Rezort pod vedením Richarda Rašiho (Hlas) predstavil pre pripomienkovanie projekt opatrení, ktorými chce posilniť odolnosť orgánov verejnej správy voči kybernetickým útokom. „Hoci digitalizácia prináša obrovské príležitosti a poskytuje riešenia mnohých výziev, ktorým Slovensko a Európa čelia, vystavuje zároveň hospodárstvo a spoločnosť kybernetickým hrozbám,“ konštatujú autori projektu. Počet útokov na digitálnu infraštruktúru štátu sa každoročne zvyšuje, vlani ich počet vzrástol o 19 percent.
Najčastejšie štátne orgány čelia phishingovým podvodom, teda pokusom neoprávnene získať údaje z vnútorných databáz. V prípade štátnych orgánov tak ide o snahy získať prístup k utajeným osobným údajom občanov alebo k informačným systémom, ktoré tvoria kritickú infraštruktúru štátu. Súčasný stav ochrany orgánov verejnej správy pred takýmito hrozbami je podľa MIRRI nevyhovujúci, keďže mnohé z nich sa nedostatočne venujú ochrane vlastných systémov pred možnými útokmi.
Autori projektu uvádzajú, že iba okolo 60 percent úradov implementuje minimálne bezpečnostné opatrenia, ktoré si vyžaduje zákon. Príčinou je podľa MIRRI nedostatočné povedomie úradníkov o kybernetických hrozbách a ich možných dosahoch. Rezort preto pripravil návrh na vytvorenie systému, ktorý by mal tento stav napraviť.
Čítajte viac Remišovej časopis má dohru. Na ministerstvo prišla pokuta za 5500 eur
Pri ochrane kybernetického priestoru je dôležitý monitoring aj rýchla reakcia na hrozbu. Túto úlohu dnes plní vládne operačné centrum pre dohľad nad kybernetickými hrozbami, ktoré funguje na pôde MIRRI. Rezort navrhuje rozšíriť jeho kapacity a tiež vytvoriť v jednotlivých rezortoch ďalšie operačné centrá, úlohou ktorých má byť detekcia hrozieb a rýchla reakcia na ne.
Informácie z rezortných pracovísk by sa mali posielať do spoločného centra, ktoré bude na vládnej úrovni prevádzkovať Národná agentúra pre sieťové a elektronické služby (NASES). To skráti čas reakcie na prípadné útoky a umožní zbierať a vyhodnocovať informácie o aktuálnych bezpečnostných hrozbách. Náklady na realizáciu zámeru sú odhadované na úrovni 15,5 milióna eur, ďalších vyše 12 miliónov bude treba vynaložiť na prevádzku systému.
Správny krok, ale s nedostatkami
Snaha zvýšiť kybernetickú bezpečnosť viacerých organizácií z jedného miesta je krok správnym smerom, zhodnotili zámer analytici Útvaru hodnoty za peniaze (ÚHP) ministerstva financií. „Už si nebude musieť bezpečnosť riešiť každá organizácia samostatne, čím im odpadne časť personálnych aj finančných starostí,“ vysvetľujú výhody experti. Projekt MIRRI však má podľa nich aj viaceré nedostatky.
Čítajte viac Čína či Rusko? Peking je väčšia hrozba, myslí si exminister obrany USA
Podľa analytikov totiž nie je jasné, na aké konkrétne kybernetické hrozby majú reagovať nástroje, ktoré popisujú autori projektu, a na základe čoho boli zvolené. „Navrhované nástroje sú detailne popísané z pohľadu ich vlastností a funkčnosti, dokumentácia ale neobsahuje jasné zdôvodnenie ich výberu. Výber nástrojov by mal byť realizovaný na základe reálnych údajov o súčasných bezpečnostných hrozbách a existujúceho vybavenia, na základe čoho by bolo výber možné analyticky overiť,“ kritizujú v stanovisku.
Keďže najčastejším typom útoku je phishing, efektívnou ochranou voči nemu sú lacnejšie nástroje, ako sú školenia a zavedenie interných štandardov na ochranu elektronickej pošty, či dvojfaktorové overovanie, píšu analytici ministerstva financií. Podľa ÚHP by bolo vhodnejšie realizovať projekt postupne. „Na začiatku treba vzdelať zamestnancov, len nákup bezpečnostných zariadení ochranu nezvýši,“ konštatujú vládni analytici. Skritizovali aj to, že v projekte chýbajú údaje o škodách, ktoré v minulosti zapríčinili kybernetické útoky.
Dalo by sa ušetriť
Podľa analytikov by sa tiež dal znížiť rozpočet projektu. Súčasťou zámeru sú aj náklady na nákupy, ktorých potreba pre zvýšenie bezpečnosti nie je zdôvodnená, upozornili. „Viac než tretina rozpočtu na nákup hardvéru a licencií je určená na nákup sieťovej infraštruktúry do datacentra NASES, jej súvislosť so zvyšovaním kybernetickej bezpečnosti nie je popísaná. Jej vyňatím je možné na investičných nákladoch ušetriť štyri milióny eur,“ poznamenali vládni analytici. Pred vyhlásením obstarávania preto odporúčajú detailnejšie odôvodniť rozsah projektu a potrebných nástrojov pre jeho realizáciu.
Ďalej ÚHP odporúča MIRRI zvoliť systémový prístup k vytváraniu systému rezortných operačných centier. ÚHP upozorňuje, že jednotlivé úrady už rozbehli budovanie týchto pracovísk, ale zatiaľ nemajú od ministerstva zoznam kritérií, podľa ktorých by mohli rozhodnúť, či je výhodnejšie vybudovať si vlastné centrum, alebo využiť služby existujúceho vládneho centra.
Čítajte viac Končiaci minister, ktorý prišiel po Remišovej: Ak by takto fungoval jeden štátny úrad na trhu, zbankrotoval by
„Bez odborného dohľadu a koncepčného riadenia kybernetických projektov bude v najbližších rokoch zaťažovať štátny rozpočet prevádzka viacerých operačných centier. Pred budovaním nového centra je nevyhnutné preukázať jeho potrebu a efektívnosť,“ píšu v hodnotení vládni analytici.
Upozorňujú aj na to, že realizácia projektu v budúcnosti môže zaťažiť štátny rozpočet. Investičné náklady na obstarávanie systému v sume 15,5 milióna eur budú hradené z plánu obnovy. Prevádzkové náklady vo výške 12,2 milióna eur počas nasledujúcich deviatich rokov by sa už mali sčasti financovať zo štátnej pokladnice. „Vládne operačné centrum sa bude neustále rozširovať, čo znamená pravidelné zvýšenie nárokov na štátny rozpočet,“ upozorňuje ÚHP. MIRRI by preto podľa analytikov už v súčasnosti malo pracovať na nastavení takého modelu, ktorý nebude plne odkázaný na financovanie zo štátneho rozpočtu.
Ministerstvo nereagovalo na otázky Pravdy k tomu, ako vníma hodnotenie analytikov ÚHP a či v tejto súvislosti plánujú zmeny projektu.
Čítajte viac Vláda ukázala rozpočet. V hre sú dane pre boháčov a oveľa bolestivejšie opatrenia, avizuje minister Kamenický
Ku kritike návrhu sa pripojili aj IT odborníci zo združenia Slovensko.Digital. „Na jednej strane chýba presnejší popis súčasného stavu a aj reálnejší obraz o problémoch a škodách, ktoré v súčasnosti nastávajú. Taktiež chýbajú presnejšie informácie, aký má byť cieľový stav, ku ktorému sa potrebuje verejná správa dostať a ako ďaleko nás tento projekt posunie,“ uviedol pre Pravdu jeden zo zakladateľov združenia Ľubor Illek. Upozorňuje aj na paradox, že podľa oficiálnych merateľných ukazovateľov v oblasti kybernetickej bezpečnosti má Slovensko nadštandardne dobrý stav oproti iným oblastiam eGovernmentu. „Investície by teda bolo treba nasmerovať inde. Tak ako je to teda skutočne?“ pýta sa odborník.
Pripomína, že sa v minulosti opakovane stávalo, že bezpečnostné projekty boli spojené s vysokými podozreniami neefektívneho riešenia a viaceré z nich boli časom zrušené. „Zároveň chýba dlhodobá stratégia, z ktorej by bolo vidno komplexný prehľad investícií do oblasti kybernetickej bezpečnosti,“ pokračuje Illek. Doplnil, že združenie Slovensko.Digital považuje projekt v oblasti kybernetickej bezpečnosti za dôležitý, a preto MIRRI zaslali viaceré pripomienky. „V doterajšom stave by projekt mal vo viacerých kritériách „červenú vlajku“, ale veríme, že v rámci aktualizácie projektu na základe pripomienok sa MIRRI podarí identifikované zásadné riziká vyriešiť,“ uzavrel.