Digitalizácia verejnej správy na Slovensku prešla v poslednom desaťročí masívnym vývojom, ktorý nám priniesol vyšší komfort pri vybavovaní úradných záležitostí, no zároveň otvoril dvere sofistikovaným hrozbám. Občania sú dnes prakticky nútení zdieľať svoje najcitlivejšie údaje s centrálnymi databázami, od zdravotných záznamov až po detailné finančné informácie. Často pritom žijeme v ilúzii, že štát je vďaka svojim kapacitám a prísnej legislatíve nepriestrelnou pevnosťou. Realita, ktorú odhaľujú správy kontrolných orgánov, je však podstatne znepokojivejšia. Éra slepej dôvery v bezpečný digitálny štát končí, pretože systémové chyby, zastaraná infraštruktúra a podceňovanie kybernetickej bezpečnosti vystavujú dáta miliónov ľudí vysokému riziku. V tomto článku sa pozrieme na to, prečo sú štátne inštitúcie ideálnym cieľom pre útočníkov a či kontrolné mechanizmy, ktoré majú bdieť nad naším súkromím, reálne fungujú, alebo sú len formálnou bariérou na papieri, ktorá v praxi zlyháva.
Zraniteľnosť štátnych systémov v ére digitálnej transformácie
Verejná správa uchováva obrovské množstvo dát, ktoré majú na čiernom trhu nevyčísliteľnú hodnotu. Na rozdiel od súkromného sektora, kde si zákazník môže vybrať poskytovateľa služby na základe jeho reputácie a úrovne zabezpečenia, pri štáte túto možnosť nemáte. Ak chcete využívať verejné služby, musíte akceptovať digitálnu infraštruktúru takú, aká je. Problémom však je, že mnohé systémy vznikali v čase, keď kybernetické hrozby neboli takou prioritou ako dnes. Výsledkom je takzvaný technologický dlh, ktorý sa prejavuje v používaní nepodporovaného softvéru a neadekvátne zabezpečených komunikačných kanálov.
Kritickým bodom je centralizácia. Štátne systémy sú čoraz viac prepojené, čo na jednej strane uľahčuje byrokraciu (princíp jedenkrát a dosť), no na druhej strane vytvára efekt domina. Ak útočník prenikne do jedného slabo zabezpečeného bodu, môže získať prístup k údajom z viacerých rezortov súčasne. Verejná správa sa tak stáva „honeypotom“ pre hekerov, ktorí sa nezameriavajú len na krádež identity, ale aj na vydieranie štátu prostredníctvom ransomvéru, čo môže ochromiť fungovanie dôležitých úradov na celé týždne.
3 kľúčové faktory, ktoré ohrozujú bezpečnosť vašich údajov
Bezpečnosť digitálnych systémov nie je len o technológiách, ale o komplexnom ekosystéme, ktorý v štátnej sfére často naráža na svoje limity. Existujú tri hlavné oblasti, kde verejná správa najčastejšie riskuje dáta svojich občanov:
- Zastaraná infraštruktúra a nedostatok aktualizácií: Mnohé kritické systémy bežia na platformách, ktoré už roky nedostávajú bezpečnostné záplaty. Pre útočníkov je potom mimoriadne jednoduché zneužiť známe zraniteľnosti, ktoré sú v modernom komerčnom svete už dávno vyriešené.
- Podceňovanie ľudského faktora: Zamestnanci vo verejnej správe často nedisponujú dostatočným školením v oblasti kybernetickej hygieny. Útoky typu phishing, ktoré cielia na úradníkov s prístupovými právami, sú jednou z najčastejších ciest, ako sa útočník dostane do uzavretej štátnej siete.
- Nedostatočné financovanie a nedostatok expertov: Štátne inštitúcie len ťažko konkurujú súkromným IT firmám v oblasti platového ohodnotenia bezpečnostných špecialistov. Výsledkom je podstav v tímoch, ktoré by mali monitorovať bezpečnosť v režime 24/7.
Tieto faktory vytvárajú prostredie, kde bezpečnosť nie je dizajnovou prioritou, ale skôr dodatočnou myšlienkou, ktorú sa úrady snažia vyriešiť až v momente, keď dôjde k reálnemu incidentu a úniku dát.
Úloha kontrolných orgánov: Od legislatívy k reálnej ochrane
V slovenskom kontexte hrajú kľúčovú úlohu v dohľade nad bezpečnosťou dát predovšetkým dve inštitúcie: Národný bezpečnostný úrad (NBÚ) a Úrad na ochranu osobných údajov (ÚOOÚ). Ich úlohou je nielen nastavovať pravidlá, ale aj kontrolovať ich dodržiavanie v praxi. Aká je však ich reálna efektivita? NBÚ funguje ako garant kybernetickej bezpečnosti, ktorý určuje štandardy a vykonáva audity v kritickej infraštruktúre. Problémom však býva, že ich zistenia sú často utajované, čo znemožňuje verejnú kontrolu nad tým, v akom stave sa štátne systémy skutočne nachádzajú.
Na druhej strane Úrad na ochranu osobných údajov dohliada na súlad s nariadením GDPR. Hoci má úrad právomoc udeľovať vysoké pokuty, v prípade štátnych inštitúcií ide často len o presúvanie peňazí z jedného štátneho vrecka do druhého. Skutočným nástrojom nápravy by nemala byť pokuta, ale povinnosť odstrániť zistené nedostatky v stanovenom termíne pod hrozbou personálnej zodpovednosti vedúcich pracovníkov. Kým kontrolné orgány nebudú mať dostatočné kapacity na hĺbkové technické audity, budeme sa aj naďalej stretávať s formálnym plnením predpisov, ktoré v digitálnej realite neposkytuje žiadnu ochranu.
Čo v skutočnosti odhaľujú previerky a audity?
Keď sa kontrolné orgány pozrú pod kapotu štátnych systémov, výsledky sú často alarmujúce. Správy Najvyššieho kontrolného úradu (NKÚ) opakovane upozorňujú na netransparentné nákupy IT systémov, ktoré sú nielen predražené, ale aj z hľadiska bezpečnosti poddimenzované. Audity odhaľujú, že mnohé inštitúcie nemajú vypracované základné analýzy rizík a chýbajú im havarijné plány pre prípad kybernetického útoku. To znamená, že ak by došlo k masívnemu výpadku alebo krádeži dát, inštitúcia by nevedela, ako efektívne reagovať a minimalizovať škody.
Ďalším závažným zistením býva ignorovanie odporúčaní. Nie je výnimkou, že kontrolný orgán zistí pochybenie, nariadi nápravu, a pri následnej kontrole po dvoch rokoch zistí, že sa nič nezmenilo. Tento stav prehlbuje riziko, ktorému sú vystavené dáta občanov. Kontrola vo verejnej správe sa totiž často zameriava na procesnú správnosť – teda či je v poriadku dokumentácia – namiesto toho, aby sa testovala reálna odolnosť systémov voči hekerským útokom prostredníctvom penetračných testov.
Prechod k modelu nulovej dôvery (Zero Trust) ako nevyhnutnosť
Tradičný prístup k bezpečnosti vo verejnej správe bol založený na myšlienke „pevnosti“ – chránime obvod siete a všetko vo vnútri považujeme za bezpečné. Tento model je v dnešnom svete prekonaný. Riešením, ktoré by mali kontrolné orgány presadzovať, je architektúra Zero Trust (Nulová dôvera). Tento koncept predpokladá, že žiadny používateľ ani zariadenie, či už sa nachádza vo vnútri štátnej siete alebo mimo nej, nie je vopred dôveryhodné.
V praxi to znamená, že každý prístup k dátam musí byť overený, autorizovaný a neustále monitorovaný. Ak by štátne inštitúcie implementovali Zero Trust, riziko masívneho úniku dát by sa dramaticky znížilo, pretože útočník by sa po vniknutí do systému nedostal k ničomu inému bez ďalšieho overenia. Implementácia takéhoto modelu si však vyžaduje nielen technologickú obmenu, ale najmä zmenu filozofie v tom, ako štát o bezpečnosti uvažuje. Kontrolné orgány by mali začať vyžadovať tento moderný štandard ako základnú podmienku pre prevádzku akéhokoľvek nového informačného systému verejnej správy.
Zabezpečenie údajov občanov vo verejnej správe nesmie byť vnímané ako jednorazový projekt alebo administratívna záťaž, ale ako neustály proces, ktorý vyžaduje politickú vôľu a odbornú integritu. Súčasný stav, kedy sa spoliehame na zastaranú infraštruktúru a formálne kontroly, je neudržateľný a nebezpečný. Verejná správa musí prestať vnímať kybernetickú bezpečnosť ako položku, na ktorej sa dá v rozpočte ušetriť, pretože cena za únik citlivých informácií miliónov ľudí je nevyčísliteľná a môže viesť k trvalej strate dôvery v štátne inštitúcie. Kontrolné orgány musia získať silnejšie právomoci a ich zistenia by mali byť podrobené širšej verejnej diskusii, aby bol vyvíjaný tlak na skutočnú nápravu, nie len na kozmetické úpravy v dokumentácii.
Koniec slepej dôvery je v skutočnosti pozitívnym krokom vpred. Ak ako občania začneme klásť otázky o bezpečnosti našich dát a budeme vyžadovať transparentnosť, štát bude nútený konať. Bezpečnosť v digitálnom priestore je spoločným záujmom nás všetkých a jej zanedbávanie je hazardom s identitou a súkromím každého jednotlivca. Len cez kombináciu moderných technológií, neúprosnej kontroly a vzdelávania kompetentných pracovníkov môžeme vybudovať digitálny štát, ktorý bude pre svojich občanov skutočným partnerom a nie rizikovým faktorom. Budúcnosť našej digitálnej integrity závisí od toho, ako rýchlo dokážeme premeniť teoretické predpisy na praktické a nepriestrelné bezpečnostné mechanizmy.
