Stanovisko spoločnosti ESET spol. s r.o. k návrhu zákona o kybernetickej bezpečnosti

Spoločnosť ESET spol. s r. o., ako dodávateľ bezpečnostných riešení, má záujem na zlepšovaní stavu informačnej bezpečnosti, nielen v rámci Slovenska, ale aj celosvetovo. Chceli by sme sa týmto zapojiť do odbornej diskusie ohľadom návrhu zákona o kybernetickej bezpečnosti, ktorý má implementovať smernicu 2016/1148 (ďalej len „NIS“). Ciele smernice návrh zákona napĺňa, avšak vidíme problém v nasledovných oblastiach:

1. Návrh zákona sa snaží v §3 definovať pojmy kybernetickej bezpečnosti (ďalej len „KB“), pričom definície sú rekurzívne, opierajú sa o nedefinované pojmy, alebo sa redefinujú pojmy z informačnej bezpečnosti, v niektorých prípadoch dokonca nesprávne (riziko vs. hrozba). Tento problém sa opakuje aj ďalej, napríklad §9 a pojem „bezpečnostné prostredie“.
   
   
2. Dáva v §6 Národnému bezpečnostnému úradu (NBÚ) právomoc definovať politiku správania sa v kybernetickom priestore. Vzhľadom na globálnosť útokov v rámci internetu sú tieto politiky prakticky zbytočné.
   
   
3. Ďalej v §6 dáva NBÚ právomoc definovať opatrenia, kontrolovať ich platnosť a udeľovať pokuty. Vzhľadom na globálnosť internetu je toto jednoducho obíditeľné v prípade prevádzkovateľov online trhovísk prenesením webových stránok mimo kontroly úradu. Nie je jasné, ako chce úrad vynucovať povinnosti z §22 bez toho, aby dostal možnosť blokovať webové stránky, čo môže byť jednoducho zneužiteľné voči širokej verejnosti – viz. napríklad blokovanie služieb Facebook a Twitter počas Arabskej jari, respektíve v Turecku.
   
   
4. Nie je jasné, aký praktický význam v komerčnej sfére má akreditácia CSIRT (§13 a §14) a čo je pridanou hodnotou napríklad v porovnaní s medzinárodnou akreditáciou FIRST, okrem poskytovania služieb CSIRT vecne príslušnej autorite. Povinnosti prevádzkovateľa CSIRT (§15) aj úlohy CSIRT (§16) sú popísané všeobecne a nie je jasné, aké činnosti pod CSIRT spadajú (napríklad je súčasťou reverzná analýza škodlivého softvéru?).
   
   
5. V §10 ods.tavec 6) , §24 ani §25 nie sú lehoty na reportovanie bezpečnostných incidentov. Nie je jasné, či majú subjekty hlásiť aj podozrenie na výskyt incidentu, alebo len potvrdený incident. Nie je jasný rozsah informácii, ktoré musí subjekt poskytnúť a čo sa má diať v prípade, že nevie časť informácií dodať. Pre účely zabránenia výskytu rovnakého incidentu u iných subjektov (napríklad nákaza škodlivým kódom) je vhodné mať detailný popis hrozby, ktorá spôsobila bezpečnostný incident. Chceli by sme zároveň upozorniť na existenciu otvorených štandardov na výmenu informácií o hrozbách, ktoré uľahčia automatizované spracovanie informácií a ich výmenu.
   
   
6. Nie je jasné, ako je možné zabezpečiť, aby vecne príslušná autorita zabezpečovala aj služby CSIRT v slovenských reáliách, ako to vyžaduje §11. V rámci spoločnosti ESET vnímame akútny nedostatok odborníkov na informačnú bezpečnosť. Navyše nie je jasné, prečo je táto povinnosť vyžadovaná, keď odstavec 2) a 3) hovorí o využívaní CSIRT-ov iných vecne príslušných autorít.
   
   
7. Nie je jasné, čo sa bude diať v prípade, kedy definícia prahových hodnôt základných služieb (viz. §17 ods. 4) spôsobí ekonomickú nevýhodnosť poskytovania základnej služby.
   
   
8. Nie je jasné, prečo opatrenia popisované v §19 nie sú naviazané na medzinárodné štandardy napríklad ISO 27001:2013 a namiesto toho bude NBÚ v zmysle §33 vypracúvať všeobecne záväzný právny predpis, ktorý bude upravovať okrem iného obsah bezpečnostných opatrení. Naviac v prípade certifikácie podľa ISO 27001:2013 je organizácia povinná každoročne absolvovať (re)certifikačný alebo dozorový audit zo strany certifikujúcej spoločnosti, pričom §19 odstavec 5) spomína periódu dva roky. Ďalej nie je jasné, či môže prevádzkovať kombinovať tento audit s iným auditom – napríklad podľa požiadaviek NBS.
   
   
9. Povinnosti uvedené v §21 spôsobia nárast vnúrných nákladov a efektívne zabránia novým, malým subjektom poskytovať digitálnu službu (napríklad online trhovisko). Fokus celého paragrafu je na kontinuitu služby. Nie je jasné, s ktorými štandardmi má prevádzkovateľ zaistiť súlad. Navyše v odstavci 3) je napísaný chaoticky:
   a.    Nie je jasná lehota pre oznámenie incidentu
   b.    Čo ak prevádzkovateľ poskytuje viacero služieb, pričom poskytovanie digitálnej služby je len malá časť. Znamená to reportovovanie incidentov aj mimo digitálnej služby alebo vyhodnotenie, že incident digitálnej služby má nevýznamný dopad na poskytovanie služieb?
   Nie je jasné, čo sú osobitné záujmy podľa odstavca 5). Naviac v prípade online trhovísk je prevádzkovateľ v prípade výpadku postihnutý nie len stratou obchodných príležitostí ale aj následnou pokutou v zmysle §32 odstavca 4) do 5% obratu, čo považujeme za neadekvátne.
   
   
10. Nie je jasné, prečo poskytovateľ základnej služby musí hlásiť incidenty podľa §24 odstavca 3) cez jednotný systém KB. V prípade ISP vs. prevádzkovateľ online trhoviska je efektívnejšia priama komunikácia. Ďalej §24 odstavca 2) pokrýva len dostupnosť a vo vyššie uvedenom prípade nie je ISP povinný prevádzkovateľovi digitálnej služby hlásiť napríklad neautorizované odpočúvanie alebo modifikácie komunikácie po sieti.
    
    
11. §27 je v rozpore s definíciou uvedenou v §3, pričom úplne absentuje analytická práca vedúca k návrhu opatrení.
    
    
12. §27 odstavca 4) uvádza veľmi širokú právomoc úradu vo forme povinnosti vykonania reaktívneho opatrenia. Toto môže byť ľahko zneužiteľné voči širokej verejnosti – viz. „vypnutie internetu“ v Egypte počas Arabskej jari. 
    
    
13. §28 definuje stav kybernetického ohrozenia vágne, čo dáva priestor na zneužívanie právomocí zo strany NBÚ.
    
    
14. Nie je jasné, ako je realizovaná kontrola definovaná v §29 v súkromných spoločnostiach. Napriek tomu má úrad právo udeľovať pokuty priamo zamestnancom kontrolovaného subjektu.
    
    
15. Nie je jasné, ako môže byť audit kybernetickej bezpečnosti (§30) realizovaný podľa zákona o finančnej kontrole a audite, nie je jasná akreditačná schéma auditných spoločností ani odborné požiadavky na audítorov. Navyše, keďže ide v prípade auditu o prevádzkové náklady, ktoré sa súkromné spoločnosti môžu snažiť minimalizovať, môže skončiť celý audit ako zbytočné administratívne cvičenie. Napriek tomu, že návrh zákona uvádza v §33, že tieto skutočnosti majú byť uvedené vo všeobecne záväznom právnom predpise, považujeme ich za zásadné.
    
    
16. Aplikovanie §32 môže viesť k nárastu korupcie vzhľadom na to, že o sankcii rozhoduje úradník NBÚ bez jasnej metodiky.

Vzhľadom na vyššie uvedené skutočnosti navrhujeme uvedený návrh zákona stiahnuť a prepracovať  v spolupráci s odbornou komunitou tvorenou:

• univerzitami a vysokými školami,
• členskými organizáciami ako je napríklad ISACA alebo SASIB,
• odborníkmi na informačnú bezpečnosť – napríklad aj z firmy ESET.

Daniel Chromek, Chief Information Security Officer, ESET spol. s r. o