva, financií, práva a auditu.

Celý proces budovania NIS však začal už pred rokom 2001, kedy vychádza tzv. návrh na európsky politický prístup (COM(2001) 298 final). Už v tomto oznámení Komisia hovorí o odchode telekomunikácií a ostatnej kritickej infraštruktúry zo štátnych rúk. Žiada ďalšie budovanie tímov CERT (Computer Emergency Response Team), bezpečnostné certifikáty a posilňovanie dialógu medzi zainteresovanými organizáciami.

Predchodkyňou súčasných snáh o vytvorenie jednotného digitálneho trhu bola Iniciatíva i20 – Európska informačná spoločnosť 2010 (COM(2005) 229), ktorá sa sústredila na rast a zamestnanosť. Aj vtedy v EÚ za 40 % hospodárskeho rastu zodpovedala oblasť IKT. Hovorilo sa preto o potrebe vytvorenia jednotného informačného priestoru. Pozoruhodný je najmä cieľ iniciatívy zastaviť zaostávanie Európy za ostatnými konkurentmi. Mali sa odstraňovať prekážky pri transformácii výsledkov výskumu na hospodárske výsledky. Počítalo sa tiež s väčším zapojením 7. rámcového programu pre vedu a výskum, čo sa v skutočnosti naplnilo. Na výskum v oblasti informačnej bezpečnosti vynakladá EÚ značné finančné prostriedky. Len zo 7. RP pre vedu a výskum (FP 7) to bolo podľa údajov Komisie 350 miliónov eur.

V roku 2006 prichádza Stratégia pre bezpečnú informačnú spoločnosť (COM(2006) 251). Únia tu na 10 stranách reaguje na rastúce využitie mobilných zariadení. Opäť sa spomína potreba štruktúrovanej diskusie. Do nej má byť zahrnutá už aj ENISA – Európska agentúra pre bezpečnosť sietí a informácií (European Network and Information Security Agency), ktorá medzičasom vznikla na koordinovanie európskych útvarov CERT/CSIRT.

V roku 2009 vydala Európska komisia oznámenie o ochrane kritických informačných štruktúr (COM(2009) 149 final). Paralelne s ním sa rozvíjajú spoločné aktivity EÚ s USA. Koordináciu rôznych pracovných skupín pre kybernetickú bezpečnosť a kybernetický zločin v roku 2013 načas ochromil škandál, ktorý vyvolali odhalenia Edwarda Snowdena. Ani napĺňanie stratégie a neskôr oznámenia nešlo podľa plánov a Komisia viackrát priznala, že sa jej zámery oneskorili a nedotiahli do konca.

Digitálna agenda pre Európu (DAE) z roku 2010 ďalej rozvíjala ciele stratégie Európa 2020 v oblasti tzv. „inteligentného rastu“. V preklade to znamenalo dôraz na spoločenské a najmä hospodárske ciele. Pri bezpečnosti vyzdvihla, podobne ako jej predchodcovia, spoluprácu členských krajín. K ochrane kritických a informačných štruktúr sa Komisia vrátila v roku 2011 oznámením Dosiahnuté ciele a ďalšie kroky: na ceste ku globálnej kybernetickej bezpečnosti (COM(2011) 163), kde členské štáty nabáda k zvyšovaniu pripravenosti aj vďaka novej sieti dobre fungujúcich jednotiek CERT.

Prvým skutočne komplexným dokumentom, ktorý pokrýva všetky kľúčové oblasti informačnej bezpečnosti je Stratégia kybernetickej bezpečnosti (Join (2013)1 final).Text vo svojom úvode hovorí o povinnostiach členských štátov: „Vlády majú niekoľko úloh: zabezpečiť prístup a otvorenosť, rešpektovať a chrániť základné práva online a udržiavať spoľahlivosť a interoperabilitu internetu.“ Štát má byť teda správcom, no samotná európska stratégia priznáva, že všetky iniciatívy v tejto oblasti závisia od miery zapojenia súkromného sektoru. Úspešné zvládnutie vytvárania jednotného digitálneho trhu môže Európe vyniesť 500 miliárd eur.

V tomto období začína pracovať Európske centrum boja proti počítačovej kriminalite (EC3). Má reagovať na očakávania Komisie, že dopyt po práci počítačových kriminálnikov bude vyšší, hrozby dômyselnejšie, globálnejšie a ľahšie sa šíriace, častejšie sa budú prať špinavé peniaze a útoky sa viac zamerajú na cloud.

Centrum je súčasťou Europolu a pokrýva široké spektrum aktivít. Prvý okruh činností smeruje k boju s organizovanými skupinami, ktoré podvodným spôsobom získavajú veľké finančné čiastky. Týka sa to podvodov s platobnými kartami, útokov na databázy finančných domov  či iné nelegálne praktiky pri platobnom styku. Druhá oblasť sa týka vykorisťovania osôb na internete, vrátane fyzického a sexuálneho násilia páchaného na maloletých. Posledná sféra rieši kybernetickú kriminalitu vo forme útokov, ktoré nemajú informácie len odčerpať, ale priamo ničí napadnutý systém, tzv. high-tech kriminalita. Je to teda tá oblasť, na ktorú sa vzťahujú všetky vyššie uvedené európske právne predpisy.

Jednotný digitálny trh

Projekt jednotného digitálneho trhu (Digital Single Market/DSM) (COM(2015) 192 final) momentálne obhospodarujú podpredseda EK Andrus Ansip a eurokomisár pre digitálnu ekonomiku a spoločnosť Günther Oettinger. K dispozícii majú služby Generálneho riaditeľstva pre komunikačné siete, obsah a technológie (DG Connect), na čele ktorého stojí Brit Robert Madelin. V rámci DG pôsobí 46 pracovných skupín.

S príchodom novej Komisie sa práce na virtuálnom trhu bez hraníc zintenzívnili. Na Stratégii pre jednotný digitálny trhu EÚ pracovalo 14 eurokomisárov. Spoločným výstupom bolo májové oznámenie 16 iniciatív, ktoré bude únia postupne napĺňať. Projekt sa v zásade zameriava na vytvorenie prostredia, ktoré bude čo najlepšie stimulovať hospodársky rast. V poradí trinásta iniciatíva však hovorí o partnerstve so zástupcami odvetvia v oblasti kybernetickej bezpečnosti, no výraznejšie ich nešpecifikuje.

Nedôvera

Skoro všetky dokumenty EÚ z ostatného obdobia hovoria o nedostatku dôvery medzi bežnými užívateľmi internetu. To bráni rozvoju online predaja a finančných služieb a tiež to komplikuje situáciu technologickým startupom. Viaceré podnikateľské modely sú pritom postavené na nepretržitej dostupnosti internetu.

Európska komisia uvádza, že skúsenosť s bezpečnostným incidentom má 57 % Európanov. U 38 % obyvateľov starého kontinentu to spôsobuje odpor k internetovým platbám. Časť z nich sa preto vyhne elektronickému bankovníctvu, iná suspenduje nákupy na internete. Podobná situácia panuje aj v prípade cloudových služieb. Podľa najnovšieho prieskumu Eurostatu bezpečnosti cloudových riešení neverí až 40 % podnikov. Väčšine zákazníkov na internete (72 %) sa tiež zdá, že poskytujú až priveľa osobných informácií a iba 22 % ľudí úplne dôveruje vyhľadávačom, sociálnym sieťam a emailovým službám.

ENISA

Agentúra Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA) vznikla v marci 2004 na základe nariadenia 460/2004. Pôvodne mala mandát do roku 2009, no ten sa medzičasom predĺžil do roku 2020. Samotná organizácia o sebe hovorí, že je „hub-om“ na výmenu informácií, poznatkov a osvedčených postupov. V otázkach bezpečnosti radí členským štátom a organizuje celoeurópske kybernetické cvičenia. Na rozpočet 10,1 milióna eur ročne sa jej skladajú Komisia a 28 krajín.

Výkonný riaditeľ ENISA Udo Helmbrecht stojí na čele ENISA od roku 2009. Agentúra má stabilne asi 60 zamestnancov bez ohľadu na to, že počet počítačových útokov rastie. Situácia zašla tak ďaleko, že tento rok v júli financovanie kritizoval riaditeľ operácií ENISA Steve Purser.

Súčinnosť agentúry a členských štátov nie je jednosmerná. Pre vytváranie analýz preto ENISA sama aktívne kontaktuje tie krajiny, od ktorých sa chce naučiť overené postupy. Príkladom môžu byť marcové odporúčania pre zavádzanie cloud computingu do verejnej správy, ktoré vznikli na základe spätnej väzby z Estónska, Grécka, Španielska a Veľkej Británie, alebo výročné správy monitorujúce incidenty. Európska agentúra pre sieťovú a informačnú bezpečnosť je spoločne s DG CONNECT organizátorom práve prebiehajúceho Európskeho mesiaca kybernetickej bezpečnosti (European Cyber Security Month/ECSM), ktorý pri propagácii informačnej bezpečnosti cieli na širšie publikum, vrátane európskej verejnosti.

NATO

Kybernetická bezpečnosť sa v ponímaní Severoatlantickej aliancie dostáva do inej polohy. Kým EÚ zdôrazňuje ekonomické aspekty, NATO vníma kyberpriestor ako rozšírenie bojiska. V zásade to znamená, že dominantnú úlohu zohráva obrana vlastných informačných a komunikačných prostriedkov a kritickej infraštruktúry. Ďalšou témou je napríklad vysoko aktuálne verbovanie extrémistov na internete.

S povahou tohto vnímania súvisí aj to, že niektoré kľúčové dokumenty podliehajú utajeniu. O Posilnenej politike kybernetickej obrany NATO sa tak dozvedáme prostredníctvom výstupov zo summitu vo Walese v septembri 2014.

NATO na boj s kybernetickým zločinom v roku 2008 zriadilo vlastné centrum excelentnosti v estónskom Talline (NATO Cooperative Cyber Defence Centre of Excellence/CCD COE). Je to medzinárodná vojenská vzdelávacia inštitúcia, ktorej poloha je symbolická. Práve estónska skúsenosť s kyberterorizmom z roku 2007 odhalila potenciálnu slabinu členov Aliancie a urýchlila prípravy spoločných iniciatív. CCD COE vydáva tzv. Tallinský manuál, kde prední právni experti analyzujú reguláciu aktivít v kyberpriestore. Centrum každoročne usporiada konferenciu CyCon, ktorá prepája teórie medzinárodných vzťahov s najnovšími bezpečnostnými výzvami.

Legislatíva príde na budúci rok

Až donedávna nemala kybernetická bezpečnosť na Slovensku jasne stanovených zodpovedných aktérov. V oblasti sa prelínala činnosť Ministerstva financií SR, Ministerstva obrany a Národného bezpečnostného úradu. Niektoré činnosti boli duplicitné, iné sa podceňovali. Situáciu dobre ilustruje aj to, že doteraz pre túto oblasť chýba jednotná terminológia. V rôznych dokumentoch označujú rovnaké skutočnosti rôzne názvy. Koncepcia kybernetickej bezpečnosti Slovenskej republiky na roky 2015 – 2020, ktorú vláda schválila v polovici júna, už obsahuje jasnú organizačnú štruktúru. Materiál z dielne Úradu vlády počíta s viacerými ďalšími, tentoraz už legislatívnymi úpravami. Samotný návrh zákona o kybernetickej bezpečnosti sa má objaviť vo februári 2016.

Vypracovanie slovenskej koncepcie avizovala vláda v júni 2014 v Správe o bezpečnosti Slovenskej republiky za rok 2013. Zhodou okolností tomuto zámeru o mesiac predchádzalo schválenie Posilnenej politiky kybernetickej obrany NATO. Strategický dokument NATO a Stratégia kybernetickej bezpečnosti EÚ  boli základom pre vypracovanie nášho nelegislatívneho návrhu.

Podobne ako v Českej republike sa aj na Slovensku na čelo organizačnej štruktúry dostáva Národný bezpečnostný úrad. Cieľom koncepcie má byť stav, kedy bude tunajší kybernetický priestor dobre fungujúcim, efektívnym, koordinovaným a účinným systémom. V nasledujúcom období sa bude formovať inštitucionálny aj legislatívny rámec. V neposlednom rade má prísť k prepojeniu činností štátnej, súkromnej a akademickej sféry.

Koncepcia reflektuje nové trendy akými sú asymetrická vojna a s tým súvisiace globálne teroristické hrozby. Vo svojom úvode polemizuje aj o najpálčivejšej otázke dneška, či sú útoky v kybernetickom priestore predpokladom pre reakciu podľa článku 5 Severoatlantickej zmluvy. Kybernetickú bezpečnosť vníma ako podsystém národnej bezpečnosti, čo ju stavia na jednu úroveň so zahraničnou politikou štátu, obranným plánovaním, civilným núdzovým plánovaním a koordináciou spravodajských služieb. Vecný, časový a finančný rámec dá informačnej bezpečnosti akčný plán, ktorý vypracuje NBÚ do konca tohto roka.

Prvý ucelený dokument v tejto oblasti hodnotí predchádzajúce aktivity ako nekonzistentné: „Spolupráca verejného sektora so súkromným sektorom, akademickou sférou, ako aj občianskou spoločnosťou nie je rozvinutá v potrebnom rozsahu a absentuje aj rámec pre systematickú, koordinovanú a efektívnu spoluprácu najmä na strategickej úrovni.“ Odborná príprava špecialistov štátnej správy prebiehala najmä v gescii Ministerstva financií SR. O vojenskú stránku kybernetickej bezpečnosti sa v súlade s politikou NATO staral NBÚ.

Koncepcia zavádza štruktúru riadenia, kde sa ústredným orgánom stáva  Národný bezpečnostný úrad. V jeho pôsobnosti bude nová Národná jednotka pre riešenie incidentov (národný CERT/CSIRT).Už existujúci CSIRT.SK, ktorého zriaďovateľom je Ministerstvo financií SR, časť svojej agendy presunie novej organizácii. V koncepcii je označený ako vládny CERT/CSIRT. Vznikať majú aj ďalšie rezortné jednotky CSIRT, čo nie je nič neobvyklé – vo Veľkej Británii je ich viac ako 15.

Slovensko sa má kde inšpirovať

Manažment kyberpriestoru v Českej republike a na Slovensku je v mnohom podobný. Diskusiu o tom, kto sa stane ústredným orgánom štátnej správy v oblasti kybernetickej bezpečnosti absolvovalo Česko už o štyri roky skôr. Uznesenie vlády ČR z októbra 2011 stanovilo, že gestorom tejto problematiky bude Národný bezpečnostný úrad. Rovnaké rozhodnutie tiež podnietilo zriadenie Národného centra kybernetickej bezpečnosti (NCKB), ktoré sídli v Brne a je súčasťou českého NBÚ.

Vládny CERT (GovCERT.CZ) operuje práve pod hlavičkou NCKB. Národný CERT (CSIRT.CZ) spoznal svojho prevádzkovateľa až v auguste tohto roku. Bude ním záujmové združenie CZ.NIC. Inštitucionálna panoráma našich západných susedov je až na názvoslovie takmer totožná, je preto pravdepodobné, že stála ako predobraz Koncepcie kybernetickej bezpečnosti SR.

Víziu do roku 2020 prijali Česi vo februári 2015. Ich druhá Národní strategie kybernetické bezpečnosti je rovnako ako naša koncepcia východiskom pre ďalšie plánovanie a právne predpisy. Pôvodnú stratégiu do roku 2015, ktorá žiadala vytvoriť vládny CERT a prijať zákon o kybernetickej bezpečnosti, úspešne splnili.

Nemecku je situácia o niečo zložitejšia. Krajina sa zvykne uvádzať ako modelová, čo sa týka zvládnutia kybernetickej bezpečnosti. Veľké kybernetické útoky tu za posledný rok získali veľa mediálnej pozornosti. Na konci minulého roku, keď svet riešil hackerský útok na Sony Pictures, Federálny úrad pre informačnú bezpečnosť (BSI) zverejnil prípad zámerného poškodenia oceliarne. Jednalo sa poškodenie riadiaceho programu, ktoré napokon rezultovalo v fyzickú škodu na zariadení.

Počas príprav letného zákona o IT bezpečnosti (IT-Sicherheitsgesetz) napadol malware vyše 20 tisíc počítačov, ktoré používajú členovia a zamestnanci Bundestagu. V auguste útočníci znefunkčnili stránky federálneho prokurátora. Softvér, aký za normálnych okolností napáda finančné inštitúcie, migroval v parlamente z jedného systému na druhý. O povahe kybernetických hrozieb to veľa vypovedá. Útoky sú asymetrické, na ich vykonanie nie je potrebný ani nadštandardný finančný kapitál, ani fyzická blízkosť páchateľov. Ani tie najviac zaistené spoločenstvá nemajú dokonalú istotu. Spoločenstvo je opätovne aj v tom prípade silné iba tak, ako jeho najslabší článok.

REKLAMA

REKLAMA