Institut "Jožef Stefan" je gostil konferenco Dan informacijske varnosti, na kateri je bil predstavljen tudi osnutek novega zakona o informacijski varnosti. Na njegovi podlagi bo temeljila prihodnja kibernetska obramba Slovenije, na čelu katere bo nekdanji načelnik generalštaba Slovenske vojske, generalmajor Dobran Božič.

Morda se sliši nekoliko nenavadno, toda Dobrana Božiča je vlada pred dobrim mesecem imenovala za direktorja vladnega urada za varovanje tajnih podatkov za dobo petih let z možnostjo vnovičnega imenovanja (februarja je bil imenovan za vršilca dolžnosti). Urad za varovanje tajnih podatkov pa slovenska strategija kibernetske varnosti predvideva kot osrednji nacionalni organ za kibernetsko varnost (v strategiji je opredeljen kot osrednja koordinacija).

Tako vzpostavitev omenjenega urada kot tudi nova zakonodaja sta sicer posledica evropske direktive o ukrepih za zagotavljanje visoke skupne ravni varnosti omrežij in informacij v Evropski uniji. Slovenija pa jo mora v svojo zakonodajo uvesti do maja prihodnje leto.

Cilj novega zakona, ki ga je predstavil generalni direktor direktorata za informacijsko družbo na ministrstvu za javno upravo (MJU) Bojan Križ, pa je zagotavljanje informacijske varnosti in kibernetske obrambe v Sloveniji.

Incidente bo obravnaval SiCERT
Med drugim bo novi zakon nalagal tudi minimalne varnostne ukrepe za varovanje vseh pomembnih informacijskih sistemov v državi in priglasitev vseh varnostnih incidentov. Te pa bo, tako kot v preteklosti, obravnaval SI-CERT (Slovenian Computer Emergency Response Team), nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij, ki deluje v okviru javnega zavoda Arnes.

Urad za varovanje tajnih podatkov, ki bo pozneje preoblikovan - najbrž bo dobil tudi novo ime -, pa bo zbiral podatke in o večjih incidentih obveščal pristojne državne službe ter komuniciral z organizacijami, kot so EU, ENISA, OVSE in tudi Nato. Kot je opozoril nekdanji načelnik generalštaba Dobran Božič, Nato kibernetsko okolje definira kot bojišče, zato se morajo države primerno organizirati in tudi redifinirati obrambno-varnostne sisteme.

Kateri so pomembni slovenski informacijski sistemi?
Na MJU-ju, v okviru katerega nastaja nova slovenska kibernetska obramba, so med pomembna uvrstili sedem področij, in sicer energetiko, zdravstvo, promet, digitalno infrastrukturo, oskrbo s pitno vodo, bančništvo in infrastrukturo finančnega trga, zraven pa spada še državna infrastruktura.

Poleg omenjenih sedmih sektorjev pa bodo morali vse kibernetske varnostne incidente prijaviti tudi ponudniki digitalnih storitev, spletnih tržnic, spletni iskalniki in ponudniki storitev računalništva v oblaku. Vse zavezance naj bi določil EU.

Izvzeti so ponudniki omrežij in elektronskih komunikacij (Telekom, Telemach, A1 ...), saj njihovo delovanje ureja posebna evropska direktiva oz. v slovenskem primeru zakon o elektronskih komunikacijah. Pri tem je zanimivo, kot so izpostavili na poznejši okrogli mizi, da morajo ponudniki elektronskih komunikacij varnostne incidente prijaviti Agenciji za komunikacijska omrežja in storitve (AKOS), ki pa prijave nato, sicer neobvezno, posreduje SiCertu.

Varnost je stanje, obramba pa aktivnost
Dobran Božič je poudaril, da novo organiziranje slovenske kibernetske varnosti ni nekaj, kar bi morali sprejeti zaradi Evrope. "Brez varnosti ni digitalnega razvoja," je opozoril in razložil, da je "varnost stanje, obramba pa aktivnost". Obrambo pa moramo izvajati vsi sami, tako kot jo recimo s protivirusnimi računalniškimi programi. "Zgrožen sem, ko v civilnem svetu vidim, kakšen je odpor do poimenovanja obrambe," je dejal in dodal, da je obrambo treba razumeti kot podsistem varnosti. Pri tem pa je treba ločevati vojaško in civilno obrambo.

Slovenija med najbolj ambicioznimi
Vodja direktorata za informacijsko družbo Bojan Križ je povedal, da gre pri tem za prvi korak k urejanju tega področja in da na gre zgolj za zahteve EU-ja, saj je znano, kaj se dogaja po svetu v različnih kibernetskih napadih, ki so bili v nekaterih primerih precej obsežni. Slovenija pa po njegovih besedah spada med najbolj rastoče digitalne družbe v EU-ju in ima na tem področju velikopotezne cilje.

Država dobila posluh za varnost
Vendar še pred dvema letoma ni bilo tako. Vodja SiCERT-a Gorazd Božič je spomnil, da je obdobje, ko država ni imela posluha za kibernetsko varnost, trajalo skoraj dvanajst let. "Vendar je res, da se je v zadnjih dveh letih to spremenilo," je dejal, država pa se je začela vesti zavednejše. Posredno pa so na to najbrž vseeno vplivali opozorila iz Nata in sprejeta direktiva EU-ja.

Za novo organizacijo slovenske kibernetske obrambe bodo potrebni novi kadri in država naj bi na tem področju zaposlila več kot 100 ljudi. Toda Gorazd Božič je ob tem opozoril, da to ne bo takoj ustrezen strokovni kader. "Tega se dobi čez čas, saj so potrebne izkušnje," je še poudaril.