ЕНИСА: анализа критичне информационе инфраструктуре

Анализа критичне информационе инфраструктуре

Увод

Европска агенција за безбедност мрежа и информација (ЕНИСА) објавила је на свом сајту документ „Процена стања, анализа и препоруке за критичну информациону инфраструктуру“. Предмет студије било је стање и уређење критичне информационе инфраструктуре (у даљем тексту: КИИ) у седамнаест држава чланица Европске уније и једној ЕФТА земљи. У овом тексту навешћемо најзначајније резултате студије и препоруке које је ЕНИСА издала земљама чланицама ЕУ.

Контекст критичне информационе инфраструктуре

Информатизација друштва утицала је и на различите виталне системе (енергетику, саобраћај, производњу хране, финансијски сектор, итд) чије су услуге веома важне за друштво, и у којима се оператори све више ослањају на информационо-комуникационе технологије и аутоматизују своје пословне процесе. Право треба да уреди ову област тако да грађани и друштво могу да се поуздају у ове системе. Они морају да буду довољно безбедни, што се може постићи сарадњом свих релевантних учесника и предузимањем одговарајућих заштитних мера.

Пре него се упустимо у анализу и значај документа који је објавила ЕНИСА, за напоменимо да смо појам критична информациона структура већ обрадили. Заправо, серија текстова која се односи на шири контекст везан за појам критичне информационе структуре обухвата следеће наслове:

Органи надлежни за КИИ

Типови институција који су надлежни за уређење и обављање послова у области КИИ разликују се међу државама ЕУ. При том, у одређеном броју држава чланица ова надлежност је подељена међу више органа, који у свом сектору утврђују засебна правила (надлежни органи за енергетику, саобраћај, банкарство, итд). Ипак, без обзира на систем који је усвојен у одређеној држави, углавном се може идентификовати једно тело које се сматра водећим и које је носилац координације.

Највећи број држава на које се извештај односи, њих седам, за надлежно тело одредили су јавне агенције или органе управе у оквиру министарстава које имају велику самосталност. Те организације су истовремено и надлежна тела за информациону безбедност у својим земљама, што говори да се неретко сматра да послове који се односе на заштиту КИИ треба повезати са делокругом информационе безбедности.

Затим, пет земаља је као надлежни орган одредило тело за ванредне ситуације, што се може повезати са чињеницом да је КИИ подкатегорија критичне инфраструктуре, и да ова тела имају искуство и механизме за организовање у случају великих инцидената. У четири земље надлежни орган је национално регулаторно тело, због тога што је пожељно да, како се у студији наводи, послове везане за КИИ обављају запослени који добро познају информационе технологије, али и структуру и пословање оператора КИИ.

Послови органа надлежних за КИИ

У највећем броју случајева, надлежни органи обављају следеће послове:

  • послове контакт тачке за обавештавање о инцидентима;
  • организовање и спровођење вежби и тренинга;
  • саветовање оператора КИИ (јавних и приватних);
  • реаговање на инциденте.

Половина надлежних органа у испитаним земљама се бави и израдом стратегија, прописа, смерница у области КИИ, надзора над Националним ЦЕРТ-ом и праћењем примене безбедносних мера.

Пријава инцидената

Пријава инцидената у системима КИИ је обавезна за телекомуникационе оператере у скоро свим земљама, што је и захтев из Директиве ЕУ 2009/140 којом је измењен регулаторни оквир електронских комуникација.

Мали број земаља (5), међу којима је и Немачка, захтева пријаву инцидената од стране КИИ у свим секторима. Ове земље су, такође, обавезале све операторе КИИ да предузимају безбедносне мере предвиђене прописима. Међутим, већи број земаља се определио за приступ који није свеобухватан, тако што се пријава инцидената, као и примена обавезних безбедносних мера, захтева само од стране оператора у одређеним секторима (најчешће у финансијском и енергетском сектору, као и у органима јавне власти).

Безбедносне провере

Према наводима студије, изгледа да су безбедносне провере КИИ најнижи приоритет, јер чак шест земаља није обавезало операторе да их врше, а у пет земаља обавеза безбедносних провера је прописана само за поједине секторе.

Подстицаји за улагање у безбедност КИИ

Државе се не опредељују за давање подстицаја (пореских олакшица, субвенција) оним операторима који улажу у безбедност својих система. Изузетак је Финска, у којој компаније који инвестирају у безбедност КИИ имају право на ослобађање од пореза, под одређеним условима.

Модели уређења области КИИ

Државе чланице на различит начин, у складу са својим системом и потребама, уређују област КИИ, при чему се мисли на приступ одређивања надлежности и обухватање регулативе.

Разликују се три модела уређења: децентрализован, централизован и корегулација са приватним сектором.

Децентрализовани модел уређења КИИ

Децентрализован модел подразумева поделу надлежности државних органа у области КИИ, тако да сваки ресор уређује сопствена правила за системе који су у његовој надлежности, и то путем закона из конкретне области. Децентрализован модел карактеришу принцип супсидијарности, чврста сарадња између државних органа и оператора, као и регулатива која је специфична за сваки појединачни сектор. Не постоји орган који је претежно надлежан, већ је сваки ресорни орган задужен за уређење у својој области (на пример, Министарство енергетике за операторе електричне енергије, Министарство финансија за финансијске институције итд), при чему су обавезе оператора КИИ регулисане законима из сваке конкретне области (нпр. прописи у области банкарства, енергетике, саобраћаја, државне управе).

Дешава се и да сами оператори КИИ регулишу свој систем, без утицаја државе. Надлежна тела чврсто и интензивно сарађују, с обзиром да не постоји централизовани орган, и окупљају се у посебним саветима, који немају извршна овлашћења и не могу налагати обавезно поступање. Како се у сваком сектору доносе посебни прописи, обавезе оператора КИИ су на различитим нивоима. Децентрализован модел присутан је у већини испитаних земаља. Добар пример оваквог модела је Шведска, где је надлежност подељена између државних органа, међу којима су Шведска агенција за цивилну заштиту, Шведска поштанска и телекомуникациона агенција, као и неколико шведских безбедносних, војних и регулаторних институција.

Централизовани модел уређења КИИ

Централизован модел подразумева постојање једног надлежног државног органа за КИИ, као и прописа који се односе на све операторе КИИ, без обзира на конкретан сектор. Државе које примењују овај модел одређују надлежни орган, који припрема прописе за КИИ из свих сектора, прима обавештења о инцидентима, припрема стратегије и планове заштите и пружа подршку приватним операторима. Прописи у области КИИ односе се на субјекте из свих сектора КИИ. Пример оваквог уређења је Француска, где је надлежно тело Национална агенција за безбедност информационих система, која има јака надзорна овлашћења над операторима КИИ од посебног значаја. У случају инцидента у КИИ, агенција може да наложи операторима да реагују на напад у складу са њеним инструкцијама. У оквиру ове агенције налази се француски ЦЕРТ. Што се тиче регулативе, у Француској је одавно успостављена листа оператора КИИ од посебног значаја, а законом из 2013. године прописане су обавезне мере заштите које оператори морају да предузму, као и пријаве инцидената. Закон се примењује без изузетка на све секторе КИИ.

Централизован модел управљања представља изузетак, али његове карактеристике могу да се нађу и у другим земљама, као што су Чешка (који има централизован надлежни орган) и Немачка (која има пропис за све секторе КИИ).

Корегулација са приватним сектором

Модел корегулације са приватним сектором заснован је на институционализованој сарадњи са приватним сектором и хоризонталном односу јавних органа и приватног сектора. Односи се уређују по принципима јавно-приватног партнерства, у оквиру кога се закључује споразум, на основу којег свака страна обезбеђује одређене ресурсе (државе најчешће новац, а приватни субјекти експертизу и ефикасност).

У оваквом моделу не постоји стриктна регулатива, већ се активности предузимају у складу са заједничким договором јавног и приватног сектора.

Пример за овакав модел је Холандија. У њој је надлежно тело Национални центар за информациону безбедност, који је центар за размену информација и експертизу у оквиру Националног координатора за безбедност и за борбу против тероризма. Овај центар је заснован на сарадњи између јавног и приватног сектора, из које су настали центри за размену информација и анализе и Тело за реаговање на инциденте, које анализира ситуацију током кризних ситуација или претњи. Сарадња је заснована на једнакости и међусобном поверењу. Учесници информације деле на добровољној бази, и не постоје никакве обавезе у том погледу. Оператори КИИ не морају да пријављују инциденте у њиховим системима. Ипак, одређене чвршће обавезе за операторе КИИ постоје у телекомуникационом и нуклеарном сектору.

ЕНИСА: препоруке у вези критичне информационе инфраструктуре

На основу извршене анализе, ЕНИСА је формулисала више препорука које би државе чланице требале да имају у виду. Констатовано је да је потребно повећати сарадњу институција са приватним субјектима, и то не само са операторима КИИ, већ и онима (удружењима, факултетима, академијама, секторским ЦЕРТ-овима) који својим стручним знањем могу да помогну унапређењу система. ЕНИСА сматра да је систем управљања КИИ потребно ускладити са системом реакције на ванредне ситуације, који већ постоји и развијен је у свим државама. Пријава инцидента у системима КИИ треба да буде обавезна за све секторе, јер се у том случају мобилише већи број актера који помажу у реакцији, обавештава се јавност о опасностима које могу да се прошире и на друге системе, подиже се информисаност о стању информационе безбедности и у складу са тим припремају адекватније стратегије, политике и прописи. Потребно је сачињавати националне процене ризика, и тако обухватити све могуће претње које могу да угрозе безбедност КИИ. ЕНИСА позива државе чланице да размотре могућност да се субвенцијама или пореским олакшицама подстакну они који улажу у безбедност КИИ.

ЕНИСА препоручује Европској комисији да обезбеди да КИИ у државама чланицама предузимају одређене безбедносне мере, као и да државе израде одговарајуће стратегије, прописе и процене ризика. Позива се Европска комисија и да идентификује европску КИИ кроз прописе. У том смислу, празнине ће се попунити доношењем Директиве о мрежној и информационој безбедности ЕУ, о којој смо писали у једном од претходних текстова.

Закон о информационој безбедности – оквир за уређење КИИ

Доношењем Закона о информационој безбедности успостављен је и оквир за КИИ у Републици Србији. Закон дефинише ИКТ системе од посебног значаја, који ће морати да предузму адекватне техничке и организационе мере заштите својих ИКТ система.

Међу овим системима налазе се они од општег интереса, који потпадају под КИИ, и који ће се ближе уредити подзаконским актом Владе. Надлежни орган је министарство надлежно за послове информационе безбедности (према важећем Закону о министарствима, за информациону безбедност је надлежно Министарство трговине, туризма и телекомуникација), чиме се Србија определила за модел уређења регулативе и политике КИИ који има карактеристике централизованог модела. Међутим, то не значи да ће један орган сам учествовати у регулисању области КИИ, јер област информационе безбедности није могуће адекватно уредити без сарадње и доприноса што ширег круга друштвених чинилаца.

Овим законом је предвиђено формирање Тела за координацију послова информационе безбедности, које ће чинити представници релевантних државних органа, и које ће имати стручне радне групе, сачињене од представника привредних субјеката, академске заједнице, стручњака у области информационе безбедности, тако да ће у креирању политика и прописа, као и одређивања мера за превенцију и реакцију на инциденте, улогу имати више друштвених учесника из различитих структура. Координисан приступ, информације из бројних сегмената друштва и напори свих битних друштвених чинилаца у овој области знатно ће помоћи да и системи КИИ буду безбеднији и да неометано пружају своје услуге.

Милан Војводић

Дипломирани правник са фокусом на информациону безбедност. Ради у Министарству трговине, туризма и телекомуникација - Сектор за информационо друштво. Био члан делегације Р. Србије на скринингу у оквиру ПГ 10 - Информационо друштво и медији.

One Comment

  1. Pingback: Evropska agencija za bezbednost mreža i podataka ENISA | PravoIKT

Comments are closed.