Národná stratégia pre informačnú bezpečnosť schválená

z textu Stratégie mám lepší pocit ako z verzie pre pripomienkové konanie. Len musím upresniť, že toto konštatovanie sa týka tzv. hlavného materiálu (samotnej Stratégie), nie sprievodných príloh. Formulácie sú kultivovanejšie, deklarovaný záber Stratégie je skromnejší, orientovaný predovšetkým na oblasť verejnej správy a z textu už tak okato netrčí túžba centrálne riadiť všetko možné, čo len trochu „zaváňa“ informačnou bezpečnosťou. Po obsahovej stránke však k veľkým zmenám nedošlo ... napríklad Stratégia naďalej v téme „Budovanie a rozširovanie poznania“ pozná iba používateľov, informatikov – nešpecialistov na bezpečnosť, informatikov – špecialistov na bezpečnosť, špecialistov niektorých neinformatických oblastí (najmä právnici a vyšetrovatelia) a potom už len výskumníka. Zdá sa teda, že Stratégia vôbec neráta s budovaním a rozširovaním poznania (o informačnej bezpečnosti) tých, ktorí svojimi rozhodnutiami môžu informačnobezpečnostnú situáciu a podmienky pre jej riešenie významným spôsobom posunúť vpred ale i vzad – poslanci, legislatívci, top manažment orgánov štátnej a verejnej správy a podobne. Atď. Ale aj napriek osobným výhradám k niektorým častiam obsahu konštatujem u hlavného materiálu v porovnaní s verziou predloženou na pripomienkovanie istý posun k lepšiemu.

Čítanie/porozumenie celého schváleného materiálu, tak ako aj vo verzii pre pripomienkovanie, značne komplikujú prílohy, ktorých nie je málo a majú značný počet strán. Priznám sa, že z odborného hľadiska nechápem význam uvádzania niektorých príloh – v nejednom prípade namiesto vysvetlenia pojmu ho skôr zahmlievajú, alebo z uvádzaných skutočností logicky vyplýva skôr opačný záver, ako ten, čo sa objavuje v Stratégií. Napríklad, Príloha 2 zužuje informačnú bezpečnosť len na ochranu informácií a hrozby definuje ako „potenciálnu možnosť narušenia informácií“ – čo znamená, že trebárs zneužitie systému (napríklad na vedenie útoku proti iným systémom, na zasielanie sfalšovaných mailov, či na skladovanie detskej pornografie alebo pirátskych kópii softvéru či filmov) podľa takéhoto chápania je kdesi mimo záberu informačnej bezpečnosti... Zaujímavé pritom je, že hlavný materiál pojem informačná bezpečnosť chápe predsa len komplexnejšie – aký význam potom má nepodarený text v prílohe?

Iný príklad - Príloha 3 uvádza „Zahraničnú normu možno prijať do STN dvojako - prekladom, alebo prebratím znenia normy v cudzom jazyku“ a nespomína nič, z čoho by vyplývalo kategorické tvrdenie v hlavnom materiáli, teda že „Pri preberaní schválených štandardov je nevyhnutná účasť zástupcov SR v medzinárodných štandardizačných organizáciách.“ (časť 3.4.2). Vie mi niekto uviesť presvedčivý dôvod, prečo pri „preberaní schválených štandardov“ je nutné mať svojich zástupcov v medzinárodných štandardizačných organizáciách? Aby sme si rozumeli - aktívna účasť v medzinárodných štandardizačných organizáciách predpokladá okrem veľmi slušnej orientácie v príslušnej odbornej problematike aj schopnosť diskutovať a argumentovať, niekedy doslovne na úrovni výberu najvhodnejšieho slova - to už chce aj osobné zanietenie, lebo inak ide o pomerne nudné čítanie a dohodovanie znenia nezáživných textov. Ak sa takí ľudia na Slovensku nájdu, podporme ich prácu v takých inštitúciach, lebo aj tak sa utvára dobré meno Slovenska v medzinárodnej komunite ... ale ak má ísť iba o pasívnu účasť, tak potom prečo? Veď na „prebranie textu schváleného štandardu“ nie je predsa potrebné osobne chodiť na zasadania pracovných komisií - jedine že by šlo o utajované štandardy, ktoré sa inak ako osobným prevzatím získať nedajú...

Priam ukážkovým príkladom zbytočnosti množstva strán textu v prílohách je téma existencie špecializovanej organizácie pre informačnú bezpečnosť. Príloha 2 popisuje situáciu vo vybraných krajinách (USA, Japonsko, Nemecko, Fínsko a Česká republika) ... z tam uvedeného vyplýva, že špecializovaným úradom na informačnú bezpečnosť sa môžu pochváliť len USA, Japonsko a Nemecko, teda krajiny ktoré svojou veľkosťou, ekonomickou silou a úrovňou informačno-bezpečnostného know-how jasne hrajú úplne inú ligu ako Slovensko. Z čoho potom vyplýva potreba zriadenia Národného úradu pre informačnú bezpečnosť (NÚIB) na Slovensku? Nevedno, ale Príloha 3 absenciu takej inštitúcie konštatuje ako jeden z hlavných chýbajúcich prvkov v SR a hlavný materiál zriadenie NÚIB priamo odporúča (aj keď v porovnaní s verziou pre pripomienkovanie v trochu skromnejšej formulácii). A to aj napriek tomu, že Príloha 3 – celkom správne - len pár riadkov predtým konštatuje „Na zaistenie svojej informačnej bezpečnosti má SR podstatne menšie zdroje ako informačne vyspelé krajiny“. Inak povedané, to, že sa má vytvoriť nový úrad, nevyplýva logicky ako výsledok serióznej analýzy, ale jednoducho sa deklaruje - aj keď z uvádzaných údajov (pre krajiny porovnateľné so Slovenskom) vyplýva skôr opačný záver.

Skrátka, prílohy Stratégie obsahujú množstvo textu, ktorý často len okrajovo súvisí s tvrdeniami sformulovanými v hlavnom materiáli, niekedy z neho skôr vyplýva opak toho, čo hlavný materiál deklaruje. A niekedy ani nezodpovedá skutočnosti – s úžasom som sa v Prílohe 2 (časť venovaná medzinárodným aktivitám) dočítal, že IFIP (International Federation for Information Processing) Technical Committee on Security and Protection in Information Processing Systems - IFIP TC11 vraj „koordinuje výskumné a vzdelávacie aktivity“ v oblasti informačnej bezpečnosti ... členom TC11 som už pekných pár rokov, ale toto bola pre mňa novinka. Za takýchto okolností nevidím zmysel zahlcovať záujemcu o Stratégiu množstvom balastu v prílohách.

Každopádne, Stratégia je schválená, tak stojí za to pozrieť sa, aké majú byť ďalšie kroky v najbližšej dobe. Podľa Stratégie sa chystá toto:

1. návrh organizačného, personálneho, materiálno-technického a finančného zabezpečenia na vytvorenie špecializovanej jednotky pre riešenie počítačových incidentov – hmmm, zabezpečiť kvalifikované personálne obsadenie takéhoto pracoviska nie je jednoduchá úloha, takže to môže byť celkom zaujímavé čítanie

2. vypracovanie legislatívneho zámeru zákona o IB verejnej správy v SR – všimnime si skromnejšie ambície pokryť iba oblasť verejnej správy, bude však zaujímavé sledovať, čo všetko sa autori pokúsia do tohto dokumentu pretlačiť

3. vypracovanie návrhu systému vzdelávania v oblasti informačnej bezpečnosti v SR – v tejto fáze plánované len pre „informatikov zo štátnych orgánov ... a laikov/informatikov z verejnej správy“

4. vypracovanie návrhu Akčného plánu – keď sa pozriem na to, ako vyzerá Stratégia (a spomeniem si, ako vyzerala jej verzia na pripomienkovanie), tak som naozaj zvedavý aký materiál pod názvom Akčný plán vznikne

5. vypracovanie prehľad stavu štandardizačnej činnosti v oblasti informačnej bezpečnosti – priznám sa, že dosť dobre nechápem prečo Stratégia kladie až taký dôraz na štandardy, tak som zvedavý na závery takého prehľadu i to, či budú v súlade s uvádzanými údajmi...

6. vykonať analýzu stavu IB v SR – hmmm, súčasnému stavu informačnej bezpečnosti v SR je venovaná celá Príloha 3 Stratégie, tak som zvedavý s čím novým príde táto plánovaná „analýza stavu“ … snáď sa dočkáme toho, že sformulované závery budú naozaj v súlade s uvádzanými údajmi

7. Vydávanie metodických materiálov z oblasti informačnej bezpečnosti, pričom prvým materiálom bude výkladový slovník informačnej bezpečnosti – také niečo považujem za celkom užitočné, ale po tom, čo autori Stratégie predviedli schopnosť v dvoch častiach jedného materiálu uviesť dve rozličné definície jedného základného pojmu (informačná bezpečnosť), moje očakávania ohľadom kvality výsledku nie sú práve najvyššie

Z uvedeného vidieť, že aj najbližšie kroky smerom k zlepšovaniu stavu informačnej bezpečnosti na Slovensku budú pozostávať predovšetkým z vytvárania ďalších písomných materiálov. OK, aj to je potrebné ... len som zvedavý, či tie materiály budú vznikať podobne ako Stratégia, teda v akomsi utajení, alebo sa začne napĺňať (a akou formou) to, čo schválená Stratégia v časti 3.2.3 písm. i/ výslovne uvádza ako jednu z kľúčových úloh – teda „zapojenie komerčnej sféry a odbornej verejnosti do spracovania, pripomienkovania koncepčných materiálov, noriem a štandardov; vytvorenie priestoru na výmenu poznatkov a skúseností.“