Aj keď je kybernetická bezpečnosť pre bežného človeka skôr cudzí pojem, jej zanedbávanie má celospoločenské dopady. Príkladom bol únik dát miliónov zákazníkov leteckej spoločnosti Air India z mája tohto roka či aprílové kybernetické útoky na rôzne inštitúcie aj na Slovensku.
Predchádzať by im mala pomôcť novela zákona o kybernetickej bezpečnosti, ktorú čaká druhé čítanie v Národnej rade SR. Jej obsah však čelí kritike viacerých odborníkov.
Politika ako bezpečnostný faktor
Právnici a informatici nedostatky vidia najmä v takzvanej analýze politických rizík, ktorá má byť súčasťou celkovej analýzy rizík dodávateľa kritických produktov a služieb. Ide o firmy, ktoré dodávajú programy a technológie do takých inštitúcií ako napríklad nemocnice, banky či elektrárne a musia sa preverovať.
Ich kontrola prebieha na základe viacerých parametrov, pričom jedným z nich majú byť práve spomínané politické riziká. V rámci nich sa napríklad posudzuje, z akej krajiny dodávateľ pochádza.
Zamestnávateľ „značkoval“ ľudí negatívnych na covid, chyby v ochrane osobných údajov robia aj zamestnanci
Tento inštitút však nie je nový. Ako totiž vysvetľuje Dušan Rostáš z Právnickej fakulty Univerzity Pavla Jozefa Šafárika v Košiciach (UPJŠ), politické riziká sa už zohľadňujú napríklad v rámci predpisov o praní špinavých peňazí, kde existujú verejné zoznamy rizikových krajín.
Nejasnosť a neistota
Problém pri zavedení tejto koncepcie do zákona o kybernetickej bezpečnosti Rostáš vidí v jej nejasnosti. V novele totiž nie je stanovené, aké kompetencie bude mať Národný bezpečnostný úrad (NBÚ). Teda, či bude mať napríklad právo povedať, že Čína je nebezpečná krajina.
Podľa právnika hrozí, že NBÚ bude musieť dodatočne riešiť, čo sa pod týmto termínom vôbec rozumie a bude to pre neho znamenať len viac práce. Advokát Martin Jacko pritom dodáva, že úrad nie je takéto posudzovanie schopný realizovať ani po odbornej stránke.
Európska komisia predstavila novú stratégiu, ktorou chce posilniť schengenský priestor
Podobne na tom budú s posudzovaním tejto citlivej oblasti podľa odborníkov aj samotné subjekty, ktoré si budú musieť analýzy robiť, pričom často toho nie sú schopné, ako napríklad obce s malým počtom obyvateľov.
„Každý subjekt si to môže v konečnom dôsledku vyhodnotiť inak,“ upozornil na odbornej konferencii s názvom Aká nebezpečná môže byť novela kybernetickej bezpečnosti? Pavol Sokol z UPJŠ v Košiciach.
Technologické zaostávanie krajiny
Odborníci sa obávajú, že výsledkom novely bude svojvoľné zakazovanie produktov alebo služieb, pretože politické riziko nie je merateľný ukazovateľ. Jacko hovorí, že podnikatelia sa týmto zmenám bránia, lebo potrebujú jasné pravidlá.
Pomenovanie presných parametrov by uvítal aj prezident IT Asociácie Slovenska Emil Fitoš. V opačnom prípade podľa neho okrem iného hrozí technologické zaostávania krajiny.
Za kybernetickým útokom na JBS by mala byť ruská skupina REvil, Biden to chce prediskutovať s Putinom
Hodnotenie na základe politických kritérií môže totiž podľa neho obmedziť prísun technológií a investícií na Slovensko a vyvolá neistotu v podnikateľskom prostredí.
„Dnes tu máme situáciu, kedy má Európska únia svoje výhrady voči Číne. Môže ale prísť politická garnitúra, ktorá bude mať výhrady proti Spojeným štátom,“ vysvetlil Fitoš svoje obavy.
NBÚ: Kontrola bude zabezpečená
Podľa hovorcu NBÚ Petra Habaru však v prípade obmedzenia používania určitého produktu alebo služby zákon garantuje najvyššiu možnú formu transparentnosti a zákonnosti postupu.
„Rozhodnutie je prijímané vysoko objektívne na základe analýzy rizík a posúdenia Bezpečnostnou radou SR,“ uviedol Habara, podľa ktorého má tento postup zamedziť svojvoľnému rozhodovaniu štátnych orgánov.
Slovensko je čoraz viac vystavené hybridným aktivitám formou spravodajského a informačného pôsobenia
Rozhodnutiu navyše predchádza takzvané námietkové konanie, v rámci ktorého ho možno počas 30 dní pripomienkovať, pričom bude počas tejto doby tiež zverejnené na webovej stránke NBÚ. Následne sa vyhlási v Zbierke zákonov SR, ale aj potom ho podľa Habaru môže preskúmať Ústavný súd SR.
Inštitút blokovania
S obmedzením používania tovarov a služieb súvisí aj inštitút blokovania, ktorý tiež zavádza novela. Ešte v marci ho kritizovali mimovládne organizácie Nadácia Zastavme korupciu a Slovensko.Digital.
Varovali, že podľa návrhu NBÚ môže uložiť povinnosť blokovať určitý softvér alebo komunikáciu v sieti internet, pričom postihnutý subjekt sa nebude môcť odvolať a dotknutí používatelia internetu sa ani nemusia dozvedieť, že nejaká časť komunikácie je blokovaná.
Veľký brat alebo ochrana občanov? Návrh novely o kyberbezpečnosti znepokojuje mimovládky
„Rovnako môže prikázať filtrovať komunikáciu na ,určité identifikátory´ a zasielať NBÚ niektoré informácie zo siete a informačných systémov,“ kritizovali. Zároveň otvoreným listom adresovanom poslancom označili novelu za „zavedenie nového spôsobu plošného odpočúvania“ a požadovali jej stiahnutie z rokovania parlamentu.
Podľa právnikov však nemožno inštitút blokovania principiálne vylúčiť, pretože o podobných povinnostiach sa diskutuje aj na úrovni Európskej únie. „Je to inštitút, s ktorým sa počíta do budúcna,“ doplnila právnička Laura Rozenfeldová.
Blokovanie na vlastnú žiadosť
Blokovanie stránok by malo podľa NBÚ chrániť najmä inštitúcie, ktoré patria do kritickej infraštruktúry štátu, ako napríklad ministerstvá, elektrárne či poštu, ale nielen tie. Dochádzať k nemu by okrem toho malo iba na základe žiadosti dotknutých právnických osôb.
Teda napríklad internetový obchod by mohol úrad požiadať o zablokovanie vlastnej stránky kvôli úniku informácií. „Určite sa nemôže stať, že úrad bude blokovať stránky neziskovým organizáciám alebo novinárom,“ uviedol pre SITA.sk Habara.
Kyberpriestor: Dokáže sa Slovensko ubrániť pred dezinformáciami?
Kontrolu celého procesu by mal podľa jeho slov zabezpečiť ústavný súd, ktorý bude mať v kompetencii preskúmavanie rozhodnutí NBÚ.
Takáto úprava sa však odborníkom zdá nedostatočná a požadujú, aby bola lepšie zabezpečená ochrana účastníkov, ich právo na odvolanie a na kompenzáciu v prípade, ak im kvôli blokovaniu vznikne škoda.
„Slovensko si takto menej chráni svoje biznis,“ upozornil Fitoš. Poukázal na krajiny ako Nemecko alebo Fínsko, kde o zásahoch do podnikania rozhoduje aj ministerstvo hospodárstva.
Poskytovanie informácií
Poslednou kritizovanou zmenou, ktorú má zaviesť novela, je inštitút automatizovaného poskytovania informácií. Tie majú subjekty sprístupniť NBÚ pri podozrení na kybernetický útok.
Takto by sa však mohol úrad dostať aj k citlivým údajom, ktoré spadajú pod telekomunikačné, bankové či lekárske tajomstvo.
Národný bezpečnostný úrad by mal získať širšie právomoci, aj možnosť blokovať škodlivý obsah na internete
Podľa Júlie Steinerovej z Fóra pre komunikačné technológie je preto potrebné presne vymedziť rozsah údajov, ktoré sa budú poskytovať a akým spôsobom bude s nimi nakladané tak, aby boli dostatočne chránené.
Čaká sa na návrhy zmien od poslancov
Odborníci sa zhodujú, že zvyšovanie kybernetickej bezpečnosti je v dnešnej dobe na mieste a cieľom odborného fóra bola diskusia o tom, ako to realizovať čo možno najlepšie.
„Odporúčame preto členom zákonodarného zboru, aby predtým, než budú hlasovať, diskutovali o veci s odbornou verejnosťou,“ vyzval kompetentné osoby František Palko, riaditeľ Inštitútu hospodárskej politiky.
Novela čaká na druhé čítanie v parlamente, do ktorého sa však dostane v novej podobe. NBÚ totiž očakáva pozmeňovací návrh z dielne poslancov Národnej rady SR.
„Kým sa legislatívny proces neposunie ďalej, nevidíme veľký zmysel akokoľvek ho ďalej komentovať,“ uviedol pre Webnoviny.sk Habara. Dodal, že NBÚ prehodnotí niektoré ustanovenia zákona, čo verejne sľúbil aj riaditeľ úradu Roman Konečný.