reklama

Po Národnej stratégii sme sa dočkali návrhu systému vzdelávania

Čo si myslíte o dokumente, z ktorého sa dá usúdiť, že už čoskoro by sa žiaci základných a stredných škôl mali učiť základy kryptológie, manažmentu informačnej bezpečnosti, riadenia prístupu, aplikačnej bezpečnosti, bezpečnosti prevádzky, sieťovej bezpečnosti, plánovania kontinuity činností a legislatívy a etiky z oblasti informačnej bezpečnosti? Že prečo by sa mali základy kryptológie či manažmentu bezpečnosti učiť aj žiaci, ktorí sa v živote budú pohybovať v iných sférach ako v informatike (a tých je a bude väčšina)? Aj tam budú používať počítače a aj používatelia – počítačoví laici podľa predstáv autora „Návrhu systému vzdelávania v oblasti informačnej bezpečnosti v SR“ (ďalej len „Návrh“) musia na nejakej základnej úrovni ovládať uvedené oblasti (Návrh do kategórie laikov zaraďuje aj žiakov základných a stredných škôl). Návrh zverejnilo Ministerstvo financií 31.marca, nie ako predčasný prvoaprílový žartík, ale ako jeden z dokumentov nadväzujúcich na Národnú stratégiu pre informačnú bezpečnosť v SR (ďalej „Stratégia“), ktorú v minulom roku prijala vláda. Návrh sa vyznačuje viacerými charakteristikami, ktoré má spoločné so Stratégiou, a s ktorými sa akosi neviem stotožniť.

Písmo: A- | A+
Diskusia  (2)

Po prvé, pre Návrh (podobne ako pre Stratégiu v jej prvej verzii) je charakteristická snaha centrálne „dirigovať“ čo najväčšiu cieľovú skupinu. Stratégia vo svojej konečnej verzii sa nakoniec uskromnila so záberom na verejnú správu, Návrh v predloženej verzii má ambície ďaleko presahujúce túto oblasť (o.i. mieni centrálne predpisovať obsah vzdelávania v oblasti inf. bezpečnosti aj na základných a stredných školách). Tu predsa nestačí, že si niekto osobne trúfa diktovať, čo všetko zo špecifickej oblasti informačnej bezpečnosti by mala ovládať rôznorodá cieľová skupina tvorená nie malým počtom občanov tejto krajiny – je táto vízia, presnejšie zmysluplná účinnosť niečoho takého, vôbec dosiahnuteľná takýmto spôsobom?

Po druhé, Návrh, podobne ako Stratégia, je založený na pevnej predstave autora, že zlepšenie stavu informačnej bezpečnosti možno dosiahnuť iba ním navrhovaným spôsobom, bez ohľadu na to, že toto vôbec nevyplýva z uvádzaných „podporných faktov“. V prípade Návrhu sa to prejavuje napríklad takto:

FAKT1: na Slovensku prevláda nízka úroveň bezpečnostného povedomia medzi používateľmi informačných a komunikačných technológií (IKT), čo predstavuje istú hrozbu pre bezpečnosť IKT systémov

FAKT2: na Slovensku sa časom vyvinuli (aj bez intervencie zo strany štátu) a využívajú sa rôzne formy vzdelávania v oblasti informačnej bezpečnosti – ako súčasť študijných programov (nielen informatiky) na niektorých univerzitách, v študijných plánoch informatiky na stredných školách (vybrané témy), vo forme rôznych konferencii, workshopov, firemného a profesného vzdelávania, informačnou bezpečnosťou sa zaoberajú články v odborných časopisoch, médiá zverejňujú zaujímavé udalosti súvisiace s bezpečnostnými incidentami, atď. Ide o spontánne aktivity, bez významnejšej účasti štátu – príloha 2 Návrhu priamo konštatuje „Štátne orgány sa zvyšovaniu bezpečnostného povedomia v širšom rozsahu systematicky nevenujú,...“

Čo vyplýva z uvedených faktov (ktoré sú stručným zhrnutím toho, čo sa uvádza v Návrhu a s ktorými sa dá len súhlasiť)? Dalo by sa napríklad skonštatovať, že doteraz využívané metódy šírenia bezpečnostného povedomia zrejme nie sú dostatočne účinné, a že by teda stálo za úvahu hľadať príčiny prečo je to tak. Autor Návrhu však uvažuje inak – pre zvýšenie úrovne bezpečnostného povedomia je vraj potrebné pre tie doteraz používané metódy centrálne nadirigovať obsah a povinne ich aplikovať na ešte väčšiu skupinu počítačových laikov. Hmmm, akosi sa neviem s takýmto uvažovaním stotožniť ... ako keby sme chabé matematické znalosti ľudí zlepšili len tým, že sa vydá ešte viac matematických kníh a skrípt a zvýši sa počet prednášok. No ale dajme tomu, že sa mýlim a že pre zlepšenie stavu naozaj stačí len zvýšiť množstvo rôznych metodických materiálov, prednášok a ich účastníkov, a centrálne určiť ich obsahovú náplň. V takom prípade bude zaiste dôležitú úlohu zohrávať obsah – výber tém, ktorými sa bude pôsobiť na zvýšenie úrovne bezpečnostného povedomia. Tým sa dostávame k ďalšej charakteristike, ktorú má Návrh spoločnú so Stratégiou, a s ktorou sa neviem stotožniť.

Po tretie, Návrh, podobne ako aj Stratégia, sa vyznačuje tým, že autor dokumentu prebral existujúci materiál (zahraničný, už postaršieho dáta) navrhnutý na jednu podoblasť informačnej bezpečnosti, a bez hlbšieho premýšľania ho „napasoval“ na problém, ktorý chce riešiť, bez ohľadu na to, že ide o úplne inú podoblasť. V prípade Stratégie sa taký dokument (štandard ISO27001, určený pre systém riadenia bezpečnosti v organizácii) použil len ako „ideový návod“ – výsledkom bolo čosi ako bezpečnostný projekt pre celú krajinu (v konečnej verzii len pre štátnu správu SR), prezentované ako strategický dokument. V prípade Návrhu si autor svoju prácu pri stanovení obsahu vzdelávania pre všetky cieľové kategórie značne zjednodušil tým, že jednoducho preložil – prevzal základ tzv. Common Body of Knowledge (CBK), čo je systém už pred rokmi vypracovaný (komerčným zoskupením, živiacim sa vydávaním certifikátov) ako základ pre certifikáciu profesionálov v oblasti inf. bezpečnosti (tzv. Certified Information Systems Security Professional – CISSP). Akési vylepšenie oproti pôvodnému CBK má spočívať v definovaní troch úrovní detailnosti poznatkov a ich pridelení jednotlivým oblastiam pre jednotlivé kategórie používateľov IKT (Návrh ich definuje spolu 6 - laici, manažéri a vedúci pracovníci, informatici - nešpecialisti v inf. bezpečnosti, špecialisti, výskumníci, učitelia).

Teoreticky by uvedený prístup, teda od všetkých cieľových kategórií vzdelávania požadovať znalosť toho, čo niekde v USA požadujú od bezpečnostných profesionálov, len na inej úrovni detailnosti, naozaj mohol viesť k zlepšeniu bezpečnostného povedomia – veď keď budú všetci používatelia IKT na Slovensku viacmenej vzdelaní ako bezpečnostní profesionáli, to nám už potom bude hej! Dá sa to však reálne dosiahnuť? Zamyslel sa vôbec autor Návrhu nad tým, čo sa dosiahne, keď obsah vzdelávania jednej skupiny profesionálov len v rozriedenej forme predpíše pre vzdelávanie iných cieľových kategórií? Osobne by som mal minimálne pre polovicu predpísaných oblastí veľké problémy vysvetliť používateľovi – laikovi, ale aj iným cieľovým kategoriám (okrem špecialistov), prečo sa od neho očakáva/vyžaduje aby sa v nich vedel zorientovať. Keď to používateľ nebude chápať, čo ho bude motivovať k vzdelávaniu v danej oblasti?

Ďalšou črtou, ktorou sa vyznačuje ako Návrh, tak aj Stratégia, je, že evidentne neberú do úvahy vývoj disciplíny informačnej bezpečnosti v posledných rokoch, charakteristický už dávnejším ústupom od technického chápania bezpečnosti a naopak stále výraznejším prienikom netechnických odborov do informačnej bezpečnosti (psychológia, ekonomika, sociológia, ...). V praxi to znamená, že tieto (údajne strategické) dokumenty prípravu na budúcnosť projektujú na základe prístupov, ktoré sú vo svete považované za už prekonané.

Dalo by sa pokračovať rozpitvávaním jednotlivých častí Návrhu, napríklad poukazovaním na nepresnosti či protirečenia, načo sa však babrať s detailami, keď mám výhrady ku kľúčovým charakteristikám dokumentu. Pridám však aspoň jednu konštruktívnejšiu pripomienku. Existujúce, aj v štátnej správe pomerne slušne rozbehnuté, vzdelávanie ECDL (European Computer Driver Licence) v sebe obsahuje znalosť niektorých základných bezpečnostných zásad – nestačilo by len prípadné doplnenie o zopár ďalších potrebných „best practices“? Pravda, to by si vyžadovalo trochu viac rozmýšľania ako jednoduché odpísanie CBK a zrejme by sa zaobišlo bez rozsiahleho cirkusu spojeného so zavádzaním úplne nového systému vzdelávania v informačnej bezpečnosti...

No a úplne na záver si neodpustím poznámku k celkovému dojmu z toho, ako je Návrh spracovaný. Keď posudzujem nejakú prácu – či už odbornú, ponúknutú na konferenciu/do odborného časopisu, alebo bakalársku či magisterskú – ako nutné minimum očakávam, že posudzovaný dokument bude nielen (logicky) členený, ale aj obsah jednotlivých častí (kapitol, sekcii, ...) sa bude vyznačovať istou logikou a bude korešpondovať s názvom/uvedeným zameraním príslušnej časti. Z tohto pohľadu som pri čítaní Návrhu mal až príliš často pocit, že nedosahuje ani také minimum a mal by som problémy uznať ho hoci len ako priemernú bakalársku prácu. Samozrejme, to je len subjektívny pocit a nevylučujem, že niekto iný by v tom istom dokumente niečo ako ucelený logický výklad snáď aj dokázal vidieť...

Aby nedošlo k nedorozumeniu - som presvedčený, že stavu v oblasti informačnej bezpečnosti na Slovensku by lepšie bezpečnostné povedomie používateľov IKT len prospelo, a že je teda aj v záujme štátu prispieť k „výchove“ svojich občanov týmto smerom. Nespochybňujem teda potrebu takého systému vzdelávania, v ktorom by by viac ľudí ako doteraz získalo potrebné bezpečnostné návyky a poznatky. Prípadné prijatie predloženého Návrhu síce umožní „odfajknúť“ splnenie ďalšej úlohy z implementácie Stratégie, nie som však presvedčený, že účinnosť prístupu, presadzovaného Návrhom, bude úmerná vynaloženému úsiliu a prostriedkom.

Jozef Vyskoč

Jozef Vyskoč

Bloger 
  • Počet článkov:  166
  •  | 
  • Páči sa:  1x

Živí sa poradenstvom v oblasti bezpečnosti informačných systémov. Pravidelný prispievateľ do patavedeckých seminárov v Bratislave. Zoznam autorových rubrík:  BezpečnosťOchrana súkromiaPatavedaVzdelávanie a výskumNezaradené

Prémioví blogeri

Juraj Hipš

Juraj Hipš

12 článkov
Lucia Šicková

Lucia Šicková

4 články
Juraj Karpiš

Juraj Karpiš

1 článok
Martina Hilbertová

Martina Hilbertová

49 článkov
Iveta Rall

Iveta Rall

87 článkov
Jiří Ščobák

Jiří Ščobák

752 článkov
reklama
reklama
SkryťZatvoriť reklamu