PRVA LINIJA ODBRANE OD SAJBER NAPADA: "Novosti" istražuju šta donosi Zakon o informacionoj bezbednosti
BROJ incidenta, tj. sajber napada na informaciono-komunikacione sisteme (IKT) prijavljen Nacionalnom CERT-u, porastao je za 40 odsto prošle u odnosu na 2022. godinu i taj trend se nastavlja, čulo se na nedavnom skupu o informacionoj bezbednosti koji je podržalo Ministarstvo informisanja i telekomunikacija.
Jedan od razloga za porast broja incidenata jeste sofisticiranost u pripremi i izvođenju sajber napada, jer se oni danas kreiraju uz pomoć veštačke inteligencije.
Stalno "usavršavanje" sajber kriminalaca zahteva i konstantno podizanje informacione bezbednosti države, pa je to jedan od razloga za donošenje novog Zakona o informacionoj bezbednosti, pošto aktuelni datira još iz 2016. Drugi razlog je usklađivanje sa evropskom direktivom poznatom kao NIS2. Novi zakon, čiji nacrt je skoro gotov, baziran je, pored ostalog, na preventivi.
- Zakon uređuje mere zaštite od bezbednosnih rizika u IKT sistemima i odgovornost subjekata prilikom korišćenja tih sistema - objašnjava Nikola Bićanin, pomoćnik ministra za informaciono društvo i informacionu bezbednost. - Čuvati nacionalnu bezbednost danas bukvalno znači obezbediti bezbednost IKT sistema, kako u pohranjivanju podataka, tako i u pružanju usluga. Ključna zakonska novina je definisanje prioritetnih i važnih IKT sistema od posebnog značaja, u skladu sa evropskom legislativom. Do sada je zakon prepoznavao samo sisteme od posebnog značaja.
Kako naš sagovornik objašnjava, u prioritetne spadaju svi oni kod kojih bi napad, odnosno prekid ili remećenje nesmetanog pružanja usluga, automatski uticali na javnu bezbednost ili javno zdravlje. U pitanju su sistemi vezani za energetiku, vodosnabdevanje, bankarstvo, zdravstvo. Među prioritetnima su i oni koji pružaju telekomunikacione usluge ili neki državni organi.
Svaki sajber napad na ove sisteme automatski ugrožava građane. Ako je u pitanju napad na energetsku infrastrukturu, ostajemo bez struje, a ako su napadnute banke, onemogućena je bilo kakva onlajn usluga ili su ugroženi lični podaci (od imena, prezimena, broja računa, do JMBG). Isti je slučaj i sa zdravstvom, gde bi hakeri za tili čas mogli da se domognu e-kartona građana.
U važne sisteme spadaju oni čije bi ugrožavanje moglo da ima uticaja na javni interes, kao IKT sistemi iz oblasti poštanskih usluga, upravljanja otpadom, proizvodnje mašina i električne opreme, naučnoistraživačke institucije...
Zakon predviđa da IKT sistemi imaju obavezu procene rizika i donošenje akta o toj proceni. Kao i do sada, donosiće i akt o bezbednosti, koji će predviđati mere zaštite i procedure, a biće zasnovan na aktu o proceni rizika. Operatori prioritetnih IKT sistema moraće najmanje dva puta godišnje da proveravaju usklađenost svojih sistema sa predviđenim merama zaštite od sajber napada, a važni operateri najmanje jednom godišnje.
- Zakon predviđa i kvalifikovanje incidenata prema nivou opasnosti, pa razlikuje osnovni, srednji, visok i veoma visok nivo, i uređuje koji su potrebni koraci kod kog nivoa u slučaju ugroženosti. Podzakonskim aktima urediće se i procedura obaveštavanja primerena svakom nivou. Jedna od najznačajnijih novina je uvođenje Kancelarije za informacionu bezbednost, koja će imati status posebne organizacije sa ciljem da kroz koordinaciju i upravljanje odgovorom na incidente poboljša reakciju naše zemlje - objašnjava Bićanin, i dodaje da će kancelarija morati da reaguje hitno i bez odlaganja i da učestvuje u otklanjanju posledica.
MEĐU NAJBEZBEDNIJIMA
MINISTARSTVO preduzima niz aktivnosti da ojača regulativu kada je u pitanju informaciona bezbednost, a nedavno je donet i Akcioni plan za sprovođenje Strategije razvoja informacione bezbednosti 2024-2026. Potvrda da smo na pravom putu je i to što je Međunarodna telekomunikaciona unija (telo UN) u Globalnom indeksu informacione bezbednosti svrstala Srbiju u prvi od pet krugova učesnika istraživanja, koji obuhvata zemlje sa najvećim stepenom bezbednosti, kaže Bićanin.
Zakon propisuje i kazne za različite vrste prekršaja, od nedonošenja akta o proceni rizika ili akta o proceni bezbednosti, preko neprimenjivanja odgovarajućih mera koje prediviđaju ova akta, do nedostavljanja podataka o incidentima ili nepostupanja po nalogu inspektora. Za pravno lice od prioritetnog značaja one idu od 50.000 do dva miliona dinara.