Kibernetski napadi so še nedavno veljali za tveganje, omejeno po obsegu in morebitni škodi. Danes je jasno, da tveganja in grožnje v spletnem prostoru niso le virusi, temveč gre za hekerske napade, ki lahko ogrozijo tudi nacionalno varnost države. Denimo Nemčijo je v minulih dneh presenetil kibernetski napad, v katerem so spletni nepridiprav - heker pridobil dostop do osebnih podatkov in zasebnih dokumentov več sto nemških politikov, med njimi kanclerke Angele Merkel in predsednika Franka-Walterja Steinmeierja. Heker je na spletu objavili kontaktne informacije, kot so telefonske številke in poštni naslovi zveznih, deželnih in evropskih politikov ter drugih osebnosti, zvezdnikov in novinarjev. Pojavili pa so se tudi drugi osebni podatki, kot so številke kreditnih kartic, zasebni pogovori in fotografije, ter interni strankarski dokumenti.
Neprijetno za Nemčijo in njeno politično vodstvo
"Odtujitev takih podatkov je brez dvoma neprijetna tako za posameznika kot za državo, če gre za visoke predstavnike oblasti. Če gre za politike in visoke predstavnike države, ima to še posebej simbolni pomen, ki govori, da varnost na tem področju ni ustrezno zagotovljena," poudarja strokovnjak za varnostna vprašanja dr. Denis Čaleta iz Inštituta za korporativne varnostne študije. Čaleta poudarja, da primer govori o tem, da nobena država ni varna v sodobnem kibernetskem okolju.
Le prvi korak v nizu
In kako je naša država pripravljena na podobna varnostno-informacijska tveganja? Iz vladnega urada za komuniciranje so nam sporočili, da je Slovenija na nacionalni ravni začela resno sistemsko urejati vprašanja kibernetske in informacijske varnosti po letu 2016, ko je bila sprejeta Strategija kibernetske varnosti, tej pa je v letu 2018 sledil še Zakon o informacijski varnosti. Slednji je trenutno v fazi implementacije in sprejema podzakonskih aktov, vzpostavlja pa se tudi nacionalni organ informacijske varnosti, katerega naloge trenutno po zakonu opravlja Urad za varovanje tajnih podatkov. "Ključni elementi informacijske varnostne politike v Sloveniji ostajajo izgradnja sistemskih zmogljivosti, krepitev obstoječih tehničnih in kadrovskih resursov ter povezovanje z akademskim in zasebnim sektorjem. V sodelovanju javne in zasebne sfere ter povezovanju in nadgradnji vseh zmogljivosti Slovenije vidimo edino rešitev, da se zagotovi optimalna, nikakor pa ne popolna informacijska varnost," sporoča vlada.
Država zamuja z ukrepi
Čaleta komentira, da je vse našteto "prvi manjši korak v nizu, preden bomo lahko rekli, da je Slovenija varnostno na ustreznem nivoju". "V javnosti se je ustvaril občutek, da smo varna oaza in da se večja informacijska tveganja ne morejo dogajati, vendar so nas pretekle izkušnje vzdramile, da tudi Slovenija ni imuna za ta tveganja. Zato bo vzpostavitev ustreznega sistema nujna, da bomo lahko govorili o zagotovljeni informacijski ali kibernetski varnosti," še pravi sogovornik. Sicer pa država zamuja z ukrepi, saj bi bilo treba določene podzakonske akte na podlagi Zakona o informacijski varnosti sprejeti že novembra lani. "Trenutno si vlada prizadeva za ažuriranje strateških nacionalnovarnostnih dokumentov in sistema, vendar sem glede na korake, ki se izvajajo, skeptičen, da bo aktivnost prinesla želene rezultate, predvsem na področju informacijske varnosti," dodaja Čaleta.
Od nadloge do resne grožnje
Pred dvema letoma smo na straneh Večera objavili pogovor s političnim analitikom dr. Henryjem Roigasom iz Natovega centra odličnosti za kibernetsko varnost v Talinu. Takrat je za Večer dejal, da (za zdaj) ni še noben kibernetski napad škodil življenju ali zdravju posameznika. "Fizične škode in pravega kinetičnega kibernetskega terorizma še ni bilo. Vendar pa se tehnologija kibernetskih napadov opazno razvija iz zgolj nadloge v resno grožnjo za informacijsko varnost in celo kritično infrastrukturo držav," nam je dejal Roigas na mednarodni konferenci o terorizmu v Budvi. Ker svet še ni bil priča kibernetskemu terorizmu, obstajajo na podlagi dozdajšnjih izkušenj le črni scenariji. Običajni državljani bi lahko največjo škodo občutili ob morebitnem napadu na kritično infrastrukturo. To bi pomenilo ohromitev delovanja ključnih ustanov, denimo bolnišnic, električnega omrežja, javnega transporta, telekomunikacijskih zvez itd.
