Čo čaká kybernetickú bezpečnosť na Slovensku?

Po júnovom prijatí Koncepcie kybernetickej bezpečnosti SR na roky 2015-2020 čaká oblasť informačných technológií kľúčové obdobie. Nadväzujúci akčný plán už v novembri vstúpi do legislatívneho procesu. Zákon o kybernetickej bezpečnosti by sa na rokovanie vlády Slovenskej republiky  mal dostať vo februári 2016.

Počas rýchleho sledu noviniek v oblasti kybernetickej bezpečnosti pribudne tiež oficiálna platforma na spoluprácu štátu, akademickej obce a súkromného sektora. Tá by mohla byť čiastočným riešením na problém ako dostať do služieb štátu správnych ľudí.

Zlepšenie spolupráce medzi verejným a súkromným sektorom

„Vo verejnej správe musia mať ľudia inú motiváciu pracovať ako len pre financie“, uviedol šéf právneho oddelenia spoločnosti ESET Peter Kováč. Finančne podľa neho štát nedokáže konkurovať a súkromné spoločnosti špičkových odborníkov radi prijmú. „Nemáme žiadne ilúzie, že by sa to v tejto oblasti v budúcnosti mohlo diať ináč“, uznal riaditeľ sekcie informačnej bezpečnosti a elektronického podpisu Národného bezpečnostného úradu (NBÚ) Mário Italy.

Štát a súkromný sektor si nemajú konkurovať, ale spolupracovať. Italy vysvetlil, že firmy potrebujú mať v štáte partnera, s ktorým sa dá komunikovať. Vyškolený odborník pracujúci pre štát ihneď pritiahne záujem súkromného sektora, no predstaviteľ NBÚ verí, že v tomto smere dá nájsť zhoda. Existujú akreditované odbory, štúdiá a podporu vzdelávania deklaruje aj Koncepcia kybernetickej bezpečnosti SR ako aj zúčastnení zástupcovia štátu či súkromných spoločností.

Je menej regulácie viac?

Riaditeľ firmy Citadelo Tomáš Zaťko ocenil deklaráciu spolupráce vo forme pripravovanej Komisie kybernetickej bezpečnosti. Upozornil však, že nedávno prácu spoločností, ktoré pôsobia v IT oblasti, skomplikoval zákon o ochrane súkromia pred neoprávneným použitím informačno-technických prostriedkov.

„Držba veľkej časti nástrojov, ktoré my používame pri našej práci a takisto na výskum, sa stane nelegálna, prípadne sa dostane do šedej zóny,“ vyhlásil Zaťko. ESET čelí podobnú problému, vyhovovali by im preto prijatie zásady mass market exception, bežné rozšírené a legálne prostriedky by teda mali byť z kontroly vylúčené.

Podobným problémom sa má zákon o kybernetickej bezpečnosti vyvarovať, mal by preto citlivo zvažovať akékoľvek reštrikcie. „Som zástancom regulácie na minimálnej úrovni,“ povedal na margo pripravovaných legislatívnych úprav zástupca spoločnosti ESET Peter Kováč. Ako problém vníma aj stabilitu legislatívy. Ani časté novelizácie, ani príliš rigidný text nie je vhodný, hovorí Mário Italy. NBÚ preferuje minimalistický zákon. Podrobnosti  by mali upraviť až vyhlášky, resp. štandardy. Slovensko môže využiť aj skúsenosti Českej republiky, Nemecka či Francúzska.

Ako ďalej?

Tomáš Zaťko varoval, že ani dobré pôvodné nastavenie systému kybernetickej bezpečnosti nemusí stačiť. Na nové poznatky v oblasti treba reagovať. Mechanizmy by už teraz mali obsahovať niečo, čo zabezpečí ich postupnú revíziu.

Ďalšou veľmi aktuálnou výzvou je zvyšovanie dôvery občanov v informačné technológie. Aktivita podporená stratégiou zatiaľ chýba. Zástupcovia súkromného sektora sa zhodujú, že šírenie osvety a informovanie verejnosti o bezpečnostných incidentoch a udalostiach  je stále veľmi dôležité.

Zahraničné firmy mávajú lepšie výsledky penetračných testov. Bezpečnostné incidenty častokrát majitelia ani nechcú riešiť policajným vyšetrovaním. Peter Kováč pripomenul, že nedávno sa na vybavenie počítačového zločinu s nasadením kriminalistických informatikov čakalo jeden a pol roku. Útoky sú pritom čoraz viac cielené a sofistikované. „Ukazuje sa ako nevyhnutné zavedenie jednotného systému reakcie bez ohľadu na to, o akú infraštruktúru ide,“ vyhlásil na záver podujatia Mário Italy.