Zákon – Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov 69/2018 | Paragraf/y: § 3
1 ÚVOD
Otázka ochrany informácií a informačných a komunikačných technológií (ďalej len „IKT“), ktoré tieto informácie spracúvajú nebola nikdy aktuálna ako v súčasnosti. V čase, kedy sa informácie stávajú aktívami nevyhnutnými pre fungovanie spoločnosti a rast ekonomiky, je viac ako nevyhnutné prijať legislatívne akty, ktoré by zabezpečili komplexnú ochranu informácií a IKT, ktoré prevádzkujú príslušné entity. Taktiež si je potrebné uvedomiť, že bezpečnostné incidenty majú nepriaznivé dopady nie len na súkromný sektor, ale aj verejný sektor, čo môže spôsobiť problémy pri zabezpečení verejných služieb, ktoré štát poskytuje.
V predkladanom článku sa v prvom rade snažím o objasnenie pojmov informačnej a kybernetickej bezpečnosti z pohľadu medzinárodných štandardov. V druhom rade analyzujem aktuálnu právnu úpravu v oblasti kybernetickej bezpečnosti, a to z pohľadu práva Európskej únie, ako aj právneho poriadku Slovenskej republiky. V neposlednom rade poukazujem na základné inštitúty týkajúce sa kybernetickej bezpečnosti, ktoré sú upravené novou legislatívou v tejto oblasti. V závere poukazujem aj na nedostatky prijatej právnej úpravy v oblasti kybernetickej bezpečnosti.
2 VÝCHODISKÁ INFORMAČNEJ A KYBERNETICKEJ BEZPEČNOSTI
Pojem informačná bezpečnosť je častokrát zamieňaný za pojem kybernetická bezpečnosť a naopak. Nejasnosť v terminológii spomínaných pojmov vychádza najmä zo skutočnosti, že predmetné pojmy sú upravené v mnohých dokumentoch, národného, ako aj medzinárodného charakteru, avšak tieto dokumenty nemajú právnu záväznosť. Nejednotnosť týchto pojmov, ktoré sú používané najmä v rôznych stratégiách, ktoré upravujú bezpečnosť v kybernetickom priestore spôsobila roztrieštenosť pohľadov na skúmané pojmy.
Pojmy informačná a kybernetická bezpečnosť budem analyzovať najmä prostredníctvom medzinárodných štandardov, ktoré túto problematiku riešia už viac než 20 rokov. Hoci štandardy nie sú právne záväzné, častokrát sa na ne legislatíva odvoláva a dávajú presnejšie formulované odpovede na otázky, ktoré súvisia informačnou a kybernetickou bezpečnosťou.
Štandard možno z formálneho hľadiska definovať ako: „dokument, ktorý vznikol na základe konsenzu a bol schválený uznaným orgánom, ktorý poskytuje pre všeobecné a opakované použitie pravidlá, smernice alebo charakteristiky činností alebo ich výsledkov zamerané na dosiahnutie optimálneho stupňa usporiadania v danom kontexte.“’1
Z hľadiska orgánu, ktorý prijíma konkrétny štandard, možno štandardy rozdeliť na formálne a neformálne. Zatiaľ čo formálne štandardy boli schválené národnými2, európskymi alebo medzinárodnými štandardizačnými orgánmi , neformálne štandardy boli publikované organizáciami pre rozvoj štandardov, ktoré však nie sú uznané za štandardizačné orgány.
Problematike informačnej bezpečnosti sa venuje viacero medzinárodných štandardov. V ďalších častiach analýzy sa zameriam na medzinárodné ISO štandardy, ako aj na diela autorov, ktorí sú považovaní za odborníkov v oblasti informačnej a kybernetickej bezpečnosti.
2.1 INFORMAČNÁ BEZPEČNOSŤ – POJEM
Informačná bezpečnosť nie je nový fenomén, nakoľko potreba uchovávať poznatky, chrániť dôverné informácie, overovať autentickosť správ existuje niekoľko tisíc rokov, ale „informačná bezpečnosť“ sa týkala pomerne úzkeho okruhu ľudí (vojakov, obchodníkov, diplomatov, politikov, sprisahancov). S objavením sa elektronických (telegraf, telefón, rádio) ale najmä neskôr digitálnych IKT však prudko vzrástol počet ľudí zainteresovaných na spracovaní a najmä využívaní informácie, a teda aj potreba zaistenia spoľahlivosti, dostupnosti, dôveryhodnosti informačných zdrojov.
Medzinárodný štandard ISO/IEC 27000:2016 Information technology — Security techniques — Information security management systems — Overview and vocabulary (ďalej len „ISO/IEC 27000:2016“) definuje informačnú bezpečnosť ako zachovanie dôvernosti, integrity a dostupnosti informácií.
Dôvernosť, integrita a dostupnosť predstavujú základné bezpečnostné požiadavky na ochranu informácií. Bezpečnostná požiadavka na zaistenie dôvernosti informácie znamená, že informácia je chránená pred prezradením neoprávneným osobám. Príkladom informácií, ktoré si vyžadujú ochranu pred neoprávneným prístupom sú, napr. osobné údaje, informácie týkajúce sa bezpečnosti štátu a pod.
Bezpečnostná požiadavka na zaistenie integrity údajov znamená, že údaje sú chránené pred náhodnou alebo úmyselnou modifikáciou, ktorá by mohla mať vplyv na platnosť údajov. Príkladom by mohla byť ochrana údajov v rámci transakcií, kde dochádza k platbe, kde by mohlo dôjsť k modifikácii sumy.
Dostupnosť informácie ako bezpečnostná požiadavka znamená, že informácie a služby, ktoré poskytujú osobám a organizáciám, musia byť dostupné používateľovi kedykoľvek, keď o to požiada. Napr. webová stránka, prostredníctvom ktorej sa osoby identifikujú a autentifikujú pre využívanie elektronických služieb verejnej správy, musí byť dostupná kedykoľvek, ak o to daná osoba požiada. Nedostupnosť webovej stránky by narušila poskytovanie služieb.
Popri vyššie uvedených bezpečnostných požiadavkách na ochranu informácií, existujú aj iné bezpečnostné požiadavky ako autentickosť, súkromnosť, anonymita, pseudonymita, nepopretie pôvodu, nepopretie doručenia, resp. v prípade ochrany systémov poznáme dosledovateľnosť.
V zmysle predmetného štandardu sa za informácie považujú nielen informácie v digitálnej forme (údaje uložené na elektronických alebo optických médiách), ale aj v materiálnej forme (napr. papier).11 Medzi informácie môžeme taktiež zaradiť informácie ako vedomosti zamestnanca. Informácie môžu byť prenášané rôznymi spôsobmi, kuriérom, elektronickou alebo verbálnou komunikáciou. Bez ohľadu na formu informácií a spôsob jej prenosu platí, že si vyžadujú dostatočnú ochranu.
Whitman a Mattord definujú informačnú bezpečnosť ako: „ochranu informácií a ich kľúčových prvkov, vrátane systémov a hardvéru, ktoré používajú, uchovávajú a prenášajú túto informácie.“ Kľúčovými prvkami sú v tomto prípade dôvernosť, integrita a dostupnosť informácie.
Podľa Olejára sa pojem informačná bezpečnosť používa minimálne v troch významoch:
1. je to ideálny stav systému alebo organizácie, ktorý sa dá charakterizovať tak, že všetko (IKT) funguje v súlade s požiadavkami (stanovenými napr. v bezpečnostnej politike) a v systéme/organizácii nedochádza k bezpečnostným incidentom;
2. označuje činnosť smerujúcu k dosiahnutiu ideálneho stavu;
3. medziodborová oblasť, ktorá skúma hrozby voči IKT a informácii a metódy eliminácie rizík, ktoré z nich vyplývajú.
2.2 KYBERNETICKÁ BEZPEČNOSŤ – POJEM
Pojem kybernetická bezpečnosť je v zmysle medzinárodného štandardu ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity (ďalej len „ISO/IEC 27032:2012“) definovaný ako zachovanie dôvernosti, integrity a dostupnosti informácií v kybernetickom priestore. V porovnaní s informačnou bezpečnosťou, pôjde teda len o informácie, ktoré sú prenášané a uložené v kybernetickom priestore. Kybernetická bezpečnosť sa vzťahuje na opatrenia, ktoré by zainteresované strany mali stanoviť pre vytvorenie a zachovanie bezpečnosti v kybernetickom priestore.
V zmysle vyššie uvedenej definície by sme mohli povedať, že kybernetická bezpečnosť je informačná bezpečnosť kybernetického priestoru. Je viac ako potrebné ozrejmiť pojem kybernetický priestor (cyberspace), ktorý je spätý s pojmom kybernetická bezpečnosť.
Neexistuje jednoznačná, všeobecne akceptovaná definícia pojmu kybernetický priestor. Kybernetický priestor možno chápať ako systém systémov (SoS) zložený z rôznych digitálnych zariadení spojených počítačovými sieťami, pripojenými na Internet (vrátane programového vybavenia, údajov, aplikačných programov, technickej infraštruktúry) a ľudí, ktorí v tomto priestore pôsobia, činností, ktoré v ňom prebiehajú, pravidiel, ktoré upravujú činnosti a vzťahy v priestore. Iné definície chápu kybernetický priestor ako virtuálny systém informácií, vzťahov, činností, ktoré vznikajú pri spracovaní informácií prostredníctvom digitálnych IKT, ktorý však neexistuje v materiálnej forme.
V zmysle medzinárodného štandardu ISO/IEC 27032:2012 predstavuje kybernetický priestor komplexné prostredie, ktoré vzniklo interakciou ľudí, softvéru a služieb na Internete prostredníctvom zariadení a sietí, technológií k nemu pripojených, ktoré neexistuje v žiadnej fyzickej podobe.
Autori odbornej literatúry chápu kybernetický priestor ako geograficky neobmedzený, nefyzický priestor, v ktorom sa nezávisle od času, diaľky a miesta vykonávajú transakcie medzi ľuďmi, medzi počítačmi a medzi počítačmi a ľuďmi. Charakteristickým znakom kybernetického priestoru je nemožnosť určiť presné miesto a čas, kedy došlo k danej aktivite alebo kde došlo k presunu informácií.
Hoci ISO/IEC 27032:2012 a niektorí autori odbornej literatúry chápu kybernetický priestor ako prostredie, ktoré neexistuje vo fyzickej podobe, nemožno ho chápať izolovane od jeho technologických komponentov, z ktorých je tvorený. Avšak, okrem technologickej úrovne má kybernetický priestor aj sociálno-technickú úroveň, v rámci ktorej sa vykonávajú rôzne kybernetické aktivity.
Kybernetická bezpečnosť sa v zmysle štandardu ISO/IEC 27032:2012 opiera o informačnú bezpečnosť (information security), bezpečnosť aplikácií (application security), bezpečnosť siete (network security) a bezpečnosť Internetu (Internet security) ako o základné stavebné kamene. Kybernetická bezpečnosť je jednou z činností potrebných pre ochranu kritickej informačnej infraštruktúry (critical information infrastructure protection). Primeraná ochrana služieb kritickej infraštruktúry súčasne prispieva k základným potrebám bezpečnosti (bezpečnosť, spoľahlivosť a dostupnosť kritickej infraštruktúry) za účelom dosiahnutia cieľov kybernetickej bezpečnosti.
Rozdiel medzi informačnou a kybernetickou bezpečnosťou
V prvom rade si je potrebné uvedomiť, že v prípade skúmaných pojmov nejde o synonymá. Informačnú a kybernetickú bezpečnosť nemožno vnímať ako totožné pojmy a nie je ani vhodné ich rozlišovať na základe toho, ktorý pojem je širší alebo užší.
V zmysle vyššie skúmaných medzinárodných štandardov a odbornej literatúry je zrejmé, že cieľom informačnej bezpečnosti je ochrana informácií a IKT, ktoré tieto informácie spracúvajú. V prípade kybernetickej bezpečnosti je okrem iného taktiež cieľom ochrana informácií, ale len tých z prostredia kybernetického priestoru. V tejto súvislosti si je potrebné uvedomiť, že z pohľadu ochrany informácie ako aktíva, sú v prípade informačnej bezpečnosti chránené nie len informácie v elektronickej podobe, ale aj vo fyzickej podobe.
V druhom rade je potrebné podotknúť, že kybernetická bezpečnosť má za cieľ zabezpečiť zdieľanie a koordináciu medzi jednotlivými bezpečnostnými doménami. Možno povedať, že kybernetická bezpečnosť spravuje bezpečnostné problémy, ktoré nerieši žiadna z bezpečnostných domén alebo môže byť identifikovaná viacerými doménami. V druhom prípade je potrebné zdieľať a koordinovať informácií pre efektívne a komplexné riešenie bezpečnostného problému.
V niektorých prípadoch je pojem kybernetickej bezpečností spájaný s ochranou kritickej informačnej infraštruktúry, čo však nie je pravdou. Súvislosť medzi kybernetickou bezpečnosťou a ochranou kritickej informačnej infraštruktúry je častokrát viac ako zrejmá, nakoľko napr. infraštruktúra telekomunikačných sietí zabezpečuje prístup do kybernetického priestoru.
Správne zadefinovanie pojmu kybernetický priestor, resp. vymedzenie jeho pôsobnosti je veľmi dôležité, nakoľko kybernetickú bezpečnosť môžeme chápať ako informačnú bezpečnosť kybernetického priestoru.
3 PRÁVNA ÚPRAVA KYBERNETICKEJ BEZPEČNOSTI
Od 1. apríla 2018 je účinný zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o kybernetickej bezpečnosti). Predmetný zákon je reakciou na povinnosť transponovať smernicu Európskeho parlamentu a Rady (EÚ) 2016/1148 zo
6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (ďalej len „smernica NIS“). V tejto časti príspevku najskôr ozrejmím ciele smernice NIS a následne sa zameriam na zákon o kybernetickej bezpečnosti.
Smernica NIS stanovuje opatrenia na dosiahnutie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v rámci Európskej únie s cieľom zlepšiť fungovanie vnútorného trhu. Na tento účel sa:
– stanovujú povinnosti prijať národnú stratégiu v oblasti bezpečnosti sietí a informačných systémov (čl. 7)
– vytvára skupina pre spoluprácu (čl. 11)
– vytvára sieť jednotiek pre riešenie počítačových bezpečnostných incidentov (computer security incident response teams network – ďalej len „sieť jednotiek CSIRT“) (čl. 12)
– stanovujú sa bezpečnostné a oznamovacie požiadavky pre prevádzkovateľov základných služieb a poskytovateľov digitálnych služieb (čl. 14 a 16)
– stanovujú sa povinnosti členských štátov určiť príslušné vnútroštátne orgány, národné jednotné kontaktné miesta a jednotky CSIRT (čl. 8 a 9)
Smernica NIS v čl. 4 ods.1 definuje siete a informačné systémy ako:
a) elektronickú komunikačnú sieť v zmysle článku 2 písm. a) smernice 2002/21/ES;
b) každé zariadenie alebo skupina vzájomne prepojených alebo súvisiacich zariadení, z ktorých jedno alebo viaceré vykonávajú na základe programu automatické spracúvanie digitálnych údajov, alebo
c) digitálne údaje, ktoré sa ukladajú, spracúvajú, získavajú alebo prenášajú prostredníctvom prvkov uvedených v písmenách a) a b) na účely ich prevádzkovania, používania, ochrany a udržiavania
Napriek skutočnosti, že smernica NIS predstavuje základný právny rámec pre úpravu kybernetickej bezpečnosti v Európskej únii, pojem kybernetická bezpečnosť nie je definovaný. Smernica NIS definuje len pojem bezpečnosť sietí a informačných systémov ako „schopnosť sietí a informačných systémov odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, autentickosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov.“
V smernici NIS sú definované dva druhy hospodárskych subjektov, a to konkrétne prevádzkovatelia základných služieb (ďalej len „PZS“) a poskytovatelia digitálnych služieb (ďalej len „PDS“). PZS sú verejné alebo súkromné subjekty, ktoré spĺňajú kritéria v zmysle čl. 5 ods. 2 smernice NIS a typ takéhoto subjektu sa uvádza v prílohe II smernice NIS. Ide o subjekty z odvetvia energetiky, dopravy, bankovníctva, infraštruktúry finančných trhov, zdravotníctva, dodávky a distribúcie pitnej vody a digitálnej infraštruktúry. Smernica NIS ukladá členským štátom regulovať PZS podľa zásady minimálnej harmonizácie, čo znamená, že je možné, aby si členské štáty túto úpravu rozšírili i na ďalšie, smernicou neuvedené odvetvia.
Kritériami na identifikáciu PZS v zmysle čl. 5 ods. 2 smernice NIS sú:
a) subjekt poskytuje službu, ktorá má zásadný význam z hľadiska zachovania kľúčových spoločenských a/alebo hospodárskych činností;
b) poskytovanie tejto služby je závislé od sietí a informačných systémov a
c) incident by mal závažný rušivý vplyv na poskytovanie uvedenej služby.
Ide o kumulatívne kritéria, ktoré musia byť naplnené súčasne. Ak jedno z týchto kritérií nie je naplnené, nemôžeme hovoriť o prevádzkovateľovi základnej služby.
V súvislosti s určením závažného rušivého vplyvu zohľadňujú členské štáty v zmysle čl. 6 smernice NIS aspoň tieto … …
Celé znenie článku nájdete na nižšie uvedenom zdroji.
Autor
JUDr. Jozef Andraško PhD., PhD. jozef.andrasko@flaw.uniba.sk
Univerzita Komenského v Bratislave, Právnická fakulta
Šafárikovo nám. č. 6
P. O. Box 313
810 00 Bratislava