Slovenské (sm)art City – Realita kybernetickej bezpečnosti v mestách a obciach – buďme pripravení!
2. tlačová správa konferencie Slovenské (sm)art City, ktorá sa konala
1. júna 2021 za účasti slovenských a českých odborníkov
B R A T I S L A V A – 15. jún 2021
O téme Smart Cities sa veľa rozpráva, no len málokto sa na inteligentné mestá pozerá aj cez bezpečnosť, ktorá by mala byť prioritou. Mesto s inteligentnými zariadeniami zbiera totiž množstvo dát, a tie je nevyhnutné nielen spracúvať, ale aj chrániť. V opačnom prípade sa mestá a samosprávy stávajú terčom kybernetických útokov, ktorých dôsledkom môže byť zneužitie dát či ohrozenie životov. Kybernetická bezpečnosť sa tak stáva jednou z kľúčových tém súčasnosti, na čo počas konferencie SLOVENSKÉ (SM)ART CITY poukázali viacerí odborníci.
Ivan Makatura na konferencii SLOVENSKÉ (SM)ART CITY: ”Hackerské útoky nemusia byť len útokmi na dáta, ale aj na technológie kritickej infraštruktúry, čo môže ohroziť zdravie a život obyvateľov.”
Odborná platforma Techevents.eu sa po COVID prestávke vrátila so svojou 21. konferenciou. Diskusie na tému SLOVENSKÉ (SM)ART CITY – Realita kybernetickej bezpečnosti v mestách a obciach – buďme pripravení! sa konali 1. júna za účasti slovenských a českých odborníkov. Tí spoločne poukázali na úskalia a problematiku konceptu Smart Cities aktualizovanú o dôsledky pandémie a hrozby kybernetických útokov. Témy zaujali takmer 130 priamych účastníkov z radov miest a obcí, ako aj odborníkov. “Ak chcú byť slovenské mestá naozaj inteligentné, majú pred sebou ešte veľa práce. Okrem toho, corona a povinný home office otvorili útočníkom nové možnosti, preto by sme mali naozaj zvýšiť pozornosť. Aj v diskusiách sme viackrát počuli, že prevencia je lepšia než riešenie následkov kybernetických útokov. Veľmi si vážim každého jedného z diskutujúcich, jeho názor a aj spätnú väzbu na konferenciu, ktorá bola z hľadiska odbornej stránky opäť špičková!” hovorí Davy Čajko, riaditeľ spoločnosti Future Proof, ktorá konferenciu organizovala. “Ako vyplynulo z diskusie, celá táto téma sa v konečnom dôsledku dotýka občanov. S cieľom chrániť nielen ich fyzickú, ale aj online bezpečnosť, by mestám a obciam malo záležať na vzdelávaní sa v témach kybernetickej bezpečnosti, pretože len tak sa môžu stať rovnocenným partnerom pre dodávateľov inteligentných riešení. Práve preto sme spolu s partnerom TÜV SÜD Slovakia pripravili rad špecificky orientovaných kurzov zameraných na praktické zručnosti. Prvým z nich je kurz Informačné technológie a kybernetická bezpečnosť vo verejnej správe, ktorý je už teraz dostupný v mimoriadne výhodenj zľave na našej vzdelávacej platforme Edumy.academy,” dodáva Čajko.
Témou 1. diskusie boli Výzvy a hrozby kybernetickej bezpečnosti v inteligentných mestách aj v postpandemickej ére. Andrej Kóňa, expert na inteligentné mestá, Univerzita sv. Cyrila a Metoda v Trnave, v jej úvode uviedol, že na Slovensku nemáme Smart Cities, ale Smart Villages, v ktorých sa oproti mestám prejavuje finančná a aj vedomostná priepasť. Financie od štátu sú celkovo problém, pretože nekryjú ani 70 % výdavkov na implementáciu nových technológií, ktorú si už vyžaduje aj Zákon 69/2018 Z.z. o kybernetickej bezpečnosti. “Zo zákona o. i. vyplýva, že každá obec musí mať dátového odborníka. Rámec povinností je značný a obce naň neboli pripravené ani finančne, ani odborne. Vo všeobecnosti hovoríme o sume tvoriacej 0,2 – 1 % z objemu celkových nákladov obce,” hovorí Adam Keseg, právnik, Advokátska kancelária Prosman & Pavlovič
Pre obce je to šok, pretože ešte donedávna sa ochrany údajov týkalo len všeobecné nariadenie GDPR. “Obce by napriek tomu nemali byť z dvoch nových lokálnych právnych predpisov prekvapené. Zákon o informačných technológiách vo verejnej správe a Zákon o kybernetickej bezpečnosti predsa obsahujú len spresnené povinnosti z nariadenia o GDPR,” hovorí Ivan Makatura, generálny riaditeľ, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti. Podľa Adama Lojka, experta na kybernetickú bezpečnosť & CEO, SHIELD TECH, si však mestá a obce mysleli, že Zákon o kybernetickej bezpečnosti bude len ďalší šuflíkový projekt ako GDPR. Zdá sa, že mestá a obce tak ochranu osobných údajov nepovažujú za prioritu aj napriek tomu, že niekoľkými kybernetickými útokmi na mestá a nemocnice si za posledné dni prešla aj susedná Česká republika.
Diskusia otvorila aj otázku Národnej stratégie kybernetickej bezpečnosti (NSKB) na roky
2021 – 2025, ktorej vypracovanie garantoval Národný bezpečnostný úrad. “NSKB je len zastrešujúcim dokumentom. Ďaleko podstatnejším je Akčný plán,” hovorí Makatura. Kóňa však v súvislosti s dokumentmi poukazuje na veľkú zaťaženosť miest a obcí: “NSKB a Akčný plán obsahujú kvantá informácií, ktoré obce musia nielen nasávať, ale aj implementovať, čo sa nedá stíhať.” A aj keď Makatura súhlasí, zároveň upozorňuje, že aj keď post starostov nie je podmienený digitálnou zručnosťou, mimoriadna situácia z nich nesníma ich štatutárnu zodpovednosť. Práve nevzdelanosť starostov je totiž zlatou baňou pre pofidérnych dodávateľov a ak sa nič nezmení, tak obce budú v porovnaní s komerčnou sférou ešte veľmi dlho zraniteľnejšie. “U mnohých starostov sa prejavuje aj právna nekompetentnosť, a tak si často nedokážu vyhodnotiť ani zmluvu s dodávateľom. Tým sa oberajú o garantovanú formu zábezpeky od dodávateľa, na ktorú majú v praxi právo,” hovorí Keseg. Dan Jiránek, generálny manažér SMART ČESKO, Svaz měst a obcí ČR, pritom zdôrazňuje, že tlak na využívanie technológií bude silne narastať, no bez kybernetickej bezpečnosti tento pokrok nebude možný. Otázky týkajúce sa objemu dát a ich atribútov sú podľa Makaturu zároveň aktuálnym štádiom Smart City konceptu na Slovensku. Hrozbou však môže byť umelá inteligencia, na ktorú ako krajina ešte nie sme pripravení.
Ako teda aplikovať kybernetickú bezpečnosť do praxe tak, aby sme rešpektovali aj právne riziká? “Viem si predstaviť súčinnosť so štátom, ako to bolo napríklad v otázke dotácie na nájom, kedy štát v spolupráci so Slovak Business Agency zriadil tzv. klientske centrá,” hovorí Keseg. Ak by sme sa však v otázke Smart Cities chceli inšpirovať susednou Českou republikou, celý koncept by mal ísť ruka v ruke s ochranou dát a elimináciou rizika ich zneužitia. “V Čechách sme presadili výnimku, podľa ktorej obec nemôže dostať pokutu od štátu z dôvodu porušenia nariadenia o GDPR. Je to len prelievanie peňazí z jedného štátneho vrecka do druhého. Ak však obec udá občan, tak je v prípade preukázania viny povinná uhradiť mu majetkovú aj nemajetkovú ujmu,” vysvetľuje Jiránek.
Zneužiteľnosť každej obce pritom rastie v závislosti od množstva dát, ktoré má na svojich úložiskách, pričom základnou motiváciou útočníkov sú podľa Makaturu peniaze. “Zraniteľné sú najmä orgány štátnej správy, banky, telekomunikačný sektor, energetika a zdravotníctvo. Samotné mestá momentálne nie sú stredobodom útokov, ale treba povedať, že hranica medzi rizikovými a menej rizikovými oblasťami sa postupne zmenšuje,” hovorí Makatura a zároveň upozorňuje, že heckerské útoky nemusia byť len útokmi na dáta, ale aj na technológie kritickej infraštruktúry, čo môže spôsobiť škody s dosahom až na zdravie a život obyvateľov. O kybernetických útokoch sa však často nehovorí, preto si mnohí myslia, že sa na tieto témy vzťahuje embargo. “Nejde o informačné embargo, ale médiá sa o útokoch nemajú ako dozvedieť. Oprávnený hovoriť o nich je len postihnutý štatutár, ktorý túto informáciu nezverejní, pretože ju považuje za reputačné riziko a bojí sa ďalšieho útoku,” vysvetľuje Makatura a Keseg dopĺňa, že platí situácia závažného incidentu. Ten sa hlási NBU, ktorá keď vyhodnotí závažnosť na vyššom leveli, musí o incidente informovať verejnosť.
2. diskusia sa venovala Riešeniam kybernetickej bezpečnosti v inteligentných mestách. Tie, ktoré spĺňajú najvyššie kritériá, máme podľa Kamila Kačera, IT projektového manažéra, Operátori ICT, na Slovensku a v Česku najviac tri. Ľubomír Kopáček, audítor informačnej a kybernetickej bezpečnosti, TÜV SÜD Slovakia, je v tejto otázke dosť skeptický: “Vyššieho počtu inteligentných miest na Slovensku sa desím, pretože ak sa v oblasti kybernetickej bezpečnosti nič neudeje, tak Smart Cities je istá cesta do problémov.” Súhlasí s ním aj Tomáš Zaťko, CEO Citadelo, expert na kybernetickú bezpečnosť a Igor Hianik, primátor mesta Pezinok, ktorý poukázal na to, že v roku 2020 začali mestá pracovať aj so zdravotnými údajmi občanov. “Samospráva túto oblasť doteraz nikdy neriešila, nie sme na to pripravení a nejde len o technológie a systémy, ale aj o ľudský kapitál a procesy. Tieto otázky nemáme zodpovedané, na čo poukázal aj samotný COVID,” vysvetľuje Hianik. Marek Frey, generálny riaditeľ, Eltodo SK & Shield Tech, pritom tvrdí, že nejde ani tak o množstvo Smart Cities, ale o kvalitu poskytovaných riešení a služieb.
Pozitívom je, že mestá a obce dokázali počas covidu spolupracovať ako nikdy predtým. “Pandémia sa v kontexte miest prejavila nielen zdieľaním pracovných skúseností, ale aj sharingom zamestnancov, ktorý tu doteraz nikdy nebol. A toho sa treba chytiť, pretože ak si odborníkov nepožičiame, tak pre každú obec jednoducho dostupní nebudú,” hovorí Hianik. Frey vidí ako problém aj chýbajúcu koncepciu a to, že mestá vzali Smart City ako politickú tému namiesto toho, aby ju vnímali z dlhodobého hľadiska. “Nekoncepčne lepené kroky sa stávajú deravými, a tie sú z pohľadu bezpečnosti rizikové,” vysvetľuje Frey. Okrem toho je hrozbou aj samotné financovanie. “Mestá a obce si nedokážu predstaviť, aké dopady môže mať kybernetický útok, preto si nevytvorili ani dostatočné budgety na ich odvrátenie,” konštatuje Adam Lojkó, expert na kybernetickú bezpečnosť & CEO, SHIELD TECH. Jeho názor dopĺňa aj Zaťko, podľa ktorého je kľúčovou cena. “Bezpečnosť nevidieť, kým nenastane problém, preto sa na nej najlepšie šetrí. Budúcnosť nám to ale spočíta,” uviedol Zaťko.
Z pohľadu občanov vidí Zaťko ako najväčšiu hrozbu Smart Cities stratu komfortu, Lojkó zas nedostatok bezpečia: “Čím viac smart riešení budeme mať, tým viac zraniteľní budeme.” Je preto logické, že prirodzeným lákadlom útokov sú najmä veľké mestá, kde dochádza k zhromažďovaniu veľkého množstva dát. Útočníci sú pritom vedomostne ďaleko pred nami, preto sú podľa Kopáčeka hybridné vojenské operácie už na dennom poriadku. Pre samosprávy je však tento stav nezvládnuteľný. S cieľom chrániť sa pred hackermi preto Kačer navrhuje obrátiť sa na štát a vnímať ho ako partnera. “Kybernetická bezpečnosť sa stáva súčasťou bezpečnosti ako celku. Jej štandardizovanú úroveň by preto štát mal doručiť pre všetky systémy, ktoré spracúvajú dáta na základe legislatívy. Je to však otázka zmeny celkovej kultúrnej paradigmy a nášho vnímania. Aj preto by sme o kybernetickej bezpečnosti mali hovoriť ako o súčasti bežného života a urobiť z nej súčasť vzdelávania už na základných školách,” vysvetľuje Kačer.
Štát by mal podľa Kopáčeka poskytnúť podrobný návod, ako implementovať jednotlivé opatrenia, ku ktorým treba podľa Freya pristupovať individuálne. Lojkó ako 1. krok navrhuje oslovenie kvalitného odborníka. Ten urobí gap analýzu, z ktorej vyplynú prvé povinnosti. Kačer totiž zdôrazňuje, že každý úspešný útok na mesto je úspešným útokom aj na obyvateľov. Podľa Zaťka je preto dôležité o týchto témach hovoriť zrozumiteľne aj k bežným ľuďom, o ktorých to v konečnom dôsledku celé je.
Z pohľadu trestného práva a vyvodzovania dôsledkov je táto oblasť podľa Hianika neprebádaná a abstraktná, i keď Kopáček tvrdí, že legislatívu a aj policajné zložky pripravené máme. Hackeri sa však napriek tomu chytajú len veľmi ťažko. “Ak k útoku dôjde, vo väčšine prípadov sa najskôr sanujú škody a zachraňuje situácia, až potom sa dohľadávajú stopy. Len v ideálnych podmienkach sa to deje súčasne,” vysvetľuje Lojkó. Frey však upozorňuje, že ak infraštruktúra nie je dobre zabezpečená, tak je ťažké zistiť aj to, že došlo k útoku, nie ešte zaistiť stopy. Svet nám však podľa Zaťka ukazuje viaceré prípady, kedy sa páchateľov podarilo identifikovať. “Problém je, že útoky ľudia nechcú nahlasovať, pretože neveria, že ich polícia objasní. Určite to však treba hlásiť, pretože len tak môžeme docieliť kapacitné posilnenie policajných zložiek,” vysvetľuje Zaťko.
Posledná diskusia sa venovala Financovaniu inteligentných riešení, ktoré je dosť problematické, napriek tomu máme na Slovensku aj príklady dobrej praxe. Jedným z nich je mesto Kežmarok, ktorého primátor vyčlenil časť zdrojov na financovanie inteligentných riešení. A tie, ako ukázal covid, závisia najmä od kvalitného pripojenia. “Štát by mal garantovať možnosť pripojenia sa na optickú či 5G sieť, pretože to lokálni aktéri nevedia zabezpečiť nehovoriac o tom, že obce nemajú zdroje na takéto kompletné riešenia,” konštatuje Ján Ferenčák, primátor mesta Kežmarok.
Ak sa na tému Smart Cities pozrieme z pohľadu regionálneho rozvoja, tak kľúčovou je podľa Jána Hoštáka, riaditeľa odboru Smart agend Ministerstva investícií, regionálneho rozvoja a informatizácie SR, práve integrácia. “Okrem integrácie bude kľúčovou úlohou ministerstva aj nastavenie prostredia tak, aby čo najlepšie podporilo vznik inovácií a ich efektívne využívanie. Aktuálne preto pripravujeme integrované územné stratégie a integrujeme územné investície,” uvádza Hošták. Podľa Ferenčáka je však kľúčovou úlohou štátu vytvoriť podmienky financovania.
Pre samosprávny sektor je téma kybernetickej bezpečnosti v podstate novinkou. “Ako prvý si dôležitosť kybernetickej bezpečnosti uvedomil súkromný sektor. Kvalitná ochrana dát je totiž súčasťou konkurenčnej výhody, ktorú samospráva nepoužíva. Preto nebol dôvod, aby sa touto témou bližšie zaoberala,” uviedla Andrea Hagovská, expertka pre regionálny a miestny rozvoj, ktorá poukázala aj na dôležitosť investícií do vzdelanosti a povedomia o kybernetickej bezpečnosti. K jej názoru sa prikláňa aj Hošták, ktorý povedomie vníma ako kľúčovú záležitosť a oblasť, v ktorej musíme akcelerovať.
Model edukácie by mal podporovať aj Plán obnovy, z ktorého sa budú financovať viaceré reformy a investície aj z oblasti kybernetickej bezpečnosti. “Kybernetickú bezpečnosť bude Plán obnovy riešiť aj v tom zmysle, že ľudia, ktorí pracujú s údajmi, budú musieť mať príslušné vzdelanie s cieľom zamedziť základným chybám,” vysvetľuje Mariana Kollárová, projektová manažérka pre digitalizáciu Plánu obnovy, Ministerstvo financií SR. Ferenčák je však v otázke Plánu obnovy skeptický a nesúhlasí s tým, že väčšina riešení bola pomenovaná na úrovni centrálneho riadenia a samospráva nebola do diskusií nijakým spôsobom vtiahnutá. “Tieto riešenia sa nedajú aplikovať celoplošne, preto ani riešenia Plánu obnovy nemajú zostať len na centrálnej úrovni, kde do nich investujeme milióny a potom zistíme, že v spodnej úrovni sa nám to celé zosypalo. Vždy sa začína oddola, preto netreba robiť nadstavbu, kým nemáme základ! A tie samosprávy, ktoré ten základ majú, treba podporiť a verte, že potiahnu aj ďalších,” vyzýva Ferenčák. Hagovská ďalej doplnila, že treba viac investovať do pilotných projektov a diskutovať aj so širšou komunitou, pretože veľa smart riešení prináša práve multisektorová miestna komunita. “Veľmi málo sa tiež hovorí o dobrej praxi, preto chceme, aby mestá, ktoré majú spoločné problémy, ich spoločne aj riešili a zdieľali ich medzi sebou,” vysvetľuje Hagovská.
Jednou z posledných otázok diskusie bola oprávnenosť nákladov vynaložených na smart investície. Ako hovorí Ferenčák, zaradeniu určitého percenta nákladov do oprávnených sa nevyhneme, preto je dobré pamätať na to už v Pláne obnovy. “Treba si uvedomiť, že státisícové investície na kybernetickú bezpečnosť bude musieť vynaložiť aj tá najmenšia obec, čo sa bez pomoci štátu nedá. Štát na to však v Pláne obnovy nemyslí, a práve tu cítiť chýbajúcu diskusiu so samosprávou. Potrebné bude preto nájsť zdroje v nasledujúcom operačnom programe. A ak nebudeme úspešní, chcem vyzvať štátne orgány, aby umožnili uplatniť si oprávnený náklad tým, ktorí to budú potrebovať. Problém kybernetickej bezpečnosti predsa nespočíva len v jednorázovej investícií, ale aj v pravidelnom udržiavaní. A ak nás štát odignoruje, dáta občanov nebude možné chrániť,” apeluje Ferenčák.
Konferenciu SLOVENSKÉ (SM)ART CITY sa organizátorom podarilo usporiadať najmä vďaka hlavným partnerom, ktorými sú spoločnosti ELTODO SK a SHIELD TECH, a podporovateľovi TÜV SÜD Slovakia. Vďaka organizátora však patrí aj všetkým ďalším partnerom:
- Hlavní partneri: ELTODO SK, SHIELD TECH
- Podporovatelia: TÜV SÜD Slovakia
- Produkčný partner: VNET, Slido, Upcoming Tell your story
- Mediálni partneri: SITA, Nextech, StartitUp, isamosprava.sk, in.ba, Prepriemysel.sk, Education.sk, Archinfo.sk
Všetky diskusie budú opäť spracované v archívoch ako podcasty a aj ako videá na YouTube kanáli organizátora, ktorý okrem konferencií medzinárodného formátu realizuje prostredníctvom vlastnej vzdelávacej platformy Edumy.academy aj letnú školu vzdelávania. Pre viac informácií sledujete nás sledujte aj na sociálnych sieťach LinkedIn, Facebook a Instagram.