Kyberanalytik OBSE: Najmenej pripravené štáty môžu bez zlých úmyslov napáchať najväčšie škody

Ilustračný obrázok. [Unsplash/Rawpixel]

BEN HILLER radí Slovensku sa počas predsedníctva v Organizácii pre bezpečnosť a spoluprácu v Európe zamerať na zavedenie mechanizmov, ktoré medzi krajinami vybudujú v kybernetickej bezpečnosti dôveru.

 

Ben Hiller je poradcom generálneho tajomníka a predsedníctva Organizácie pre bezpečnosť a spoluprácu v Európe v oblasti kybernetickej bezpečnosti a kontaktnou osobou OBSE pre oblasť bezpečnosti informačno-komunikačných technológií.

Organizácia pre bezpečnosť a spoluprácu v Európe združuje 57 štátov, vrátane Spojených štátov amerických a Ruska, a hoci debaty sú skôr politické, častokrát nezáväzné a zásadné rozhodnutia sa prijímajú iba jednohlasne, organizácia v ostatných rokoch rozšírila škálu tém, ktorej sa venuje. Jednou z najnovších je aj kybernetická bezpečnosť.

Akú pridanú hodnotu dodáva OBSE v oblasti kybernetickej bezpečnosti v porovnaní s entitami ako NATO či Európska únia?

Najdôležitejším rozdielom je samozrejme členská základňa. No zatiaľ čo NATO a EÚ sú organizáciami skôr podobne zmýšľajúcich štátov, OBSE združuje štáty, ktoré majú rozličné predstavy a vízie toho, čo vôbec bezpečnosť znamená. V oblasti kybernetickej bezpečnosti sa teda venujeme jej politickému rozmeru, na rozdiel od NATO, ktoré rieši rozmer obrany a EÚ, ktoré sleduje omnoho viac aj ekonomickú dimenziu kyberbezpečnosti. U nás riešime omnoho viac kontext medzinárodného mieru a bezpečnosti.

Kyberbezpečnosť na Slovensku, v Európe a za Atlantikom: Nastavenie a výzvy

Do sietí ukladáme stále viac dát, no obavy o to, čo sa s nimi môže stať, nás zatiaľ nepresvedčili. Hrozby ich zneužitia sú pritom obrovské. Ako sa nám darí kybernetický priestor chrániť na Slovensku, v Únii a naprieč Atlantikom?

Aké sú špecifiká tohto kontextu?

Všetci uznávame, že štáty využívajú svoje kybernetické schopnosti. Čo ale OBSE dosiahla je, že vytvorila systém takzvaných opatrení na budovanie dôvery (OBD). Tie dovoľujú venovať sa otázke využívania počítačových spôsobilostí a diskutovať o tom, čo v konečnom dôsledku táto oblasť znamená pre medzinárodnú bezpečnosť.

OBSE vytvorila 16 takýchto opatrení, ktoré sú navrhnuté tak, aby znížili riziko konfliktu. Ide v podstate o to, ako „prekonať“ kybernetické aktivity, ktoré sa vymknú spod kontroly.

O aké nástroje konkrétne ide?

16 opatrení na budovanie dôvery sa dá rozdeliť do troch balíkov. V prvom z nich ide o opatrenia týkajúce sa transparentnosti a istého postoja štátov. V prípade incidentov, pri ktorých je treba posúdiť, kto by za ním mohol potenciálne byť sú potrebné najmä informácie o týchto štátoch a o ich chápaní kyberbezpečnosti, či o tom, kde majú nakreslené červené čiary. Takáto znalosť potom pomáha vytvoriť obraz o hráčovi v kybernetickom priestore, a práve OBD aktívne podporuje ich zdieľanie.

Druhý balíček predstavuje oblasť komunikačných kanálov. Základom je vytvoriť špecializované kanály na riešenie určitých vysoko citlivých incidentov a počítačovej kriminality, ktoré by mohli destabilizovať vzťahy medzi štátmi. Každý štát preto navrhol kontaktnú osobu na politickej úrovni, ktorá by bola prvá, ktorej sa pri incidente volá.

Zamknutá plechová skriňa vs. dátové centrum: Najväčšou hrozbou je zlyhanie ľudského faktora

V čase, keď sa elektronizuje ďalšia zo základných služieb štátu – zdravotníctvo, je treba myslieť aj na jej bezpečnosť. V kybernetickej oblasti sa ale tradične najpomalšie prispôsobuje ľudský faktor, ktorý zároveň predstavuje aj jedno z najväčších rizík v bezpečnosti.

Kto sú tieto osoby a kde sú v štátnych štruktúrach umiestnené?

Umiestnenie závisí od štátu, hoci mnohé krajiny poskytli kontakty z ministerstva zahraničných vecí. Niektoré štáty napríklad pri rezorte diplomacie vymenovali kybernetických veľvyslancov.

V prípade, že incident je takého rozsahu, že si vyžaduje pozornosť zákonodarcov, vieme práve tento druh komunikačného kanálu využiť. Vo všeobecnosti nejde o priame obvinenie, ale o snahu zistiť, čo sa deje, poskytnúť vlastné dôkazy a debatovať o tom, o čo vlastne v konkrétnom incidente ide.  V istom zmysle teda existuje akási horúca linka 21. storočia a funguje takmer vo všetkých členských štátoch OBSE.

Ktoré štáty sa na nej nezúčastňujú?

To by som nerád špecifikoval.

No práve tretí balík opatrení sa týka vytvárania dôvery medzi štátmi. Byť dobrým susedom v oblasti kybernetickej bezpečnosti znamená, že nie ste najslabším článkom. V tejto oblasti totiž môžete spôsobiť škody aj bez zlých úmyslov práve tak, že budete najslabším článkom. Príkladom je, keď kyberkriminálnici ľahko presmerujú tok dát cez takúto krajinu. Opatrenia preto zaväzujú štáty v snahe dosiahnuť určitý štandard vlastnej odolnosti. Tým potom dodávajú istotu ostatným v tom, že oni nie sú najslabším článkom. Prinajmenšom vedia, ako zvládnuť a riešiť následky kybernetického incidentu, ktorý by sa mohol prejaviť aj v iných krajinách v regióne.

Vytvára takáto platforma aj priame prepojenie takých kybernepriateľov ako Washington a Moskva, nakoľko sú obe veľmoci súčasťou OBSE?

Určite. Rusko a Spojené štáty však majú výborne nastavené aj vlastné bilaterálne kanály a procedúry. V rozsahu platformy OBSE sa stretávajú minimálne štyrikrát do roka v rámci našich pracovných skupín. Ich delegácie potom diskutujú o implementácii OBD a ďalších politických detailoch, ktoré treba pre pravidelnú spoluprácu doladiť.

Pridelenec z FBI: Je fenomenálne, že krajiny Únie začali v kyberbezpečnosti spolupracovať

Spolupráca medzi krajinami Únie a Spojenými štátmi v oblasti kybernetickej bezpečnosti napreduje. Legislatívne bariéry, ale aj pretrvávajúca nedôvera medzi krajinami však vytvárajú priestor pre online kriminálnikov. Diery v jurisdikcii už odhalili.

Teoreticky to znie výborne, v praxi to ale musí byť omnoho problematickejšie, nakoľko práve pri vymožiteľnosti práva a informácii v oblasti kyberbezpečnosti sa štáty zatiaľ nenaučili zdieľať informácie.

Otázka toho, ktoré informácie môžete alebo nemôžete zdieľať, sa týka najmä oblasti transparentnosti. Zdieľanie informácií totiž v každom prípade vytvára lepší východiskový bod s tým, že sa krajina stáva lepším kybernetickým susedom. Je v záujme štátov takýchto susedov mať a sami nimi byť.

Samozrejme, existujú právne a rámcové prekážky, ktorým sa potrebujeme venovať, no už sme si ich zadefinovali. Jedno z opatrení sa dokonca špecificky venuje práve potrebe implementovať národnú legislatívu o efektívnom riešení kriminálneho zneužívania internetu.

O čiernych ovciach nám nepoviete, môžete ale špecifikovať úspešné štáty?

Poviem vám len, že je povzbudivé, že každý región má takéhoto reprezentanta.

Zaznamenávate, že sa téma kybernetickej bezpečnosti skutočne dostala na najvyššie politické úrovne, alebo sa o tejto oblasti stále rozprávajú najmä isté technologicky zdatné „elity“?

Je to ťažké, ale sme na dobrej ceste. Jedným z faktorov, ktoré sa zmenili je vnímanie. Keď som pred niekoľkými rokmi začínal, medzi lídrami existovalo len malé pochopenie pre túto tému. Úprimne, mnohí boli vystrašení, pretože si viacerí mysleli, že ide o čosi výsostne technické. No práca OBSE vôbec nie je technická, je čisto politická.

Napríklad, počas talianskeho predsedníctva sme na konferencii v Ríme zorganizovali workshop so simulovanou aktivitou, pri ktorej sa zástupcovia štátov mali rozhodnúť, ktorý scenár a reakciu voliť. Bolo zaujímavé sledovať obraz, ktorý vytvárali, kto stál na ktorej strane a ako reagovali. V neposlednom rade sme ale zvýšili povedomie o kyberbezpečnosti medzi politickými zástupcami.

Slovensko preberá ročné predsedníctvo v OBSE už 1. januára. Aké oblasti v kybernetickej bezpečnosti by malo z vášho pohľadu pokryť?

Z pohľadu sekretariátu OBSE bude dôležité zamerať sa na progres v oblasti implementácii opatrení. Sú unikátne, možno novátorské, no keď sa prizriete bližšie, kto sedí pri rozhodovaní v OBSE za stolom, je skutočne významné aký pokrok tieto krajiny urobili. Aby sme objasnili postupy, výhody aj následky, musíme uviesť tieto kanály do chodu.