Kyberbezpečnosť na Slovensku, v Európe a za Atlantikom: Nastavenie a výzvy

Kybernetické útoky stoja globálnu ekonomiku až 400 miliárd eur ročne. [Pixabay/CeruleanSon]

English

Do sietí ukladáme stále viac dát, no obavy o to, čo sa s nimi môže stať, nás zatiaľ nepresvedčili. Hrozby ich zneužitia sú pritom obrovské. Ako sa nám darí kybernetický priestor chrániť na Slovensku, v Únii a naprieč Atlantikom?

Rozvoj digitalizácie prináša so sebou ekonomické výhody, ale aj kyberbezpečnostné výzvy. Kriminálnici v kybernetickom priestore prichádzajú takmer denne s kreatívnejšími a novšími technikami, ktoré im umožňujú vyhnúť sa nielen detekcii, ale aj právnym následkom.

Hackeri v súčasnosti dokážu denne ukradnúť v priemere až päť miliónov rôznych dát, pričom až 75 percent z nich sa zameriava na osobné údaje osôb a zneužitie ich identifikácie. Odhaduje sa, že kybernetické útoky stoja globálnu ekonomiku až 400 miliárd eur ročne.

Navyše, uchránené nie sú ani malé krajiny ako Slovensko, o čom svedčí nielen minuloročný úrok ransomwerom WannaCry na Fakultnú nemocnicu v Nitre, ale aj najnovší útok na ministerstvo zahraničných vecí, ktoré odhalili vojenskí spravodajcovia len tento týždeň (17. októbra).

Európska únia: Globálny hráč sa musí vedieť brániť

Podľa Európskej komisie je napriek rastúcemu počtu a sofistikovanosti hrozieb v európskych krajinách stále nedostatočné povedomie o kybernetickej bezpečnosti. Až 51 percent Európanov sa cíti byť neinformovaných o kybernetických hrozbách a 69 percent spoločností priznáva, že má základné alebo žiadne porozumenie v oblasti počítačových rizík.

Aktivity Európskej únie vo sfére kybernetickej bezpečnosti možno zaradiť do troch oblastí. Brusel sa zaoberá otázkami kybernetických zločinov (vrátane detskej pornografie, či platenie za odblokovanie dát hackerom), kybernetických útokov (ako narušenie plynulosti prepravných sieti v meste), a dezinformačných kampaní. Zločiny a útoky sa v mnohých oblastiach prekrývajú a v kybernetickom priestore sú ohraničené používaním elektroniky a využívaním dát.

Väčšina kybernetických hrozieb, ktorej v poslednom roku čelili európske krajiny, prichádzali buď priamo z „domáceho – národného trhu“ alebo z inej Európskej krajiny. Rakúsko, Nemecko, Maďarsko, Taliansko, Španielsko a Spojené kráľovstvo zaznamenali najvyššie počty emailov, obsahujúcich škodlivé softvéry.

Kybernetických útokov pribúda, tretine krajín Únie už ohrozili kritickú infraštruktúru

Najnovšia štúdia Europolu tvrdí, že útoky na internete sú svojou sofistikovanosťou, no zároveň lepšou dostupnosťou stále ťažšie rozpoznateľné. Najviac útokov na európske krajiny a spoločnosti prichádzalo v minulom roku priamo z Európy.

Ohrozovanie kritickej infraštruktúry kvôli kybernetickému útoku zachytila v minulom roku až tretina členských štátov EÚ. Hoci nie vždy išlo o jej priame cielenie, ovplyvňovali ju útoky na kritické priemyselné odvetvia, vrátane zdravotníctva, dopravy a telekomunikácií.

Začiatky už v 90-tych rokoch

Únia najintenzívnejšie mobilizovala sily v oblasti kybernetickej bezpečnosti pred vyše desaťročím po veľkom hackerskom útoku v Estónsku v roku 2007, hoci prvýkrát sa o téme debatovalo v deväťdesiatych rokoch  na konferencii o dozore nad internetom. Ako strategická výzva sa v európskych dokumentoch objavila téma v roku 2008.

legislatíva z roku 2013 ako prvá v Únii sčasti nielen harmonizovala zákony členských krajín, ale aj tresty za kybernetické zločiny. V súčasnosti tvorí základ európskej regulácie, ktoré boli implementované aj do národných legislatív členských štátov štyri legislatívne dokumenty: Regulačný rámec pre elektronické komunikácie z roku 2009, Smernica o platobných službách z roku 2015, ktorá sa týka najmä subjektov s bankovou licenciou, ďalej Všeobecné nariadenie o ochrane údajov, známe GDPR a takzvaná NIS Directive, teda smernica o bezpečnosti sietí a informácií.

Zamknutá plechová skriňa vs. dátové centrum: Najväčšou hrozbou je zlyhanie ľudského faktora

V čase, keď sa elektronizuje ďalšia zo základných služieb štátu – zdravotníctvo, je treba myslieť aj na jej bezpečnosť. V kybernetickej oblasti sa ale tradične najpomalšie prispôsobuje ľudský faktor, ktorý zároveň predstavuje aj jedno z najväčších rizík v bezpečnosti.

Legislatíva GDPR je v Únii v platnosti od mája 2018 a vo všeobecnosti je dnes považovaná za prelomovú. Oznamovanie narušenia bezpečnosti dát je na jej základe právnou požiadavkou v celej EÚ. Narušenie systému a ohrozenie osobných údajov v nich musí byť okrem iných požiadaviek legislatívy ohlásené príslušným orgánom do 72 hodín. V extrémnych prípadoch môže pokuta za nesplnenie tejto povinnosti dosiahnuť až 20 miliónov eur, či štyri percentá ročného celosvetového obratu spoločnosti. Podľa analytikov je jej najväčšou výhodou to, že poskytovatelia služieb po prvýkrát preberajú zodpovednosť v oblasti manažmentu rizík.

NIS Directive je v EÚ rovnako v platnosti od mája. Posilňuje kybernetickú bezpečnosť v kritických odvetviach, ktoré sa vo veľkej miere spoliehajú na informačno-komunikačné technológie, teda pri  základných službách – ako dodávky vody, či elektriny – a digitálnych službách. Všetky členské štáty majú na jej základe povinnosť prijať národnú stratégiu v oblasti bezpečnosti sietí a informačných systémov, vďaka ktorej si určia ciele aj spôsoby, ako ich naplniť. Rovnako majú zabezpečiť vytvorenie orgánov, ktoré budú zodpovedať za riešenie rizík a incidentov, takzvané jednotky CSIRT. Tím pre počítačové núdzové reakcie (CERT-EU) má Únia k dispozícii na základe rozhodnutia z decembra 2017.

Nové právne predpisy, týkajúce sa neoprávneného získavania dát a údajov, budú podľa Europolu v budúcnosti pravdepodobne viesť k rozsiahlejším povinnostiam oznamovať trhliny a porušenia bezpečnostných systémov. Aj v tomto prípade ale podľa agentúry platí, že pri menšom množstve údajov, ktoré sú verejne k dispozícii, a pri posilňovaní ich ochrany, budú chránené dáta ešte cennejšie a teda zaujímavejšie pre hackerov.

Budúcnosť v celoeurópskej legislatíve

V septembri 2018 začala Rada a Európsky parlament vyjednávania, ktoré by mali byť zavŕšené prijatím istej spoločnej európskej kyberbezpečnostnej legislatívy.

Európska komisia, ktorá balíček schválila koncom roka 2017 očakáva, že by k tomu mohlo dôjsť ešte tento rok. Základom má byť zavedenie celoeurópskeho certifikačného rámca pre produkty, služby a procesy v informačnokomunikačných technológiách a zlepšenie postavenia agentúry EÚ pre bezpečnosť sietí a informácií (ENISA). Súčasťou bude aj celoeurópska kyberbezpečnostná stratégia.

V budúcom roku by k GDPR legislatíve mala ešte pribudnúť aj oblasť elektronických osobných údajov, ktorú pokryje takzvaná ePrivacy.

Európske výzvy

Súčasnými výzvami v oblasti legislatívy ostáva pre Úniu prístup k evidencii v prípadoch, ktoré prekračujú hranice, a to nielen hranice Schengenu, ale aj vnútorné hranice Európskej únie. Členské krajiny majú totiž problémy získavať aj informácie, uložené v inej členskej krajine.

Omnoho problematickejšie je to ale v krajinách mimo EÚ, a to nielen s ich vládami, ale aj so spoločnosťami, sídliacimi mimo Únie. Legislatívna diera však spôsobuje problémy na oboch stranách Atlantiku. Americká vláda napríklad v súčasnosti žaluje spoločnosť Microsft za to, že odmieta odovzdať dáta, ktoré sú uložené v Írsku.

Problematickou ostáva aj otázka štátom sponzorovaného kybernetického zločinu. Ich počet sa na celom svete zvyšuje a podľa mnohých analytikov kybernetická vojna už dávno prebieha. Európska únia zatiaľ nemá ani stratégiu na to, ako v nej bojovať, a už vôbec nie „vojsko“ expertov a potrebné spôsobilosti a kapacity na to, aby silnejším nepodľahla. Brusel zatiaľ presne nevie, čo kybernetický útok znamená, ako sa mu vyhnúť, ako sa s ním vysporiadať a ani to, kto bude zodpovedný za reakciu naň.

Doma si Únia musí osvojiť intenzívnejšie aktivity v oblasti manažmentu rizík, vrátane ich posúdenia, analýze ich úrovní, až po vytvorenie balíčka nástrojov, ktoré zmiernia ich následky. Analytici navrhujú rozširovanie obranných kapacít, či vytvorenia poisťovacej schémy, ktorá funguje napríklad v Spojených štátoch amerických.

Keď firmy vytvoria vlastné kyberbezpečnostné tímy, voči zvyškovému riziku sa môžu poistiť

Volebné zásahy, falošné správy, hyberstraníckosť, ransomwary, odmietanie vstupu a služby, kybernetický terorizmus…. Vitajte v novej, normálnej Európe, píše PHILIPPE COTELLE.

Transatlantické partnerstvá Únie

Európska únia v oblasti kybernetickej bezpečnosti podporuje Chartu OSN a ako doplnok k záväznému medzinárodnému právu pristúpila aj na dobrovoľné dodržiavanie nezáväzných noriem, pravidiel a zásad, ktoré formulovala skupina vládnych expertov v organizácii.

Rovnako podporuje rozvoj a implementáciu opatrení ďalších organizácii podobného charakteru, napríklad OBSE. Na bilaterálnej úrovni však najaktívnejšie v oblasti kybernetickej obrany spolupracuje so Severoatlantickou alianciou a Spojenými štátmi.

Napredujúca spolupráca EÚ a NATO

O tejto spolupráci sa sprvoti viac hovorilo, ako reálne konalo. Od roku 2010 sa pravidelne, no neformálne stretávali štáby oboch inštitúcii, s cieľom rozvíjať vlastné kapacity. Až Technická dohoda o kybernetickej obrane z roku 2016 otvorila dvere k spoločným aktivitám oboch entít. Spoločná deklarácia z júla toho istého roku zarámcovala štyri oblasti spolupráce. Ide o integrovanie kybernetickej obrany do misií a operácii, ďalej tréning a vzdelávanie, spoločné cvičenia a nakoniec štandardizácia.

Pridelenec z FBI: Je fenomenálne, že krajiny Únie začali v kyberbezpečnosti spolupracovať

Spolupráca medzi krajinami Únie a Spojenými štátmi v oblasti kybernetickej bezpečnosti napreduje. Legislatívne bariéry, ale aj pretrvávajúca nedôvera medzi krajinami však vytvárajú priestor pre online kriminálnikov. Diery v jurisdikcii už odhalili.

Aj v tejto oblasti však Únia a Aliancia majú obrovský priestor na zlepšovanie. Najnákladnejšími výzvami, ktorým čelia, je v prvom rade nedostatok zdieľania informácii a stále nedostatočne vybudovaná dôvera.

Nerovná, často neporovnateľná úroveň jednotlivých členských krajín oboch entít je druhou výzvou, ktorá si bude opäť vyžadovať postupnú harmonizáciu, financie, ale najmä čas.

Najviac kritizovanou však ostáva oblasť spoločných cvičení, tréningov a vzdelávania. Hoci je súčasťou rámca spolupráce, v aktívnej spolupráci medzi EÚ a NATO stále chýba. Nedostatočné je podľa pozorovateľov základné zdieľanie overených praktík, či fungujúcich politík.

Najstarší partner: USA

Najstarším bilaterálnym partnerom s nesporne najrozvinutejšou formou spolupráce v oblasti kybernetickej bezpečnosti ostávajú Spojené štáty americké. Prvá spolupráca sa datuje už na začiatok nového milénia, kedy v roku 2000 vznikla spoločná európsko-americká Pracovná skupina na ochranu kritickej infraštruktúry.

Základom dnešného partnerstva je Pracovná skupina pre kybernetickú bezpečnosť a kybernetickú kriminalitu (WGCC). Partneri uskutočnili prvé cvičenie v roku 2011, pričom išlo o aktivitu, v ktorej bol prvýkrát zapojený aj neeurópsky partner.

Americko-európske partnerstvo v oblasti kyberbezpečnosti navyše v rozsiahlom meradle dopĺňajú aj oblasti výskumu, technológie a inovácii.

Výzvami spolupráce ostáva aj v tomto prípade dôvera. Najmä po odhaleniach, ktoré verejnosti predstavil Edward Snowden sa Európania pozerajú na prehlbovanie spolupráce s USA skeptickejšie a aj s nadhľadom.

Pentagon chce na kybernetickom poli prejsť do ofenzívy

Americké ministerstvo obrany zastáva voči zahraničným hackerom stále agresívnejší postoj. Na základe najnovšej stratégie posúva napríklad armáde autoritu odštartovať vlastný kybernetický útok.

Slovensko: Povedomie stúpa každým útokom

Na Slovensku vo všeobecnosti stúpa povedomie o témach bezpečnosti v online priestore. Napríklad informácie o osobných údajoch a ich ochrane sa podľa štúdie Úradu na ochranu osobných údajov Slovenskej republiky výrazne zvýšilo. „Ľudia sú si oveľa viac vedomí svojich práv a neboja sa v praxi vyžadovať ich plnenie,“ povedala pre TASR šéfka Úradu, Soňa Pőtheová.

Kybernetickú bezpečnosť vníma ako jeden z kľúčových komponentov bezpečnosti štátu aj slovenská vláda. Jej koncept vychádza z dokumentov NATO, EÚ, OECD aj OSN. Ministerstvo obrany ju dokonca považuje za jednu z troch vlastných priorít.

Po nedávnom útoku na počítače ministerstva zahraničia, ktoré v polovici októbra odhalilo vojenské spravodajstvo a klasifikovalo ako kybernetický útok zo zahraničia, potvrdil aj premiér Peter Pellegrini, že kybernetické útoky nie sú len fiktívnou hrozbou. Spolu s kabinetom plánuje preto „masívne investície do kybernetickej ochrany“.

Pomalý rozbeh

Slovenská republika ešte v roku 2015 nemala formálne ustálenú terminológiu v oblasti kybernetickej bezpečnosti a pojem kybernetický sa nevyskytoval v žiadnom všeobecne záväznom právnom predpise.

Prvé dokumenty, ktoré Slovenská republika v súvislosti s kybernetickou bezpečnosťou prijala, boli Národná stratégia pre informačnú bezpečnosť v Slovenskej republike, schválený vládou v roku 2008, a nadväzujúci Akčný plán na roky 2009 až 2013.

hodnotení prvého Akčného plánu zaostávala krajina zaostávala najmä vo zvyšovaní povedomia a vzdelávania a v odbornej príprave špecialistov. Rôzna bola úroveň pripravenosti a spôsobilosti čeliť kybernetickým hrozbám a správa konštatovala, že chýbajúcou inštitúciou je aj Centrum výnimočnosti, ktoré by sa témam kyberbezpečnosti špecificky venovali. Rozvinutá stále nebola ani spolupráca verejného sektora so súkromným sektorom, akademickou sférou, ako aj občianskou spoločnosťou.

V Správe o bezpečnosti Slovenskej republiky za rok 2013, zverejnenej v júni 2014, vláda avizovala vypracovanie slovenského konceptu v tejto oblasti. Ten zaviedol štruktúru riadenia, kde sa ústredným orgánom stal Národný bezpečnostný úrad.

V jeho pôsobnosti sa ocitla nová Národná jednotka pre riešenie incidentov, takzvaný národný CERT/CSIRT. Ministerstvo financií, ktoré dovtedy kyberbezpečnosť z veľkej miery zastrešovalo, malo vtedy už fungujúci Computer Security Incident Response Team Slovakia, známy ako CSIRT.SK, pričom časť jeho agendy prešla so vznikom CERT-u na tímy NBÚ. Národný CSIRT je dnes organizačným útvarom Úradu podpredsedu vlády pre investície a informatizáciu.  V súčasnosti má Slovenská republika podľa certifikácie TF-CSIRT deväť tímov, ktoré bezpečnostné incidenty v kybernetickom priestore monitorujú a riešia.

Štruktúra riadenia na Slovensku. [Národná stratégia pre IB.]

Prelomový zákon

Nový zákon o kybernetickej bezpečnosti vstúpil na Slovensku do platnosti začiatkom marca tohto roka, účinný je od 1. apríla. Príprava legislatívy bola podľa odborníkov zložitá, nakoľko sa do nej nezapojili len úradníci a experti zo štátnej správy, ale aj akademická obec a odborníci z mimovládneho sektora.

Prijatie legislatívy je nateraz považované za úspech. Dokladá to aj štúdia estónskej neziskovej organizácie e-Governance Academy Foundation, podľa ktorej je Slovensko na vrchole Národného indexu kybernetickej bezpečnosti (NCSI).

Legislatíva, ktorá je z väčšej časti transponovaná z nariadení a odporúčaní Bruselu, vymedzuje najmä doteraz chýbajúce základné pojmy v kyberbezpečnosti. Za východiskový strategický dokument ustanovuje Národnú stratégiu kybernetickej bezpečnosti.

Aktuálnymi strategickými dokumentami pre oblasť kybernetickej bezpečnosti sú dnes Koncepcia kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020 a akčný plán jej realizácie. Podľa nich chce Slovenská republika mať do roku 2020 k dispozícii inštitucionálny a právny rámec kybernetickej bezpečnosti, rozpracovať a aplikovať základné mechanizmy zabezpečenia správy kybernetického priestoru, pripraviť a zaviesť systém vzdelávania, ako aj kultúru riadenia rizík a systému komunikácie medzi rôznymi zainteresovanými stranami.

Výzvy pre Slovensko

Z diskusií, debát a intenzívneho monitoringu slovenskej kyberbezpečnostnej scény vyplýva, že výziev v kybernetickej bezpečnosti Slovenska, ktoré navzájom úzko súvisia, je niekoľko:

  • Nedostatočne informovaná verejnosť

Napriek tomu, že povedomie o kybernetických hrozbách podľa Eurostatu narastá aj na Slovensku, rýchlosť s akou sa to deje nestačí na rýchlosť vývoja technológií či samotných hrozieb. Informovanosť o ich existencii a spôsoboch, ako sa hrozbám brániť, odborníci považujú za prierezovú oblasť nielen v rámci rôznych vekových skupín obyvateľstva, ale aj rôznych zainteresovaných aktérov, vrátane súkromnej sféry, štátu a neziskových, či nevládnych organizácii.

Zaujímavým je napríklad fakt, že slovenskí zástupcovia sa už niekoľko rokov pravidelne zúčastňujú na medzinárodných kybernetických cvičeniach ako Cyber Coalition, Locked Shields, Cyber Europe, či ďalšími a mnohokrát zabezpečili krajine aj prestížne ocenenia v tejto oblasti. Hoci slovenskí odborníci zaznamenávajú na medzinárodnom poli uznanie za svoje schopnosti a kapacity, verejnosť o nich vie len málo. Dôvera v schopnosť verejnej správy ubrániť miestnu infraštruktúru aj pre to nie je veľká.

  • Vzdelávanie a odborníci v oblasti kybernetickej bezpečnosti

V súvislosti s rastom všeobecného povedomia bezprostredne súvisí vzdelávanie. Podľa odborníkov sa ale nemá limitovať len na základné, či stredné školy, ale malo by sa stať súčasťou celoživotného vzdelávacieho systému.

Podľa prorektora Univerzity Komenského v Bratislave pre IT, Daniela Olejára sa ukazuje, že informačná bezpečnosť nie je štúdium pre pre-graduálne štúdium, ale že je „potrebné pripraviť technické základy v pre-graduáli, a následne upraviť systém celoživotného vzdelávania, podľa toho, čo firmy a ľudia potrebujú v praxi“.

Na Slovensku vznikol od 1. septembra 2018 aj prvý pomaturitný študijný odbor Špecialista informačnej bezpečnosti. Vyšší odborný program, ktorý otvorila Stredná odborná škola Ostrovského 1 z Košíc, trvá tri roky a končí sa absolventskou skúškou s titulom Diplomovaný špecialista.

Ak chcú firmy odborníkov na kybernetickú bezpečnosť, myslieť musia aj na ich školiteľov

Najúspešnejší študenti odchádzajú do zahraničia, najaktívnejších vyučujúcich lákajú súkromné firmy. Prestaňme sa hrať propagandistické koalície a odpovedzme si na otázku, či chceme mať informatikov alebo stačia preškolení sociálni pracovníci, nabádajú učitelia technických odborov.

Vzdelávanie odborníkov na kybernetickú bezpečnosť, ktorí by mohli túto tému vyučovať ďalej nielen v rámci škôl, ale aj v rámci celoživotného vzdelávania, rovnako na Slovenku stagnuje. Potenciálnych kandidátov z inštitúcií sťahuje najmä súkromný sektor, ktorému zase takáto pracovná sila na trhu chýba. Motivácie ako uplatnenie, kariérny rast, či financie slovenské školstvo nedokáže vyučujúcim ani potenciálnym učiteľom zabezpečiť.

  • Kapacity národných orgánov a ich koordinácia

Nadväzujúcou výzvou je aj kapacita národných orgánov. Tie rovnako pociťujú nedostatok kvalifikovaných odborníkov vo svojich radoch. Zároveň sa ale na nich spúšťa kritika zvonka. Po prvé, kybernetická bezpečnosť predstavuje na Slovensku prierezovú tému, ktorú okrem ministerstva vnútra a obrany, zastrešuje aj Úrad podpredsedu vlády pre investície a informatizáciu, čiastočne rezorty školstva, financií a ďalšie podriadené organizácie. Tradične sa tu naráža na nedostatočnú spoluprácu a koordináciu medzi všetkými zainteresovanými stranami.

Po druhé, kritici slovenských kyberbezpečnostných inštitúcii napríklad tvrdia, že NBÚ komunikuje s verejnosťou, expertami aj biznisom príliš jednostranne.

  • Chýbajúca tvár

Prierezovosť témy kybernetickej bezpečnosti, ku ktorej má v slovenskej štátnej správe čo povedať množstvo predstaviteľov navyše nemá ani konkrétneho lídra. Verejnosť, či podnikateľský sektor, nepoznajú tvár slovenskej kyberbezpečnosti, podobne, ako sa to čoraz častejšie deje v zahraničí, na čo upozorňuje odborná verejnosť aj súkromné firmy.

English