Boštjan Perne: »V nacionalnem okolju manjka bistveni element zagotavljanja kibernetske varnosti«

O stanju kibernetske (oz. informacijske) varnosti smo se pogovarjali z obramboslovcem Boštjanom Pernetom, nekdanjim direktorjem Obrambno-varnostne službe ministrstva za obrambo.

Kako ocenjujete trenutno stanje kibernetske varnosti pri nas, tako v javnem kot zasebnem sektorju, kot tudi pri posameznikih?
 
V javnem sektorju je stanje, splošno gledano, slabo. Posamezni resorji se znajdejo kakor vedo in znajo, so pa posamezne rešitve celo dobre. po drugi strani pa jih ponekod sploh ni.  Glavna težava je v resnem pristopu do celovite ureditve področja kibernetske varnosti v nacionalnem okolju. Kot vemo, je od samega pojava interneta v Sloveniji do danes edina resnejša entiteta v državi SI CERT, ki deluje v okviru Arnesa. Se pa zavedamo, da je od pojava interneta minilo že kar nekaj časa...

V zasebnem sektorju področje prav tako ni zadovoljivo rešeno, je pa stanje bistveno boljše kot v javnem, saj lastniki sledijo interesom podjetij po profitu. Vsak resnejši kibernetski incident že zaradi samega izpada posameznega dela storitve prinaša neposredne finančne posledice - izpad dohodka.
 
Pri posameznikih težko govorimo o kibernetski varnosti, temveč je njihova varnost bolj ali manj povezana z varnostno ozaveščenostjo oz. zavedanjem nevarnosti in tveganj, ki jih predstavljajo kibernetske grožnje, na tem področju pa ravno SI CERT vodi dokaj uspešno kampanjo Varni na internetu.
 
Če poenostavim: v nacionalnem okolju manjka bistveni element zagotavljanja kibernetske varnosti - osrednja oz. krovna avtoriteta za zagotavljanje kibernetske varnosti. V obdobju 2010 pa do danes so bili nekajkratni poskusi vzpostavitve take avtoritete, vendar je vse ostalo zgolj in samo pri namenu oz. na papirju, obstoječa rešitev z UVTP pa je milo rečeno neresna.

Kakšen je Vaš komentar na uvrstitev Slovenije na 49. mesto (med 117 državami) na National Cyber Security Index?

Naj opozorim, da se tudi na ostalih podobnih indeksih Slovenija uvršča nizko. 49. mesto med 118 državami niti ni presenetljivo glede na vložek v varnostni sistem na splošno in konkretno za zagotavljanja nacionalne kibernetske varnosti. 

Je pa mesto morda še predobro, ker v oceni niso zajeli niti vseh članic EU (Avstrije), prav tako pa njihova ocena temelji zgolj na treh najpogostejših grožnjah, tako da bi bili verjetno realno umeščeni še nižje. 

Ob tem je potrebno izpostaviti tudi “srečo” Slovenije, da ni bilo zabeleženih več večjih in odmevnejših hekerskih napadov. Slovenija tako na hekerskem zemljevidu ni ravno najbolj zaželena tarča oz. v Sloveniji ni resnično zanimivih in odmevnih tarč, s katerimi bi se hekerji proslavili (zadnji odmevnejši primer je bila kraja kripto valut), kar pa je glede na trenutno stanje nacionalnih zmogljivosti vsekakor dobrodošlo. 

To je tudi eden izmed razlogov, da smo kljub izostanku resnega nacionalnega urejanja kibernetske varnosti uvrščeni na sorazmerno "visoko mesto", kar nam daje tudi lažen občutek varnosti in se nam to lahko kaj hitro obrne proti nam, če ne bomo resno, zavzeto in celovito pristopili k ureditvi področja. Da pa so nas prehitele tudi nekatere države, ki so po razvitosti daleč za nami, pa kaže, kako (ne)resno se lotevamo zagotavljanja lastne varnosti. 

Letos je pričel veljati Zakon o informacijski varnosti. Kako ocenjujete zakon ter ukrepe, ki jih predpisuje?
 
Zakon je še eden izmed mnogih poskusov graditve nacionalne zmogljivosti kibernetske varnosti. Namen je zanesljivo dober, vendar pa zakon varnosti ni in ne bo prinesel, potrebno bo njegove predvidene rešitve v smislu operativnih zmogljivosti udejanjiti ter vzpostaviti vse operativne entitete. 

Trenutno imamo z uveljavitvijo zakone zgolj in samo eno resno entiteto - SI CERT. CSIRT organov državne uprave ter pristojni nacionalni organ pa sta zgolj na deklarativni ravni in celo zakon v primeru pristojnega nacionalnega organa predvideva, da le ta (kot organ v sestavi ministrstva za informacijsko družbo (MJU) od UVTP) prevzame vlogo do 1. januarja 2020. 

Torej še vsaj dve leti prave operativne zmogljivosti ne bomo imeli, tako tudi nimamo ustrezne in prepotrebne nacionalne koordinacije na področju zagotavljanja kibernetske varnosti. Tudi rešitev, da je avtoriteta na področju kibernetske varnosti "vpeta" v MJU je sporna z vidika konflikta interesov. MJU namreč upravlja informacijske sisteme v javni upravi ob tem pa naj bi skrbel še za kibernetsko varnost. 

To je s strokovnega vidika, vsaj po moji oceni, sporno, saj bomo imeli izvajalca in kontrolorja v eni osebi in je v nasprotju s temeljnimi načeli "Checks and balances".
 
Nižji akti, ki jih predvideva sprejeti zakon, še niso stopili v veljavo oz. so v procesu nastajanja, zato konkretne rešitve še niso povsem dorečene, tako da utemeljene sodbe glede celovitih ukrepov, ki jih prinaša Zakon še ni mogoče podati. 
Je pa zakon v pretežni meri dokaj natančno predpisal upraviteljem sistemov (tudi državnim organom) zahtevo po formalnem dokumentiranju (izdelavi) varnostne dokumentacij, tveganj, neprekinjenega poslovanja tehničnega načrta, obnovitve delovanja / poslovanja v primeru izpada oz. uresničitve kibernetske grožnje ter protokolov reševanja incidentov ter izvajanja ukrepov. 

V primeru neizpolnitve teh določb pa na drugi strani predvideva konkretne kazni - globe, s čimer bo mogoče v prihodnosti tudi z obliko prisile dvigniti nivo varnostne kulture in kibernetske varnosti pri ponudnikih / upraviteljih IT sistemov izvajalcev ključnih - bistvenih storitev opredeljenih v zakonu.
 
Naj pa poudarimo, da ob "vpeljevanju" zakona v prakso obstaja še dodaten dvom, saj smo bili v primeru Zakona o tajnih podatkih oz. podrejenega predpisa, Uredbe o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih, priča podaljševanju t.i. prehodnega obdobja prav zaradi neizpolnitve nalog in zavez državnih organov. Kaj lahko se nam vse to ponovi tudi pri Zakonu o informacijski varnosti.

Kaj bi morala javna uprava narediti za izboljšanje informacijske / kibernetske varnosti?

Korak naprej, ki je narejen v primeru sprejetja Zakona v informacijski varnosti, je dober, vendar ne sme ostati osamljen. Nujno potrebna je takojšnja vzpostavitev nacionalne avtoritete - pristojnega nacionalnega organa za kibernetsko varnost (tudi preko razprave o spremembi trenutne predvidene organiziranosti), ki bo postal po eni strani nacionalni koordinator aktivnosti vseh deležnikov v državi, na drugi strani pa avtoriteta, ki bo spremljala realizacijo napredka ter priganjala k izdelavi manjkajočih predpisov.

Ali menite, da ima Slovenija dovolj strokovnjakov na tem področju oz. ali bi potrebovali npr. univerzitetni študij le na tem področju?

Strokovnjake s potrebnimi specifičnimi znanji na področju kibernetske varnosti imamo. Seveda jih pa nikoli ni dovolj ne v Sloveniji, ne v ZDA in ne v Indiji. Zmotno je mnenje, da za kibernetsko varnost potrebujemo le informatike. Za učinkovito kibernetsko varnost so potrebna interdisciplinarna znanja ter sodelovanje (elektrotehnika, računalništvo, varstvoslovje, obramboslovje, pravo, sociala, filozofija, javna uprava, management, ipd.). 

Drugo vprašanje pa je, ali vrhunske strokovnjake s plačo, ki jo dobijo v javni upravi lahko pritegnemo - odgovor je skoraj zanesljivo negativen.

V Sloveniji strokovnjaki niso povezani oz. vsaj v primeru javne uprave niso skoncentrirani v za to pristojnem organu, temveč naloge nepovezano in nekoordinirano izvajajo v različnih organih ter tako rešujejo parcialne težave posameznih organov, celovitega - nacionalnega pristopa pa ni.

Stanje me spominja na razmere na francoski fronti ob začetku 2. svetovne vojne. Francozi so imeli več tankov, ki tudi po kvaliteti niso zaostajali za nemškimi. Uporabljali pa so jih razdrobljeno, kot podporno orožje pehote. Nemci so znali tanke organizirati v udarne pesti in do popolnosti izrabiti njihove prednosti. Kako se je končal spopad na francoski fronti, vemo, upam samo, da Slovenija ne bo tako hudo "poražena", preden ugotovi, da je varnost, tudi kibernetska, življenjskega pomena.