S obmedzeniami na internete treba do budúcna počítať, odborníci však od štátu chcú presné pravidlá

Zdieľať na Facebooku Zdieľať Odoslať na WhatsApp Odoslať Diskusia
Cloud, informačné technológie
Foto: ilustračné, Getty images

Aj keď je kybernetická bezpečnosť pre bežného človeka skôr cudzí pojem, jej zanedbávanie má celospoločenské dopady. Príkladom bol únik dát miliónov zákazníkov leteckej spoločnosti Air India z mája tohto roka či aprílové kybernetické útoky na rôzne inštitúcie aj na Slovensku.

Predchádzať by im mala pomôcť novela zákona o kybernetickej bezpečnosti, ktorú čaká druhé čítanie v Národnej rade SR. Jej obsah však čelí kritike viacerých odborníkov.

Politika ako bezpečnostný faktor

Právnici a informatici nedostatky vidia najmä v takzvanej analýze politických rizík, ktorá má byť súčasťou celkovej analýzy rizík dodávateľa kritických produktov a služieb. Ide o firmy, ktoré dodávajú programy a technológie do takých inštitúcií ako napríklad nemocnice, banky či elektrárne a musia sa preverovať.

Ich kontrola prebieha na základe viacerých parametrov, pričom jedným z nich majú byť práve spomínané politické riziká. V rámci nich sa napríklad posudzuje, z akej krajiny dodávateľ pochádza.

Tento inštitút však nie je nový. Ako totiž vysvetľuje Dušan Rostáš z Právnickej fakulty Univerzity Pavla Jozefa Šafárika v Košiciach (UPJŠ), politické riziká sa už zohľadňujú napríklad v rámci predpisov o praní špinavých peňazí, kde existujú verejné zoznamy rizikových krajín.

Nejasnosť a neistota

Problém pri zavedení tejto koncepcie do zákona o kybernetickej bezpečnosti Rostáš vidí v jej nejasnosti. V novele totiž nie je stanovené, aké kompetencie bude mať Národný bezpečnostný úrad (NBÚ). Teda, či bude mať napríklad právo povedať, že Čína je nebezpečná krajina.

Podľa právnika hrozí, že NBÚ bude musieť dodatočne riešiť, čo sa pod týmto termínom vôbec rozumie a bude to pre neho znamenať len viac práce. Advokát Martin Jacko pritom dodáva, že úrad nie je takéto posudzovanie schopný realizovať ani po odbornej stránke.

Podobne na tom budú s posudzovaním tejto citlivej oblasti podľa odborníkov aj samotné subjekty, ktoré si budú musieť analýzy robiť, pričom často toho nie sú schopné, ako napríklad obce s malým počtom obyvateľov.

„Každý subjekt si to môže v konečnom dôsledku vyhodnotiť inak,“ upozornil na odbornej konferencii s názvom Aká nebezpečná môže byť novela kybernetickej bezpečnosti? Pavol Sokol z UPJŠ v Košiciach.

Technologické zaostávanie krajiny

Odborníci sa obávajú, že výsledkom novely bude svojvoľné zakazovanie produktov alebo služieb, pretože politické riziko nie je merateľný ukazovateľ. Jacko hovorí, že podnikatelia sa týmto zmenám bránia, lebo potrebujú jasné pravidlá.

Pomenovanie presných parametrov by uvítal aj prezident IT Asociácie Slovenska Emil Fitoš. V opačnom prípade podľa neho okrem iného hrozí technologické zaostávania krajiny.

Hodnotenie na základe politických kritérií môže totiž podľa neho obmedziť prísun technológií a investícií na Slovensko a vyvolá neistotu v podnikateľskom prostredí.

„Dnes tu máme situáciu, kedy má Európska únia svoje výhrady voči Číne. Môže ale prísť politická garnitúra, ktorá bude mať výhrady proti Spojeným štátom,“ vysvetlil  Fitoš svoje obavy.

NBÚ: Kontrola bude zabezpečená

Podľa hovorcu NBÚ Petra Habaru však v prípade obmedzenia používania určitého produktu alebo služby zákon garantuje najvyššiu možnú formu transparentnosti a zákonnosti postupu.

„Rozhodnutie je prijímané vysoko objektívne na základe analýzy rizík a posúdenia Bezpečnostnou radou SR,“ uviedol Habara, podľa ktorého má tento postup zamedziť svojvoľnému rozhodovaniu štátnych orgánov.

Rozhodnutiu navyše predchádza takzvané námietkové konanie, v rámci ktorého ho možno počas 30 dní pripomienkovať, pričom bude počas tejto doby tiež zverejnené na webovej stránke NBÚ. Následne sa vyhlási v Zbierke zákonov SR, ale aj potom ho podľa Habaru môže preskúmať Ústavný súd SR.

Inštitút blokovania

S obmedzením používania tovarov a služieb súvisí aj inštitút blokovania, ktorý tiež zavádza novela. Ešte v marci ho kritizovali mimovládne organizácie Nadácia Zastavme korupciu a Slovensko.Digital.

Varovali, že podľa návrhu NBÚ môže uložiť povinnosť blokovať určitý softvér alebo komunikáciu v sieti internet, pričom postihnutý subjekt sa nebude môcť odvolať a dotknutí používatelia internetu sa ani nemusia dozvedieť, že nejaká časť komunikácie je blokovaná.

„Rovnako môže prikázať filtrovať komunikáciu na ,určité identifikátory´ a zasielať NBÚ niektoré informácie zo siete a informačných systémov,“ kritizovali. Zároveň otvoreným listom adresovanom poslancom označili novelu za „zavedenie nového spôsobu plošného odpočúvania“ a požadovali jej stiahnutie z rokovania parlamentu.

Podľa právnikov však nemožno inštitút blokovania principiálne vylúčiť, pretože o podobných povinnostiach sa diskutuje aj na úrovni Európskej únie. „Je to inštitút, s ktorým sa počíta do budúcna,“ doplnila právnička Laura Rozenfeldová.

Blokovanie na vlastnú žiadosť

Blokovanie stránok by malo podľa NBÚ chrániť najmä inštitúcie, ktoré patria do kritickej infraštruktúry štátu, ako napríklad ministerstvá, elektrárne či poštu, ale nielen tie. Dochádzať k nemu by okrem toho malo iba na základe žiadosti dotknutých právnických osôb.

Teda napríklad internetový obchod by mohol úrad požiadať o zablokovanie vlastnej stránky kvôli úniku informácií. „Určite sa nemôže stať, že úrad bude blokovať stránky neziskovým organizáciám alebo novinárom,“  uviedol pre SITA.sk Habara.

Kontrolu celého procesu by mal podľa jeho slov zabezpečiť ústavný súd, ktorý bude mať v kompetencii preskúmavanie rozhodnutí NBÚ.

Takáto úprava sa však odborníkom zdá nedostatočná a požadujú, aby bola lepšie zabezpečená ochrana účastníkov, ich právo na odvolanie a na kompenzáciu v prípade, ak im kvôli blokovaniu vznikne škoda.

„Slovensko si takto menej chráni svoje biznis,“ upozornil Fitoš. Poukázal na krajiny ako Nemecko alebo Fínsko, kde o zásahoch do podnikania rozhoduje aj ministerstvo hospodárstva.

Poskytovanie informácií

Poslednou kritizovanou zmenou, ktorú má zaviesť novela, je inštitút automatizovaného poskytovania informácií. Tie majú subjekty sprístupniť NBÚ pri podozrení na kybernetický útok.

Takto by sa však mohol úrad dostať aj k citlivým údajom, ktoré spadajú pod telekomunikačné, bankové či lekárske tajomstvo.

Podľa Júlie Steinerovej z Fóra pre komunikačné technológie je preto potrebné presne vymedziť rozsah údajov, ktoré sa budú poskytovať a akým spôsobom bude s nimi nakladané tak, aby boli dostatočne chránené.

Čaká sa na návrhy zmien od poslancov

Odborníci sa zhodujú, že zvyšovanie kybernetickej bezpečnosti je v dnešnej dobe na mieste a cieľom odborného fóra bola diskusia o tom, ako to realizovať čo možno najlepšie.

„Odporúčame preto členom zákonodarného zboru, aby predtým, než budú hlasovať, diskutovali o veci s odbornou verejnosťou,“ vyzval kompetentné osoby František Palko, riaditeľ Inštitútu hospodárskej politiky.

Novela čaká na druhé čítanie v parlamente, do ktorého sa však dostane v novej podobe. NBÚ totiž očakáva pozmeňovací návrh z dielne poslancov Národnej rady SR.

„Kým sa legislatívny proces neposunie ďalej, nevidíme veľký zmysel akokoľvek ho ďalej komentovať,“ uviedol pre Webnoviny.sk Habara. Dodal, že NBÚ prehodnotí niektoré ustanovenia zákona, čo verejne sľúbil aj riaditeľ úradu Roman Konečný.

Zdieľať na Facebooku Zdieľať Odoslať na WhatsApp Odoslať Diskusia
Viac k osobe Dušan RostášEmil FitošFrantišek PalkoJúlia SteinerováLaura RozenfeldováMartin JackoPavol SokolPeter HabaraRoman Konečný
Firmy a inštitúcie Air IndiaEU Európska úniaFórum pre komunikačné technológieIHP Inštitút hospodárskej politikyIT Asociácia SlovenskaNadácia Zastavme korupciuNBÚ Národný bezpečnostný úradSlovensko.DigitalUPJŠ Univerzita Pavla Jozefa Šafárika v KošiciachÚstavný súd SRWebnoviny.sk