TFL Vsebine / TFLGlasnik

TFL Glasnik:
Ste doktor znanosti, od sredine leta 2019 direktor Uprave za informacijsko varnost RS, ki sodi pod ministrstvo za javno upravo, prej pa izredni profesor na katedri za obramboslovje FDV. Na kaj ste v vaši dosedanji karieri najbolj ponosni?

Dr. Uroš Svete:
Morda na dojemanje družbenega značaja varnostnih implikacij pojavljajočih se tehnologij – z informacijsko na čelu. Glede na to, da sem jo v varnostnem smislu začel obravnavati pred več kot 20 leti, ko je bila še razmeroma ozko uporabljena, ko smo bili še bistveno manj digitalizirani, ko smo bili bistveno manj odvisni. Takrat mi je na podlagi teorij in avtorjev iz držav, kjer so se že pred tem ukvarjali z varnostnimi implikacijami, uspelo razbrati, kam bodo šli trendi.

Ko zdaj berem za sabo te svoje mladostniške ideje, moram reči, da sem kar zadovoljen glede na to, v kolikšni meri so predvidevanja postala resničnost. Manj sem zadovoljen, ker imamo danes več problemov, več varnostnih incidentov. Če rečem teoretično, je vendarle mogoče na podlagi opazovanja okolja, stari Grki bi rekli indukcije, potegniti neke znanstvene zakone. Mislim, da je to za družboslovje, ki se poskuša ukvarjati s tehniko, velik dosežek.

TFL Glasnik:
Država Slovenija se je zaradi vse večjega zavedanja in ozaveščanja o informacijski varnosti odločila vzpostaviti upravo za informacijsko varnost že sredi leta 2019, 1. januarja lani pa je začela delovati. Pred tem so bile potrebne priprave, pri katerih ste sodelovali tudi vi. Lani ste imeli še smolo, da se je začela pandemija, a me vendarle zanima, kako bi ocenili, kar je bilo storjeno. So začetni cilji že uresničeni – kako daleč smo?

Dr. Uroš Svete:
Problem v Sloveniji je, da smo informacijsko varnost razmeroma pozno dojeli kot resen družbeni izziv in smo se do tega vedli precej mačehovsko. Ob tem bom vedno znova poudarjal, da sem v tej luči zadovoljen, da smo člani EU in zveze Nato. Obe organizaciji sta namreč izjemno pomagali pri pospeševanju tempa, kako smo se organizirali na državni ravni. Moram omeniti Natovo kibernetsko zavezo, za nas pa je bil v kontekstu ustanavljanja uprave še bolj ključno sprejem direktive NIS (direktiva o varnosti omrežij in informacijskih sistemov) leta 2016, na podlagi katere smo sprejeli zakon o informacijski varnosti, potem pa ustanovili upravo za informacijsko varnost.

Moram reči, da smo z vidika ciljev in optimalnega razvoja še precej na začetku. Seveda je najbolj bistveno postaviti pravne temelje. Kibernetska varnost je zelo horizontalna tematika, ker je tudi sama tehnologija zelo horizontalno uporabljena in so pravna določila toliko pomembnejša. Imamo denimo tehnični incident, v ozadju katerega je lahko kibernetski kriminal, delovanje nekega posameznika ali pa sovražna delovanja drug države, zato je pravni vidik zelo pomemben. Po drugi strani imamo denimo kibernetski incident, ki se lahko zgodi v državni upravi, v nacionalnovarnostnem sistemu ali pa v zasebnem sektorju. Vsa ta raznolikost zahteva konkretne rešitve – operativna odzivanja. Kljub temu da smo že ogromno naredili, nas vendarle čaka veliko dela.

TFL Glasnik:
Kako je Slovenija pripravljena na kibernetski kriminal? V zadnjem času je bilo kar nekaj groženj – na nacionalni ravni, a tudi v podjetjih. Poznam primere, ki so morali plačati, da so rešili situacijo in neradi govorijo o tem. Kako smo pripravljeni: državni organi imajo načrte, kako pa je v gospodarstvu? Na kaj je treba biti še posebno pozoren?

Dr. Uroš Svete:
Hvala za odlično vprašanje. Danes imamo dve vrsti kibernetskih napadov. Eno so ciljani napadi, ko napadalec točno ve, koga želi napasti, ker recimo oceni, da je dovolj premožen oz. da se napad izplača. Lahko oceni, da je podjetje takšne narave, da bo cilj upravičen. To so targetirani napadi. Drugo so neciljani napadi, k čemur danes veliko pripomoreta avtomatizacija in umetna inteligenca. Ti napadi se v prvi fazi dogajajo naključno, ko skuša napadalec ugotoviti šibke točke, v drugi fazi pa te šibke točke izkorišča.

Če se vrneva h gospodarstvu, hočem povedati, da imamo zavezance, tako imenovane izvajalce bistvenih storitev, to so pravzaprav zavezanci po zakonu o informacijski varnosti s področjih kot so energetika, oskrba s pitno vodo, zdravstvo, promet, digitalna infrastruktura, bančništvo in tako naprej, ki so v svoji osnovi zelo odvisni od IT. Mnogi med njimi imajo zelo dobre in zmogljive operativne zmogljivosti.

Drugi vidik so manjša in srednje velika podjetja, ki jim je težko nameniti veliko sredstev za kibernetsko varnost. Ne samo v finančnem, tudi v kadrovskem smislu. Tam je varnostni problem veliko večji, čeprav ta podjetja ne bodo targetirana neposredno, vendar so lahko del neciljanih napadov, če ne posodabljajo svojih sistemov oz. se ne držijo pravil informacijsko varnostne higiene. Pri teh se pojavijo mnogi primeri, ko morajo plačati odškodnine in podobno.

Sami ste rekli, da mnogi ne želijo, da se o tem govori, kar je logično zaradi njihovega položaja na trgu, zato so ocene o kibernetskem kriminalu res le ocene. Skupaj s SI-Certom lahko ugotovimo, koliko je bila najvišja plačana odškodnina za posameznika – recimo 20.000 evrov, kar je za posameznika ogromno, pri podjetjih pa gre to v milijone.

TFL Glasnik:
Vseeno se mi zdi, da sva prišla do bistva problema. Kako ljudi in podjetja ozavestiti, kako jih pripraviti do tega, da bi se res zavedali te nevarnosti? Kar ste omenili, je glavni problem. Mislim, da je na prvem mestu to, da ni znanja, da ni zavedanja, roko na srce, denar se vedno najde. Sama sem razmišljala o davčnih olajšavah, da bi se del sredstev v bilanci namenil informacijski varnosti – kot smo pred časom imeli za razvoj investicij. Problem bo sicer vsak dan večji.

Dr. Uroš Svete:
Res bo večji, z epidemijo covida smo vstopili v neko drugo obdobje in naša odvisnost od informacijske tehnologije bo še večja. Vaša ideja se mi zdi zelo zanimiva, ker daje konkretno stimulacijo. Mi smo z ministrstvom za gospodarstvo in tehnologijo sodelovali pri nekaj konferencah, na katerih smo zlasti mala in srednje velika podjetja skušali ozavestit o problemu kibernetske varnosti. Zanimivo mi je bilo, da so na mnogih področjih podjetja razgrabila vavčerje, denar za kibernetsko varnost pa je ostajal. Na neki način bi morali absolutno delovati z roko v roki: stimulativno in konkretno, da se jim pozna pri denarju. Po drugi strani pa bi želel, da imamo vsi malce zdrave skepse, ko gre za koristi tehnologij. Nočem zavirati digitalizacije, ravno obrnjeno, tudi tam, ko ni bilo ravno treba, sem se zavzemal za digitalizacijo, a vendarle se zavedajmo, da niso vsi uporabniki dobronamerni. Vedno obstaja neka temna plat človeške narave in tej temni plati se danes prilagaja tudi umetna inteligenca. Vedno govorimo o etičnem razvoju umetne inteligence, ki ne bi smela biti prikrojena, a vendarle bo umetna inteligenca odraz naše narave.

Ko se gradi informacijski sistem v nekem podjetju ali sistemu, bi si želel, da se to počne po načelu »zero trust«, da obstaja kanček zdravega dvoma. Čeprav gre za ničelno zaupanje, to ne pomeni, da v vsakem primeru dvomimo o vsem, vendar moramo dejansko poskušati imeti pod kontrolo tisto, kar kupujemo. Tu se mi zdi, da nam manjka neko širše razumevanje same informacijske tehnologije, in moram biti kritičen tudi do našega izobraževalnega sistema. Dejstvo je, da so časi, ko smo živeli ločeno digitalno in fizično življenje, mimo.

TFL Glasnik:
Pa imate kakšen načrt? Ali vaša uprava sodeluje z ministrstvom za izobraževanje tako kot z ministrstvom za gospodarstvo? Pri izobraževanju res ne morem razumeti, zakaj se stvari ne premaknejo nikamor. Saj ne gre zgolj za večji vpis računalničarjev, gre tudi za vse drugo. Sama včasih sedim v kakšnem podjetju in vidim, da je že znanje osnovnih veščin skrb vzbujajoče. Kaj šele zavedanje o informacijskih sistemih, varnosti in tako naprej. Verjetno bi država potrebovala prav poseben program tudi za izobraževanje.

Dr. Uroš Svete:
V celoti se strinjam z vami. Sodelujemo tudi z ministrstvom za izobraževanje, znanost in šport. Pripravljamo novo strategijo kibernetske varnosti, ki jo tudi po zakonu moramo predložiti vladi v sprejem. Eno od področij, ki ga bomo naslovili z akcijskim načrtom, konkretnimi nosilci aktivnosti in finančnimi posledicami, bo tudi izobraževanje.

Omenili ste problem, ki ga je resnično treba odpreti. Informacijska varnost ni stvar le tehnične stroke – kot če bi nekdo rekel, da je prometna varnost le stvar avtomehanikov. Zadeva tudi uporabnike teh naprav. Situacija v Sloveniji je precej slaba in bi po drugi strani bilo treba marsikaj spremeniti. Poglejte, katere obvezne predmete imamo na maturi: matematika, slovenščina, tuj jezik. Seveda je vse to nujno, a glede angleščine (tujga jezika) bi bil namenoma nekoliko provokativen. Če pogledamo današnje generacije prevajalnikov, ki slovenščino v realnem času prevajajo v tuje jezike, pisno in govorno, to pomeni, da bomo v nekaj letih imeli naprave, ki bodo znale v realnem času prevajati in se bomo s kolegi in prijatelji v tujini pogovarjali v našem jeziku, stroji pa bodo prevajali. Nekega razumevanja tehnologije, ki to počne, pa nikjer ni. Od osnovne šole do fakultete. To je ena od stvari, ki bi jih veljalo izpostaviti.

Poglejva severne, nordijske države. Te niso startale s kakšnim posebnim programom, temveč so informatiko dobesedno vrinjale v bazična znanja in disciplin. Naj je šlo za matematiko, zemljepis, zgodovino, kjer koli je bilo mogoče, so informatiko integrirale v kurikulum.

TFL Glasnik:
Verjamem, da naju bodo slišali tudi na ministrstvu za izobraževanje. Država pa bi morala poskrbeti za celo vrsto programov in pristopov, da bi ljudje začeli s čisto preprostimi stvarmi, koliko so denimo pomembna gesla.

Dr. Uroš Svete:
Imamo še eno dimenzijo. Moramo naslavljati različne skupine. Včasih si preveč želimo, da bodo naši mladi v mednarodnih primerjavah v samem vrhu, in se fokusiramo na primarno in sekundarno izobraževanje. A ne pozabiti na starejšo populacijo. Starejšo v smislu, da niso živeli z IT, da so ga usvojili šele po zrelih letih. Oni so zelo ranljivi. Po drugi strani pa je to generacija, ki je premožna, ima finančni potencial, in v mnogih državah dajejo ogromen poudarek temu, da se starejšo populacijo pripravi na aktivnost v kibernetskem prostoru.

TFL Glasnik:
Vsi smo del skupnosti, čuvati je treba najbolj ranljive.

Dr. Uroš Svete:
To pa je naloga države. Nikoli ne bom pozabil enega nekdanjih ministrov Slovenje, ki je ob poplavah na Ljubljanskem barju, ko mladina še škornjev ni imela, starejši pa so bili opremljeni, kot je treba, dejal: Naloga države je, da zavaruje ljudi pred njihovo lastno neumnostjo. To je resnica: naloga države v kibernetski varnosti je ravno to.

TFL Glasnik:
Bi morda kaj dodali v zvezi s tehnologijo 5G?

Dr. Uroš Svete:
Dejstvo je, da v 5G ne vidim neke revolucije. Strinjam se s kolegi s fakultete za elektrotehniko, ki to imenujejo evolucija. Zame bo revolucija dejanska uporaba te tehnologije. Ko bodo hitrosti prenosa podatkov in odzivnost take, da se bomo precej približali žičnim omrežjem, bo mobilnost precej izboljšana in nastale bodo nove storitve, ki bodo ta potencial izkoriščale.

Slovenija je relativno majhna država, nimamo potenciala za pametnega velemesta, kjer bi bila 5G za organizacijo takšnega mesta toliko bolj pomembna. Bodo pa morale novi tehnologiji slediti tudi nove ideje. Kdo med nami je ob uvedbi tehnologije 4G pričakoval, da bomo stalno priklopljen na internet? Ko sem kupil prvi pametni telefon, sem izklapljal podatke, ker so bili tako dragi. Kdo si je prestavljal navigacijski sistem v realnem času, pretočnost multimedijskih vsebin?

TFL Glasnik:
Še zadnje vprašanje. Kakšno je vaše sporočilo Slovencem?

Dr. Uroš Svete:
Absolutno mislim, da bomo veliko pozitivnega odnesli iz pandemije, ki je res spremenila naše življenje na mnogo področjih, tudi v smislu delovanja in poslovanja – organiziranja zasebnega in poslovnega življenja. Verjamem, da bomo to pot v digitalizacijo vodili na uravnotežen način z zavedanjem in upoštevanjem kibernetske varnosti.