Uprava Republike Slovenije za informacijsko varnost postaja središčna točka za načrtovanje ukrepov za kibernetsko varnost
S 1. januarjem je Uprava Republike Slovenije za informacijsko varnost (URSIV) začela opravljati naloge pristojnega nacionalnega organa na področju kibernetske varnosti v Sloveniji. Kaj konkretno to pomeni in kako gledate na preteklo obdobje, ko ste delovali kot v.d. direktorja? Kateri so glavni elementi kibernetske varnosti?
Z ustanovitvijo URSIV je Slovenija končno dobila na strateški ravni pristojni nacionalni organ, katerega primarno poslanstvo je dvig ravni informacijske in kibernetske varnosti v celotni družbi. Z ustanovitvijo uprave ter določitvijo izvajalcev bistvenih storitev smo tudi zaključili prenos NIS direktive (Direktive EU iz 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji) v slovenski pravni red. Naredili smo ključen korak v zaokrožanju ekosistema informacijske varnosti, sedaj pa nas čaka izziv, kako dvigniti zmogljivosti tako na strateški kot operativni ravni.
Kaj je poslanstvo URSIV? Ali se prioritete (kratkoročne/dolgoročne) delovanja spreminjajo? Kaj so cilji vašega mandata?
Poslanstvo URSIV bi razdelil v več smeri, naloge pa sicer izhajajo iz Zakona o informacijski varnosti. Vsekakor je potrebno najprej zagotoviti primerne kadrovske in materialno-tehnične osnove delovanja Uprave, da bo lahko uspešno koordinirala slovenski ekosistem informacijske varnosti, izvajala naloge enotne kontaktne točke za vse obširnejše mednarodno sodelovanje, prav tako pa ne smemo pozabiti, da URSIV ni ustanovljen samo zaradi informacijske varnosti državnih organov pač pa državljanov in državljank. Pomemben del našega delovanja bo zato usmerjen v krepitev odpornosti s podporo ozaveščanju, sodelovanje z gospodarstvom in seveda znanstveno-raziskovalno srenjo.
Kaj je prednost kibernetske varnosti?
Kibernetska varnost mora biti imanenten in neločljiv del digitalizacije, ki je danes postala vsesplošen družben pojav. Vedno pa moramo tu iskati ravnovesje med prednostmi, ki jih sodobna informacijsko-komunikacijska tehnologija prinaša in tveganji, ki postajajo z vse večjo odvisnostjo od IKT vse bolj očitni. Kibernetska varnost ne sme biti cokla razvoja, a nikakor ne sme pozabiti na temno stran uporabe tehnologije.
V želji po zagotavljanju čim višjega nivoja kibernetske varnosti je potrebno sodelovati tudi z drugimi deležniki. S kom vse sodelujete?
Seveda najprej sodelujemo z vsemi državnimi organi, tako na področju nacionalne varnosti, kot tudi širše, v evropskem prostoru s primerljivimi organizacijami, ENISO (Agencijo Evropske unije za kibernetsko varnost), prav tako z gospodarstvom in R&D deležniki. Kibernetska zgodba je namreč izrazito horizontalna in medpodročna, naša naloga pa je, da identificiramo najpomembnejše akterje.
Zakaj je spletnih napadov vedno več, koliko jih je bilo v zadnje pol leta, je Covid-19 situacijo poslabšal?
Vse več je sicer kibernetskih incidentov, ne samo spletnih napadov, razlog pa je sila enostaven. Vedno več denarja se v gospodarstvih in družbah obrača na področju informacijske tehnologije, prav tako pa slednja postaja vse pomembnejši vir družbene moči tako na nacionalni ravni kot v mednarodnem prostoru. Zato so poleg kriminala vse pomembnejši akterji tudi države s svojimi ofenzivnimi kibernetskimi zmogljivostmi. Število virov kibernetskih groženj torej narašča, cilji so tako posamezniki, podjetja kot državna infrastruktura. Kompleksna kriza, COVID 19, situacije sama po sebi ni poslabšala, je pa dejstvo, da smo s prehodom v “lock down” ter vse večjo uporabo dela in šolanja na daljavo postavili rekorde prenosa podatkov na internetnih omrežjih, kar so seveda izkoristili tudi kibernetski napadalci, saj so naenkrat dobili bistveno več potencialnih žrtev. Covid 19 nas je opozoril tudi na slabo pripravljenost sodobnih družb na velike, kompleksne krize, ki trajajo dalj časa, odvisnost naših družb od proizvodnih zmogljivosti ter veriženje posledic kompleksih kriz. Glede na to, da se prenos virusov v naravi lahko primerja tudi s tistimi v kibernetskem prostoru srčno upam, da bomo sposobni na temelju teh izkušenj izgraditi odporen in robusten sistem kriznega odzivanja tudi za kibernetske incidente pa naj gre za nacionalno ali mednarodno (zlasti EU) raven.
Kibernetska varnost je pomembna tema, ki bo deležna posebne pozornosti ob predsedovanju Slovenije Svetu EU. Težko pričakujete to obdobje? Kaj pomeni predsedovanje za URSIV?
Predsedovanje Slovenije Svetu EU je res izjemen izziv za nas, tako v smislu oblikovanja politik kot v operativnem pogledu. Slovenija je namreč ravno odgovore na kibernetske napade v povezavi s kriznim upravljanem postavila prav na vrh prioritet svojega predsedovanja. Čeprav se je z Lizbonsko pogodbo predsedovanje Svetu EU nekoliko spremenilo, bo brez dvoma determiniralo naše delovanje v naslednjem letu in pol. Prepričan sem, da se bomo uveljavili kot zaupanja vredna članica, hkrati pa, da se bo tudi potrdilo splošno pravilo, da v kibernetskem prostoru kot tudi varnosti ni velikih in majhnih, prav tako uspešnost in učinkovitost nista nujno odvisni od fizičnih danosti. Kibernetski prostor torej ima potencial, potrebno ga je samo izkoristit.