Ako fungujú nové pravidlá proti kybernetickým hrozbám?

Igor ŠENKARČIN, Cyber STRING

V máji 2018 nadobudli účinnosť dva veľmi konkrétne zákony, s veľmi konkrétnymi dôsledkami. Vo svete je už istý čas top témou GDPR (General Data Protection Regulation), nariadenie Európskej únie o ochrane osobných údajov. V platnosti je aj povinnosť členských štátov Európskej únie zverejniť v ich národnom legislatívnom prostredí direktívu NIS, vo voľnom preklade Zákon o kybernetickej bezpečnosti, ktorý už na Slovensku svoju účinnosť nadobudol.

To, že ochrana údajov a kybernetická bezpečnosť spolu súvisia, je zrejmé už z podstaty veci. Inak je to s otázkou, ako odborná verejnosť na tieto zákony reagovala a stále reaguje, a to najmä z pohľadu účinnosti v boji proti kybernetickým hrozbám. Výstupy z rôznych konferencií a odborných podujatí totiž naznačujú skôr skepticizmus a že sme skôr len na začiatku cesty.

Popri dôležitosti oboch zákonov, o ktorých obsahu sa veľa hovorilo a polročná prax potvrdzuje, že sa zrejme bude hovoriť ešte viac, sa už len samotné spochybňovanie ich prínosu dá vnímať ako zásadný moment, ktorý si zaslúži pozornosť, a to hneď z niekoľkých dôvodov:

Prvým je fakt, že oba zákony, ale najmä zákon o ochrane osobných údajov, sa dotýkajú nás, verejnosti. Ich zavedenie je dané dnes už dlhodobou skúsenosťou, a to že v tejto oblasti treba priniesť jasné pravidlá. Iniciatíva teda vzišla výrazne z právnického prostredia, avšak podnetom bol rozmach technológií a ich vplyv na praktický život. To je prvý moment, ktorý stojí za povšimnutie.

Druhým momentom je šírka záberu  – ťažko si už dnes predstaviť činnosť, do ktorej by informačné technológie nezasahovali. Každá činnosť ľudstva je presiaknutá informačnými a komunikačným technológiami, a to až tak, že sa to už považuje za samozrejmé a väčšina ľudí si to ani neuvedomuje. Pointa je však v tom, že zákon je zákon a jeho ustanovenia sa musia dodržiavať v celom rozsahu jeho platnosti. A keďže hranice internetu, počítačov, mobilov a vôbec všetkého, čo sa na internet dá pripojiť a bude dať pripojiť, majú globálny charakter, tak či si to uvedomujeme alebo nie, zákon sa bude týkať pravdepodobne každého z nás. Či už ako potenciálnej obete, alebo jednej zo strán možného súdneho sporu.

No a všimnime si ešte dvojičku „procesy a technológie“, bez ktorých súlad so zákonom nie je možné uskutočniť. Ak si len pri uvedení týchto troch pohľadov položíme najdôležitejšiu otázku celej témy – aká je pripravenosť na súlad, tak hoci je možné, že väčšina firiem a inštitúcií bude reagovať, že u nich je „hotovo“, s veľkou mierou pravdepodobnosti to bude len pocit  platný do okamihu prvého incidentu úniku údajov, alebo ohlásenia podaného obeťou na príslušný úrad.

Moment reality obnaží komplexnosť celej situácie, či už z pohľadu legislatívy, v tomto prípade akcentujúcej ľudsko-právne princípy, alebo cez optiku regulácií, noriem, štandardov a ďalších, už mnoho rokov implementovaných opatrení so zameraním na informačnú bezpečnosť. Tu do popredia vstupujú popri organizačno-procesných prvkov aj, a treba povedať zásadne, pohľady technologické.

Stret ľudsko-právneho princípu s vymožiteľnosťou cez implementáciu opatrení, ktorých základ spočíva v nastaveniach týkajúcich sa technológií a príslušných procesov, bude zohrávať zásadnú a oveľa zložitejšiu časť celej témy. Sledujúc dynamiku technologického rozvoja a jeho vplyvu na ľudské činnosti je zrejmé, že hovoríme o nikdy nekončiacej ceste.   

Ako teda na to? Jednoduché odpovede neexistujú a aj tie, ktoré budú postupne prichádzať v podobe výkladov zákona, alebo príkladov dobrej praxe, sa budú časom meniť. Osobné údaje sú v princípe témou nad rámec informačných technológií, avšak v praktickej realite dneška a budúcnosti zrejme viacerým napadne, že za týchto okolností je lepšie žiadny informačný systém nevlastniť a prenechať zodpovednosť na dodávateľov služieb . V ére cloudu má táto myšlienka isté opodstatnenie, ale aj táto cesta nemusí vyhovovať každému a tiež nemusí riešiť každú situáciu, ktorá sa dotýka zákonných požiadaviek.

Čo sa dá ale určite povedať je fakt , že znovu zažívame situáciu, ktorá sa už v minulosti neraz opakovala, avšak tentokrát ju máme v globálnom rozmere ľudstva. Navyše téma je tak zásadná, že väčšina z nás si ju do skutočnej hĺbky podstaty len začína uvedomovať.

Každé pravidlá sú vytvárané ľudským spoločenstvom a každé z nich, v tomto prípade aj GDPR, alebo aj NIS, hovoria hlavne ČO sa má nimi dosiahnuť. Zložitejšou časťou pravidiel býva otázka, AKO cieľ dosiahnuť, najmä ak tvorcovia pravidiel pochádzajú z „rozdielnych svetov“, kde jazyk a myslenie zďaleka nemusia byť totožné. Ukazuje sa, že práve schopnosť vzájomnej komunikácie a zosúladenie pohľadov na priority, pri zachovaní podstaty toho čo sa má dosiahnuť, bude zrejme zásadná aj pri uvádzaní (nie len) GDPR do reálneho života.

Add Comment