Ešte koncom februára schválila slovenská vláda návrh novely zákona o kybernetickej bezpečnosti, na základe ktorého môže Národný bezpečnostný úrad získať širšie právomoci. Po novom by mal mať úrad právomoc blokovať škodlivý obsah a škodlivú činnosť.
Pôvodný zákon začal platiť v roku 2018 a Slovensko ním prevzalo európsku smernicu o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii. Národný bezpečnostný úrad vtedy uviedol, že „siete a informačné systémy hrajú kľúčovú úlohu vo voľnom pohybe a sú často spojené s internetom ako globálnym nástrojom,“ a teda „akékoľvek porušenie sietí a informačných systémov v jednom členskom štáte tak ovplyvňuje ostatné členské štáty a EÚ ako celok.“
Z tohto dôvodu sú podľa NBÚ odolné siete a stabilné informačné systémy predpokladom hladkého fungovania vnútorného trhu Únie a dôveryhodnej medzinárodnej spolupráce. „Výdavky na obranu by mali dostatočne počítať aj s výdavkami na kybernetickú obranu, pretože v dnešnom svete závislom od technológií je kybernetický útok na kritické systémy krajiny realistickejšou hrozbou ako vojenský útok,“ hovorí Dušan Vanek, advokát pôsobiaci v advokátskej kancelárii CMS v Bratislave.
Lepšia ochrana pred podvodníkmi či krádežou údajov
Právomoc, ktorú novela zákona má úradu poskytnúť, by jej umožnila pri kybernetických incidentoch blokovať škodlivý obsah a činnosť. Škodlivý obsah je pritom definovaný ako programový prostriedok alebo údaj, ktorý zapríčiňuje alebo môže zapríčiniť kybernetický bezpečnostný incident. Škodlivá aktivita je zas akákoľvek aktivita, ktorá spôsobuje alebo môže spôsobiť kybernetický bezpečnostný incident. „V tomto prípade môže ísť napríklad o phishingové kampane, šírenie malvéru, či DDOS útoky využívané na nelegitímne ciele, akými sú podvodná činnosť, či krádež osobných alebo citlivých údajov,“ vysvetľuje Dušan Vanek.
Dôvodom poskytnutia rozšírenej právomoci úradu má umožniť Slovensku lepšie sa pripraviť a brániť sa pred možným kybernetickým útokom na dôležité systémy informačnej infraštruktúry z externého prostredia (internet). Novela zákona je zameraná najmä na boj proti šíreniu škodlivého kódu zo sietí infikovaných počítačov a šíreniu škodlivej aktivity zo slovenských IP adries.
Úrad blokuje aj na podnet žiadateľa
Každá osoba, ktorá prevádzkuje infraštruktúru, na ktorej je blokovanie potrebné vykonať, by musela vyhovieť rozhodnutiu úradu týkajúceho sa blokovania a to spôsobom v ňom uvedeným. Inak blokovanie vykoná úrad. Všetky rozhodnutia o blokovaní musia obsahovať identifikáciu samotného úradu a rovnako aj osoby, ktorá prevádzkuje infraštruktúru, na ktorej je potrebné vykonať blokovanie. Zároveň úrad musí určiť škodlivý obsah alebo aktivitu, uviesť dôvod, spôsob, termín a trvanie blokovania. Úrad by v rozhodnutí nemal zabudnúť vysvetliť ani možnosti, ktoré sa týkajú odblokovania, ako aj uviesť poučenie.
Blokovanie je možné vykonať aj na žiadosť subjektu podľa osobitných predpisov, ktorými sú v zmysle novely zákon o Slovenskej informačnej službe a zákon o hazardných hrách. Pravdepodobne tak pôjde o nasledovné subjekty – Slovenskú informačnú službu a Úrad pre reguláciu hazardných hier.
Návrh novely tiež navrhuje zaviesť automatizované poskytovanie informácií zo sietí a informačných systémov prevádzkovateľom základných služieb. Národný bezpečnostný úrad by ďalej získal oprávnenie potenciálne zakázať alebo obmedziť používanie konkrétneho produktu, procesu alebo služby na poskytovanie základnej služby z dôvodu možného ohrozenia bezpečnostných záujmov štátu alebo závažných okolností vyžadovaných zákonom. Môže ísť napríklad o ohrozenie života alebo zdravia osôb, či hospodárskeho fungovania štátu. Zákaz alebo obmedzenie produktu, procesu alebo služby musia vychádzať z podrobnej analýzy rizík a vyhlásenia Bezpečnostnej rady Slovenskej republiky.
Zmena ďalších súvisiacich zákonov
Novela zavádza všeobecnú povinnosť súčinnosti v oblasti kybernetickej bezpečnosti s NBÚ, ako aj zmenu súvisiacich zákonov. „Ide napríklad o zákon o správnych poplatkoch, zákon o elektronických komunikáciách a zákon o informačných technológiách vo verejnej správe“ hovorí Dušan Vanek.
Návrh novely prechádza legislatívnym procesom Národnej rady Slovenskej republiky a v súčasnosti je v prvom čítaní. Navrhovaný dátum nadobudnutia účinnosti je 1. júla 2021. Niektoré vplyvné mimovládne organizácie však požiadali o stiahnutie návrhu novely. „Predpokladajú, že ak bude schválený, dalo by to bezpečnostnému úradu príliš veľkú právomoc, najmä pokiaľ ide o blokovanie, automatizovaný prenos informácií a možnosť obmedziť používanie produktov a služieb, pri ktorej v návrhu absentuje dostatočný brzdný kontrolný mechanizmus“ dopĺňa Dušan Vanek. Mimovládne organizácie sa obávajú, že by to mohlo vytvoriť cestu pre zneužitie alebo nesprávnu interpretáciu zákona zo strany úradu, pretože podľa nich v tomto návrhu chýbajú správne a dostatočné kontrolné mechanizmy.