V krátkosti k novele zákona o kybernetickej bezpečnosti

FOTO: wikimedia.org/Wizzard

Vláda schválila v stredu 24. februára novelizáciu zákona o kybernetickej bezpečnosti, ktorá by mala priniesť viacero zmien do právomocí Národného bezpečnostného úradu (NBÚ). Zaviesť by sa mala napríklad povinnosť poskytovať úradu súčinnosť v rámci kybernetickej bezpečnosti, automatizované zasielanie systémových informácií zo sietí a informačných systémov kritickej infraštruktúry, inštitút blokovania škodlivého obsahu a aktivít alebo certifikácia.

V tomto texte sa ale zameriam na právomoc, ktorá môže predstavovať z politického hľadiska problém v blízkej či vzdialenej budúcnosti. Ide o zákaz alebo obmedzenie používania niektorých produktov, procesov a služieb.

§27a: Obmedzenia používania produktu, procesu alebo služby

NBÚ chce po novom posudzovať bezpečnostné riziká tretích strán a vyhradiť si právo zakázať alebo obmedziť prevádzkovateľovi základnej služby používanie niektorého produktu, procesu alebo služby. Súčasťou tohto procesu má byť aj analýza politických rizík, ktoré súvisia s geopolitickou lokalizáciou danej strany. Ide vcelku o predvídateľný krok, ktorým sa jednak implementujú odporúčania Európskeho toolboxu kybernetickej bezpečnosti 5G sietí, a jednak reflektuje aktuálny globálny trend, kedy sa pozornosť venuje rizikám a hrozbám dodávateľských reťazcov.

Zásadným problémom pri rozhodovaní o tomto obmedzení používania však bude absencia samostatného odboru pre kybernetické politiky. NBÚ ani Národne centrum pre kybernetickú bezpečnosť SK-CERT do dnešného dňa nedisponujú takýmto útvarom, ktorý by analyzoval strategické dokumenty, národné záujmy a právne prostredie iných krajín a ich dopady na kybernetickú bezpečnosť Slovenska. Ide pritom o dôležitý odbor, ktorého neprítomnosť sa doteraz prejavovala najmä v súvislosti s de facto nulovou reakciou na kybernetické útoky proti vládnym inštitúciám či prvkom kritickej infraštruktúry.

Je treba si uvedomiť, že štáty už dávno spolitizovali kybernetický priestor. Pri prevencii a reakcii na dianie v ňom je preto potrebné porozumieť zámerom ostatných aktérov. Nakoľko však NBÚ nemá skúsenosti s nezávislým vyhodnocovaním politických aspektov, pri procese posudzovania rizikovosti existuje možnosť, že by mohol podľahnúť externým tlakom či predpojatosti.

Exemplárnym prípadom je Huawei. Za minulej vlády premiér Pellegrini verejne odkázal, že sa nechce „vtiahnuť do nejakej obchodnej hry“ a spolu s podpredsedom vlády Rašim viackrát zopakovali, že Slovensko nepodnikne proti čínskej spoločnosti žiadne reštriktívne kroky. To bolo v čase, kedy sa strategická euroatlantická orientácia krajiny otriasala, mimo iné z dôvodu blízkeho vzťahu predsedu parlamentu Danka k Rusku. S nástupom novej vlády sa však atmosféra v slovenskej politike zmenila. Nielenže sa toto smerovanie zakotvilo v nových strategických dokumentoch, ale k prípadu sa začali vyjadrovať aj iné orgány. Riaditeľ Slovenskej informačnej služby Pčolinský hovoril o hrozbe vypnutia celej infraštruktúry na diaľku a prezidentka Čaputová o rozdielnych hodnotách, ktoré firma zastáva.

Celá záležitosť ohľadom Huawei, či už na národnej alebo medzinárodnej úrovni, je nesmierne spolitizovaná a často aj presekuritizovaná. Už sa viac nehovorí o tom či Huawei produkty majú tajné zadné dvierka alebo nie – poznámka pre neznalých, neexistujú dôkazy o takýchto backdooroch. Hovorí sa o veciach, ktoré s bezpečnosťou nesúvisia, alebo sa vymýšľajú fantastické scenáre „čo by sa stalo, ak by to bola pravda“. Pokiaľ preto NBÚ nebude schopné vyhodnotiť bezpečnostno-politické riziká nezávisle od ostatných subjektov, prípadne prevážia nad faktickými bezpečnostno-technologickými, je možné, že niektoré produkty, služby a procesy sa nebudú môcť používať len z čisto politických dôvodov. Prevádzkovatelia základných služieb by tak mohli byť prinútení k výberu produktov od iných dodávateľov, napríklad amerických, pri ktorých sú obavy o zadných dvierkach oveľa opodstatnenejšie.

NBÚ nemožno uprieť snahu o budovanie profesionálneho centra pre kybernetickú bezpečnosť, ktoré drží krok s aktuálnymi trendami. Touto novelou si však možno zobral na svoje plecia priveľkú záťaž. Keď sa totiž spojí kybernetická bezpečnosť a politika na jednom mieste, v prípade zlej komunikácie, vyhodnotenia rizík či iných problémov súvisiacich s nepripravenosťou a nedostatkom skúseností, môže dôjsť k vážnym politickým následkom či už na domácej alebo medzinárodnej scéne. Stačí si spomenúť na český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), ktorý sa po vydaní varovania pred produktami Huawei dostal do sporu s vládou, čoho následkom boli najprv protesty čínskej ambasády a v konečnom dôsledku odvolenie jej riaditeľa.

Pozn.: Národný bezpečnostný úrad dňa 1. 4. 2021 aktualizoval na svojej webstránke organizačnú štruktúru, v ktorej sa po novom objavuje aj tzv. Inštitút pre bezpečnostné štúdie. Ten „plní úlohy na úseku všeobecnej analytiky, posudzovania bezpečnostných rizík, vyhodnocovania politík, tvorby prognóz, stratégií a implementačných plánov úradu.“

Článok bol pôvodne uverejnený na blogu SME.sk.