varuh na tem področju naj bi kmalu postala posebna državna agencija.

Virus WannaCry je sredi maja v nekaj urah povzročil kibernetski kaos po Evropi. V Sloveniji je bil najbolj prizadet, glede na javno priznanje, novomeški Revoz, ki je za en dan prekinil proizvodnjo. V nekaterih drugih državah pa je bila prizadeta tudi t. i. kritična infrastruktura. V Veliki Britaniji je denimo virus zaklenil dostop do kartotek pacientov, odpovedali so številne preglede in operacije.

Slovenija bo kmalu dobila zakonodajo o zaščiti kritične infrastrukture, v katero med drugim sodijo preskrba z vodo, hrano, energijo, zdravstvene in finančne storitve, pa tudi informacijsko-komunikacijski (IKT) sistemi, je na nacionalnem posvetu o kibernetski varnosti, ki je potekal v dvorani državnega sveta, razkrila obrambna ministrica Andreja Katič. Omenjeni zakon bo namreč pokrival tudi kibernetsko varnost slovenske kritične infrastrukture.

Zaradi evropskih uredb mora Slovenija do prihodnjega leta sprejeti tudi novo zakonodajo tako na področju varovanja osebnih podatkov, pa tudi na področju informacijske varnosti. Veljati bosta začeli (šele) maja prihodnje leto in v tem tempu se pripravljajo tudi nove zakonske rešitve.

Kdo stoji za kibernapadi?
"Živimo v svetu brez meja. Država je vpeta v vsa mednarodna tveganja," je na posvetu pojasnil varstvoslovec Denis Čaleta z inštituta za korporativno varnost ICS-a. Tveganju je po njegovih besedah najbolj izpostavljena kritična infrastruktura, ki je pomembna za delovanje. Pri zadnjih kibernetskih napadih pa je skrb vzbujajoče, kdo sploh stoji za njimi. Ali so države, posamezniki ali celo korporacije, ki so zaradi svoje velikosti prerasle že marsikatero državo.

Vodja nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT Gorazd Božič je povedal, da je vzrok za vedno večje število kibernetskih incidentov dejstvo, da narašča tudi uporaba informacijskih tehnologij. "Vendar nas čakajo resni izzivi, kot je internet stvari."

Internet stvari, povezovanje naprav prek interneta, kot pravi Božič, po desni prehiteva dejavnosti za njegovo zaščito. Vedno več kibernetskih napadov namreč poteka prek nezaščitenih naprav, povezanih v internet, kot so recimo spletne kamere.

Božič je kibernetsko varnost Slovenije opisal, da "nismo ravno goli in bosi", kar je menil poslanec NSi-ja Matej Tonin, temveč "slabo oblečeni". Slovenija je bila pred dvema desetletjema, ko je začel delovati SI-CERT, na področju informacijske varnosti ob boku najbolj razvitih držav, kot je Japonska. Toda nato ni bilo politične volje in sledila je stagnacija, ki se med drugim odraža pri drastičnem pomanjkanju računalniških varnostnih strokovnjakov.

"Lahko bi imeli uspešen sistem kibervarnosti," je dodal in opozoril tako na pomanjkanje ustrezne strategije in tudi na to, da smo se priprave zakonodaje o informacijski varnosti, zgolj zaradi EU-uredbe, lotili (pre)pozno.

Nezavedanje politike
Politiki se teh nevarnosti ne zavedajo, je slovenske politične poglede na tovrstno problematiko opisoval podpredsednik komisije za nadzor obveščevalnih in varnostnih služb DZ-ja Matej Tonin in za primer, kako ključni ljudje v Sloveniji nepravilno komunicirajo med seboj, navedel zgodbo o arbitražnih prisluhih. Nekateri slovenski politiki po njegovih besedah sploh ne uporabljajo računalnika in se s tem še hvalijo.

Medtem ko SI-CERT ugotavlja, da se številno incidentov povečuje, pa agencija za komunikacijska omrežja in storitve (AKOS) dobiva od IKT-operaterjev zelo malo prijav o incidentih. Prijavljenih je bilo le pet vdorov v njihova omrežja, je povedala Tanja Muha, namestnica direktorja AKOS-a. Po njenih besedah operaterji poročajo zgolj o tem, kar je potrebno, o manjših incidentih, ki jih sami sanirajo in nimajo velikih posledic, pa ne poročajo.

Prav obvezno poročanje o kibernetskih incidentih naj bi bilo zapisano v novi zakonodaji o informacijski varnosti. Kar nekaj razpravljavcev je menilo, da bi morali vsi, ki morajo skrbeti za kibernetsko varnost, poročati o slehernem incidentu. Ali kot je orisal v. d. direktorja urada za varovanje tajnih podatkov Dobran Božič, je to tako, kot da bi nekdo neuspešno skušal oropati banko. Vendar, ker mu rop ni uspel, banka o tem ne bi nikogar obvestila.

Agencija za informacijsko varnost
Z novo zakonodajo naj bi Slovenija dobila novo državno agencijo, za kibernetsko varnost, v katero naj bi vključili tudi urad za varnost tajnih podatkov in tudi SI-CERT. Kako bo strukturirana nova kibervarnostna agencija, ostaja vprašanje. Matej Tonin je menil, da bi vse zaposlene v državnih oz. javnih institucijah, ki se ukvarjajo z vprašanjem kibernetske varnosti, morali "združiti pod eno streho". Agencija pa bi morala delovati po vojaškem vzoru, po liniji poveljevanja. Gorazd Božič pa je na drugi strani menil, da je centralizacija precej vprašljiva in da bi bili boljši postopni koraki, kot neka "revolucija" na tem področju.

Kako privabiti ustrezne strokovnjake?
Velika težava pa je kadrovanje primernih strokovnjakov, ki jih je glede na plače v javnem sektorju težko primerno nagraditi. Generalni direktor direktorata za informatiko na ministrstvu za javno upravo Jurij Bertok je menil, da bi bila primerna rešitev tudi javno-zasebno partnerstvo.

Pojasnil je, da je trenutno v državnih institucijah zaposlenih osem strokovnjakov za kibernetsko varnost. Na zadnjem razpisu, s katerim so želeli pridobiti nove tovrstne strokovnjake, pa noben kandidat ni bil primeren (zaposliti so želeli inženirje računalništva). Najbrž tudi zato, ker tovrstni strokovnjaki na trgu dosegajo neprimerno višje plače, kot pa jih nudi sistem plač v javnem sektorju.