Iako su brojne obaveze predviđene Zakonom o informacionoj bezbednosti već stupile na snagu, pred operatorima informacionih sistema u javnom i privatnom sektoru su mnogi izazovi u primeni zakona.
Na koji način se može poboljšati primena zakona, šta su problematične tačke i koje su uloge države, privrede i civilnog sektora bile su neke od tema drugog Cybersecurity meetup-a SHARE fondacije, održanog u ponedeljak, 20. februara, u Startit centru u Beogradu.
Jedna od važnijih obaveza operatora informacionih sistema od posebnog značaja jeste usvajanje akta o bezbednosti do 2. marta. Kazne za probijanje roka kreću se do dva miliona dinara. Procenjuje se da u Srbiji ima oko 11.000 subjekata samo među državnim organima koji treba da donesu ovaj akt i postave opšte okvire bezbednosti svojih informacionih sistema.
Ministarstvu trgovine, turizma i telekomunikacija poverena je uloga inspekcijskog organa kada je reč o primeni zakona i pratećih uredbi. Predstavnik ministarstva Milan Vojvodić istakao je važnost zakonskog uređivanja informacione bezbednosti, ali je ukazao i na problem sa kapacitetima za adekvatnu primenu zakona.
“U ministarstvu je u toku promena sistematizacije, koja bi trebalo da predvidi posebnu grupu za informacionu bezbednost, u kojoj će se nalaziti i inspektori”, navodi Vojvodić.
MUP Srbije je osnovao jedan od prvih posebnih CERT-ova, koji je nadležan za IKT sistem tog ministarstva, o čemu je govorio Aleksandar Maksimović, glavni specijalista pravnik za mrežnu i informacionu bezbednost MUP CERT-a.
“Sada se u MUP-u profilisala jedna grupa ljudi koja će praktično da nadgleda ceo proces i da ga organizuje”, rekao je Maksimović i dodao da MUP CERT i dalje gradi organizacione, tehničke i kadrovske kapacitete.
Industrija informacione bezbednosti takođe ima značajnu ulogu u procesu implementacije zakonskih mera. Viktor Varga iz kompanije Unikom Telekom istakao je da je informaciona bezbednost zahteva saradnju više aktera radi što boljih rezultata.
“Ono što vidim kao problem jeste da mali procenat velikih kompanija može da primeni zakon na zadovoljavajućem nivou. Zahteve treba prilagoditi malim kompanijama koje nemaju resurse”, rekao je Varga.
Civilno društvo i međunarodne organizacije su od samog početka bile uključene u pisanje zakona.
Milan Sekuloski iz Ženevskog centra za demokratsku kontrolu oružanih snaga je napomenuo da su sastanci predstavnika državnih organa, privatnog i nevladinog sektora i akademske zajednice doprineli tom procesu.
“Imamo zakon koji iako nije savršen može da se popravi, politika nije bilo u ovoj oblasti a sada se već naziru, nadamo se da će biti formalizovane i da će se o njima diskutovati”, objašnjava Sekuloski.
SHARE Fondacija je pripremila Vodič za IKT sisteme od posebnog značaja, sa ciljem da razjasni nedoumice u vezi sa primenom zakona i predstavi dobre prakse informacione bezbednosti. Koordinator SHARE Fondacije za privatnosti i zaštitu podataka o ličnosti Danilo Krivokapić takođe je najavio formiranje posebnog SHARE CERT-a (Cyber Emergency Response Team) koji će ujedno biti i resurs centar namenjen informacionoj bezbednosti onlajn medija u Srbiji.
“Pokušali smo da objasnimo kako je sistem informacione bezbednosti postavljen novim zakonom, koji su organi nadležni i opišemo svih 28 mera zaštite na praktičan način”, rekao je Krivokapić.
Pre Meetup-a održana je radionica posvećena rizicima i problemima sa kojima se mediji susreću u pogledu informacione bezbednosti, kojoj su prisustvovali novinari, predstavnici civilnog sektora i medijskih udruženja.
Prva recenica u podnaslovu ovog teksta glasi: „SHARE Fondacija je pripremila Vodič za IKT sisteme od posebnog značaja, sa ciljem da razjasni nedoumice u vezi sa primenom Zakona o informacionoj bezbednosti i predstavi dobre prakse informacione bezbednosti. … “
Glavni kuriozitet ovog zakona jeste taj da je donet pre Direktive o bezbednosti mreze i informacionih sistema (Directive on security of network and information systems) i da zato ima drugaciji naziv i sadrzaj od nje.
Zatim, u ovom zakonu se definise i upotreblljava termin „informaciono-komunikacioni sistem (IKT sistem)“, pri cemu se u skracenom obliku (IKT sistem) koristi slovo „T“ (tehnoloski), tako da je pun oblik trebao da glasi: „informaciono-komunikacioni tehnoloski sistem“.
Sledece, u clanu 6. tacka 3) podtack (14) propisuje se da: „IKT sistemi od posebnog značaja su sistemi koji se koriste u obavljanju delatnosti od opšteg interesa i to u oblastima usluge informacionog društva namenjene drugim pružaocima usluga informacionog društva u cilju omogućavanja pružanja njihovih usluga“. Tako su ovim zakonom, a ne posebnim zakonom, delatnosti usluga informacionog drustva proglasene za delatnosti od opsteg interesa.
U pomenutoj evropskoj direktivi definisu se i upotrebljavaju novi termini „digitalna usluga” i „pružalac digitalnih usluga”, koji se ne pominji niti koriste u ovom zakonu.
Ovoj zakon u cl. 14-16 sadrzi odredbe o Nacionalnm centru za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT), tj. Regulatornoj agenciji za elektronske komunikacije i poštanske usluge RATEL), ciji se poslovi u velikoj meri poklapaju sa poslovima Tela za koordinaciju poslova informacione bezbednosti, kao i sa organom državne uprave nadležni za bezbednost IKT sistema, tj. ministarstvo. nadležnim za poslove informacione bezbednosti (u daljem tekstu: Nadležni organ).
Mslio sam da ce sluzba za informacionu bezbednost biti u sastavu Slube za kontrolu u RATEL-u, jer neko mora prakticno i konkretno da deluje, npr. da redovno i vanredno prati i kontrolise IK(T) saobracaj, a ne samo da „… prikuplja i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i događajima koji ugrožavaju bezbednost IKT sistema i u vezi toga obaveštava, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji, kao i javnost, a posebno: …“. Prevario sam se, kada sam video RRATEL-ov Javni konkurs za prijem u radni odnos na neodređeno vreme od 22.02.2017.
„Vodič za IKT sisteme od posebnog značaja“ je neptpun, zato sto ne daje odgovore na mnoga gore navedena i druga pitanja