Do tretice o Národnej stratégii pre informačnú bezpečnosť

Zjednodušene povedané, hlavné „nástroje“ s ktorými Stratégia ráta, sú koordinácia (čoho, o tom ďalej), dôraz na vydávanie štandardov pre oblasť informačnej bezpečnosti a vzdelávanie v oblasti informačnej bezpečnosti (s tým sa však neráta pre „policymakerov“ ... autori Stratégie to zrejme nepovažujú za potrebné).

Koordinovať sa má „zabezpečenie digitálneho priestoru SR“, vydávanie štandardov v oblasti informačnej bezpečnosti, zapojenie sa do práce medzinárodných inštitúcií v oblasti informačnej bezpečnosti, ... čo je zvlášť zaujímavé, tak aj „národných úsilí pri ochrane digitálneho priestoru SR“ (časť 3.2.6) a „bezpečnostných stratégií jednotlivých systémov NIKI“ (časť 3.2.4). Priznám sa, že som najprv nechápal, čo sú to „národné úsilia pri ochrane digitálneho priestoru SR“ ... z kontextu som potom usúdil, že autori mali zrejme na mysli úsilie všetkých organizácii i jednotlivcov riešiť informačnú bezpečnosť. V prípade koordinácie „bezpečnostných stratégií jednotlivých systémov NIKI“ je všetko jasné – časť 2.1 Stratégie uvádza „Vzájomne poprepájané informačné a komunikačné systémy tvoria informačnú a komunikačnú štruktúru (ďalej len „IKI“), prostredníctvom ktorej sa v súčasnosti vykonávajú operácie prakticky vo všetkých oblastiach života spoločnosti...“ a NIKI = Národná IKI. Inak povedané, do NIKI patrí každý systém, ktorý sa pripojí do Internetu, teda aj notebook, na ktorom píšem tento článok ... z čoho plynie, že koordinovať sa majú „bezpečnostné stratégie“ v podstate každej organizácie a všetkých jednotlivcov vlastniacich či používajúcich počítač na Slovensku.

Pri takto veľkoryso postavenom rozsahu koordinácie, ktorú Stratégia požaduje, pochopiteľne vznikne množstvo nepríjemných otázok – mňa osobne by napríklad veľmi zaujímalo, ako by sa vyriešila koordinácia mojej osobnej bezpečnostnej stratégie, ktorú považujem za moje know-how chránené príslušnými zákonmi, s bezpečnostnými stratégiami organizácií a občanov tejto krajiny. Dajme však takéto otázky bokom a sústreďme sa len na praktickú stránku zabezpečenia koordinácie v tých smeroch, ktoré Stratégia identifikuje.

Hovoriť o koordinácii, aspoň ako to chápem ja, má zmysel iba vtedy, keď koordinátor má náležitú autoritu na to, aby sa jeho rozhodnutia presadili. Autorita môže byť neformálna, alebo formálna, ale na tú prvú v tomto prípade môžeme zrejme pokojne zabudnúť – alebo viete o inštitúcií, ktorá si pre oblasť informačnej bezpečnosti na Slovensku získala náležitý rešpekt? Takže ostáva formálna autorita, t.j. v prípade Stratégie to znamená nielen vytvorenie „koordinačného orgánu“, ale predovšetkým jeho vybavenie právomocami. Vzhľadom na „všeobjímajúci“ rozsah potrebnej koordinácie nemôže ísť o malé právomoci – pripomeňme si, že nemá ísť „len“ o koordináciu (štandardizačných) aktivít orgánov štátnej správy (samotná Stratégia v časti 3.4.2 ako kľúčové organizácie pre vydávanie noriem a štandardov uvádza Ministerstvo financií, Národný bezpečnostný úrad, Ministerstvo kultúry, Ministerstvo zdravotníctva, Slovenský ústav technickej normalizácie a Úrad geodézie, kartografie a katastra), ale aj o koordináciu zástupcov Slovenska v medzinárodných inštitúciách pre oblasť informačnej bezpečnosti a koordináciu riešenia bezpečnosti v podstate každej organizácie a každej osoby, ktorá vlastní alebo prevádzkuje počítačový systém, pripojený do Internetu.

Skrátka, ak sa majú zámery Stratégie v oblasti koordinácie tak, ako sú formulované, naozaj zrealizovať, malo by sa vytvoriť akési supercentrum, vybavené právomocami v záujme koordinácie ovplyvniť v značnej miere zámery a rozhodnutia nielen orgánov štátnej správy, ale aj organizácií a jednotlivcov. Doveďme tú myšlienku ďalej – koordinácia a s ňou súvisiace právomoci vyžadujú sústreďovať informácie, rozhodovať a kontrolovať či boli rozhodnutia uvedené do praxe ... vzhľadom na nutnosť „pokryť“ nielen všetky organizácie, ale aj značnú časť obyvateľstva, je jasné, že centrum samo nebude stačiť a bude nevyhnutné vytvoriť sieť pracovísk centra – okresné, mestské, závodné a uličné „výbory“ ... nepripomína to niečo?

Ako som uviedol v prvom článku o Stratégií, metódy a postupy účinné za istých podmienok – napríklad pri riadení v rozsahu organizácie – nemusia byť použiteľné za iných podmienok – napríklad ak sa použijú na úrovni riadenia štátu. Koordinácia v rozsahu organizácie je možná a potrebná ... organizácie však má aj „páky“ ako si takúto koordináciu jednotlivých zložiek vynútiť. Možnosti top manažmentu štátu vynútiť si nejaký typ správania od „podriadených“ zložiek, sú však iné ako v prípade top manažmentu organizácie. Túto skutočnosť by si autori Stratégie mali uvedomiť, ak ich cieľom nie je len získanie akýchsi právomocí, ale naozaj chcú vytvoriť a uviesť do praxe niečo použiteľné.