Akým výzvam Slovensko čelí, prečo je kybernetická bezpečnosť dôležitejšia ako kedykoľvek predtým aj či sme pripravení na výzvy v IT bezpečnosti – na tieto otázky odpovie René Pavlo, odborník na kybernetickú bezpečnosť v DATALANe.

Určite máte prehľad o tom, aký je vývoj v oblasti IT bezpečnosti v štáte a slovenských firmách. Je podľa Vás Slovensko pripravené na výzvy v IT bezpečnosti?
Odborné médiá sprostredkovali verejnosti v poslednej dobe informácie o mnohých prešľapoch na poli IT bezpečnosti, stačí si spomenúť napr. na nedávny prípad v spojení s NCZI, keď bola bezpečnosť pri tvorbe jednoduchej aplikácie zjavne takpovediac „piate kolo u vozu“. Určite by som však nehádzal všetky štátne inštitúcie „do jedného vreca“.  NBÚ, jednotka CSIRT, či rôzne bezpečnostné zložky štátu majú v oblasti IT bezpečnosti silné kompetencie a aj proaktívne konajú. Tu spomeniem prípad aprílového ransomware útoku priamo na Slovensku, kedy NBÚ takmer okamžite reagoval.

Čo sa týka súkromného sektora, firmy pôsobiace v IT si dávajú na bezpečnosť väčšinou pozor, iné to je pri menších firmách, najmä ak majú oblasť svojho podnikania od IT sveta vzdialenú. Potom sa ľahko stane, že útočníci získajú certifikáty pod hlavičkou takejto firmy a „podpíšu“ svoj ransomware ako bezpečný. Tu je však dôležité podotknúť, že aj zámorské certifikačné autority by mali lepšie dbať na verifikáciu žiadateľov.

Všeobecne však na základe skúseností môžem skonštatovať, že na Slovensku je pre IT bezpečnosť dosť slabé nadšenie. Často sa stretávam aj s odmietaním lepšieho zabezpečenia napríklad z pozície moci, prípadne z dôvodu neuvedomenia si možných rizík. Týka sa to aj argumentov v štýle „veď koho by už len zaujímala malá samospráva na Slovensku“. Pritom sa pozabúda  na taký „nepatrný“ element, akým sú rôzne roboty (programy), ktorým je jedno, kde skúšajú zraniteľnosti a bezpečnostné diery. Akonáhle niečo zistia, posielajú informácie tvorcom  – a potom sa zrazu v tej malej samospráve čudujú, že majú zakryptované dáta, prípadne sa stali súčasťou DDoS útoku. Aspoň čiastočne už začína byť nápomocná legislatíva, ktorá inštitúciám – aj takým, čo boli doteraz akoby riadené zvykovým právom – ukladá zákonné povinnosti v oblasti kybernetického zabezpečenia.

Kybernetická bezpečnosť je dôležitejšia ako kedykoľvek predtým a nebudeme vedieť bez nej existovať. Čím to je spôsobené?
V prvom rade je potrebné zadefinovať, čo je to kybernetická bezpečnosť, resp. kybernetický priestor. V zmysle platnej legislatívy (§3 písm.c) zákona o kybernetickej bezpečnosti č. 69/2018 Z.z.), je „kybernetickým priestorom globálny dynamický otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi“. Z pohľadu kybernetickej bezpečnosti sa teda bavíme o zabezpečení nielen sietí a informačných systémov ako takých, ale aj aktivít osôb a prvkov ako súčastí celého tohoto priestoru.
Bezpečnosť informačných systémov je však na svete o nejaký ten rok, či skôr storočia dlhšie; nielen „v poslednej dobe“. Laika možno prekvapí, že za informačný systém je možné považovať napr. aj rôzne listiny, ktoré tu existovali už od dávnoveku a dôležité rozhodnutia, či dohody napr. medzi stredovekými vladármi sa diali (zabezpečené) pod ochranou stráže, zbrojnošov, v prenesenom zmysle slova strážca plnil úlohu dnešného firewallu. Časom sa zmenili technológie a tým aj možnosti útokov.

Ako sa vraví – „príležitosť robí zlodeja“, a v dnešnej dobe, keď viac a viac činností prebieha práve v online svete, je aj viac možností skryť identitu, a nekalé ciele môžete dosiahnuť aj z pohodlia obývačky. Online svet vytvára neustále nové možnosti ako sa obohatiť, či úmyselne uškodiť. Dynamickým presunom našich životov do digitálneho sveta sú dnes pre nás kedysi nepredstaviteľné činnosti bežnou rutinou. Obrazne povedané, v začiatkoch internetu sa platil dolár za doručený mail a dnes platíme desiatky za nedoručovanie, napríklad spamu.

Ruka v ruke s vývojom, keď sme od po zuby ozbrojenej stráže prešli k moderným firewallom; od pergamenu popísaného husím brkom k dotykovým tabletom, by sme však nemali zabúdať na dôležitosť ochrany toho, čo nám prechod do digitálneho sveta prináša. Ide o možnosti zdieľať informácie takmer okamžite s kýmkoľvek na svete. Doba pandémie nepochybne urýchlila prechod do online prostredia a aj preto je nevyhnutné dôraznejšie komunikovať nové hrozby a zoznamovať firmy aj ľudí s nástrojmi, ktorými sa pred hrozbami zabezpečia.

Aké výzvy stoja pred Slovenskom v oblasti IT bezpečnosti?
Snáď najväčšou výzvou je vzdelávanie a osveta ľudí. Niekedy je priam neuveriteľné, čo všetko sú ľudia schopní o sebe prezradiť napr. na sociálnych sieťach, alebo ako ľahko sa dajú oklamať. Týka sa to hlavne strednej a staršej generácie, ide najmä o rôzne podvodné maily, či telefonáty. Na druhej strane ani mladí „mileniáli“ nie sú priekopníkmi v IT bezpečnosti, avšak je potrebné povedať, že v mnohých veciach je mladšia generácia opatrnejšia. Zároveň však aj zraniteľnejšia, keďže digitálne nástroje či sociálne siete využíva v podstate nonstop. Chvíľková neopatrnosť pri hľadaní známosti môže mať fatálne následky. Kyberšikana, vydieranie, hoaxy – príklady by sme, žiaľ, našli všade okolo nás. Ďalšou zásadnou výzvou je tiež zlepšenie prostredia štátneho IT sektora. Máme síce odborníkov na niektorých postoch, napríklad jednotka CSIRT, mnoho pracovníkov NBÚ, no napr. v oblasti samospráv je čo zlepšovať. Obrovská výzva pre štát je čo najnižšia byrokracia (to snáď platí v každej oblasti). Zmeny sa dejú, zatiaľ pomaly, ale dejú sa, a snáď si niekedy budeme môcť povedať že „aj Estónsko nám môže závidieť“.

Ako sa k IT bezpečnosti stavajú iné krajiny v porovnaní so Slovenskom? Máme niekde medzery, prípadne v niektorých aspektoch vynikáme?
Asi nemá zmysel porovnávať Slovensko s rozvojovými krajinami. Samozrejme aj v krajinách tretieho sveta sú informačné technológie, avšak nie tak rozšírené v spoločnosti ako u nás. Ak sa teda pozrieme na situáciu z opačného konca, mnohé krajiny v Európe, USA, ale aj Rusko, Čína, Izrael a iné sú v kybernetickom priestore „ako doma“ oveľa viac než Slovensko. Častokrát počúvame z médií, že taká, či onaká hackerská skupina zaútočila v inej krajine, zastavili dodávku ropy, žiadali výkupné v kryptomenách, odstavili sa centrifúgy na obohacovanie uránu, alebo sa využila bezpečnostná diera v iPhonoch atď. Tieto veci sa dejú takmer denne. O mnohých sa dozvedáme prakticky až „po funuse“ a určite je to len povestná špička ľadovca, ktorá sa dostane na verejnosť.

Na Slovensku je nastavená legislatíva, ktorá spĺňa požiadavky EÚ, či už sa bavíme o ochrane osobných údajov (EÚ nariadenie 2016/679), alebo kybernetickej bezpečnosti (smernica NIS 2016/1148). Snáď nebude príliš trúfalé tvrdenie, že napríklad náš predchádzajúci zákon na ochranu osobných údajov 122/2013 Z.z. bol v niektorých požiadavkách ešte prísnejší, čiže tá organizácia, ktorá si splnila legislatívnu povinnosť v zmysle tohto zákona, nemala problém naplniť aj požiadavky GDPR. O niečo iná situácia je v oblasti kybernetickej bezpečnosti. Boli napr. platné štandardy pre informačné systémy verejnej správy (napr. vyhláška 55/2014 Z.z.), avšak prijatím Zákona o kybernetickej bezpečnosti sa táto problematika „zjednotila“ a dotýka sa nielen štátnych inštitúcií, ale aj súkromného sektora. Zhrniem – čo sa týka úrovne legislatívnych požiadaviek, Slovensko nezaostáva za inými krajinami EÚ, horšie je to s uvedomením si, že sa nejedná o jednorazovú záležitosť, ale kontinuálny proces. To je však hlavne o ľuďoch a pochopení nevyhnutnosti využívania digitálnych technológií. Nutné je však dodať, že na Slovensku máme kvalitných odborníkov a aj spoločnosti, ktoré vyvíjajú konkurencieschopné smart technológie, užitočné aplikácie, či dokonca nový superpočítač. Vedeli ste, že napríklad jeden z najznámejších a možno aj najstarších polymorfných (takých, čo mutujú) počítačových vírusov, tzv. One Half, pochádza zo Slovenska? Je to síce negatívna reklama, ale na druhej strane je to ukážka, že aj na Slovensku môžu vyrásť špičkové technologické kapacity.

Slovenská legislatíva pre kybernetickú bezpečnosť je pomerne mladá. Je podľa vášho názoru dostatočná, prípadne je potrebné niečo meniť?
Je mladá, to je pravda, veď Zákon o kybernetickej bezpečnosti je len z roku 2018. Základ je teda položený, treba však, aby si kompetentní ľudia v štátnom sektore aj vo firmách uvedomili, že jedným zákonom sa bezpečnosť nevyrieši navždy. V prvom rade by mal každý chcieť. Nevravím len o tom, že číslo kreditnej karty nedáte len tak niekomu (aj keď aj také prípady sa nájdu). Jedná sa najmä o to, že zákon sa bude a musí sa novelizovať podľa vývoja technológií, vzniku nových hrozieb a opatrení. Nad tým, čo platilo v IT pred 10 rokmi ako „bezpečné pravidlo“, sa dnes môžeme častokrát pousmiať. Je to to isté, ako keď si niekto kúpi povedzme nový firewall, úspešne ho spustí a nechá roky tak. Ak sa nebude zaujímať, či neboli objavené bezpečnostné diery, či nie je nový firmware, konfigurácia atď., tak je len otázka času, než sa vystaví rizikám. Jednoznačne platí, že každý by sa mal zaujímať o bezpečie v digitálnom svete aspoň tak, ako v reálnom.

Pre efektívnu ochranu treba mať nielen technológie a správne nastavené procesy, ale aj dostatok kvalifikovaných ľudí. Aká je podľa vás súčasná situácia v tejto oblasti?
Záleží na tom, o akú organizáciu ide. Vo všeobecnosti je nedostatok kvalifikovaných IT odborníkov a problém je aj v ich ohodnotení. Súkromný sektor dokáže ako-tak zaplatiť špičkových odborníkov v oblasti IT bezpečnosti, aj to nie každá firma, avšak za kratší koniec povrazu v tomto prípade ťahá štát s tabuľkovým ohodnotením, ako aj samosprávy, ktorých sa bytostne dotýka napr. potreba mať funkciu manažéra pre kybernetickú bezpečnosť. Ak má samospráva (mestá, či obce) vo vlastnej réžii splniť legislatívne požiadavky napr. spomínaná funkcia plus k tomu iné požiadavky, napr. monitoring prostredia, vyhodnocovanie logov a incidentov na sieti, alebo kryptografiu, nedokáže to pokryť jedným človekom. Zaplatiť viacerých odborníkov naraz, hlavne ak ich je veľmi ťažké nájsť, je často náročné aj pre súkromnú firmu, nieto ešte mesto, či obec. Problém je teda nielen v nedostatku kvalitných pracovníkov s praxou, ale aj v ich ohodnotení. Tu sa ponúka snáď jediná schodná cesta a to pokrytie takýchto služieb externými spoločnosťami, tzv. outsourcing. Aj DATALAN má v tejto oblasti dlhoročné skúsenosti a referencie, a vie poskytnúť svojim zákazníkom komplexné a na mieru šité bezpečnostné služby.

Podľa niektorých názorov musia slovenské obce a mestá dobiehať desaťročný rozdiel v investíciách do infraštruktúry či procesov v oblasti IT bezpečnosti. Myslíte si, že je vôbec možné tento rozdiel niekedy dobehnúť? Prečo vôbec k tomu prišlo?
Z vlastnej skúsenosti viem, že mnohé mestá a hlavne obce by mali dobehnúť dokonca aj viac ako desaťročný rozdiel v investíciách. Stretol som sa s prípadmi, keď ešte stále používajú nepodporované systémy, napríklad toľko obľúbený Windows 7, ba dokonca aj Windows XP, prípadne nemajú primeranú antivírovú ochranu. Legislatíva je však daná a osobne vítam aj aktivity MIRRI, napr. nedávnu výzvu na uchádzanie sa o fondy z EU smerujúce práve na zlepšenie stavu kybernetickej bezpečnosti v mestách. Zámer je to viac ako dobrý. Dôvody tohto meškania v investíciách sú jasné – financie. Tak si myslí väčšina. Problémom však je aj to klasické – IT nikto nevidí, pokiaľ všetko funguje. Existuje veľmi veľký priestor na zlepšenie, no štatutárne orgány samospráv si musia uvedomiť potrebu investícií do oblasti IT. Opäť sa raz dostávame k vzdelávaniu, laicky povedané, ťažko presvedčiť starostu, ktorý nepoužíva ani smartphone o nutnosti upgradu z Windows 7 na Windows 10. Nechcem sa nikoho dotknúť, no je nutné vnímať argumenty a brať na zreteľ, že práve IT je najrýchlejšie sa vyvíjajúci segment a týka sa nás všetkých.

Ako by ste zhodnotili prácu alebo kroky úradov či ministerstiev, ktoré zastrešujú kybernetickú bezpečnosť?
Ak hovoríme o NBÚ, do ktorého kompetencií spadá aj kybernetická bezpečnosť, mám za to, že úrad dbá o svoje renomé, a aktívne upozorňuje na možné hrozby a útoky. Tento stav urýchlila aj známa kauza spred pár rokov – „NBUSR123“, no možno aj vďaka tomu sa dnes určite nejedná o orgán, ktorý zaspal na vavrínoch. Komunikuje aj na sociálnych sieťach, vydáva varovania, informuje verejnosť. Novela zákona o kybernetickej bezpečnosti upresňuje ďalšie právomoci pre NBÚ, čoho sa mnohí obávajú – uvidíme, čo to prinesie najmä v oblasti digitálnych služieb. Čas ukáže, či je legislatíva nastavená správne.

Na akej úrovni je podľa vás dôveryhodnosť ľudí voči IT systémom štátu a IT systémom firiem?
To je dobrá otázka. Po medializovaných prípadoch sa vôbec nečudujem, že najmä mladšie ročníky viac dôverujú bezpečnosti sociálnej siete ako štátneho systému. No nemalo by to tak byť. Štát by mal vzbudzovať dôveru, ako autorita, ktorej nielen platíme dane, ale môžeme sa aj spoľahnúť na to, že údaje, ktoré o nás má, vie aj patrične ochrániť a hlavne zabezpečiť funkčné systémy, predovšetkým, keď sú najviac potrebné. Krásny príklad za všetky bol nedávny prípad, ktorý môžeme vnímať aj ako ukážku, ako prebieha DDoS útok (Distributed Denial Of Services – distribuované zneprístupnenie služby). Registrácia na očkovanie proti Covid-19: každý si iste pamätá, že nebolo možné sa zaregistrovať, či už ste boli „obyčajný ítečkár“, alebo prezident korporácie. Netvrdím, že šlo o útok, ale pre vysvetlenie – v krátkom čase sa na registračný web snažili dostať státisíce ľudí a systém jednoducho nápor požiadaviek nezvládal. Podobne prebieha DDoS útok – keď je cieľ zahltený až miliónmi požiadaviek z iných počítačov, tak jednoducho zlyhá. Existujú postupy, ako sa takému útoku brániť, resp. minimalizovať jeho dopad, s týmto však zrejme nik nepočítal a takto vznikla „kauza“. Podobne aj možné úniky dát, na ktoré upozorňujú etickí hackeri, tiež nepridávajú štátu na renomé. Preto sa niet čo diviť, keď súkromná firma má lepšie vnímanie IT bezpečnosti z pohľadu verejnosti ako štát.

Slovensko nedokáže realizovať podporné projekty kybernetickej bezpečnosti financované zo štrukturálnych fondov EÚ. Prečo tomu tak je a aké je podľa Vás riešenie problému?
Dovolím si nesúhlasiť. Slovensko dokáže realizovať projekty (pokiaľ sa k fondom úspešne prebojuje), problém sú však nastavené pravidlá a opäť – byrokracia. Napríklad výzva MIRRI pre získanie prostriedkov na procesnú (analytickú) a následne implementačnú časť kybernetickej bezpečnosti, presnejšie výzva „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“ – výborný zámer, samosprávy to naozaj potrebujú. Ale – mnoho miest sa ohradilo voči spodnej hranici finančných prostriedkov. Minimum, o ktoré bolo možné žiadať, je nastavené príliš vysoko. Druhá prekážka je následné spracovanie potrebných podkladov vrátane deklarácie a rozličných ekonomických analýz. Ani v jednom meste, kde som túto problematiku konzultoval, mi nebolo potvrdené, že by boli schopní spracovať to vo vlastnej réžii. Jednoducho sú pri uchádzaní sa o EÚ fondy odkázaní na objednávku služieb v súkromnej firme.

Pri žiadosti o čerpanie NFP z EÚ fondov sú kritériá nastavené príliš byrokraticky a často takmer nesplniteľne. A aj keď sa ich mestu podarí splniť, nie je ešte isté, či a kedy bude žiadosť schválená. Odhliadnuc od toho, že v spomenutej výzve nie sú zahrnuté obce, iba mestá – a pritom aj mnohé obce sú identifikované ako prevádzkovatelia základných služieb. Riešenie problému je pritom jednoduché: nerobiť rozhodnutia od stola, ale komunikovať s predpokladanou cieľovou skupinou, v spomínanom prípade najmä s mestami, zohľadniť všetky možnosti  a rozhodne zjednodušiť proces podávania a posudzovania žiadostí.