Ako jedna z najnebezpečnejších celospoločenských hrozieb sa javí kybernetická kriminalita, ktorá svojimi špecifickými formami je spôsobilá priamo znefunkčniť ekonomiku celého štátu, vrátane jeho kritickej infraštruktúry (str. 23).
Je potrebné vyzdvihnúť, že vláda pripisuje boju s kyberkriminalitou opodstatnený význam. V realite, v ktorej už včera bolo neskoro, je dôležité motivovať sa slovami „radšej neskoro, ako nikdy“.
Vyšetrovanie kriminality páchanej pomocou informačných technológií je v pôsobnosti odboru odboru počítačovej kriminality Úradu kriminálnej polície Prezídia Policajného zboru. Ten začal svoju činnosť už v roku 2013, avšak, ako upozorňujú aj odborníci, ani za sedem rokov sa mu nepodarilo stabilizovať a dostatočne posilniť svoje kompetencie. Podstatný je aj rozvoj jeho personálnych a odborných kapacít, a to najmä v spolupráci s akademickými inštitúciami.
PVV oprávnene definuje ako jeden z najohrozenejších referenčných objektov ekonomiku štátu, avšak od minulého roka je agendou odboru počítačovej kriminality aj kriminalita rasovej a xenofóbnej povahy v kyberpriestore. Napriek tomu, že dôsledky v tomto prípade nemusia byť devastačné, ide o jednu z najfrekventovanejších hrozieb. Zdá sa však, že jej stále nie je venovaný potrebný priestor a k mitigácii množstva nenávistných prejavov na sociálnych sieťach dochádza len nepatrne. Polícia by preto mala zefektívniť komunikáciu o dôsledkoch rasistického či xenofóbneho vyjadrovania na internete a predísť tak vnímaniu online priestoru ako bezpečného prístavu bez stanovených pravidiel.
Na zváženie ostáva prehodnotenie súčasnej legislatívnej úpravy kriminality páchanej prostredníctvom alebo v kyberpriestore. Pojmy počítačovej kriminality doposiaľ neboli zákonom definované, taktiež chýba explicitná právna kvalifikácia takýchto priestupkov či trestných činov. Žiada sa otvorenie otázky o posunutí vnímania činov kyberkriminality ako digitálnych verzií trestných činov v skutočnom živote. Trestný zákon totiž dnes pozná iba ich skutkové podstaty – v praxi je phishing kvalifikovaný väčšinou ako podvod. Táto právna úprava taktiež otvára možnosť na skresľovanie štatistík kyberkriminality.
Pri potláčaní kybernetickej kriminality ako celospoločenskej hrozby je nevyhnutné, aby špecializovaný policajný útvar spolupracoval s dotknutými štátnymi orgánmi, najmä s Národným bezpečnostným úradom, so Slovenskou informačnou službou a s Vojenským spravodajstvom (str. 23).
Vláda SR posilní inštitucionálnu spoluprácu SIS ako všeobecnej bezpečnostnej a spravodajskej služby s PZ SR a ostatným zložkami bezpečnostného systému SR, vrátane technických a informačných podmienok vzájomnej spolupráce (str. 28).
Neefektivita spolupráce polície so spomínanými štátnymi orgánmi je dlhodobo daná oklieštenou legislatívou, ako aj horizontálnym spôsobom fungovania útvarov, ktorá komplikuje ich vzájomnú komunikáciu alebo, naopak, umožňuje neoprávnené vynášanie informácií. Je preto žiaduce, aby došlo k posilneniu oficiálnych komunikačných kanálov a činnosti koordinačných medzirezortných skupín.
Reagujúc na problematiku kyberkriminality, agenda odboru počítačovej kriminality sa zo svojej podstaty prekrýva s útvarmi v rámci Národného bezpečnostného úradu (NBÚ) a spravodajských služieb, ktoré sú dedikované na zabezpečenie kyberpriestoru či na obranu štátu pred kybernetickými hrozbami. Organizovaná kyberkriminalita, kyberterorizmus a hrozby hybridného charakteru majú potenciál ohroziť kritické fungovanie štátu a kvalitu každodenného života obyvateľov Slovenskej republiky. Z toho dôvodu je slabá spolupráca medzi relevantnými útvarmi neobhájiteľná.
Zároveň platí, že boj s rôznymi formami kyberkriminality je potrebné viesť na medzirezortnom bojisku. Vláda by mala podporovať zriaďovanie a akreditáciu CSIRT jednotiek pre viaceré sektory verejnej správy – v kontexte koronakrízy sa ukazuje napríklad zmysel samostatnej jednotky zodpovednej za zdravotníctvo.
Namieste je taktiež otvorenie debaty o reformulácii všeobecnej zákonnej úpravy, v súlade s ktorou nie sú poznatky spravodajských služieb získané nezákonnou cestou určené na využitie v trestnom konaní ako dôkazový materiál. Zaobstaranie dôkazov musí prebiehať zákonnou cestou, čo je často zdĺhavý proces, ktorému sa spravodajské služby neraz vyhnú. Policajní vyšetrovatelia si tak v súčasnosti musia zaobstarať dôkazy po vlastnej ose aj napriek tomu, že nimi potenciálne disponujú spravodajcovia.
Z nových bezpečnostných hrozieb vláda SR považuje za najzávažnejšie kybernetické útoky na kritickú infraštruktúru štátu, ako aj pokusy zahraničných zložiek ovplyvňovať verejnú mienku a politické procesy v SR. Z tohto dôvodu považuje investície do kybernetickej bezpečnosti štátu v nasledujúcom období za vysokú prioritu (str. 28).
Správa o činnosti SIS za rok 2018 otvorene pomenúva Ruskú federáciu ako aktéra, ktorý vyvíja aktivity „zamerané na udržiavanie sympatií slovenskej verejnosti voči Rusku, jeho kultúre a politike a na oslabenie síl otvorene skeptických či kritických voči Rusku.“ Ďalším takýmto aktérom je Čína, ktorej kultúrno-diplomatická mäkká sila sa v posledných rokoch výrazne zintenzívňuje. Komunistický režim sa snaží ovplyvniť nielen mienku širokej, ale aj odbornej verejnosti, a to skrz akademické inštitúcie. Schopnosť oboch aktérov ovládnuť infopriestor sa v plnej sile ukázala počas koronakrízy.
Finančné – a teda personálne i technologické – investície alokované pre posilnenie kybernetickej bezpečnosti štátu sú z tohto pohľadu viac než potrebné. Ruský i čínsky režim podporujú hackerské skupiny, ktoré cielia (nielen) na kritickú infraštruktúru cudzích štátov a ohrozujú tak ekonomiku, ale aj životy obyvateľov.
Slovensko je členom NATO, ktoré je Ruskou federáciou vnímané ako hrozba. Dá sa predpokladať, že útoky pochádzajúce z Ruska budú cieliť na najslabšie články Aliancie a nedá sa vylúčiť, že za takýto článok môžu bez preukázanej pripravenosti považovať práve Slovensko.
Súčasťou čínskej stratégie je získavanie dominancie na trhu s technológiami, určenými predovšetkým na prevádzku kritickej infraštruktúry. Slovensko sa musí mať na pozore pred telekomunikačnými, energetickými, zdravotníckymi a inými systémami, vyvinutými čínskymi spoločnosťami, ktoré by mohli využiť technické zraniteľnosti na špionáž či krádež citlivých informácií. Oprávneným a racionálnym krokom by malo byť obmedzenie ich verejných akvizícií pri akýchkoľvek oprávnených pochybnostiach.
V tomto ohľade by mali verejní predstavitelia zdôrazňovať význam atribúcií kybernetických incidentov – nástroja, ktorý nepriamo pripúšťa už spomínaná výročná správa Slovenskej informačnej služby (SIS). Cieľom na najbližšie roky bude posilňovanie forenzných kapacít pri postupnom znižovaní vynaložených prostriedkov. Tento proces musí prebiehať koordinovane s aliančnými partnermi. Dokázané prisúdenie útoku zahraničnému aktérovi totiž legitimizuje jeho potrestanie, vrátane uvalenia medzinárodných sankcií. Môžeme sa tak vyhnúť estónskemu či gruzínskemu scenáru, kedy agresor zostal nepotrestaný napriek významným zanechaným škodám.
Vláda SR bude presadzovať väčšiu otvorenosť spravodajskej služby smerom k verejnosti, vrátane efektívnej parlamentnej kontroly jej činnosti, pri plnom rešpektovaní legitímnych záujmov SR na úseku ochrany utajovaných skutočností (str. 29).
Komunikácia a transparentnosť je kľúčom k prinavráteniu dôvery verejnosti v štátne inštitúcie. Obraz slovenských spravodajských služieb je v očiach verejnosti dlhodobo rozporuplný, pričom sa im stále nedarí zbaviť nálepky z 90-tych rokov. Viac než otvorenosť komunikácie je však absolútne nevyhnutná jej autentickosť. SIS aj Vojenské spravodajstvo by mali dbať na pomenúvanie hrozieb v súlade s realitou, a to bez ohľadu na politické dôsledky či aktuálnu spoločenskú situáciu. Obe služby by taktiež mali otvoriť, prípadne posilniť svoje tlačové oddelenia a zadefinovať si väčší mediálny priestor.
Dobrým príkladom v tomto smere môžu ísť slovenskému civilnému i vojenskému spravodajstvu ich náprotivky zo susednej Českej republiky. Tamojšia Bezpečnostní informační služba (BIS) sa v posledných rokov otvorila nielen verejnosti, ale taktiež zintenzívnila priamu komunikáciu s relevantnými adresátmi v štátnej sfére – predovšetkým s prezidentom, vládou a parlamentnými výbormi. BIS je v krajine rešpektovanou inštitúciou, ktorej výstupy majú mienkotvorný ohlas, a to napriek tomu, že sa neraz dostávajú do konfliktu s politikou. Výnimkou nie je ani české Vojenské zpravodajství, ktorého riaditeľ, podobne ako šéf BIS, sa pravidelne objavuje v rozhovoroch pre médiá.
V tejto oblasti vláda SR podporí posilnenie kompetencií NBÚ, jej finančného zabezpečenia a zodpovednosti za ochranu všetkých sektorov kybernetického priestoru SR (str. 29).
Predložená formulácia nepredpokladá vytvorenie samostatného úradu kybernetickej bezpečnosti na úkor agendy NBÚ, dokonca mu priamo odporuje. Pokiaľ sa vláde podarí splniť záväzok a posilniť jeho kompetencie a finančné zabezpečenie, požadovaný efekt môže byť dosiahnutý. Nástrahy však v prípade tradične a z podstaty veci uzavretejšieho NBÚ číhajú v nedostatočnej transparentnosti, možnej politizácii a fluktuácii zamestnancov bez potrebnej špecializácie na boj s hrozbami v kyberpriestore.
Zodpovednosťou ústredného úradu zaisťujúceho kybernetickú bezpečnosť by však mali byť aj vzdelávacie aktivity pre širokú verejnosť. Digitálna gramotnosť Slovenska je dnes zúfalo nedostatočná. Ako ukázali výsledky posledného celoštátneho testovania zastrešeného Národným ústavom certifikovaných meraní vzdelávania (NÚCEM), najväčším problémom v oblasti IT zručností je „komplexné prepájanie poznatkov z viacerých oblastí a prepájanie teoretických vedomostí s praktickými zručnosťami.“ Priemerná úspešnosť v kategóriách Internet a Bezpečnosť a počítačové systémy neprekročila 60 %.
Budovanie kompetenčných centier kybernetickej bezpečnosti prostredníctvom výuky, vzdelávania a tréningov je jeden z cieľov národného SK-CERT pod NBÚ. Útvar však v tomto smere nedosahuje takmer žiadne viditeľné výsledky. Vydržovanie niekoľkých desiatok expertov na celoštátnej úrovni bude iba kvapkou v mori v prípade, že všeobecná populácia ostane bez základných znalostí o bezpečnosti v kybernetickom priestore. Preto je nevyhnutné postaviť oblasť vzdelávania na rovnakú úroveň dôležitosti, ako samotné technické zabezpečenie informačných a komunikačných systémov.
Vláda SR vybuduje účinný systém detekcie a ochrany kybernetického priestoru SR, skvalitní a zrýchli schopnosť reakcie na incidenty, vytvorí moderné a efektívne formy spolupráce štátu s bezpečnostným i súkromným sektorom v oblasti kybernetickej bezpečnosti, najmä pri riešení bezpečnostných incidentov, výmene skúseností a vzdelávaní. Za dôležité považuje vláda SR aj zjednotenie rôznych existujúcich regulácií v oblasti kybernetickej bezpečnosti pod spoločnú reguláciu, s cieľom znížiť komplexnosť legislatívy a zvýšiť kvalitu podnikateľského prostredia a verejného sektora (str. 29).
Informačná a prevádzková bezpečnosť a ochrana kritickej infraštruktúry je kritickým faktorom pri narastajúcej informatizácii spoločnosti. Vláda SR zrealizuje dôsledný audit kybernetickej a informačnej bezpečnosti a kritickej infraštruktúry (str. 68).
Deklarovaný plán vlády znie ambiciózne, no zároveň až príliš všeobecne. Z toho dôvodu je namieste pripomenúť „dosluhujúcu“ Koncepciu kybernetickej bezpečnosti 2015-2020. Tá bude čoskoro vyžadovať nielen hodnotiacu správu, ale aj svojho nástupcu. Navyše, oblasť si svojím významom, ktorý si vláda zreteľne uvedomuje, zaslúži aj vypracovanie jednotnej, komplexnej dlhodobej stratégie kybernetickej bezpečnosti. V neposlednom rade by za úvahu stálo vypracovanie samostatného strategického dokumentu aj pre kybernetickú obranu Slovenskej republiky.
Predtým však PVV racionálne predpokladá realizáciu národného auditu kybernetickej a informačnej bezpečnosti, ktorý bude, vďaka decentralizácii a chýbajúcej systematickej štruktúre, ťažkým orieškom. Vláda musí dbať na to, že jej mandát je garantovaný len na štyri roky. Maratón – a teda vypracovanie dôsledného auditu, potrebných strategických dokumentov, akčných plánov a ich prevedenie do praxe s dosiahnutím deklarovaných záväzkov – je nemožné prepojiť s dvanásťminútovkou.
O to viac to platí pre kritickú infraštruktúru, pri ktorej záverečná správa s vysokou pravdepodobnosťou poukáže na líšiace sa až protichodné prístupy prevádzkovateľov ku zabezpečeniu jednotlivých systémov. Zastrešenie kybernetickej bezpečnosti pod jednotnú reguláciu a podpora súkromného sektora v jej implementácii tak otvorí dvere k dôveryhodnejšej spolupráci so štátnymi inštitúciami. Posilnenie bezpečnosti informačno-komunikačných technológií je v konečnom dôsledku v spoločnom záujme podnikateľov, štátu i občanov Slovenskej republiky.
Autor: Kristína Urbanová
Zodpovedný editor: Matúš Jevčák