Je Slovensko dostatočne pripravené bojovať proti kybernetickým hrozbám?
Na otázku sa nedá jednoducho odpovedať a určite nie iba skonštatovaním či áno alebo nie. Je to pre niekoľko dôvodov. Slovensko ako krajina znamená veľa inštitúcií, veľa organizácií, rôzne sektory, kde to všade vyzerá inak. Niekde sú na to pripravení lepšie, niekde horšie. Odpoveď teda jednoznačne neexistuje, čo však existuje sú medzinárodné indexy, ktoré hodnotia pripravenosť krajín. Indexov je pomerne veľa, niektoré sú priaznivé a niektoré sú priaznivé menej.
Vynakladá štát dostatok financií, aby sme sa chránili voči útokom?
Na to by bolo treba spraviť finančnú a vecnú analýzu nákladov, ktoré má štát v rozpočte určené na kybernetickú bezpečnosť. Ide o taký hrubší indikátor, aj to len ak hovoríme o segmente verejného sektora, keďže výdavky na IT bezpečnosť, v porovnaní s celkovými výdavkami do informačných technológií, sú v globálnom pohľade okolo 5%. Je to teda otázka na štátnu správu. Zdá sa ale, že s pribúdajúcim množstvom útokov sa začínajú aj u nás tie investície do tejto oblasti brať vážnejšie, ako napríklad v nedávnej minulosti schválený projekt v pomerne slušnej výške na vybudovanie infraštruktúry, čo má slúžiť presne tomuto účelu. Povedal by som, že trend je pozitívny. Samozrejme, iné je to v bankách, iné v energetike, tam nejde o investície štátu.
A čo banky a energetický sektor, ktoré sú útokom najnáchylnejšie?
Pre banky je ochrana pred útokmi pochopiteľná, keďže celý bankový biznis je absolútne postavený na informatike a je v nich presne zrátané, čo stoja straty. V energetike je to iné a ten dopad má strategický význam pre ekonomiku krajiny.
Ako vnímajú hrozbu menšie subjekty, bežní ľudia? Veľa z nich si hovorí, že mňa nemajú prečo napadnúť...
Možno, že v minulosti to bola čiastočne pravda, lebo kybernetické útoky boli zamerané najmä na únik dôležitých informácií a na nejaké dôležité inštitúcie. Tento argument tak mohol mať určité opodstatnenie. Dnes je to však už úplne inak, lebo kriminálnici hľadajú všetky možné spôsoby ako naplniť svoje ciele. IT poskytujú pomerne veľa možností, či sa to už týka prístupu ľudí do svojich zariadení, alebo informácií o zašifrovaných údajoch v domácich počítačov, alebo počítačov vôbec. Kriminálnikovi je jedno, kto mu zaplatí za odšifrovanie údajov a obeťou sa môže stať ktokoľvek.
Čo teda ešte býva cieľom útokov?
Druhý príklad je zneužitie osobných údajov, fotiek, kompromitácia, vydieranie a v poslednej dobe je to aj dolovanie kryptomien a využitie technických kapacít. Útoky sa týkajú každého a pravda je niekde v tvrdení, že otázka už nie je, či sa útok stane, ale kedy sa stane a v akej forme. Občania podľa môjho názoru o tom už vedia, ale stále veria tomu, že ich sa hrozby netýkajú. Problém v podnikoch je zas v tom, že riaditelia alebo majitelia firiem si nie celkom uvedomujú prepojenosť medzi ich podnikateľskými cieľmi a stratégiami na jednej strane a dopadmi, ktoré prípadné kybernetické útoky môžu na ich biznis zámery mať.
Ako by ste nasmerovali ľudí, aby na túto bezpečnosť kládli väčší dôraz?
Myslím si, že tu je ešte veľký priestor na robotu. Treba otvoriť priestor na to, aby pochopili, že dnes to riziko je naozaj veľké a že otázka útoku je naozaj iba vecou času. Tie náklady, ktoré by oni mali vynaložiť sú iba iným druhom poistenia, ako na byty, domy či automobily. Tí zodpovednejší to vnímajú tak, že je samozrejmé zaplatiť poistku, ale čo sa týka rizík IT, alebo v rámci kybernetickej bezpečnosti, to povedomie nie je dostatočne rozvinuté.
Ale keď sa pozrieme na individuálnu ochranu?
Na túto tému sa už hovorilo pomerne veľa. Na prvom mieste treba asi zvážiť si, či skutočne potrebujem všetky aplikácie, či potrebujem komunikovať na sociálnych sieťach, mailami a uvedomiť si, že keď niečo na web zavesím, tak to tam už je. Treba počítať s tým, že všetko môže byť zneužité. Potom heslá, antivírové programy, ale tie tiež nie sú všeliek na všetko a riešia len bežné veci. Možno že je problém aj na strane služieb. Ten marketing možno nie je dostatočne intenzívny, nie je to iba o antivírusovom programe, treba riešiť okrem iného aj aktualizácie a toto veľa ľudí ani nedokáže.
Ktorú krajinu vieme považovať za takého lídra v boji proti kybernetickým hrozbám?
Tiež sa to nedá jednoznačne povedať. Môžem vám dať príklad Izrael alebo Spojené štáty, a pritom by mohol niekto argumentovať, že pozrite sa na americké voľby. Dalo by sa povedať, že povedomie v elektronizácii alebo nastavenie národných stratégií a ich realizácia môže byť niekde ďalej ako u nás. Spomeniem Singapur, ktorý má v štátnom strategickom programe program Smart nation a všetci tam túto tému berú veľmi vážne. A vidíte, napriek tomu sa tam v júli stal rozsiahly útok v elektronickom zdravotníctve. Celkovo tam ale patria, mimo poradia, Spojené štáty, Izrael, Singapur, Francúzsko. V západných krajinách sú to krajiny ako Škandinávia, Estónsko a ďalšie s dobrou úrovňou pripravenosti voči kybernetickým hrozbám.