Namiesto zákona o cyber-bezpečnosti karambol

Tento týždeň sme boli svedkami ďalšieho veľkého kybernetického útoku. Ransomware “Petya” napadol vládnu infraštruktúru Ukrajiny. Odtiaľ sa rozšíril do ďalších krajín a paralyzoval siete najväčšej lodnej firmy Maersk či farmaceutického giganta Merck. Kybernetické útoky už dávno nie sú sci-fi. Ako sme na ne pripravení doma?

V slovenskej politike existujú témy, ktoré sa vybavia jedným, dookola opakovaným zaklínadlom. Napríklad, keď ste sa v posledných rokoch spýtali hociktorého vládneho politika, kedy sa začne niečo poriadne robiť s kybernetickou bezpečnosťou, odpovedal “keď budeme mať komplexný zákon, ktorý celú tému systematicky vyrieši.” Exemplár 1: Peter Pellegrini pred mesiacom v TA3.

Návrh zákona, o ktorom podpredseda vlády rozpráva, čerstvo absolvoval medzirezortné pripomienkovanie. Na jeho konci ostalo 700 pripomienok k zákonu z toho 230 zásadných. Predložený návrh otvorene kritizujú všetci pre tému kľúčoví hráči ako vnútro, obrana či SIS.

Dnes ten text vyzerá ako čistý karambol. Človeka neobíde otázka ako – konzultovali to vôbec spolu?

Namiesto zjednodušenia

Potreba jedného systematického zákona o kyberbezpečnosti je jasná. Má zjednotiť fragmentovanú legislatívu týkajúcu sa informačných systémov a jasne definovať rozdelenie úloh a oprávnení v tejto oblasti.

Pozrime sa na prvú vec. Ako napísali trefne vo svojej pripomienke ľudia zo Slovensko.Digital, “ zákon o kybernetickej bezpečnosti mal zjednotiť, resp. zastrešiť všetky povinnosti vytvárania bezpečnostnej dokumentácie a bezpečnostných opatrení, najmä podľa zákona o informačných systémoch verejnej správy, zákona o ochrane osobných údajov, zákona o kritickej infraštruktúre. Namiesto toho sa predpisujú opäť nové opatrenia, čo zásadným spôsobom zvýši administratívne zaťaženie.”

Regulácia v tejto oblasti je potrebná, ale musí byť jasná a účelná a fungovať zmysluplným spôsobom. Skutočnosť, že NBÚ nedokáže napísať novú, elegantnú normu, ktorá by zjednocovala existujúce pravidlá, nemôže byť dôvodom, že vznikne ich ďalšia vrstva.

Tu však problémy nekončia. Zákon predpokladá dve kategórie štátnych aj neštátnych aktérov, ktoré sa spájajú s povinnosťami a režimom kontroly. Ide o prevádzkovateľov základných služieb (viac-menej kritická infraštruktúra a banky) a digitálnych prevádzkovateľov (webhostingy, cloudy, vyhľadávače), ktoré by mali spadať pod reguláciu štátu v oblasti cyber.

V zákone sa však dozvieme len o tejto kostre, jej detaily majú definovať vyhlášky NBÚ. Tie dnes ešte neexistujú. Nevieme teda, aké budú presné požiadavky kladené na technické vybavenie, aké budú “prahové hodnoty” po ktorých splnení budú entity zaradené do jednej či druhej kategórie, kategórie incidentov a očakávané reakcie na ne, či požiadavky na čas na odstránenie incidentov.

Štát navrhuje reguláciu a zákonné pokuty za nedodržanie postupov (vrátane 5 % z obratu), ale nevie presne povedať načo a ako majú vlastne firmy a štátne organizácie odpovedať. Takto sa to nerobí. Nevôľu s týmto prístupom vyjadrila Generálna prokuratúra, vnútro aj obrana a za súkromný sektor rovno Republiková únia zamestnávateľov.

Silné NBÚ, silná obrana (ktorá to odmieta)

Ďalšia otázka, ktorú sa snaží návrh vyriešiť je kto bude celej téme “veliť”. Voľba padla na Národný bezpečnostný úrad, ktorý z tohto dôvodu aj zákon predkladá. Okrem nejasného definovania pravidiel a presahov do iných tém vyššie, dochádza k zásadnému  kompetenčnému sporu s ministerstvom obrany.

Zákon navrhuje zveriť výrazné právomoci v oblasti kybernetickej ochrany MOSR. Paradoxne, časť z nich ministerstvo odmieta prijať. Je to v celku bizarné, keďže zvyčajne sa veci s legislatívnym presahom do iných rezortov prejednávajú a píšu spoločne. Toto očividne nie je ten prípad.

Aj samotné právomoci zverené MOSR stoja za zmienku. Prvýkrát sa totiž hovorí o použití útočných spôsobilostí armády v kyberoblasti, ktoré majú proporcionálne odpovedať na útok z vonka. Peter Pellegrini sa dokonca zmienil o použití “červeného gombíka” na vypnutie internetu, i keď zo zákona táto právomoc nie je celkom zrejmá.

O použití napríklad spomenutých oprávnenení má rozhodnúť minister obrany. Ako správne poznamenáva samotné MOSR, podobný postup je nelegálny, keďže o nasadení armády musí rozhodnúť minimálne vláda. Aj tieto návrhy si vyslúžili širokú kritiku zo štátnej správy, vrátane SIS, ktorá tvrdí, že podobne široký mandát armády nie je v súlade s demokratickým charakterom našej krajiny.

Neproblematické nie sú ani právomoci, ktoré si navrhuje prideliť NBÚ. Asi najväčšiu, temer všeobecnú kritiku získalo ustanovenie, podľa ktorého budú mať pracovníci NBÚ právomoc vstupovať do systémov, vrátane úrovne správcu a meniť ich hardwareovú a softwareovú konfiguráciu.

NBÚ bude tvoriť informačný systém incidentov, kde bude zhromažďovať citlivé informácie. Zároveň si vyhradzuje právo v prípade nejasne definovaného “verejného záujmu” poskytnúť tieto informácie aj tretej strane.

Riaditeľ NBÚ bude mať ďalej právomoc vyhlásiť stav kybernetického ohrozenia, kedy sa právomoci jeho úradu ešte rozšíria. Tento stav bude mať možnosť vyhlásiť aj ústne, bez nutnosti to širšie s kýmkoľvek konzultovať.

Na tomto poslednom odstavci vidno ako je celý návrh odtrhnutý od širšieho kontextu bezpečnostného systému. V prvom rade, systém krízového riadenia máme už dnes. Existujú postupy, postavené okolo Bezpečnostnej rady SR, ktoré definujú reakciu štátu na celé spektrum krízových situácii. Bezpečnostná rada má dokonca výbor pre kybernetickú bezpečnosť, ktorý bol zriadený len nedávno.

Namiesto toho, aby sa na tomto systéme stavalo, sa vedľa neho stavia ďalší – paralelný. Ten jednak ignoruje potrebu silnejšieho politického rozhodnutia a legitimity, spojených s obmedzením práv počas krízovej situácie, ale rovnako ignoruje aj celý súbor aktérov, ktorí by sa tohto mali zúčastniť. Načo nám je Národné analytické centrum, spravodajské služby či Situačné centrum, ak nie sú účastné takéhoto rozhodovania?

Duplikácie a stavanie oddelených organizácii je náš veľký neduh. Tento návrh to len potvrdzuje.

Kým si spal

V téme cyber zaostávame nielen oproti západným krajinám Európy, ale aj oproti ostatným krajinám V4. Kým všetci okolo nás majú otázky rozdelenia úloh a právomocí vyriešené roky a makajú na ich vyšperkovaní, u nás sa točíme v kruhu. Vidiac kam smeruje tento materiál – čaká nás ďalšie kolečko bez výsledku.

Jedna strana tu vládne 10 rokov z toho 4 roky sama a nevedela to vyriešiť. Druhá dookola hovorí o obranyschopnosti SR a má ministra obrany aj šéfa SIS. Tiež to len motá.

Naši spojenci sa musia chytať za hlavu. Na východ od nás sa musia smiať.