Denník N

Treba prelomiť slovenské národné kybermlčanie

Foto – TASR/AP
Foto – TASR/AP

Je načase, aby Slovensko začalo brať otázku kybernetickej bezpečnosti vážne.

Autor prednáša medzinárodné právo na Univerzite v Exeteri.
V súčasnosti sa venuje výskumnému projektu
na tému zodpovednosti štátov za správanie v kyberpriestore

Kybernetická bezpečnosť je jednou z tém, ktoré levitujú nad hranicou záujmu slovenskej verejnosti. Sem-tam síce médiami preletí noticka strašiaca hackermi, ktorí vedia „zabíjať na diaľku“ alebo provokujúca „pikantnými“ fotkami ukradnutými kdesi zo Snapchatu, no informovaná diskusia o konkrétnych opatreniach zatiaľ chýba.

Na rozdiel od iných technologicky porovnateľne rozvinutých krajín sme prekvapivo pozadu, a to najmä čo sa týka politicko-právnych súvislostí tejto témy. Prečo je to tak a čo sa s tým dá urobiť?

Tri aspekty kybernetickej bezpečnosti

Problematika kybernetickej bezpečnosti (angl. cyber security) pozostáva z troch základných a navzájom prepojených rovín. Hoci väčšina ľudí si v tejto súvislosti najskôr predstaví „ajťákov“ v kockovaných košeliach, ktorí na obrazovkách bez obrázkov naháňajú jednotky a nuly, technická stránka veci je v skutočnosti iba prvým krokom k jej porozumeniu.

V duchu Clemenceauovej slávnej vety, že „vojna je príliš vážna vec na to, aby sme ju prenechali generálom“, dnes platí, že kybernetická bezpečnosť je príliš dôležitá na to, aby sme ju zverili (iba) počítačovým odborníkom. A to napriek tomu, že slovenská jednotka na riešenie počítačových incidentov (CSIRT.SK) je na medzinárodnej úrovni považovaná za rovnocenného partnera.

Druhou je rovina verejnej politiky. Z tohto pohľadu je, žiaľ, Slovensko na chvoste štátov patriacich do nášho regiónu. Ako nedávno upozornili analytici z think-tanku Alfa, sme poslednou krajinou Visegrádskej štvorky bez ucelenej národnej kybernetickej stratégie. Vo februári tohto roka Úrad vlády pripravil patrične opatrne pomenovaný Návrh Koncepcie kybernetickej bezpečnosti Slovenskej republiky, no odvtedy vo veci nedošlo k ďalšiemu posunu.

Všeobecný nedostatok záujmu dobre ilustruje skutočnosť, že na najväčšej svetovej konferencii o kybernetických hrozbách, ktorá sa pod názvom CyCon uskutočnila predminulý týždeň v estónskom Tallinne, Slovensko zastupoval jediný delegát.

Podľa vysokopostaveného zdroja z Kooperatívneho centra excelencie kybernetickej obrany pri NATO, ktoré konferenciu každoročne organizuje, intenzita účasti „odráža vládne priority“ jednotlivých členských krajín. Na porovnanie, susedné Česko na konferenciu vyslalo päť zástupcov, z ktorých niekoľkí pôsobia v tamojšom Národnom centre kybernetickej bezpečnosti, v inštitúcii bez porovnateľného slovenského náprotivku.

Konečne, treťou a snáď najrýchlejšie sa vyvíjajúcou je rovina právna. V ďalšom texte sa sústredím najmä na medzinárodnoprávne otázky, no problém má, samozrejme, aj svoj vnútroštátny rozmer. V tomto zmysle by dobrým začiatkom bola práve spoločenská zhoda na národnej kybernetickej stratégii (pozri vyššie), na základe ktorej by mohla byť prijatá komplexná vnútroštátna právna úprava.

Jej obsahom by malo byť predovšetkým ustanovenie preventívnych a reaktívnych opatrení, určenie zodpovednosti za riešenie bezpečnostných incidentov a vymedzenie kritickej infraštruktúry (napríklad elektrárne alebo nemocnice), ktorá musí byť osobitne chránená.

Sloboda a suverenita online

Na medzinárodnej úrovni bolo ešte pred niekoľkými rokmi bežne počuť názory označujúce kyberpriestor za terra nullius, teda prostredie, ktoré nikomu nepatrí a v ktorom neplatí žiadna právna regulácia. Od tejto prvotnej právnej neistoty sme dnes, našťastie, dospeli do štádia, v ktorom prakticky všetky štáty akceptujú, že medzinárodné právo platí nielen offline, ale aj online.

To predovšetkým znamená, že kybernetický útok proti inému štátu, ktorý by mal za následok rozsiahle materiálne škody alebo straty na ľudských životoch, by sa považoval za protiprávne použitie sily v rozpore s Chartou OSN rovnako ako „obyčajný“ kinetický útok.

Otvorenou otázkou však stále ostáva, ako presne interpretovať existujúce normy medzinárodného práva vo vzťahu ku kybernetickým útokom, ktoré neprekročia prah použitia sily v medzinárodných vzťahoch. Takéto operácie dnes totiž predstavujú drvivú väčšinu medzištátnych aktivít v online priestore. Stačí si spomenúť na údajne severokórejský hackerský útok na americkú spoločnosť Sony alebo na minuloročné obvinenie pätice čínskych vojenských hackerov z kyberšpionáže v USA.

Touto otázkou sa v súčasnosti zapodieva dvadsaťčlenná skupina vládnych expertov ustanovená Valným zhromaždením OSN a zložená zo zástupcov všetkých kyberveľmocí vrátane USA, Ruska a Číny. Do jej mandátu patrí navyše možnosť navrhnúť konkrétne „normy, pravidlá alebo princípy zodpovedného správania štátov“. Ak sa skupine expertov podarí dosiahnuť zhodu na interpretácii existujúcich noriem alebo dokonca na vývine nových pravidiel, výsledok jej práce významne ovplyvní globálnu kybernetickú bezpečnosť.

Pravdepodobnosť úspechu skupiny vládnych expertov však znižuje ostrá polarizácia jej členov, ktorí sú rozdelení po osi národných záujmov zastúpených krajín. Západné štáty zdôrazňujú úlohu internetu v súvislosti s budovaním občianskej spoločnosti a ochranou slobody prejavu. Naopak, štáty ako Čína a Rusko sa opierajú o oveľa viac reštriktívnejšiu koncepciu „kybersuverenity“, teda štátnej dominancie prestupujúcej z fyzického do online sveta.

Slovenské národné kybermlčanie

Pred dvoma poslednými stretnutiami naplánovanými na záver roka 2015 v New Yorku je tak najpravdepodobnejšie, že dohoda, ak k nej vôbec dôjde, bude vo veľkej miere iba minimalistická. Šancu na prijatie majú najmä normy vyjadrujúce záväzok zdržať sa kyberútokov proti kritickej infraštruktúre iných štátov a zodpovednosť vzájomne spolupracovať na odvracaní kríz spôsobených útokmi neštátnych aktérov.

Hoci Slovensko nie je v skupine expertov priamo zastúpené, ako členský štát OSN má od februára 2014 možnosť sa k jej práci priamo vyjadriť oficiálnou cestou a navrhnúť konkrétne opatrenia na posilnenie globálnej informačnej bezpečnosti. Zatiaľ však Slovensko medzinárodné vody veľmi nerozvírilo, keďže na rozdiel od iných krajín porovnateľnej veľkosti vrátane napríklad Gruzínska, Rakúska alebo Srbska nepripravilo ani stručné stanovisko.

Dnes je už zrejmé, že online svet nie je bezprávnou džungľou, ale skôr rýchlo rastúcou spoločnosťou, ktorá si práve formuje svoje budúce pravidlá. Na to, aby tieto pravidlá odrážali aj preferencie a priority slovenskej verejnosti, je nevyhnutné u nás naštartovať verejnú diskusiu v tejto oblasti a zapojiť sa výraznejšie do diania na medzinárodnej úrovni. Slovensko má počítačových špecialistov svetového formátu. Je načase, aby sa politická a právna rovina kybernetickej bezpečnosti u nás vyrovnala tej technickej.

Teraz najčítanejšie