Ogrožanje kibernetske in informacijske varnosti določene občine lahko onemogoči njene temeljne naloge, kar bomo ljudje v vsakdanjem življenju najprej občutili. Ustrezno in varno delovanje občine je torej osnova, da lahko ljudje nemoteno sobivamo v lokalnih skupnostih. Ali je stopnja kibernetske in informacijske varnosti slovenskih občin dovolj visoka, se občani nimamo česa bati?
Stanje na področju kibernetske in informacijske varnosti v Sloveniji
Zadnja celovita analiza stanja v Sloveniji je bila opravljena leta 2018, ko je Ministrstvo za javno upravo (v nadaljevanju MJU) pripravilo oceno kibernetskih tveganj v Republiki Sloveniji, pri čemer je opisalo trenutno stanje na področju groženj kibernetski in informacijski varnosti. MJU v sodelovanju s SI-CERT (nacionalnim odzivnim centrom za kibernetsko varnost) že vse od leta 1995 spremlja grožnje kibernetske in informacijske varnosti. V splošnem število napadov čez leta narašča, takšno stanje pa je najverjetneje posledica skokovitega širjenja uporabe digitalnih orodij. Kot najpogostejše oblike ogrožanja so se izkazale kraja identitete, okužbe (škodljiva koda), neželena pošta in različne spletne goljufije (npr. nigerijska prevara). Treba je poudariti, da analiza zajema samo primere, ki jih je SI-CERT obravnaval, vseh napadov pa je bilo zagotovo še več, a so ostali neprijavljeni, zato niso navedeni v statistiki. Kot kažejo analize, ki jih je pripravil Operativni center kibernetske varnosti Telekoma Slovenije, se je število kibernetskih napadov v Sloveniji leta 2020, v primerjavi s preteklimi leti, povečalo za kar 60 odstotkov, gre torej za ekstremno povečanje števila kibernetskih napadov. Po njihovem je razlog v povečanju kibernetskih napadov v širitvi uporabe digitalnih orodij, ki so zaradi dela in izobraževanja od doma močno povečala svojo prisotnost v gospodinjstvih. Največ težav so imele organizacije, kjer je bilo zavedanje o pomenu kibernetske varnosti slabo, digitalna infrastruktura prestara in raven poznavanja digitalnih kompetenc nizka.
Izzivi na področju kibernetske in informacijske varnosti lokalnih skupnosti se kažejo že v zakonskih opredelitvah
Pri reševanju vsakega kriznega položaja, ki je lahko posledica naravne nesreče ali človeškega dejavnika, je pomembna zakonska podlaga, saj ta omogoča reševanje kriznega položaja in predhodno preventivno delovanje. Zgolj z ustrezno zakonsko opredelitvijo so lahko pristojnosti in naloge ustrezno razdeljene.
Na ravni občine je osrednja odločevalska moč v rokah župana, ki skupaj z direktorjem občinske uprave vodi občinsko upravo in njene javne službe. Naloge župana natančneje definirata 33. in 49. člen Zakona o lokalni samoupravi (ZLS), ki pravita, da župan na lokalni ravni predlaga in izvršuje zakonodajo, predlaga proračun ter vodi in usmerja delo občinske uprave. Pristojnosti in naloge župana pridejo v ospredje predvsem takrat, ko pride do nastanka kriznega položaja in je potrebno kakovostno vodenje kriznega upravljanja. Enemu izmed takšnih primerov smo bili priča tudi v času epidemije covida-19, ko so župani na lokalnih območjih odigrali ključno vlogo. Vlogo župana v kriznih položajih opredeljuje 98. člen Zakona o varstvu pred naravnimi in drugimi nesrečami (ZVNDN), ki pravi, da je župan odgovoren za vodenje kriznega menedžmenta in odpravo vseh posledic, ki jo je povzročila naravna ali druga nesreča, neposredno njemu je odgovoren tudi občinski poveljnik civilne zaščite. Kljub temu, da ZLS in ZVNDN definirata naloge in pristojnosti župana, nikjer ni možno opaziti definicije pristojnosti župana na področju kibernetske in informacijske varnosti. Najbližje definiciji na tem področju je ZVNDN, ki definira županove pristojnosti na področju kriznega upravljanja v primeru naravnih in drugih nesreč, skladno z 8. členom ZVNDN pa ogrožanje kibernetske in informacijske varnosti zelo težko uvrstimo med naravne in druge nesreče. Pristojnost župana na področju kibernetske in informacijske varnosti bi se tako lahko začela šele takrat, ko bi bilo potrebno vodenje kriznega upravljanja. Tukaj lahko vidimo manko ustrezne zakonodajne opredelitve, kar občinam otežuje preventivno delovanje na področju kibernetske in informacijske varnosti.
Analiza stanja v slovenskih občinah
Med raziskavo stanja kibernetske in informacijske varnosti v slovenskih lokalnih skupnostih, ki je bila izvedena leta 2022, smo opravili celovito analizo kibernetske in informacijske varnosti ene izmed slovenskih občin. V sklopu analize so bili izvedeni intervjuji, anketa in fokusna skupina, pri vseh metodah raziskovanja so bili vključeni zaposleni v občinski upravi in v občinskih javnih podjetjih in zavodih. Zaradi občutljivih podatkov občine ne bomo poimensko izpostavili.
Skozi analizo stanja smo v navedeni občini raziskovali naslednjih pet področij: varnost gesel in dostop do sistemov ter uporaba zunanjih naprav, digitalne kompetence in digitalna varnostna kultura, krizni menedžment in podatkovna strategija, socialni inženiring in kibernetski napadi ter področje komuniciranja. Na področju digitalnih kompetenc in digitalne varnostne kulture se zaposleni v občinskih institucijah v večini zavedajo možnosti kibernetskega napada, do določene mere tudi delujejo preventivno, imajo nameščene antivirusne programe, zunanja IT ekipa do določene mere opravlja letne preglede programske in strojne opreme; do določene mere je razvita tudi varnostna kultura zaposlenih (zaposleni sicer dokaj ustrezno ravnajo z IKT opremo, v zelo majhni meri pa so se udeležili ustreznih izobraževanj). Nobena institucija pa ni opravila ocene učinka v zvezi z varstvom osebnih podatkov (t. i. DPIA), prav tako nobena institucija nima sprejete strategije ravnanja ob morebitnem kibernetskem napadu (varnostna politika), obstajajo pa določeni ustno dogovorjeni protokoli; obstaja torej določen manko pri kriznem menedžmentu in podatkovni strategiji. Na občinske institucije je bilo nekaj poskusov kibernetskih napadov, ki so bili pravočasno zaznani in posledično ni bilo velike škode, določene težave so se pojavile le pri enem izmed občinskih zavodov, ki pa je izzive uspešno razrešil. Treba je izpostaviti tudi dobro komuniciranje z javnostjo, tako navedenega zavoda kot občinskih institucij na splošno.
Stanje na področju digitalne infrastrukture je zadovoljivo. IKT oprema zaposlenih v institucijah je ustrezna, se dokaj redno posodablja, majhno število zaposlenih si deli iste računalnike, zaposleni v veliki meri ločujejo med zasebno in službeno rabo službenih računalnikov, na računalnikih so prisotni dokaj kakovostni antivirusni programi in druge zaščite, treba pa je poudariti, da so računalniki že nekoliko zastareli oz. potrebni prenove. Nekaj težav se pojavi na področju gesel in zunanjih naprav, saj bi zaposleni morali pogosteje menjati gesla, prav tako je veliko naprav medsebojno povezanih brezžično, kar lahko ustvarja zelo dobro vhodno točko za morebiten kibernetski napad.
Zgoraj navedena poglobljena analiza je bila sicer opravljena samo za eno občino, a lahko vseeno, na podlagi drugih zbranih informacij, povlečemo določene splošne ugotovitve. Slovenske občine zaradi manka zakonskih opredelitev in pristojnosti na področju kibernetske in informacijske varnosti in manka varnostne kulture skoraj zagotovo nimajo sprejetega lastnega strateškega načrta v primeru kibernetskega napada. V občini, za katero je bila opravljena analiza, je zavedanje o pomenu kibernetske in informacijske varnosti precej visoko, kar na splošno ne velja za slovenske občine, v večini občin je stanje lahko precej slabše. Precej velik problem pa je moč opaziti na področju financ, saj imajo vse slovenske občine finančni primanjkljaj in zaradi tega zelo težko poskrbijo za ustrezno zaščito pred morebitnimi neželenimi vdori in drugimi oblikami ogrožanja kibernetske in informacijske varnosti.
Kibernetska in informacijska varnost bo s pospešeno digitalizacijo vedno bolj v ospredju, občine pa bodo tiste, ki bodo morale zagotoviti visoko raven varnosti, če bodo želele poskrbeti za svoje temeljne naloge, tj. skrb za osnovne življenjske pogoje ljudi. Občine oz. lokalne skupnosti vsega finančnega bremena, ki ga prinašajo nove tehnologije in s tem tudi naraščajoče ogrožanje kibernetske in informacijske varnosti, ne morejo nositi, zato bo celovit pristop – v sodelovanju z državnimi institucijami in tudi Evropsko unijo – nujen. Poleg finančnih vložkov pa je potreben še celovit pristop na področju zakonodaje, saj se manko ustreznih zakonskih opredelitev že danes kaže kot težava pri določanju pristojnosti ob ogrožanju kibernetske in informacijske varnosti.
KOMENTARJI (3)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.