Reakcia NBÚ na medializované informácie k novele zákona o kybernetickej bezpečnosti
Národný bezpečnostný úrad víta záujem mimovládnych organizácií – Nadácie Zastavme korupciu a Slovensko.Digital – o budúcnosť kybernetickej bezpečnosti Slovenskej republiky.
Pri tvorbe zákonov sa vždy snažíme aktívne a konštruktívne komunikovať so všetkými subjektmi, a preto sme trochu zaskočení z načasovania a znenia niektorých medializovaných výhrad.
Paradoxom je, že novela zákona o kybernetickej bezpečnosti by bola – nebyť vládnej krízy – zrejme schválená v parlamente už minulý týždeň. Takmer žiadny z poslaneckých klubov neadresoval NBÚ – osobne či verejne – zásadné výhrady. Minulý týždeň tak neurobili ani mimovládne organizácie či verejnosť.
Do procesu však zasiahli lobingové skupiny.
PREČO SME NAPÍSALI NOVELU?
Novelu zákona o kybernetickej bezpečnosti sme vytvorili, lebo to od nás žiada Európska únia a vyplýva nám to aj z Programového vyhlásenia vlády SR. Implementovali sme do nej mnohé priority, odporúčania a zásady prevažne z medzinárodných dokumentov.
Novela je výsledkom implementácie nariadenia Európskeho parlamentu a Rady EÚ 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti).
Zohľadňuje aj odporúčania 5G Toolboxu, ktorý počíta s príchodom novej technológie sietí 5. generácie a s ňou spojenými bezpečnostnými rizikami. Toolbox odporúča detailnú analýzu rizík vo vzťahu k dodávateľom kritických produktov a služieb. Po posúdení rizík nasleduje aplikácia nevyhnutných opatrení vrátane vylúčenia dodávateľ z dodávateľského reťazca.
Návrh spĺňa všetky formálne aj obsahové náležitosti kladené na zákon. Je vyvážený, obsahuje právne inštitúty v súlade s Ústavou SR, prešiel riadnym pripomienkovým konaním, bez prieťahov, boli pri ňom vedené rozporové konania a všetkým zainteresovaným subjektom boli zasielané vyhodnotenia ich pripomienok, spolu s vysvetleniami a aktuálnymi pracovnými verziami návrhu zákona.
LEGISLATÍVNY PROCES
Novelu zákona o kybernetickej bezpečnosti sme v prvej fáze dokončili začiatkom jesene 2020. Už začiatkom októbra bola v medzirezortnom pripomienkovom konaní – pred 6 mesiacmi.
K zákonu bolo na začiatku 381 pripomienok – obyčajných aj zásadných, oprávnených aj neoprávnených. Vyhodnotili sme každú jednu vrátane mnohých irelevantných a duplicitných.
Z 381 pripomienok tvorili zásadné pripomienky od povinne pripomienkujúcich subjektov 122.
NBÚ akceptoval približne polovicu z nich (58), čiastočne akceptoval 15, rozpor odstránili obe strany v 19 prípadoch a predkladateľ nevyhovel 31 pripomienkam (takmer polovica z nich bola od jediného subjektu).
Keď sa novela dostala na vládu, riešil sa už len jeden jediný rozpor, a ten bol napokon vyriešený.
Všetky relevantné aj povinné subjekty mali svoju možnosť pripomienkovať návrh novely a NBÚ sa venovala každej jednej výhrade, nápadu alebo úprave.
INŠTITÚT BLOKOVANIA
Inštitút blokovania nie je prevratný, nový vynález.
Bezpečnostná rada vlády SR schválila materiál NBÚ po riadnom medzirezortnom pripomienkovom konaní bez jediného rozporu už v roku 2019 – Pravidlá pre blokovanie, v ktorom je už tretím rokom zakotvený postup úradu v súlade s medzinárodnými štandardmi vo veci blokovania kybernetických bezpečnostných útokov.
Inštitút blokovania sa vzťahuje primárne na prevádzkovateľov základnej služby (PZS).
NBÚ ho môže vykonať z vlastnej iniciatívy alebo na žiadosť subjektu.
Inštitút blokovania (na žiadosť subjektu) bol navrhnutý Ministerstvom hospodárstva SR ako podpora pri ochrane spotrebiteľa (vyplýva z európskej smernice). V tejto podobe bol akceptovaný aj inými subjektmi (MO SR, MV SR, Slovenská obchodná inšpekcia, atď.).
Text schválila Legislatívna rada vlády SR, bol verejne dostupný, aby sa predišlo nezrovnalostiam a napriek tomu nebol predmetom spochybňovania.
Navrhované ustanovenie upravuje, že úrad vykonáva blokovanie pri riešení kybernetického bezpečnostného incidentu. NBÚ nesleduje reálny obsah komunikácie, ale indikátory technického charakteru napr. IP adresy, adresy riadiacich serverov škodlivého kódu, atď.
Národný bezpečnostný úrad si zároveň plne uvedomuje, že ide o krajný prostriedok; nástroj, ktorý je zásahom do práv subjektov, ale zároveň predstavuje aj riešenie kybernetického bezpečnostného incidentu v prípade, keď sú iné nástroje neúčinné , resp. škodlivá aktivita naďalej pokračuje a ohrozuje konečného užívateľa. Zodpovednosť za prípadnú škodu znáša úrad.
Praktický príklad
Povedzme, že NBÚ zachytí informáciu o masívnej phishingovej kampani, ktorej riadiaci server sa nachádza na slovenskej IP adrese. Niekto sa vydáva za slovenskú poštu a žiada v podvodných e-mailoch adresátov (obete) o zaplatenie 2,5 eura bezhotovostným prevodom na účet útočníka.
Analýzou zistíme, že ide o podvod. Úlohou NBÚ je zabrániť vzniku kybernetického bezpečnostného incidentu, a preto vydá rozhodnutie o blokovaní tohto servera až do chvíle, kým nebude odstránený škodlivý obsah (riadiaci server) a nebudú vykonané opatrenia, ktoré zabezpečia, aby sa situácia neopakovala.
Opravné a kontrolné prostriedky
V našom zákone sa opakovane hovorí o konaní, preto sa naň vzťahujú zásady správneho konania. Úrad navyše pravidelne predkladá Osobitnému kontrolnému výboru NR SR na kontrolu činnosti NBÚ výročné správy a všetky informácie na požiadanie.
Rozhodnutia NBÚ sú preskúmateľné Ústavným súdom SR.
AUTOMATIZOVANÉ POSKYTOVANIE INFORMÁCIÍ
Národný bezpečnostný úrad nemá vo svojich úlohách a oprávneniach používanie informačno-technických prostriedkov (ITP) a nemôže spravodajskou činnosťou získavať informácie ako napríklad Slovenská informačná služba.
Nemôžeme v tomto kontexte zbierať žiadne osobné ani citlivé údaje, a už vonkoncom nemôžeme niekoho odpočúvať.
Explicitne to uvádza aj paragraf 24a v odseku 5: „Obsah komunikácie, prepravovaných správ a tajomstva plnením povinnosti podľa odseku 1 alebo odseku 2 nie je dotknuté.“
NBÚ nemôže priamo zasahovať do žiadneho softvéru ani do komunikácie v sieti. Pracujeme a budeme môcť pracovať iba na úrovni technických identifikátorov a nemáme oprávnenie na zber obsahu komunikácie. Nie je to v našej kompetencii.
Úrad bude pravidelne vydávať sadu technických identifikátorov a PZS bude musieť na základe rozhodnutia (v odôvodnených prípadoch) skontrolovať výskyt identifikátorov vo svojich systémoch a službách. Potom musí úrad maximálne informovať o prípadnom náleze identifikátorov.
Zavedením týchto povinností sa zabezpečuje prenos všetkých relevantných informácií nevyhnutných pre rýchle a efektívne riešenie kybernetických bezpečnostných incidentov.
OBMEDZENIE POUŽÍVANIA PRODUKTU ALEBO SLUŽBY
Ustanovenie garantuje najvyššiu možnú formu transparentnosti a zákonnosti postupu, bez zjavnej svojvôle štátneho orgánu, lebo rozhodnutie je prijímané vysoko objektívne na základe analýzy rizík a posúdenia Bezpečnostnou radou SR. Je aj implementáciou záväzkov voči EÚ.
Pred vydaním rozhodnutia je tzv. námietkové konanie, návrh je zverejnený na webovom sídle úradu 30 dní a po vydaní vyhlásený v Zbierke zákonov SR. Rozhodnutie je preskúmateľné Ústavným súdom SR.
Ako sme uviedli v úvode tejto tlačovej správy, novela zákona o kybernetickej bezpečnosti zohľadňuje aj odporúčania 5G Toolboxu, ktorý počíta s príchodom novej technológie sietí 5. generácie a s ňou spojenými bezpečnostnými rizikami.
Toolbox odporúča detailnú analýzu rizík vo vzťahu k dodávateľom kritických produktov a služieb. Po posúdení rizík nasleduje aplikácia nevyhnutných opatrení vrátane vylúčenia dodávateľa z dodávateľského reťazca.
Posledná aktualizácia « Späť na aktuality
