Vyšehradská štvorka – pripravená na kybernetický útok?

Vojna sa presunula z bojových polí do kybernetického priestoru a vlády jednotlivých štátov sa pripravujú na nové hrozby. [Flickr]

Hoci región doteraz nezasiahol žiaden masívny kybernetický útok, menšie incidenty sú pomerne časté. Krajiny Vyšehradu sa preto vyzbrojili odborníkmi a novými stratégiami, ktoré ich majú ochrániť.

Článok vznikol v spolupráci s českou a poľskou redakciou portálu EURACTIV a maďarským think tankom Political Capital ako súčasť portálu VisegradInfo.eu.

Obdobie vojen, tankov a ťažkej bojovej techniky je až na pár výnimiek minulosťou – aspoň v Európe. Vojna sa presunula z bojových polí do kybernetického priestoru a vlády jednotlivých štátov sa pripravujú na nové hrozby, ktoré z tejto zmeny vyplývajú.

V4 si zatiaľ vedie dobre. Región zatiaľ nepostihla žiadna udalosť podobná tomu, čo zažilo napríklad Estónsko v roku 2007, kedy sústredený kybernetický útok jednorazovo odstavil desiatky internetových serverov úradov, médií či bánk.

Menšie incidenty sa ale čas od času objavia.

„Spoločnosti a inštitúcie v Českej republike boli v uplynulých rokoch niekoľkokrát cieľom DDoS útokov, ktoré na obmedzenú dobu vyradili niektoré služby. Rovnako tak došlo k preniknutiu do niektorých vedľajších systémov štátnej správy,“ uviedol expert na kyberbezpečnosť Tomáš Rezek z Asociácie pre medzinárodné otázky.

Napríklad počas parlamentných volieb v októbri 2017 boli útokom DDoS (útok, pri ktorom sa hackeri snaží zahltiť server obrovským množstvom požiadaviek) deaktivované dva spravodajské portály, ktoré informovali o výsledkoch volieb.

Slovensko zažilo podobný výpadok v deň parlamentných volieb roku 2016, kedy bola webstránka Štatistického úradu počas volebnej noci parlamentných volieb nedostupná. Terčom sa tu tiež stali popredné slovenské médiá, vrátane verejnoprávnej RTVS.

Slovensko je kyberbezpečnostnou špičkou, tvrdí estónsky rebríček

V Indexe národnej kybernetickej bezpečnosti, ktorú pred nedávnom zverejnil estónsky think-tank eGA, excelovalo na prvej priečke spomedzi 63 zúčastnených krajín Slovensko.

Biznis v hľadáčiku hackerov

Aj keď útoky na súkromné ​​firmy sú na každodennom poriadku, verejná diskusia o tomto probléme je slabá podobne ako úsilie podnikateľského sektora sa pred novými hrozbami chrániť.

Väčšina slovenských podnikov napríklad používa bežný bezpečnostný softvér, ako napríklad antivírus a firewall. Len niekoľko spoločností si najíma služby, ktoré poskytujú dostatočnú ochranu proti najnovším kybernetickým hrozbám typu ransomeware alebo vírusom spôsobujúcim kolaps serverov.

V Maďarsku sa kybernetickým nebezpečenstvám pokúša aktívne čeliť približne polovica väčších podnikov a menej ako desatina menších firiem.

V4 predstavila svoje stanovisko k umelej inteligencii

Krajiny Vyšehradskej štvorky žiadajú, aby Únia navýšila finančné prostriedky pre digitálne projekty a aby sa Európska komisia aktívne zapájala do spolupráce členských štátov pri vývoji umelej inteligencie. Jedným z návrhov je aj otvorenie Európskeho observatória pre umelú inteligenciu.

Podľa prieskumu Európskej komisie sa iba tretina opýtaných Maďarov obáva zneužitia osobných údajov, napríklad pri finančných transakciách, čo potvrdzuje nízke povedomie spotrebiteľov o možnej rizikovej situácii. Ide pri tom o najnižší počet v celej Európskej únii – bezprostredne po Malte a Rumunsku. Je zrejmé, že Maďarsko má v tomto smere stále na čom pracovať.

Problém sa ale týka aj poľských firiem. Až 65 percent spoločností v Poľsku sa stalo obeťou kybernetického útoku väčšinou prostredníctvom ransomewarov, pričom pri polovici týchto prípadov došlo aj k finančným stratám. Podľa štúdie spoločnosti PwC vynaložili poľské firmy na posilnenie kybernetickej obrany iba 3 percentá svojich IT rozpočtov.

Zjednotená regulácia o ochrane dát sa dotkne aj pol milióna slovenských firiem

Spracovávanie dát s osobnými údajmi prechádza v Únii zásadnými zmenami, Slovensko chystá nový zákon.

Ďalšou zaujímavosťou tiež je, že až tretina útokov bola vykonaná ich vlastnými zamestnancami. Toľko útokov firmám nespôsobili ani profesionálne hackeri.

„Najzásadnejšou hrozbou väčšinou bolo, je a zrejme aj bude ľudské zlyhanie, či už z dôvodu nedbanlivosti, nespôsobilosti alebo úmyselne,“ vysveľuje Karel Macek, zástupca českej pobočky AFCEA (Armed Forces Communication & Electronics Association).

Hybridné vojna alebo úmyselná manipulácia?

Macek ďalej naznačil, že by mohla existovať aj súvislosť medzi kyberútokmi a medzinárodnou politikou.

„Česká republika konkrétnymi krokmi deklaruje, že patrí skôr k západným demokraciám, než do východného priestoru, z čoho môžu vyplývať cielené akcie v rámci prebiehajúcej hybridnej vojny o vplyv nad strednou Európou,“ dodal.

V dnešnej dobe médiá aj experti hybridnú vojnu spájajú s ruskými dezinformačními kampaňami. Napriek tomu ale žiadna krajina Vyšehradskej štvorky Rusko vo svojej stratégii pre kybernetickú bezpečnosť nezmieňuje.

Nemecký súd tvrdí, že Facebook neoprávnene využíva dáta o aktivitách vlastných používateľov

Facebook čelí v Nemecku viacerým obvineniam. Organizácie a úrady mu vyčítajú nedostatočne bezpečné predvolené nastavenia, využívanie dát na aktiváciu online reklamy, či prístup k údajom tretích strán v čase, keď má používateľ stránku Facebooku otvorenú.

Okrem nebezpečných dezinformácií predstavujú nebezpečenstvo aj neúmyselne manipulácie.

„Dochádza k tomu automatizovaným nastavením obsahu podľa spotrebiteľských preferencií, čo je rovnako veľmi nebezpečné,“ povedal Miroslav Nečas z českej súkromnej spoločnosti TOVEK, ktorá sa zaoberá spracovaním dát a informácií.

Nečas pritom nemá na mysli známy škandál týkajúci sa zneužívania dát užívateľov Facebooku prostredníctvom spoločnosti Cambridge Analytica, ale filtrovanie obsahu sociálnych sietí. Podľa Nečasa sa ľudia kvôli týmto filtrom uzatvárajú do oddelených virtuálnych bublín.

„Jednotlivé virtuálne bubliny sa potom vzďaľujú nielen realite, ale najmä bublinám, v ktorých žijú ďalší ľudia. Myslím, že je to jeden z faktorov, ktoré prispievajú k aktuálnemu rozdelenie spoločnosti, hoci to určite nie je faktor jediný,“ doplnil Nečas.

Kyberbezpečnosť, Vyšehrad a EÚ

Krajiny Vyšehradu si s doterajšími požiadavkami EÚ v oblasti kybernetickej bezpečnosti poradili bez problémov. Niektoré sa dokonca stali príkladom dobrej praxe.

Česko začalo pracovať na zlepšení svojej legislatívy pre boj s kybernetickými hrozbami už pred niekoľkými rokmi. Zákon o kybernetickej bezpečnosti je platný od roku 2014 a  na jeho základe vznikol 1. augusta 2017 tiež Národný úrad pre kybernetickú a informačnú bezpečnosť (NÚKIB).

Hovorca úradu Radek Holý zdôraznil, že podľa očakávaní aj Česko je od 10. mája plne v súlade s európskou smernicou pre bezpečnosť sietí a informačných systémov. Takzvaná Smernica NIS je prvým celoeurópskym súborom pravidiel pre kyberbezpečnosť a platí už v celej Únii.

Prvá európska legislatíva o kybernetickej bezpečnosti už platí v celej Únii

Členské štáty museli zapracovať prvú európsku legislatívu o kybernetickej bezpečnosti do včera, 9. mája. Slovenský zákon je už v platnosti od 1. apríla.

Maďarsko prevzalo smernicu NIS už v decembri minulého roka. Botond Feledy z Centra pre euro-atlantickú integráciu a demokraciu (CEID) v tejto súvislosti upozornil, že papierovo sú Národný ústav pre kyberbezpečnosť a vládny tím CERT funkčné. Smernici sa ale inak príliš pozornosti nedostalo.

Najväčší pokrok v kybernetickej bezpečnosti zaznamenalo Maďarsko pred pár rokmi. V správe z roku 2015 o kapacitách členov NATO v oblasti kyberbezpečnosti obsadilo Maďarsko čelnú priečku.

Do roku 2015 bolo Maďarsko tiež predsedajúcou krajinou pracovnej skupiny NATO pre kybernetickú obranu a rovnako bolo aktívne v únijných bezpečnostných výboroch s dobre fungujúcim centrom pre kybernetickú ochranu.

Orbánova vláda ale v apríli 2015 systém kompletne reorganizovala. Upravila príslušný zákon a vytvorila novú inštitucionálnu štruktúru. Agenda kybernetickej bezpečnosti sa tak stala súčasťou bezpečnostných služieb a prestala byť transparentná.

Europoslanci o ochrane osobných údajov: GDPR je iba začiatok

Europoslanci sa zhodli, že je nutné zabrániť ďalšiemu rozsiahlemu zneužitiu osobných údajov. GDPR je podľa viacerých len začiatok. Niektorí spomenuli aj kontroverzný legislatívny návrh ePrivacy.

Za európskou smernicou zatiaľ nezaostáva ani Poľsko. Nová legislatíva, ktorá implementuje smernicu NIS do poľského práva už bola schválená vládou a teraz čaká na súhlas parlamentu.

Zároveň ale Poľsko nemá žiadny súvislý kyberbezpečnostný systém. Nová stratégia a právna úprava vznikla bez jasného vedenia jedného ministerstva. O kompetencie po celú dobu súperilo ministerstvo obrany a ministerstvo pre digitalizáciu. V januári 2018 bola potom odvolaná ministerka pre digitalizáciu Anna Streżyńska a očakávalo sa, že s ňou skončí aj celý rezort.

To sa síce nakoniec nestalo, no v marci súboj o kompetencie vyhralo ministerstvo obrany, v rámci ktorého potom vznikol post splnomocnenca pre kyberbezpečnosti. Ministerstvo pre digitalizáciu získalo nové vedenie až po troch mesiacoch. Kto ale naozaj povedie kyberbezpečnostnú politiku, zatiaľ zostáva otázne.

Ministerstvo financií navyše nemá v pláne do kyberbezpečnosti viac investovať, a to ani napriek tomu, že sa rodí nová stratégia, potrebná na splnenie požiadaviek európskej smernice NIS. Kyberbezpečnosť je však teraz skôr záležitosťou obrany, čo sa môže celému sektoru vyplatiť – ministerstvo obrany má totiž pomerne vysoký rozpočet.

Väčšina slovenských firiem nevie čeliť novodobým kybernetickým útokom

Pokročilé bezpečnostné nástroje pre odhaľovanie dnešných sofistikovaných hrozieb nemajú u nás ani dve pätiny podnikov.

Kyberbezpečnosť sa stala veľkou témou aj pre Slovensko, a to v súvislosti s novým zákonom o kybernetickej bezpečnosti. Slovenský parlament odsúhlasil legislatívu v januári 2018, pričom išlo o prvý zákon svojho druhu, ktorý upravoval jednotné bezpečnostné opatrenia v kybernetickom priestore.

Príprava legislatívy ale bola zložitá aj na Slovensku, nakoľko sa do nej nezapojili len úradníci a experti zo štátnej správy, ale aj akademická obec a odborníci z mimovládneho sektora. Zákon, ktorý smernicu NIS implementoval, nakoniec vstúpil do platnosti 1. apríla 2018.

Prijatie legislatívy je nateraz považované za úspech. Dokladá to aj štúdia estónskej neziskovej organizácie e-Governance Academy Foundation, podľa ktorej je Slovensko na vrchole Národného indexu kybernetickej bezpečnosti (NCSI). Index posudzuje, ako sa štáty snažia brániť vážnym kybernetickým hrozbám a ako sú pripravené na prípadné nehody, zločiny či krízy.

Slovenská národná stratégia je platná už od roku 2008. V roku 2015 na jej základe vláda schválila aj Koncept pre kybernetickú bezpečnosť pre obdobie 2015 – 2020, vytvorený Národnou agentúrou pre siete a elektronické služby a Národným bezpečnostným úradom.

NBÚ prevzal agendu kybernetickej bezpečnosti od ministerstva financií, ktoré ju po niekoľko rokov riadilo. Kritici ale namietajú, že úrad komunikuje s verejnosťou, expertov aj biznisom príliš jednostranne. Ďalším problémom je nedostatočná vízia, pretože všetka legislatíva bola podľa niektorých otrocky prevzatá zo smernice NIS a nezohľadňuje žiadne národné špecifiká.

Spoločne proti hackerom

Všetky štyri krajiny Vyšehradu majú svoje stratégie a úrady na boj s kybernetickými hrozbami. Vďaka nim môžu tiež v tomto boji spolupracovať a zdieľať svoje osvedčené postupy.

„Medzinárodná spolupráca prebieha, ale nie v podobe, že by spolupracovali štátne útvary v podobe rozsiahlych armád. Spolupráca prebieha ako medzi štátnymi aktérmi, tak medzi bezpečnostnými tímami (CERT / CSIRT), ktoré sú vzájomne prepojené buď priamo, alebo formou odborových organizácií,“ vysvetlil Radek Holý z NÚKIB.

NATO zintenzívňuje tréningy v oblasti kybernetickej bezpečnosti

Severoatlantická aliancia tento týždeň v Estónsku organizuje najväčšie cvičenie zamerané na kybernetickú bezpečnosť na svete.

Na medzinárodných workshopoch, tréningoch a súťažiach sa zúčastňujú aj Slováci a žnú pritom skvelé úspechy. Slovenská kybernetická obrana je preto považovaná za úspešnú, verejnosť však o tom mnohokrát nemá potuchy.

Poľské ministerstvo pre digitalizáciu zdôrazňuje, že krajiny V4 spolupracujú skôr v rámci EÚ.

„Ďalším príkladom môže byť Stredoeurópska platforma pre kybernetickú bezpečnosť, ktorá sa na strategickej úrovni schádza dvakrát do roka, pričom jej predstavitelia sa stretávajú v Bruseli, aby si vymenili informácie. Poľsko, Česká republika, Slovensko, Maďarsko a Rakúsko sú súčasťou tejto platformy,“ uviedlo ministerstvo.

Maďarský odborník Botond Feledy si myslí, že V4 a Únia sú oveľa pokročilejšie v boji proti kyberzločinu než vo všeobecnej spolupráci pri posilňovaní kyberbezpečnosti. „Spoločné cvičenia sa konajú najmä v rámci NATO, ale čo sa týka civilnej stránky, mala by sa posilňovať najmä spoločná obrana kritickej infraštruktúry, obzvlášť v prípade elektrární,“ uzavrel Feledy.