Zákon – Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov 69/2018 | Paragraf/y: § 3
1 ÚVOD
Autonómne systémy, umelá inteligencia a roboti sú v súčasnosti aplikované do mnohých
oblastí života. Vidíme ich v domácnostiach ako inteligentných asistentov, sú súčasťou bežnej jazdy
autom a obchodovania na burze a taktiež dokážu komunikovať so zákazníkmi. Navyše, aplikácia
autonómnych systémov do rôznych procesov v rámci rôznych právnych profesií[1] už nie je ničím
výnimočným.[2] Vedecké a odborné kruhy upriamujú svoju pozornosť najmä na otázky právnej subjektivity autonómnych systémov, právnej zodpovednosti, ochrany súkromia a osobných údajov[3] či oblasti autorských práv. Bez ohľadu na to či právo nájde odpovede na tieto otázky, bude nevyhnutné skúmať, do akej miery je právne regulovaná bezpečnosť autonómnych systémov pred rôznymi kybernetickými útokmi. V tejto súvislosti si je potrebné uvedomiť, že len autonómne systémy resp. objekty, ktoré fungujú na základe autonómnych systémoch (autonómne vozidlo, pracovné roboty a pod.), ktoré spĺňajú určité bezpečnostné štandardy, môžu odolávať rôznym kybernetickým útokom na dostatočnej úrovni.
2 TEÓRIA BEZPEČNOSTI
2.1 BEZPEČNOSŤ
Vo všeobecnosti možno povedať, že bezpečnosť je založená na ochrane aktív pred rôznymi hrozbami pri určitej zraniteľnosti.[4] Za aktíva možno považovať všetko, čo má pre danú organizáciu[5] hodnotu. Môže ísť o hmotné aktíva (zariadenie, personál a pod.) alebo o nehmotné aktíva (napr. informácie, údaje, služby, dobré meno, know-how a pod.). Akákoľvek udalosť, skutočnosť, osoba, sila, ktorá môže spôsobiť, že sa aktíva organizácie dostanú do neželaného stavu (napr. nebudú fungovať počítače, zamestnanec ochorie a pod.), sa nazýva hrozba. Najčastejšími hrozbami, ktoré možno aplikovať na aktíva sú prírodné vplyvy (napr. zemetrasenie, búrka a pod.), technické poruchy (napr. výpadok siete, výpadok podpornej infraštruktúry a pod.), chyby v programovom vybavení, neúmyselné ľudské chyby, cieľavedomá ľudská činnosť (sabotáž, prieniky hackerov do systému) a pod.[6] Je potrebné podotknúť, že hrozba sa môže, ale nemusí uplatniť. Aby sa hrozba vôbec naplnila, musí aktívum spĺňať nejaké predpoklady, ktoré nazývame zraniteľnosť. Každé aktívum je zraniteľné, nakoľko jeho hodnotu ohrozujú rôzne vplyvy. Pod zraniteľnosťou možno chápať chybu, nedostatok v podobe nedostatočne vyškoleného zamestnanca, ktorý sa svojou neodbornosťou a neskúsenosťou môže dopúšťať chýb. Takýto nedostatok môže byť zneužitý hrozbou v takom rozsahu, že hodnota aktíva môže byť poškodená alebo dokonca zničená.[7] Aktívum môže byť objektom hrozby ale taktiež môže byť aj cieľom útoku. Útok predstavuje úmyselný pokus o naplnenie hrozby, ktorej nositeľom je človek (poškodenie údajov, prienik do systému) a výsledkom je škoda alebo strata aktív. V prípade, že bude hrozba voči aktívu naplnená a spôsobí narušenie požadovaného stavu aktíva, dochádza k vzniku bezpečnostného incidente. Bezpečnostný incident môže byť spôsobený aktivitou užívateľa (úmyselne, neúmyselne), alebo iným pôsobením (napr. havária, chyba systému a pod.). Dôsledkom bezpečnostného incidentu je ujma na aktívach organizácie (napr. nefunkčnosť aktíva, nemožnosť poskytovania služby, materiálne škody, finančné škody a pod.). Takáto ujma sa nazýva dopad, ktorý sa dá vyjadriť kvantitatívne (napr. finančne ako cena opravy alebo náhrady poškodeného počítača, obnova jeho programového vybavenia a údajov, a pod.) alebo kvalitatívne. [8]
Organizácia počas plnenia svojich úloh čelí mnohým bezpečnostným incidentom či už tým vážnym alebo menej vážnym. Nie všetky hrozby sú pre danú organizáciu opodstatnené, a preto je potrebné vytvoriť kritéria, na základe ktorých bude organizácia rozlišovať hrozby na relevantné a tie menej relevantné. Takýmto kritériom je, napr. dopad hrozby, resp. bezpečnostného incidentu, pri ktorom došlo k naplneniu hrozby. Jedno kritérium by nebolo dostačujúce, a preto je potrebné stanoviť druhé kritérium, ktorým je pravdepodobnosť naplnenia hrozby. Tieto oba kritéria sú spojené v riziku. Vo všeobecnosti možno povedať, že riziko predstavuje možnosť (nie nutnosť), že konkrétna hrozba využije zraniteľnosť aktíva, čo spôsobí vznik ujmy vlastníkovi aktíva.[9] Riziká vyplývajúce z hrozieb voči aktívam organizácie nepredstavujú rovnaký bezpečnostný problém, a preto je potrebné vykonať analýzu rizík, čo predstavuje stanovenie úrovne rizík. Následne sa riziká podľa závažnosti zoradia a rozhodne sa, ktorými rizikami sa bude organizácia zaoberať a ktorými nie. Hranica akceptovateľného rizika predstavuje pomyselnú čiaru v zozname rizík. Inými slovami možno povedať, že v prípade rizík, ktoré sa nachádzajú nad čiarou, musí organizácia prijať také riešenia, aby sa hodnoty daného rizika znížili. Takýmto riešením sú opatrenia, ktoré plnia niekoľko úloh. Na jednej strane znižujú dopady bezpečnostných incidentov na aktíva, a na strane druhej môžu odstraňovať zraniteľnosť aktív, čím v konečnom dôsledku znižujú pravdepodobnosť, že vôbec dôjde k bezpečnostnému incidentu. Takýmto opatrením môže byť, napr. spoľahlivá identifikácia a autentifikácia, šifrovanie citlivej informácie, zálohovanie údajov a pod.[10] Zachovanie dôvernosti, integrity a dostupnosti informácie možno definovať ako informačnú bezpečnosť.[11] Whitman a Mattord definujú informačnú bezpečnosť ako: „ochranu informácií a ich kľúčových prvkov, vrátane systémov a hardvéru, ktoré používajú, uchovávajú a prenášajú túto informácie.“[12] Kľúčovými prvkami sú v tomto prípade dôvernosť, integrita a dostupnosť informácie.[13] Pojem kybernetická bezpečnosť je v zmysle medzinárodného štandardu ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity (ďalej len „ISO/IEC 27032:2012“) definovaný ako zachovanie dôvernosti, integrity a dostupnosti informácií v kybernetickom priestore.[14] V porovnaní s informačnou bezpečnosťou, pôjde teda len o informácie, ktoré sú prenášané a uložené v kybernetickom priestore. Kybernetická bezpečnosť sa vzťahuje na opatrenia, ktoré by zainteresované strany[15] mali stanoviť pre vytvorenie a zachovanie bezpečnosti v kybernetickom priestore.[16]
3 AUTONÓMNE SYSTÉMY
Definície pojmov ako sú autonómne systémy, umelá inteligencia či roboty[17] možno v súčasnosti nájsť len vo vedeckých a odborných článkoch rôznych autorov či v technických normách[18]. V súčasnosti absentuje legálna definícia vyššie uvedených pojmov. Pre účely tohto článku sa pojmy autonómne systémy a umelá inteligencia chápu ako synonymá.[19] Koncept umelej inteligencie bol spomenutý po prvýkrát už v roku 1956. Dlhú dobu prevládal názor, že intelekt je výhradným atribútom človeka, Avšak, vývoj počítačových systémov začal tento pohľad postupne spochybňovať. Intelekt, napr. schopnosť vedieť, rozumieť a myslieť bol vytvorený resp. vyvíjaný prirodzene, avšak vývojom nových technológií môže byť intelekt vytvorený aj umelo.[20] Autonómne systémy nemožno stotožňovať len s algoritmom (softvérom).[21] Autonómne systémy nie sú naprogramované len k výkonu určitých činností, ale aj k tomu, aby sa určité činnosti naučili vykonávať sami. Inými slovami, podstata autonómnych systémov nie je len schopnosť autonómne existovať a fungovať, ale aj vytváranie svojho vlastného kódu (softvéru)[22] nezávisle od svojho autora.[23] Umelá inteligencia sa vyznačuje schopnosťou samo trénovania (self-training) [24] a strojového učenia[25], čo jej umožňuje správať sa rôznym spôsobom v rovnakých situáciách, na základe úkonov, ktoré boli vykonané v minulosti.[26]
Autor Tomíšek uvádza, že autonómne systémy sa vyznačujú dvoma významnými znakmi. Prvým znakom autonómneho systému je nízka kontrolovateľnosť a obťažné zabránenie nepredvídanému nežiaducemu chovaniu. Fungovanie autonómneho systému ovplyvňujú jednak vstupné údaje (napr. autonómne vozidlo získava počas jazdy údaje z dopravného značenia, údaje o iných vozidlách a pod.), ako aj údaje, ktoré získal v minulosti a spracoval na základe strojového učenia. Druhým znakom autonómnych systémov je obťažné určenie príčiny jeho nežiadúceho chovania, a to z dôvodu vstupných údajov alebo strojového učenia (napr. príčinou zrážky autonómneho vozidla môže byť zlé dopravné značenie, chybné údaje o polohe iných vozidiel, chybné nastavenie, ktoré vzniklo strojovým učením).[27]
Autonómne systémy – aktívum, hrozba, zraniteľnosť a riešenie kybernetickej bezpečnosti? Autonómne systémy predstavujú z pohľadu kybernetickej bezpečnosti aktívum, nakoľko majú pre danú organizáciu hodnotu a je potrebné ich chrániť. Samotný kybernetický útok môže byť cielený na autonómny systém (napr. na autonómne vozidlo s cieľom získať spracovávané údaje a pod.). Mnohé kybernetické útoky sú vykonávané prostredníctvom autonómnych systémov, čo znamená, že sú hrozbou. Autonómne systémy dokážu vytvoriť nový a efektívnejší škodlivý kód (napr. malvér), ktorý sa dokáže učiť a … …
Celé znenie článku nájdete na nižšie uvedenom zdroji.
Autor
JUDr. Jozef Andraško PhD., PhD. jozef.andrasko@flaw.uniba.sk
Univerzita Komenského v Bratislave, Právnická fakulta
Šafárikovo nám. č. 6
P. O. Box 313
810 00 Bratislava