Návrh zákona, ktorý vytvorí systém zabezpečenia a umožní realizáciu kľúčových opatrení pre ochranu informácií v kybernetickom priestore, teraz smeruje na rokovanie vlády. Podľa odborníka na kybernetiku Daniela Olejára je však nedostatočný a nekvalitný.
Nitrianska nemocnica prvou obeťou na Slovensku
Keď v máji začali celé krajiny hlásiť masívne útoky ransomvéru WannaCry, hovorilo sa o návrate k ceruzke a papieru. Tento škodlivý program sa do kľúčovej infraštuktúry mnohých krajín a veľkých spoločností rozšíril v priebehu niekoľkých hodín. Útok zneužil chybu systému Windows, ktorú objavila americká bezpečnostná agentúra NSA. Hackerská skupina Shadows Brokers ju zverejnila na stránkach Wikileaks a následne bol vytvorený škodlivý program, ktorý sa dokázal šíriť na ďalšie systémy v sieťach a na internete. V júni sa objavila jeho sofistikovanejšia verzia Petya, ktorá tvrdo zasiahla najmä Ukrajinu a Rusko. Autori týchto programov, ktorí za odblokovanie zasiahnutých počítačov žiadali výkupné, zatiaľ nie sú známi.
Na Slovensku bola prvou oficiálnou obeťou Fakultná nemocnica v Nitre. Technikom sa fungovanie približne 450 počítačov podarilo obnoviť až o niekoľko dní. V prvých dňoch tak administrácia všetkých oddelení nemocnice fungovala na písacom stroji a papierových žiadankách. Nemocnica tvrdí, že osobné údaje pacientov neunikli, ale útok napriek tomu na takmer týždeň značne ovplyvnil zdravotnú starostlivosť.
Expert: Hrozbe sa dalo vyhnúť
Už niekoľko týždňov známej hrozbe sa podľa odborníka na informačnú bezpečnosť Daniela Olejára dalo vyhnúť. „Úspešné útoky sa síce nedajú úplne vylúčiť len dodržiavaním bežných opatrení, ale ich pravdepodobnosť a dopad sa dá takýmto spôsobom výrazne redukovať,“ hovorí Olejár. Slovensko je podľa neho v tomto ohľade stále dosť ľahostajné a ľudia si dostatočne neuvedomujú vážnosť tejto hrozby. „Ľudia už čosi vedia o potrebe informačnej bezpečnosti, ale spoliehajú sa na to, že ich systémy nebudú nikoho zaujímať, a tak sú pred útokmi v bezpečí,“ vysvetľuje.
Že ransomvér WannaCry na Slovensku veľké škody nenapáchal, sa podľa neho dá pripisovať skôr šťastiu ako účinnej obrane. „Mali sme šťastie, že nás nezasiahla hlavná vlna útokov a obávam sa, že keby k tomu v budúcnosti došlo, alebo by sme sa stali terčom cielených sofistikovaných útokov, len málo napadnutých systémov by im bolo schopných odolať,“ myslí si Olejár. Ten bol ako dlhoročný odborník v tejto oblasti autorom Národnej stratégie pre informačnú bezpečnosť v SR a ako prorektor Univerzity Komenského je v súčasnosti členom Komisie pre kybernetickú bezpečnosť, poradného orgánu riaditeľa Národného bezpečnostného úradu (NBÚ).
Zákon o kybernetickej bezpečnosti
Práve NBÚ má zodpovedať za kybernetickú bezpečnosť Slovenska. Pripravuje preto aj zákon o kybernetickej bezpečnosti, ktorý má tvoriť legislatívny základ pre ochranu informačných systémov a sietí Slovenska. Má byť do neho implementovaná aj Koncepcia kybernetickej bezpečnosti a Stratégia informačnej bezpečnosti, schválená vládou, a smernica EÚ o opatreniach na zabezpečenie spoločnej bezpečnosti sietí a informačných systémov v Európskej únii.
Smernicu prijal Európsky parlament v júli 2016. Má zaručiť spoločnú bezpečnosť sietí a informačných systémov v EÚ, prostredníctvom zvýšenia bezpečnosti internetu, súkromných sietí a informačných systémov, na ktorých je do značnej miery postavené fungovanie hospodárskych a spoločenských záujmov.
„Cieľom návrhu zákona je vytvoriť funkčný legislatívny rámec nevyhnutný pre efektívnu realizáciu kľúčových opatrení pre bezpečnosť národného kybernetického priestoru, ktorý transponuje priority a požiadavky, ktoré boli vytvorené na európskej úrovni a prijaté všeobecným konsenzom prostredníctvom smernice,“ vysvetľuje NBÚ.
Odborník o nedostatkoch návrhu zákona
Daniel Olejár tento návrh zákona považuje za nezvládnutý. „Za najväčšie nedostatky považujem rozpor s kompetenčným zákonom a nesúlad s koncepciou Kybernetickej bezpečnosti EÚ. Tento návrh nesplnil zadanie uznesenia vlády a nezaoberá sa úlohami vyplývajúcimi z legislatívneho zámeru zákona o informačnej bezpečnosti,“ hovorí Olejár a vysvetľuje, že pripravovaný návrh mal okrem implementácie európskej Smernice o bezpečnosti systémov a sietí spojiť dlho pripravovaný zákon o informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti.
„Návrh sa obmedzil len na implementáciu európskej direktívy, aj to v rozpore s jej znením,“ vyčíta pripravenému návrhu zákona Olejár. Zákon sa tak podľa neho na celú problematiku pozerá byrokraticky, najmä z administratívneho hľadiska. „Nerieši podstatné problémy, ale sústreďuje sa na evidenciu bezpečnostných incidentov, zber informácií, písanie metodík, štandardov, politík, stratégií, spisovanie memoránd, kontrolu zatiaľ len rámcovo definovaných povinností,“ dodáva Olejár.
Kritika tohto návrhu sa odrazila aj v enormnom počte pripomienok. Najčastejšie mu bolo vyčítané neštandardné a nekonzistentné názvoslovie, rozpory s viacerými zákonmi a bezpečnostnými štandardami a nerovnováha medzi kompetenciami a povinnosťami NBÚ. V rámci medzirezortného pripomienkového konania bolo uplatnených celkom 706 pripomienok, z toho až 236 zásadných.
Že je za veľkým množstvom pripomienok neprofesionalita na Národnom bezpečnostnom úrade odmietajú a bránia sa tým, že táto téma je relatívne čerstvá a navyše veľmi citlivá. „Vzhľadom na to, že ide o úplne novú reguláciu, počet pripomienok nie je neobvyklý, svedčí však o veľkom záujme o túto tému. Po spracovaní a vyhodnotení pripomienok časť z nich určite prispeje ku skvalitneniu návrhu zákona,“ uviedol pred začatím medzirezortného pripomienkového konania NBÚ vo svojom stanovisku.
Čo najrýchlejšie
Riaditeľ Slovenského inštitútu pre bezpečnostnú politiku Jaroslav Naď považuje pripravovaný zákon za veľmi dôležitý. „Oceňujem vôbec to, že sa pripravuje a je zámer ho schváliť. Návrh predložený do medzirezortného pripomienkového konania nebol zlý a prešiel množstvom rôznych pracovných skupín, čo treba oceniť. Prioritnú úlohu NBÚ ja osobne považujem za správnu, rôznym ústredným orgánom štátnej správy to však kompetenčne celkom nevyhovovalo,“ hovorí Naď.
Zákon ako taký podľa neho vychádza z reálnych potrieb Slovenska a bolo by zlé, ak by individuálne záujmy ministerstiev alebo konkrétnych osôb mali dopad na to, ako bude vyzerať legislatíva. V zákone je množstvo dobrých vecí a podľa Naďa by bolo lepšie ho prijať aj v prípade, že neuspokojí všetkých, než ho vôbec neprijať.
To by chcel NBÚ dosiahnuť čo najrýchlejšie. „Návrh zákona o kybernetickej bezpečnosti bol predložený na rokovanie poradných orgánov vlády Slovenskej republiky. Po schválení návrhu zákona v poradných orgánoch bude tento predložený na rokovanie vlády. Následne bude predložený na decembrovú schôdzu Národnej rady,“ odpovedal NBÚ.
Kľúčovú úlohu v ochrane informácií v kyberpriestore má zohrávať Národná jednotka pre riešenie kybernetických bezpečnostných incidentov CSIRT. „Bude priamo zodpovedná za koordináciu riešenia kybernetických bezpečnostných incidentov v dôležitých sieťach a informačných systémoch v Slovenskej republike. Národná jednotka CSIRT je zároveň centrálnym komunikačným bodom Slovenskej republiky pre spoluprácu v rámci jednotiek CSIRT s ostatnými členskými krajinami EÚ, ale aj s jednotkami CSIRT mimo EÚ,“ vyzdvihol Národný bezpečnostný úrad.
Spochybnenie navrhovaného riešenia
Olejár je však presvedčený, že zákon v tejto podobe nedokáže zaistiť bezpečnosť informácií a informačnej infraštruktúry. Ak by sa ho aj podarilo v parlamente presadiť, čoskoro bude podľa neho potrebné prijímať nový zákon. „Navrhované riešenia stačiť rozhodne nebudú, čo sa ukáže pri prvom masívnom útoku na slovenský kybernetický priestor, alebo cielenom útoku na vybrané systémy. Napísanie a implementácia reálne použiteľného zákona však bude podstatne tvrdší oriešok ako pripomienkovanie súčasného kontroverzného návrhu,“ uzatvára Olejár.