1 ÚVOD

Enormné zavádzanie informačných a komunikačných technológií (ďalej len „IKT“) do väčšiny oblastí života prináša mnohé pozitíva, ktoré vedú k rozvoju informačnej spoločnosti, urýchleniu komunikácie a rozvoju služieb. Na druhej strane, závislosť spoločnosti a jej fungovania na takýchto technológiách so sebou prináša aj riziká v podobe zneužitia IKT a útokov na uvedené technológie. Cielené útoky proti IKT nie sú len otázkou, ktorú je potrebné riešiť na národnej úrovni, ale nadobudla globálny charakter a stala sa celospoločenským fenoménom. Výsledkom takýchto aktivít sú škody nie len vo verejnom sektore, ale aj súkromnom sektore. Nové formy kybernetických útokov predstavujú ohrozenie pre dôležité riadiace, technologické, komunikačné a bezpečnostné systémy, ako aj služby, ktorých nefunkčnosť, alebo chybná funkčnosť, by mala vážny dopad na fungovanie štátu, najmä v jeho základných bezpečnostných oblastiach. V dôsledku dynamicky sa rozvíjajúcich technológií sa zvyšuje riziko vzniku ďalších nových bezpečnostných hrozieb. Preto je viac ako potrebné, zaoberať sa problematikou zabezpečenia potrebnej ochrany IKT pred zásahmi, ktoré môžu ochromiť ich riadne fungovanie a v konečnom dôsledku ohroziť aj riadne fungovanie štátu.

Slovenskej republike ako členovi Organizácie Severoatlantickej zmluvy (ďalej len „NATO“) a členovi Európskej únie vznikajú záväzky týkajúce sa kybernetickej bezpečnosti, konkrétne ochrana kybernetického priestoru, ochrana pred útokmi a hrozbami, ktoré sa objavujú v tomto priestore. Spomínané útoky sú stále komplikovanejšie a sofistikovanejšie, nehovoriac o tom, že často smerujú proti prvkom kritickej infraštruktúry. S ohľadom na skutočnosť, že kybernetický priestor nie je teritoriálne ohraničený, je potrebné pozerať sa na problematiku kybernetickej bezpečnosti perspektívou medzinárodného spoločenstva a v dôsledku všade prítomných kybernetických hrozieb, rozvíjať intenzívnu medzinárodnú spoluprácu. Nakoľko v Slovenskej republike pretrváva rôzna úroveň spôsobilosti a pripravenosti na kybernetické hrozby a útoky proti IKT, je nutné riešiť ochranu kybernetického priestoru formou záväznej právnej regulácie.

2 ZÁKLADNÉ POJMY KYBERNETICKEJ BEZPEČNOSTI 

Kybernetická bezpečnosť je v súčasnosti považovaná za jednu z najdynamickejších otázok, avšak málokto si uvedomuje jej skutočný význam a rozmer. Jedným z hlavných dôvodov pre túto nejasnosť je absencia záväznej terminológie v tejto oblasti. Preto je viac ako potrebné, vymedziť pojem kybernetická bezpečnosť a pojmy s ňou súvisiace.1

Napriek tomu, že pojem kybernetická bezpečnosť sa v súčasnosti nevyskytuje v žiadnej právnej norme, nachádzame definíciu tohto pojmu v dokumente „Koncepcia kybernetickej bezpečnosti Slovenskej republiky na roky 2015 – 2020“ (ďalej len „Koncepcia“). V zmysle Koncepcie predstavuje kybernetická bezpečnosť určujúci prvok bezpečnostného prostredia a na úrovni štátu predstavuje: „systém nepretržitého a plánovitého zvyšovania politického, právneho, hospodárskeho, bezpečnostného, obranného a vzdelanostného povedomia, ktorý zahŕňa aj zvyšovanie účinnosti prijatých a aplikovaných technicko-organizačných opatrení riadenia rizík v kybernetickom priestore za účelom jeho transformácie do dôveryhodného prostredia, ktoré umožnia bezpečné fungovanie spoločenských a hospodárskych procesov pri zaistení akceptovateľnej úrovne rizík v kybernetickom priestore.“2 V zmysle prílohy Koncepcie, ktorá vymedzuje vybrané pojmy, ako aj význam kľúčových pojmov pre účely Koncepcie, je kybernetická bezpečnosť vymedzená ako: „súhrn právnych, organizačných a technických prostriedkov na zaistenie ochrany kybernetického priestoru.“3 Koncepcia vníma kybernetickú bezpečnosť ako súčasť bezpečnostného systému štátu a poukazuje na základné bezpečnostné oblasti (bezpečnostné záujmy Slovenskej republiky v zahraničnej a obrannej politike; ochrana ústavného zriadenia, verejného poriadku, bezpečnosť občana a štátu; sociálna stabilita štátu; ekonomická stabilita štátu; ochrana životného prostredia), ktoré by mohli byť ohrozené v prípade nezabezpečenia dostatočnej ochrany a obrany pred bezpečnostnými incidentmi.

Ďalšími dôležitými pojmami sú kybernetický priestor (cyberspace) a národný kybernetický priestor. 4 Pojem kybernetický priestor pôvodne slúžil na označenie prostredia, v ktorom prebieha prenos a spracovanie digitálne zaznamenanej informácie. V súčasnosti označuje informačnú a komunikačnú infraštruktúru organizácie, štátu, alebo globálnu informačnú a komunikačnú infraštruktúru.5 Podobne ako pojem kybernetická bezpečnosť, ani kybernetický priestor nemá svoju legálnu definíciu, ale možno poznamenať, že je obsahom viacerých dokumentov, ktoré nie sú záväzné.6 Kybernetický priestor je v zmysle prílohy Koncepcie vymedzený ako: „virtuálny priestor bez hraníc zložený z celosvetovo prepojených sietí z hardvéru, softvéru a dát.“ 7 Národný kybernetický priestor Slovenskej republiky zahŕňa jednotlivé systémy kybernetického priestoru, ktoré sa nachádzajú na území Slovenskej republiky, ako aj ďalšie systémy kybernetického priestoru, ktoré obsahujú dáta a informácie smerované na Slovenskú republiku, alebo majúce vplyv na Slovenskú republiku.8

S problematikou kybernetickej bezpečnosti úzko súvisí aj pojem kritická infraštruktúra a kritická informačná a komunikačná infraštruktúra. Prvý pojem predstavuje v zmysle Koncepcie: „systémy a služby, ktorých nefunkčnosť, alebo chybná funkčnosť by mala závažný dopad na bezpečnosť štátu, jeho ekonomiku, verejnú správu a v konečnom dôsledku na zabezpečenie základných životných potrieb obyvateľstva.“9 V rámci kritickej infraštruktúry je často definovaných päť sektorov: sektor informačných a komunikačných technológií, energetický sektor, bankový a finančný sektor, fyzická distribúcia – dopravná infraštruktúra (čiže hlavne prepravné a dopravné systémy) a sektor významných služieb pre ľudí.10 Podľa Koncepcie predstavuje kritická informačná a komunikačná infraštruktúra: „sústavu systémov, infraštruktúr, sietí a služieb informačných a komunikačných technológií, ktorých narušenie, zničenie alebo nedostupnosť by mali vážny dosah na fungovanie ďalších sektorov kritickej infraštruktúry a životne dôležitých spoločenských funkcií, vrátane národnej, ekonomickej a verejnej bezpečnosti.“11 Inými slovami možno povedať, že kritická informačná a komunikačná infraštruktúra, ktorá je súčasťou národnej informačnej a komunikačnej infraštruktúry (NIKI), ktorá slúži na získavanie, prenos, spracovávanie a uchovávanie informácií, pozostáva jednak z hmotných prvkov, ktorými sú počítače, ďalšie IKT zariadenia, počítačové a komunikačné siete, ktoré jednotlivé komponenty vzájomne prepájajú, ale aj z nehmotných prvkov, predstavujúcich informácie, ktoré prúdia v tejto infraštruktúre, ale aj služby, ktoré sú prostredníctvom nej poskytované.

Cieľom kybernetických útokov, ktoré môžu ohroziť kritickú infraštruktúru sú najmä informačné a komunikačné technológie. V širšom slova zmysle predstavujú IKT akýkoľvek nástroj, zariadenie alebo prostriedok, ktorý sa dá používať na spracovávanie informácie. V súčasnosti však IKT slúžia na spracovanie informácií spojením počítačov, telekomunikačných systémov a masovokomunikačných prostriedkov.12 IKT zaradzujeme do kritickej infraštruktúry spoločnosti, nakoľko sa využívajú aj na spracovanie dôležitých informácií, riadenie zložitých systémov a vykonávanie činností, od ktorých závisí riadny chod spoločnosti.

3 KYBERNETICKÁ BEZPEČNOSŤ SLOVENSKEJ REPUBLIKY

Problematika kybernetickej bezpečnosti nie je v súčasnosti komplexne upravená v právnom poriadku Slovenskej republiky. Čiastočne sa tejto problematike venujú dokumenty „Národná stratégia pre informačnú bezpečnosť“ a nadväzujúci „Akčný plán informačnej bezpečnosti“.13 Na tomto mieste treba podotknúť, že v prípade pojmov informačná bezpečnosť a kybernetická bezpečnosť sa v odborných kruhoch vedie mnoho diskusií tykajúcich sa ich vzájomného vzťahu.14 Kybernetickej bezpečnosti sa ďalej venuje dokument „Príprava Slovenskej republiky na plnenie úloh v oblasti kybernetickej obrany, vyplývajúcich z cieľov spôsobilostí Slovenskej republiky“. Tento dokument vymedzuje národné spôsobilosti Slovenskej republiky v oblasti kybernetickej obrany, ktoré bude nevyhnutné vybudovať a rozvíjať do konca roka 2017. V zmysle tohto dokumentu Národný bezpečnostný úrad bude plniť úlohy, ktoré súvisia so zabezpečením a koordinovaním vybudovania spôsobilostí Slovenskej republiky v oblasti kybernetickej obrany.15

V súčasnosti absentuje právna úprava kybernetickej bezpečnosti, ktorá by komplexne riešila problematiku ochrany kybernetického priestoru. Čiastkové aspekty ochrany Slovenskej republiky pred kybernetickými útokmi sú predmetom nasledujúcich právnych predpisov: 
– Zákon č. 45/2011 Z. z. o kritickej infraštruktúre, 
– Zákon č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov, 
– Zákon č. 275/2006 Z. z. o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.16

S cieľom zabezpečenia primeranej úrovne ochrany národnej informačnej a komunikačnej infraštruktúry (NIKI) a kritickej informačnej a komunikačnej infraštruktúry bol Ministerstvom financií SR zriadený Národný útvar pre riešenie počítačových incidentov (CSIRT.SK, Computer Security Incident Response Team Slovakia), ktorý je etablovaný aj v rámci príslušných medzinárodných štruktúr. CSIRT.SK vznikol v súlade s Národnou stratégiou pre informačnú bezpečnosť v Slovenskej republike a je zriadený ako špecializovaný útvar DataCentra, ktorý je rozpočtovou organizáciou Ministerstva financií Slovenskej republiky. Hlavnou úlohou CSIRT.SK je najmä iniciovať a koordinovať reakcie štátnej správy, verejného a súkromného sektora na bezpečnostné incidenty, ktoré ohrozujú nie len národnú informačnú a komunikačnú infraštruktúru Slovenskej republiky (NIKI).

Hlavnými cieľmi CSIRT.SK sú:17 
– riešenie informačno-bezpečnostných incidentov v Slovenskej republike v spolupráci s vlastníkmi a prevádzkovateľmi postihnutých častí národnej informačnej a komunikačnej infraštruktúry (NIKI), telekomunikačnými operátormi, poskytovateľmi internetových služieb a so štátnymi orgánmi, 
– budovanie a rozširovanie znalostí verejnosti vo vybraných oblastiach informačnej a kybernetickej bezpečnosti, 
– kooperácia so zahraničnými sesterskými organizáciami a reprezentácia Slovenskej republiky v oblasti informačnej bezpečnosti na medzinárodnej úrovni.

Na účely dosiahnutia týchto cieľov poskytuje CSIRT.SK služby aktívne, ktoré zahŕňajú najmä analýzu, varovanie, reakciu a koordináciu činností pre prípad vzniku bezpečnostného incidentu, ale aj proaktívne, ako napríklad vzdelávanie, distribúciu informácií o incidentoch a konzultačnú podporu v oblasti kybernetickej bezpečnosti

3.1 Koncepcia kybernetickej bezpečnosti Slovenskej republiky na roky 2015 – 2020

Problematika kybernetickej bezpečnosti je na národnej úrovni predmetom Koncepcie kybernetickej bezpečnosti Slovenskej republiky na roky 2015 – 2020. 18 K vypracovaniu tohto dokumentu sa vláda Slovenskej republiky zaviazala do konca roka 2014 v Správe o bezpečnosti Slovenskej republiky za rok 2013. Koncepcia vychádza z uvedenia a opisu základných pojmov, základných princípov, charakteristiky aktuálneho stavu strategického, legislatívneho a inštitucionálneho rámca v oblasti kybernetickej bezpečnosti v Slovenskej republike, ako aj zo strategického a metodického rámca formovaného dokumentmi NATO a Európskej únie a z nich následne formuluje princípy, ciele a návrhy … …

Celé znenie článku nájdete na nižšie uvedenom zdroji.

Autor
JUDr. Jozef Andraško PhD., PhD. jozef.andrasko@flaw.uniba.sk
Univerzita Komenského v Bratislave, Právnická fakulta
Šafárikovo nám. č. 6
P. O. Box 313
810 00 Bratislava

Zdroj
https://www.flaw.uniba.sk/fileadmin/praf/Veda/Konferencie_a_podujatia/7._sekcia.pdf