Kybernetická bezpečnosť Slovenska: čaká nás svetlá budúcnosť?

Katarína Krokosová, Natália Šubrtová

Samotný pojem „cyberspace“ si postupne začína nachádzať svoje miesto v slovníku medzinárodných vzťahov už na konci studenej vojny, avšak svoj boom zažíva až s nástupom nového, 21. storočia, keď dochádza k intenzívnemu rozmachu informačnej spoločnosti založenej na vedecko-technických výdobytkoch. Dôkazom naliehavosti tejto problematiky boli i odhalenia Edwarda Snowdena, ktoré rozprúdili širokú verejnú debatu o tom, čo vlastne pojem kybernetická bezpečnosť zahŕňa a ako sú štáty v skutočnosti chránené pred týmto pomerne novým druhom bezpečnostných hrozieb. Dnes sa kybernetický priestor stal novým prostredím, v ktorom sa odohráva politika a prepája svet. Takmer všetky vlády sveta sa snažia využívať nástroje, ktoré virtuálny priestor poskytuje. Americký prezident prostredníctvom svojho účtu na Twitteri bezprostredne komunikuje so svojimi nasledovateľmi, pričom okamžite dostáva spätnú väzbu. Na druhej strane, vzájomná prepojenosť a otvorenosť so sebou prináša množstvo ohrození, od krádeže identity cez zneužitie citlivých informácií až po ohrozenie prvkov kritickej infraštruktúry prostredníctvom infiltrácie. Prostriedky kybernetickej bezpečnosti (napr. hackerský útok) sú v porovnaní s tradičnými – vojenskými nástrojmi omnoho lacnejším prostriedkom na presadenie moci. Dôkazom toho môžu byť aj čoraz častejšie kybernetické útoky teroristických skupín, vďaka čomu vznikol i termín kyberterorizmus. Je nevyhnutné, aby boli štáty na tieto nové bezpečnostné trendy pripravené. Dnes je však možné tvrdiť, že každý štát sa na túto agendu pripravuje po svojom. Niektoré štáty investujú do tejto oblasti miliardy, iné jej do dnešného dňa neprikladajú zásadný význam. To podstatne narúša medzinárodnú bezpečnosť, pretože nedostatočná medzinárodnoprávna úprava vytvára živnú pôdu na nekalé aktivity v kybernetickom priestore. Slovenská republika je v tomto smere niekde na pomedzí, a to najmä vďaka tomu, že je súčasťou Európskej únie, ktorá sa touto problematikou zaoberá pomerne intenzívne, čo možno sledovať i v rámci súčasného diania, keď sú nové pravidlá kybernetickej bezpečnosti EÚ aktuálne v procese schvaľovania.1

Na porovnanie a demonštráciu toho, aký bol doposiaľ vývoj v oblasti kybernetickej bezpečnosti na Slovensku nedostatočný, sa úvodná časť tohto textu venuje stavu kybernetickej bezpečnosti v krajine tak trochu pre naše zemepisné šírky „exotickej“, a to Brazílii, ktorá absentuje v akýchkoľvek stredoeurópskych debatách o kybernetickej bezpečnosti, avšak bezpochyby dnes patrí k lídrom kybernetickej bezpečnosti vo svete. 

Brazílska lekcia z kybernetickej politiky

Brazília je veľmi pozitívnym príkladom toho, že i napriek statusu rozvojovej krajiny a komplikovanej politickej a socio-ekonomickej situácii sa bezpečnostné otázky, vrátane tých kybernetických, považujú za vysoko prioritné. S nárastom jej medzinárodnopolitického postavenia a rastúcim globálnym geopolitickým vplyvom dochádza ku graduálnemu posilňovaniu jej kybernetickej infraštruktúry. Kľúčovými udalosťami, ktoré viedli k rozprúdeniu diskusií o schopnostiach rýchlo reagovať na digitálne hrozby a následne prijímať opatrenia na skvalitnenie národnej kybernetickej infraštruktúry, boli masívne občianske nepokoje z leta 20132, odhalenia Edwarda Snowdena či prípad zahraničného kybernetického útoku – vírusu/počítačového červa Stuxnet3.

Začiatky brazílskej kyberneticko-obrannej politiky datujeme približne od roku 1999, v čase modernizácie armády, ktorej súčasťou bolo aj skvalitnenie národnej spravodajskej služby. Nástup demokratického štátneho zriadenia a právneho štátu na prelome 80. a 90. rokov 20. storočia podnietil potrebu hĺbkovej reorganizácie a principiálneho odklonu spravodajskej služby od tradičného zámeru – odpočúvania a špionáže politickej opozície (takmer identická skúsenosť na Slovensku). Výsledkom bola konsolidácia prvej definície základných rámcových priorít v podobe Národnej politiky pre kybernetickú obranu.

Kľúčový zlom však prišiel až čase enormného nárastu útokov hackerov na brazílske webové stránky a internetové komunikačné siete (2008 – 2012) a uvedomenie si potenciálnej zraniteľnosti brazílskeho kyberpriestoru voči ako interným, tak aj externým hrozbám. Rapídny nárast hackerských útokov bol výsledkom na jednej strane slabej inštitucionálnej ochrany kybernetického priestoru a vzrastajúceho počtu aktívnych „nechránených“ užívateľov internetu; a na strane druhej reakciou na špecifické udalosti (napr. pri hlasovaní o kontroverzných návrhoch zákonov v kongrese), resp. pokusom o vydieranie verejných inštitúcií3. Výsledkom bola celospoločenská diskusia o potrebe prijatia strategického dokumentu o kybernetickej bezpečnosti a následné prijatie Národnej stratégie obrany (NSO) v roku 2008, ktorá po prvýkrát definuje kybernetickú bezpečnosť ako jednu z prioritných oblastí rozvoja. Spolu s Bielou knihou o smerovaní budúcich obranných priorít (2012) a Zelenou knihou o kybernetickej bezpečnosti (2010) tvoria tieto dokumenty základný legislatívny rámec brazílskeho kybernetického sektora. Slovensko síce v  čase prijatia brazílskej NSO malo už tri roky platnú vlastnú Bezpečnostnú stratégiu, avšak kybernetickej bezpečnosti sa nevenovala vôbec.

Brazília stavila na vojenský prístup ku kybernetickej bezpečnosti, čo do istej miery súviselo aj so širším úsilím o readaptáciu úlohy brazílskej armády v 21. storočí. Z politického hľadiska sa zrejme najvýznamnejším stal rámcový dokument z roku 2012 s názvom Kybernetická obranná politika, ktorý zakotvil princíp efektívneho využívania národného kybernetického priestoru, posilnil jeho obranné kapacity armádnymi zložkami; zadefinoval základné princípy kybernetickej bezpečnosti a zároveň poskytol akýsi manuál na vypracovanie osobitých právnych predpisov a noriem pre vojenský systém správy kybernetickej obrany. Slovensko obdobný dokument – Koncepcia kybernetickej bezpečnosti SR – prijalo až v tomto roku. Ďalšie kroky sa v Brazílii zamerali predovšetkým na rovinu praktickej implementácie, a to prostredníctvom zriadenia agentúry, ktorá centrálne zastrešila kybernetické obranné iniciatívy; čím v roku 2012 vzniklo Centrum pre kybernetickú obranu – CD-Ciber. Hlavnou úlohou centra je dnes nielen obrana vojenských informačných systémov, ale aj informačných systémov verejnej správy. K zriadeniu podobného centra komplexne zastrešujúceho kybernetickú bezpečnosť a obranu na Slovensku, paradoxne, zatiaľ nedošlo.

Novú dynamiku do brazílskej „cyber“ debaty priniesli odhalenia Edwarda Snowdena o kybernetickej špionáži USA (2013). Brazília bola jednou z mála krajín sveta, ktorej lídri (prezidentka Dilma Rousseffová, ale aj opoziční politici) ostro kritizovali praktiky USA a na politickej a diplomatickej úrovni došlo k strate vzájomnej dôvery a markantnému naštrbeniu bilaterálnych vzťahov5. Krajina deklarovala svoj záväzok zaviesť multilaterálne opatrenia (systém OSN) na vytvorenie medzinárodného občianskeho rámca na ochranu súkromia užívateľov internetu. Na národnej úrovni sa znovu otvorila diskusia k návrhu zákona z roku 2009 o civilnom rámci internetu (Marco Civil da Internet), ktorý býva často označovaný aj ako prvá „internetová ústava“. Marco Civil bol schválený brazílskym senátom v apríli 2014 s cieľom zabezpečiť garanciu občianskych práv a slobôd používateľov internetu v Brazílii. Ide o zákon, ktorý aplikáciou série právne záväzných princípov, bezpečnostných záruk, práv a povinností upravuje používanie internetu v Brazílii pre všetkých užívateľov siete; a zároveň vymedzuje sféru legitímneho pôsobenia štátnej moci v tejto oblasti.

Kybernetická (ne)bezpečnosť na Slovensku

Slovenská republika je pozadu, a to nielen v porovnaní s Brazíliou. „Kybernetická bezpečnosť na národnej strategickej úrovni ešte nie je vyriešená uceleným a konzistentným spôsobom.“6 Aj takto sa k problematike vyjadruje súčasne najaktuálnejší dokument v podmienkach Slovenska  – Koncepcia kybernetickej bezpečnosti SR. Na jednej strane na štátnej úrovni evidentne existuje vedomosť o tom, že začiatok 21. storočia priniesol so sebou zmenu v podobe nových výziev, akými sú i kybernetické hrozby, na druhej strane však z uvedeného možno vyvodiť, že Slovensko zastihol tento vývoj viac-menej nepripravené. Nie že by Slovensko nedisponovalo žiadnymi nástrojmi kybernetickej bezpečnosti, avšak v porovnaní s ostatnými krajinami je na tom podstatne horšie (nielen oproti Brazílii, ale aj  našim najbližším susedom). Česká republika napríklad vypracovala prvú 5-ročnú národnú stratégiu kybernetickej bezpečnosti a akčný plán už v roku 2011; a od roku 2011 je Národný bezpečnostný úrad ústredným štátnym orgánom pre kybernetickú bezpečnosť, plus od minulého roka platí v ČR samostatný zákon o kybernetickej bezpečnosti.

Na Slovensku sa dlho v tejto oblasti nerealizovali žiadne konkrétne kroky. K problematike sa pristupuje skôr nesystematicky, pričom netvorí pevnú súčasť národnej bezpečnosti. Dôkazom je i chaotický a neprehľadný legislatívny a inštitucionálny rámec, ktorý (ne)bol pre kybernetickú bezpečnosť doposiaľ ustanovený.

Za rámcový dokument bezpečnostnej politiky v SR by sa mala považovať Bezpečnostná stratégia SR, ktorá 27. septembra oslávila svoju desaťročnicu. Vzhľadom na jej vek a rýchlosť vedecko-technického pokroku ju dnes už nemožno považovať za aktuálnu. Ďalšie strategické dokumenty stojace za zmienku sú Národná stratégia pre informačnú bezpečnosť (2008) a na ňu nadväzujúci Akčný plán informačnej bezpečnosti (2010). Oba dokumenty reflektujú predovšetkým na vtedajšie požiadavky EÚ a stav, ktoré už dnes nemôžu byť smerodajné. Výsledkom aplikácie týchto dokumentov do praxe bolo vytvorenie vnútroštátneho vládneho tímu CSIRT-SK (2009), špecializovanej jednotky pre monitorovanie hrozieb, a systému včasného varovania, riešení bezpečnostných incidentov atď. Napriek realizácii pilotného projektu vzdelávania odbornej i laickej verejnosti7, ktorý po prvýkrát celoplošne šíril povedomie o problematike informačnej bezpečnosti, najzásadnejšie ciele (zefektívnenie riadenia a samostatný zákon) naďalej zostávajú nezrealizované.

Koncepcia kybernetickej bezpečnosti SR prijatá v júni 2014 je najaktuálnejším „kybernetickým“ legislatívnym dokumentom. Na ňu má do konca roka 2015 nadviazať ešte akčný plán a v budúcom roku aj návrh zákona o kybernetickej bezpečnosti. Koncepcia je do značnej miery realistická v konštatovaní, že súčasné kapacity a normy sú nepostačujúce a otázka kybernetickej obrany je na Slovensku poddimenzovaná, čo v skratke znamená nepripravenosť na kybernetické hrozby. Prínosom koncepcie bolo navrhnutie inštitucionálneho rámca prostredníctvom zriadenia rôznych nových orgánov, napr. Národnej autority kybernetickej bezpečnosti, Národnej jednotky pre riešenie incidentov atď.

Doteraz bolo neformálnym gestorom informačnej bezpečnosti neutajovaných informácií Ministerstvo financií SR, ktoré vystupovalo aj v pozícii gestora CSIRT-SK. V roku 2008 bola NBÚ SR pridelená národná autorita pre riadenie kybernetickej obrany, avšak tá bola chápaná výhradne v intenciách ochrany utajovaných skutočností. Takýto čiastočne nelogický krok bol napravený až v tomto roku, keď Koncepcia kybernetickej bezpečnosti SR určila NBÚ ako ústredný orgán štátnej správy pre kybernetickú bezpečnosť vo všeobecne platnom význame. Okrem komplexného legislatívneho zastrešenia pôsobí NBÚ aj ako kontaktný bod pre EÚ a NATO, zabezpečuje plnenie úloh vyplývajúcich z medzinárodnej spolupráce a riadi osobitné pracovisko – národnú jednotku pre riešenie incidentov CERT/CSIRT. Akčný plán na realizáciu prijatej koncepcie má byť vypracovaný úradom do konca roka. Zároveň by mal byť na jar budúceho roku predložený návrh zákona o kybernetickej bezpečnosti. Čo sa týka medzinárodnej spolupráce, ani tam nie je SR príliš iniciatívna, no zúčastňuje sa na kybernetických cvičeniach NATO, spolupracuje s Centrom výnimočnosti pre oblasť spoločnej kybernetickej obrany NATO v Taline a taktiež spolupracuje s európskou agentúrou ENISA a Centrom pre boj proti počítačovej kriminalite.

Svetlá budúcnosť? 

Zdá sa, že napriek dlhému obdobiu stagnácie a úpadku začína kybernetickej bezpečnosti aj na Slovensku svitať na lepšie časy. Prínosom bude predpokladané prijatie legislatívneho a metodického rámca, šírenie osvety a vzdelávania, podpora R&D a rozvoj spolupráce a partnerstva na národnej i medzinárodnej úrovni. Najdôležitejšou úlohou je prijať osobitný zákon, ktorý de iure zastreší problematiku kybernetickej bezpečnosti v SR. Nová legislatíva by mala priniesť zefektívnenie a zlepšenie stavu kybernetickej bezpečnosti na Slovensku, no len za predpokladu, že v praxi sa nepremietne do absurdného byrokratického aparátu fungujúceho na princípe „načo existuje papier, to je v poriadku“.

Na záver je nutné vysloviť nádej, že SR sa vyberie správnou cestou a začne nazerať na kybernetickú bezpečnosť ako na príležitosť presadiť sa vo svete medzinárodnej politiky. Kybernetický priestor je dnes totižto strategickou oblasťou tzv. „veľkej“ politiky. Ideálnym príkladom je aktuálna téma využívania šifrovej komunikácie na internete teroristami, ktorú sa dnes podujalo riešiť už i notoricky známe hackerské hnutie Anonymous. Slovensko má predpoklady na to, aby si podobne ako Estónsko či ČR (malé štáty) našlo svoje miesto za stolom svetovej bezpečnostnej komunity ako rešpektovaný významný hráč v oblasti kybernetickej bezpečnosti. Nemali by sme tento potenciál premárniť. Na to však bude potrebná participácia všetkých relevantných aktérov spoločenského života a aktívny prístup nielen k národným, ale aj ku globálnym kybernetickým otázkam. Zrkadlom snáh v oblasti kybernetickej bezpečnosti na Slovensku bude v krátkodobom horizonte najmä spôsob implementácie plánovaného nariadenia, resp. smernice EÚ v oblasti kyberbezpečnosti. Nasledujúcich cca 21 mesiacov (čas, ktorý EÚ vyhradila na prijatie potrebných vnútroštátnych opatrení od začiatku účinnosti smernice) teda ukáže, ako zodpovedne je Slovensko pripravené reagovať na nové bezpečnostné výzvy.

Autorky sú doktorandky na Katedre medzinárodných vzťahov a diplomacie Fakulty politických vied a medzinárodných vzťahov a Katedre bezpečnostných štúdií Univerzity Mateja Bela v Banskej Bystrici.

1 http://www.consilium.europa.eu/sk/press/press-releases/2015/12/08-improve-cybersecurity/)

2 http://www.reuters.com/article/us-brazil-protests-idUSBRE95G15S20130618

3http://www.forbes.com/2010/10/06/iran-nuclear-computer-technology-security-stuxnet-worm.html

4Doposiaľ najväčšiemu hackerskému útoku čelila Brazília v júni v roku 2011, keď hackerská skupina LulzSecurity napadla a zrušila niekoľko vládnych webových stránok, vrátane federálneho vládneho portálu (brasil.gov.br) a webovej stránky prezidentského úradu (presidencia.gov.br). Hackeri taktiež zaútočili na webové stránky brazílskej štátnej ropnej spoločnosti Petrobras, federálnej polície a zároveň zverejnili osobné údaje prezidentky Rousseffovej a starostu São Paola Gilberta Kassaba.

5 Rousseffová zrušila plánovanú historickú bilaterálnu návštevu amerického prezidenta vo Washingtone a ostro vystúpila proti jeho administratíve na pôde VZ OSN.

6https://lt.justice.gov.sk/Attachment/Vlastn%C3%BD%20materi%C3%A1l_docx.pdf?instEID=1&attEID=75645&docEID=413095&matEID=7996&langEID=1&tStamp=20150218154455240

7 http://www.informatizacia.sk/ext_dok-narodny_system_vzdelavania_ib/9008c