V četrtek 15.11.2018 se je v Državnem svetu Republike Slovenije odvijal odmeven posvet z naslovom »Kibernetska varnost Republike Slovenije v luči vedno pogostejših hekerskih vdorov – kako učinkovito implementirati rešitve Zakona o informacijski varnosti?«. Posvet je potekal v soorganizaciji Informacijskega pooblaščenca, Urada za varovanje tajnih podatkov, SI-CERT in Instituta za korporativne varnostne študije. Polna dvorana je vsekakor dober pokazatelj, kako pereča je obravnavana tema, povezana s tveganji v kibernetskem okolju in kako pomembna je javna razprava za dvigovanje razumevanja in za strateške odločitve na tem kompleksnem področju.

Posvet sta s svojimi nagovori odprla mag. Sandi Čurin, državni sekretar na MNZ in ga. Mojca Prelesnik, Informacijska pooblaščenka. V nadaljevanju je dr. Denis Čaleta, predsednik Slovenskega združenja za korporativno varnost, svečano sprejel nove korporativne člane v Slovensko združenje korporativne varnosti. V združenje so bili uradno sprejeti naslednji korporativni člani dr. Marta Svoljšak Jerman, Petrol d.d., g. David Marjanović, Petrol d.d., g. Božidar Dajčman, NKBM d.d., ga. Irena Španinger, NKBM d.d. in g. Bojan Peršl, UKC Ljubljana.

V nadaljevanju je potekala zanimiva razprava v okviru okrogle mize, na kateri so sodelovali mag. Matej Tonin, poslanec DZ RS, mag. Nataša Dolenc, v.d. direktorice UVTP, mag. Tanja Muha, direktorica AKOS, g. Gorazd Božič, SI-CERT in g. Marjan Kavčič, Direktorat za informacijsko družbo, Ministrstvo za javno upravo. Razpravo je moderiral dr. Denis Čaleta, ICS-Ljubljana.

Glavne poudarke razprave lahko združimo v naslednja težišča:

- Država in pooblaščene institucije že zamujajo z izdelavo podzakonskih predpisov, ki so ključni za nadaljevanje implementacije Zakona o informacijski varnosti;

- Razumevanje strateške politike je ključno za nadaljevanje sistemske ureditve in implementacijo določil Zakona o informacijski varnosti v realno življenje;

- Državni zbor s svojimi komisijami, kakor tudi Vlada RS, imata v okviru dvigovanja varnostnega zavedanja v celotni družbi izredno pomembno vlogo;

- Pomanjkanje kadrovskih virov je bilo izpostavljeno kot resen problem, ki se ga bo potrebno lotevati zelo načrtno in v okviru javno-zasebnega sodelovanja;

- Ključni organi, ki imajo trenutno največ pristojnosti in tudi odgovornosti, kot na primer UVTP, nujno potrebujejo dodatne kadrovske vire, za uspešno izvedbo zastavljenih nalog, izhajajočih iz zgoraj navedenega zakona;

- Pri pripravi podzakonskih aktov se je potrebno izogniti podvajanju in predvsem drugačnim metodološkim izhodiščem, ki jih v realno okolje že prinašajo Zakon o kritični infrastrukturi in drugi pomembni zakoni. Nikakor ne smemo dovoliti, da se neposredni upravljavci bistvenih storitev, še dodatno obremenijo z birokratskimi zavezami, temveč je potrebno skozi sodelovanje iskati sinergije za skupno delovanje na področju preprečevanja kibernetskih tveganj;

- Kibernetska tveganja informacijskega okolja so dejstvo, zato nas to spoznanje vse sili v aktivnejši pristop do reševanja izzivov, ki se pojavljajo na tem kompleksnem področju;

- Vsi razpravljavci so si želeli, da bi bila kibernetska varnost na prioritetni listi vsakokratne vladajoče politike, višje. Pričakovanja od trenutne vlade so visoka. Dokazati pa jih bo potrebno s povečanjem vložkov, predvsem finančnih in kadrovskih, na to zahtevno področje;

- V prihodnosti se tudi v evropskem okolju pričakuje spremembe določenih usmeritev in direktiv, kar bi lahko prineslo poenostavitev oz. poenotenje določenih procesov, ki so sedaj razpršeni oz. se v določenih delih podvajajo;

- SI-CERT vsekakor ostaja najpomembnejši operativni organ na področju kibernetske varnosti, ki ga nikakor ne smemo podirati, temveč na njegovem delovanju iskati druge bolj primerne oblike organiziranosti in delovanja;

- Pojavlja se pomanjkanje koordinacije med vsemi pristojnimi organi, kar bo v prihodnjem obdobju ena od najbolj prioritetnih nalog;

- Z uvajanjem novih storitev 5G se bo močno razširil krog subjektov, ki se bodo pojavljali v okviru digitalnih procesov in informacijskih storitev. To AKOS postavlja v še pomembnejšo vlogo pri koordinaciji in nadzoru tega pomembnega področja;

- Nujno bo potrebno sprejeti akcijski načrt za implementacijo določil Strategije o kibernetski varnosti, samega Zakona o informacijski varnosti, kakor tudi priprave nove strategije o informacijski varnosti. Velik del razpravljavcev je posebej izrazil pričakovanje, da mora področje kibernetske varnosti imeti pomembnejšo mesto v okviru nove Zasnove o strategiji nacionalne varnosti RS;

- V razpravi je bilo posebej izpostavljeno obžalovanje, da trenutni Zakon o informacijski varnosti ni uzakonil odgovornega poročanja o varnostnih ranljivostih.

V zaključku posveta se je v razpravo vključila tudi zainteresirana publika tako, da smo imeli priložnost slišati tudi kaj se dogaja s procesi vzpostavitve CSIRTA (Computer Security Incident Response Team) državnih organov, kako se Slovenska vojska sooča z izzivi na področju kibernetske obrambe, ali sploh razumemo pravi pomen in vlogo kibernetske varnosti ter mnenje o zlorabah medijske zakonodaje, kot delom kibernetsko propagandnih tveganj.

Za konec še enkrat povzemimo misel, ki jo je na uvodu izrekel moderator posveta in sicer: »Čas za iluzije je minil. Pred nami je čas, ki od nas zahteva smelost, operativno učinkovitost in preseganje parcialnih interesov posameznih organizacij v smeri zagotavljanja ustrezne kibernetske varnosti Republike Slovenije.«

Vsekakor je bila splošno podprta ideja o nadaljevanju podobnih javnih razprav, ki na eni strani dvigujejo varnostno zavedanje, ter na drugi strani strateškim odločevalcem prinašajo ustrezne strokovne predloge, s strani zainteresirane strokovne javnosti. Organizatorji tega posveta bomo vsekakor nadaljevali po tej poti.