Direktor Urada Vlade RS za informacijsko varnost (URSIV) dr. Uroš Svete (49) je že v času študija obramboslovja izkazoval zanimanje za tehnologijo. Kot pravi, je imel že v 90. letih stik z gradivom, ki je nakazovalo, da bo pomembna dimenzija varnosti povezana z informacijsko tehnologijo: »To je bilo v času, ko digitalizacija še ni bila povsod prisotna, je pa že bila v vzponu in vse več ključnih storitev v družbi se je digitaliziralo. S tem se je spremenila moč med posameznimi akterji znotraj družbe in med državami. Povezava tehnologije, obrambe in varnosti se mi je zdela logična nadgradnja dejstva, da smo stopili v novo tehnološko dobo.« Leta 2018 je s fakultete za družbene vede, kjer je predaval, prišel na takratno ministrstvo za javno upravo, ki ga je vodil Rudi Medved in je bilo pristojno za digitalizacijo. Leta 2019 so tam začeli vzpostavljati pristojni nacionalni organ, v okviru katerega deluje še danes.
Kibernetsko varnost smo v preteklosti največkrat povezovali z osebno varnostjo na spletu. Danes so kibernetski napadi vse pogosteje tudi del tako imenovanega hibridnega bojevanja. Kot smo videli, pri tem niti Slovenija ni varna. Napadena je bila družba HSE, tudi vladne spletne strani so bile na udaru, pa Univerza v Mariboru. Bodo taki napadi vse pogostejši in vse bolj drzni?
V teoriji govorimo o človekovi varnosti, korporativni varnosti in nacionalni varnosti. Dejansko se je varnostna problematika pri informacijsko-komunikacijski tehnologiji (IKT) začela na osnovni, osebni ravni, saj so bili ljudje žrtve direktnih malverzacij. Te so izvajale skupine, ki v bistvu delujejo kot podjetja in iščejo največji profit pri svojih žrtvah. Poleg teh obstajajo še skupine na področju tako imenovanega hektivizma, gre za nekakšno politično angažiranje hekerjev. Danes opažamo, da države vse bolj sodelujejo z določenimi skupinami ali jih celo same organizirajo.
Ukrajinska vojna je pokazala, da se lahko s kibernetskimi ofenzivnimi aktivnostmi povzroči velika škoda tudi v realnem svetu. Govorimo o tem, da lahko ostanemo brez elektrike, telekomunikacij in možnosti upravljanja kritične infrastrukture. To pa je že problem, ki presega kibernetski prostor oziroma ga razširja na fizično okolje. Pri tem se že lahko pogovarjamo o novi dimenziji vojskovanja, zato so številne države že ustanovile posebne enote, poleg kopenske vojske, letalstva in mornarice.
Za nekatere napade v Sloveniji je prevzela odgovornost ruska hekerska skupina. V javnosti je precej malo znanega o tem, kako so takšne skupine organizirane. Je to dejavnost v sklopu vojaškega ali drugega urada posamezne države in ali države te skupine posredno financirajo?
Oboje je prisotno. Nobena država ne prizna, da je izvedla takšne aktivnosti. Ko so recimo ZDA obtožile Kitajsko za tovrstne zlonamerne aktivnosti, ki naj bi trajale več let, je Kitajska to zavrnila. Velika večina takih operacij se izvede prek najetih vmesnih struktur, v tem primeru torej ne gre za formalne državne organizacije. Potem take skupine tudi aktivno podpirajo z informacijami in jim pomagajo pri identifikaciji tarč, to je seveda vse zelo tesno povezano. Na drugi strani pa so formalni oddelki znotraj vojaških in obveščevalnih organizacij, ki imajo tovrstne ofenzivne zmogljivosti, s katerimi so v svetu že opozorile nase.
V primeru napadov v Sloveniji je napadalska skupina poslala še sporočilo, da je to posledica slovenskega ravnanja glede vojne v Ukrajini. Torej pri teh napadih ne moremo govoriti o finančnih koristih kot primarnem cilju.
Točno tako. Če v primeru organiziranega kriminala dobi napadalec denar prek odkupnin, pa v primeru takšnih aktivističnih političnih napadov tega denarja ni, govorimo o državni podpori. Je pa res, kar se je pokazalo tudi v slovenskem primeru – da se pri teh napadih velikokrat vključijo še interni viri. Po začetku vojne v Ukrajini je bilo očitno, da so nastale zanimive mednarodne asociacije proruskih in proukrajinskih hekerjev, ki so potem izvajali DDoS-napade na razne spletne strani. Pri tem pa so za eno ali drugo stran delovali tudi določeni prebivalci Slovenije. Ob napadih v Sloveniji so v objavah teh skupin na Telegramu zapisali, da so to storili na zahtevo slovenskega lokalnega prebivalstva. To je seveda propaganda, a nekatere aktivnosti nakazujejo, da so imeli vsaj namige o tem, na koga morajo ciljati. Slovenski kibernetski prostor je odprt v svet in vsem na razpolago, z vidika globalnega prostora pa vendarle zelo majhen. Nismo neki mehurček, a napadalec vseeno mora natančno vedeti, kaj želi doseči.
Vlada se je odločila za vzpostavitev situacijskega centra kibernetske obrambe, za kar bodo namenjena sredstva ministrstva za obrambo v višini 33,5 milijona evrov. Doslej je javnost izvedela, da gre za softverske in hardverske rešitve, ki bodo razpršene po državni upravi in subjektih kritične infrastrukture. Lahko glede tega poveste kaj več?
Do zdaj smo opažali različno stanje odpornosti kibernetskih sistemov v Sloveniji. Zato smo se odločili, da z določeno »endpoint« senzoriko, torej prek končnih naprav, poskušamo doseči večjo preglednosti delovanja sistema. Iz tujine namreč dobivamo vse več informacij o zlorabah. Če nimamo vzpostavljenega centralnega sistema za monitoring omrežja, težko ugotovimo, ali imamo tudi sami to težavo. Veliko kibernetskih incidentov namreč sploh ni opaznih, še posebno če so bolj trajnostne narave. Ker imamo v Sloveniji vse več takšnih napadov, se je vlada odločila, da zavezancem zagotovi dodaten sloj varnosti, ki ni v navzkrižju z njihovimi lastnimi aktivnostmi za informacijsko varnost. Naloga nas in Morsa je, da vzpostavimo in plačamo to infrastrukturo, ki jo bomo potem ustrezno dopolnjevali. Seveda se ne bomo vozili po državi in čistili okuženih računalnikov, to bo še vedno stvar uporabnikov samih, a jih bomo lahko preventivno opozarjali, da se ne bo zgodila zadnja faza kibernetskih incidentov. Zato potrebujemo ustrezna orodja in licence zanje. Naša vizija je, da v drugi fazi vse to še podpremo z orodji umetne inteligence, kar v svetu že počnejo. To potem bistveno olajša delo analitikov, da lahko hitreje zaznavajo anomalije.
Kaj pa bo vse to zahtevalo od subjektov kritične infrastrukture, pri katerih bo oprema nameščena?
V resnici se od njih ne bo zahtevalo nič in s tem ne bodo imeli nobenega stroška. Z njihove strani je ključno, da sploh omogočijo delovanje take infrastrukture. Kar zadeva upravljanja sistema, je tudi to zajeto v znesku projekta in ne bodo imeli zaradi tega niti ene dodatne ure izobraževanja. To seveda ne pomeni, da jim ne bo več treba vzdrževati strežnikov in podobno. A dodatnih obveznosti zaradi tega ne bodo imeli. Zelo pomembno je tudi, da se kot lastniki infrastrukture zelo jasno z nami dogovorijo, kje se bo monitoring izvajal. Opažamo namreč, da se velikokrat orodja na področju kibernetske varnosti kupujejo kot kruh v trgovini. Recimo v nekem podjetju vedo, da bi morali imeti sistem SIAM, ga kupijo in prek tega speljejo del prometa, morda imajo celo ljudi, ki to spremljajo. A težava je, da če niso uspeli skozi to spraviti vsega bistvenega prometa z vidika upravljanja, tehnologije niso izrabili, kot bi jo lahko. Torej potrebujemo partnerje na drugi strani, da se to ne bi dogajalo in ne bi dobivali lažne slike.
Glede potrebnih kadrov ste pred kratkim za Večer pojasnili, da projekt ne predvideva sredstev za zaposlovanje, a bo za njegovo izvedbo potrebna kadrovska okrepitev. Kako torej pridobiti te strokovnjake?
To je seveda veliko vprašanje, a če pogledamo, kje smo začeli, torej z ničle, in kje smo danes, bi rekel, da smo že nekje na pol poti. Dodatna sredstva in kadre bomo potrebovali v vsakem primeru, tudi če ne bi vzpostavljali tega centra, saj bo to potrebno glede na naravo novega zakona, ki prihaja, in vseh evropskih regulativ, ki od nas zahtevajo določene ukrepe. Zelo pomembno je, da bomo imeli na voljo zadostna sredstva tudi za nadaljnje delo. Projekt se bo zaključil leta 2026, v tem času bomo brez dvoma vzpostavili to jedro, a moramo zagotoviti, da se bodo tudi po izteku projekta aktivnosti nadaljevale. Če bomo nadaljevali kadrovsko krepitev URSIV in drugih organov državne uprave in če bomo to nadgradili z orodji umetne inteligence, se bo enačba izšla.
Pripravljen je predlog novega zakona o informacijski varnosti, kaj prinaša?
Zakon je že čisto na koncu medresorskega usklajevanja, dva kroga smo že odtekli tudi z javnostjo, torej smo se posvetovali z vsemi deležniki, saj res širi območje delovanja. Kot prvo prinaša zavedanje, da je kibernetska varnost imanenten del upravljanja in poslovanja. Brez kibernetskega dela – digitalizacije več nič od tega ne gre. Sama direktiva, ki jo z zakonom prenašamo v pravni red, širi tudi sektorje, ki so pomembni za družbo. Govorimo o kritičnih sektorjih, od energetike do raziskovanja in razvoja. Kar se tiče samih zavezancev, država več ne bo identificirala vsakega posebej, temveč bodo za podjetja v kritičnih sektorjih določeni kriteriji, kot sta recimo število zaposlenih in obseg poslovanja. Gre za podjetja, ki so po metodologiji EU opredeljena kot srednje velika in velika podjetja. Zavezanci pa bodo potem z nami komunicirali prek platforme, ki jo bomo vzpostavili. Število zavezancev bo s tem seveda zelo naraslo, kar je logično, če je zajetih več sektorjev in so postavljeni univerzalni pragovi. Pričakujemo, da bo zavezancev okoli tisoč, medtem ko jih imamo zdaj okoli 70. To je ogromna razlika že z vidika sodelovanja z njimi, obravnavanja incidentov in inšpekcijskih nadzorov.
Recimo, da bo podjetje postalo zavezanec po zakonskih kriterijih. Ga bo o tem obvestil URSIV?
Mi bomo imeli samo registracijsko platformo, ki bo odprta za vse. Torej bo lahko vsak preveril, ali spada med zavezance. Ko se bo podjetje prijavilo v platformo, bo tam navedlo, katere procese izvaja in v kateri panogi. Vnesli bodo tudi podatke o poslovanju, in če se jim bo prižgala zelena luč, bo to pomenilo, da so zavezanec. V tem primeru se bodo od njih zahtevali podatki kontaktnih oseb, tudi določeni tehnični podatki naslovnega prostora in tako naprej. Takrat bodo postali del našega ekosistema. Naj pri tem opozorim, da če se ne bodo registrirali, to ne pomeni, da zakon zanje ne velja. Če se recimo podjetje ne bi registriralo in bi imelo večji kibernetski incident, ki bi bil opazen in bi vplival na širšo javnost, bi lahko dobilo tudi naknadno inšpekcijo in kazen.
Kaj pa bo pomenilo za podjetja, če bodo postala zavezanci?
Zanje bo to pomenilo, da je treba izvajati varnostne ukrepe, ki so zapisani v zakonu in v metodologiji. Gre recimo za uporabo večfaktorske avtentikacije, kriptiranje prometa, uporabo rešitev za varovanje sistemov ... Vsako podjetje bo moralo izdelati tudi oceno tveganja in načrt prijave v primeru incidenta.
Kakšne stroške jim bo to prineslo? Bodo v teh podjetjih potrebne dodatne zaposlitve?
Zakon bo imel finančne posledice, ker če jih ne bi imel, potem ne vem, kako bi lahko dvignili raven varnosti. Gre torej za stroške, povezane z opremo, in za investicije v ljudi. Kako se bodo sami organizirali glede tega, ali bodo povečali število zaposlenih ali pa bodo določene dejavnosti outsourcali (vključili zunanje izvajalce, op. p.), pa je njihova odločitev.
Govorimo o investicijah vrednosti 10 tisoč, 100 tisoč ali milijon evrov?
To zelo težko ocenimo, saj nimamo natančnih podatkov, s kakšno infrastrukturo ti zavezanci že danes razpolagajo. To lahko ocenimo zase, tudi državni organi bodo to naredili, medtem ko bodo posledice za podjetja drugačne narave. Ne bomo pa le nečesa nalagali, temveč smo znotraj URSIV že vzpostavili nacionalni koordinacijski center, katerega naloga bo, da bo gradil omrežje zaupanja slovenskih podjetij in mu bo zagotovil dodaten denar. Denarja za projekte za kibernetsko varnost, zlasti iz programa Digital Europe, je veliko. Morda celo več, kot smo ga v Sloveniji sposobni absorbirati.