Rozoberme si návrh Národnej stratégie pre informačnú bezpečnosť

Aby som nebol nesprávne pochopený – nie som proti myšlienke prijatia dokumentu zameraného na zlepšenie stavu informačnej bezpečnosti na Slovensku. Keďže však taký materiál sa po prijatí stane oficiálnym dokumentom, domnievam sa, že stojí za to usilovať sa, aby mal aj náležitú úroveň ... Naviac, ak sa už na najvyššej úrovni prijme dokument nazvaný „Stratégia“, má to byť dokument s dlhodobou platnosťou, nedá sa očakávať že sa top manažment tejto krajiny bude zosmiešňovať tým, že by po roku-dvoch prijímal ďalšiu stratégiu... Takže, hoci je možné konštatovať, že urgentne potrebujeme oficiálny dokument určujúci zásady a smerovanie ďalšieho vývoja v oblasti informačnej bezpečnosti na Slovensku, stojí za to sa zamyslieť sa nad tým, či je situácia tak naliehavá, aby sme si mohli dovoliť povoliť z požiadaviek na primeranú kvalitu takého dokumentu.

Začnime trebárs s tým najzákladnejším, teda vymedzením pojmu informačná bezpečnosť – čo sa pod tým vlastne má myslieť. Aj samotná Stratégia hneď v Úvode uvádza „Správne vymedzenie pojmu informačnej bezpečnosti je dôležité z hľadiska vytvárania primárnych legislatívnych pravidiel v uvedenej oblasti, ako aj prvým krokom k riešeniu problematiky informačnej bezpečnosti na Slovensku.“ Ako sa teda autori dokumentu zhostili tohto „prvého kroku k riešeniu problematiky informačnej bezpečnosti“?

Hlavný dokument Stratégie v časti 2.1 trochu rozvláčne, ale inak vcelku presne charakterizuje „Informačná bezpečnosť má multilaterálny charakter, t. j. musí zohľadňovať záujmy vlastníkov IKT systémov, potreby ich používateľov, ako aj práva fyzických a právnických osôb, ktorých údaje sa v systémoch spracovávajú. Z hľadiska používateľov sú pri spracovaní informácie najdôležitejšie tieto faktory: účel a obsah informácií, presnosť, aktuálnosť, prístupnosť, usporiadanie a kvalita informácií. Z hľadiska vlastníkov a prevádzkovateľov je najdôležitejší bezporuchový prístup k informačným zdrojom s prístupom on-line a ich zabezpečenie pred únikom informácií, neoprávneným použitím a narušením integrity údajov, ako aj autorita a dobré meno vlastníka systému.“ . Vyzerá to dobre, ale len pokiaľ si pozorne neprečítame aj zvyšok predloženého materiálu, vrátane príloh. Príloha 2, ktorá vo svojom úvode uvádza, že jej úlohou je „stručne vysvetliť, čo je informačná bezpečnosť“ v časti 2.3 problematiku informačnej bezpečnosti zužuje výslovne len na ochranu informácií ( „Informačná bezpečnosť je podľa medzinárodného štandardu ISO/IEC 27001 ochrana informácie pred širokým spektrom hrozieb, ktorej cieľom je zaistenie kontinuity obchodných procesov, minimalizácia strát a maximalizácia návratnosti investícií.“ ). Takže – kým jedna časť predloženého materiálu okrem ochrany informácií do informačnej bezpečnosti zahrňuje trebárs aj ochranu systémov pred ich zneužitím (napríklad na skladovanie detskej pornografie či na vedenie útokov proti iným systémom (tzv. botnety)), druhá časť, ktorej úlohou je pojem informačnej bezpečnosti „vysvetliť“, zjavne ignoruje existenciu hrozieb, ktoré sa v praxi reálne vyskytujú...

A to nie je všetko. Či už zoberieme jednu alebo druhú definíciu informačnej bezpečnosti, nie je jasné ako do nej „zapadne“ problém spamu, ktorý autori v materiáli ďalej uvádzajú ako jednu z hrozieb proti informačnej bezpečnosti. Vôbec, spamu je v materiáli venovaná dosť veľká pozornosť, napríklad v Závere hlavného materiálu sa uvádza „Meranie účelnosti vynaložených prostriedkov bude možné až vtedy, keď budú k dispozícii údaje o počte a dopadoch bezpečnostných incidentov pred a po zavedení bezpečnostných opatrení. Zatiaľ sa dajú dopady iba odhadovať na základe poznatkov zo zahraničia.“ , pričom ako „poznatky zo zahraničia“ sa uvádza informácia o tom, o koľko v Holandsku poklesol výskyt spamu po nasadení antispamových prostriedkov za čosi cez pol milióna eur. Nuž neviem – osobne pokladám spam za nepríjemnosť, nie však za hrozbu ktorá by si zasluhovala zmienku (a už vôbec nie v takom rozsahu ako v Stratégii) v súvislosti s informačnou bezpečnosťou. Pochopiteľne, je možné mať iný názor ... ale v takom prípade by sa „patrilo“ upraviť aj definíciu pojmu informačná bezpečnosť.

Takéto rozoberanie definície pojmu informačná bezpečnosť môže vyznieť ako úplne zbytočné – veď sa to v materiáli dá ľahko opraviť. To je síce pravda, ale ... nezabúdajme, že materiál pochádza „z dielne“ Komisie pre informačnú bezpečnosť, a keď jej členovia (resp. autori materiálu) nemajú ujasnený základný pojem, bolo by asi prehnane optimistické očakávať, že sa táto skutočnosť neodrazí v materiáli ako takom. Naviac, Stratégia navrhuje pre Komisiu vcelku kľúčové postavenie pri realizácii opatrení navrhovaných v Stratégií – ak sa hneď „prvý krok k riešeniu problematiky informačnej bezpečnosti“ vyznačuje neujasnenosťou a protirečivosťou, čo potom asi môžeme očakávať od tých ďalších?

Hmmm, zatiaľ som rozobral iba „prvý krok“ Stratégie... vyzerá to, že bude potrebné ďalšie pokračovanie...