Ja, hm, morda ni tako hudo, toda… Naj malo pojasnim. Občutek vas načeloma ne vara. V osnutku je veliko stvari, med njimi po moji oceni tudi tistega, kar je res potrebno. Dejstvo je, kot ugotavlja strategija, da zaostajamo, da se stanje poslabšuje. Mislim na informacijsko-komunikacijske tehnologije (IKT) na splošno, na to, kako gospodarstvo uporablja IKT, zaostajamo pri podpornih storitvah, katerih del je kibernetska varnost. Zaostajamo, kar zadeva znanje oziroma glede tega, koliko virov, ne le finančnih, temu namenjamo. Po eurostatovih kazalnikih digitalne pripravljenosti države smo nekje na 19. mestu…
Bili pa smo že višje.Bili. Estonija, denimo, je sedma, sta pa državi v 90. letih prejšnjega stoletja začeli s približno istega izhodišča. Ko govorimo o strategiji in njenih ciljih, se moramo torej zavedati, da moramo najprej nadomestiti zaostanek in šele potem bomo lahko začeli razmišljati o vrhu. Če se torej vrnem na vaše začetno vprašanje: samorefleksija je nujna, najprej si moramo nehati govoriti, da smo dobri, ker nismo. Strategija bi najbrž lahko bila krajša in bolj koherentna, so pa, kot sem dejal, v njej vse prave zadeve in zato morda ta trenutek ni tako pomembno, kaj je v njej narobe in odveč.
Drži pa tudi, da imamo zdaj na eni strani v osnutkih manjšo poplavo strategij, na drugi strani pa smo v nekaj letih od ministrstva za informacijsko družbo prišli do informacijskega direktorata v ne prav majhnem šolskem ministrstvu. Na simbolni ravni država torej ne kaže, da bi se zaostajanja resno zavedala, pač pa je videti, kot da strategije piše, ker jih pač mora imeti.To je del odgovora oziroma zelo dobro vprašanje. Ključno namreč ni, kako dobro so napisane strategije, temveč, kaj iz njih bomo res uresničili. Kaj bo potemtakem imelo podporo na odločevalski ravni v politiki, kam bomo usmerili sredstva in pozornost. Res je, kar pravite o formalno zelo znižani politični ravni IKT. Aleš Špetič, glasnik digitalne družbe, je v svojem blogu navedel podatke iz analize zaslišanj obeh kandidatk za ministrico v mandatu te vlade in ugotovil, da je njuno zaslišanje trajalo skupno približno devet ur, IKT pa je bilo v tem okviru namenjenih manj kot deset minut. Tudi to je del realnosti, ki se je je treba zavedati, ko govorimo o ambicioznosti ciljev. Ali če povem s prispodobo: ko nismo v stanju zgraditi enega predora in ko od Ljubljane do Kopra z vlakom potujemo tri ure, ne moremo razmišljati, kako bomo šli na Luno.
Bi na vrhu te odločevalske piramide moral biti neposredno predsednik vlade?To bi nedvomno bila možnost, da bi se zadeve hitreje in bolj zanesljivo premikale.
Pri »digitalizaciji Slovenije« ste zraven od samih začetkov. Lahko iz svojih izkušenj kakor koli opredelite, koliko zaslug za stanje, kakršno pač je, ima država s svojimi bolj ali manj domišljenimi strategijami in morebiti vlaganji in koliko je doslej šlo za »spontani«, poslovno generirani razvoj?Bila so določena obdobja, ko je država v tem sodelovala z več premisleka in vizije, verjetno predvsem po zaslugi posameznih ministrov. Zlasti v 90. letih, ko so tudi v tujini Slovenijo omenjali kot zgled, ko so nas po razvoju interneta in informatizaciji državne uprave primerjali z Japonsko. Okrog leta 2000 nam je šlo kar dobro. Priznam, ko je bilo ministrstvo za informacijsko družbo ustanovljeno, sem bil malce skeptičen, tudi nekateri moji kolegi, ampak to je prineslo določene rezultate in napredek. Potem pa se je razvoj iz različnih razlogov, tudi posameznih poslovnih interesov, začel zatikati in se je sčasoma vse bolj.
Poglejva posledice na konkretnem primeru: Aleš Špetič, omenili ste ga, je pred poldrugim mesecem v svojem blogu potožil tudi, da država elektronskih digitalnih potrdil sigen-CA in sigov-CA sama ne uporablja, jih uporabnikom pogosto ne priznava in zahteva od njih še lastnoročne podpise na dokumentih, poleg tega pa jih ni prijavila v svetovni imenik, zato navzven ne jamčijo pristnosti, recimo, elektronske pošte. Pa smo bili v koraku s časom, ko smo ta elektronska podpisa uvedli.Danes pa še ne delujeta niti v vseh brskalnikih… Ja, se strinjam. Na strateški ravni to ne more biti cilj, je pa pomembno za izkušnjo uporabnika in ob takšnih primerih se spet lahko vprašamo, zakaj se strategije pišejo. Ko smo ta potrdila uvajali, smo imeli center vlade za informatiko, potem pa je bil razpuščen. Zakaj, obstaja več razlag, ne bi se spuščal v to, je pa dejstvo, da od takrat v tem pogledu nismo napredovali in zgolj vzdržujemo stanje. Bi pa tukaj omenil še nekaj, politični sveti gral o Sloveniji kot Silicijevi dolini. Vsak razvoj, tako tudi IKT, ni samo nekakšno tehnološko vprašanje, pač pa je odvisen tudi od širšega podjetniškega okolja, od splošne odzivnosti in podpore države, infrastrukture v celoti, ne le informacijske… Naj povem s primerom iz Estonije. Ko sem tam predaval na tehniški univerzi še z dvema avstralskima profesorjema na temo internetne varnosti in digitalne forenzike, se je estonski rektor med večerjo v petnajstih minutah z Avstralcema zmenil za izmenjavo študentov, predavanj, znanja… Nič niso omenjali na nobeni strani, v kakšni pravni obliki bo to in kje bo kdo dobil denar ali dovoljenja. Mislim, da pri nas kaj takšnega ne bi bilo mogoče, mi teh procesov ne razumemo.
Pojdiva zdaj na kibernetsko varnost: sistem tetra in ujeti pogovor med agentko zunanjega ministrstva in slovenskim arbitrom. Kaj nam ta primera povesta o ravni zavedanja in razumevanja digitalne varnosti?No, tehnologija ne pomeni nič, če ne poskrbimo za izobraženost uporabnikov. To ne pomeni, da opreme ne potrebujemo, ampak komplementarno je treba poskrbeti, da ljudje vedo, kako in kdaj to uporabljati. Nato pa spet prideva do procesov in pristojnosti: kdo mora skrbeti za uporabo in izobraževanje na odločevalski in kdo na izvedbeni ravni?
Na prvi najbrž pristojni minister. In potem se takoj spomnim na finančnega ministra, ki je po lastnih besedah tako varčen, da v službi uporablja zasebni prenosnik.Kar meni prav tako pove, da ni politike varovanja informacij, če pa že je na ravni dokumenta, pa se ta ne izvaja. V takšnih primerih tičijo resnični problemi, tudi širši družbeni, ki se nato na različne načine pokažejo. Ko govorimo o kibernetski varnosti države, se moramo zavedati, da je javna uprava zapleten sistem in da se od javnega naročila naprej v odločanje vmešavajo različni lobiji. Teh problemov ni lahko rešiti in jih sama strategija kibernetske varnosti ne more. So pa področja, kjer lahko hitreje napredujemo in izboljšamo razmere. Meni je zelo všeč, da je v strategiji govor tudi o kibernetski varnosti državljanov, njihovi možnosti, da dobijo pomoč, ko jo potrebujejo. Dobro je, da je omenjeno tudi gospodarstvo, kajti to je nagnjeno k temu, da podcenjuje problem varnosti oziroma ga jemlje zgolj kot strošek. Varno kibernetsko okolje postaja pomemben del konkurenčne prednosti države, ko gre, recimo, za tuje naložbe.
Bodiva utopična: vlada se odloči, da da Arnesu oziroma SI-CERT denar za 20 zaposlitev in reče, poskrbite za kibernetsko varnost.Seveda bi bil zelo vesel, pri čemer bi bilo malo manj utopično, če bi dobili nalogo pripraviti program razvoja kibernetske varnosti z ovrednotenjem vseh potrebnih virov za njegovo izvedbo. Pri čemer pa je resničnost takšna, da že od leta 2012 prosimo za denar za dva nova zaposlena, in to ne hkrati, pač pa vsaj v nekaj letih. Število incidentov, torej neželenih dogodkov na računalniku ali v omrežju z varnostnimi posledicami, naglo raste, tudi pojavnih oblik je vse več, mi pa kadrovsko stojimo na mestu.
