ENISA: analiza kritične informacione infrastrukture

Analiza kritične informacione infrastrukture

Uvod

Evropska agencija za bezbednost mreža i informacija (ENISA) objavila je na svom sajtu dokument „Procena stanja, analiza i preporuke za kritičnu informacionu infrastrukturu“. Predmet studije bilo je stanje i uređenje kritične informacione infrastrukture (u daljem tekstu: KII) u sedamnaest država članica Evropske unije i jednoj EFTA zemlji. U ovom tekstu navešćemo najznačajnije rezultate studije i preporuke koje je ENISA izdala zemljama članicama EU.

Kontekst kritične informacione infrastrukture

Informatizacija društva uticala je i na različite vitalne sisteme (energetiku, saobraćaj, proizvodnju hrane, finansijski sektor, itd) čije su usluge veoma važne za društvo, i u kojima se operatori sve više oslanjaju na informaciono-komunikacione tehnologije i automatizuju svoje poslovne procese. Pravo treba da uredi ovu oblast tako da građani i društvo mogu da se pouzdaju u ove sisteme. Oni moraju da budu dovoljno bezbedni, što se može postići saradnjom svih relevantnih učesnika i preduzimanjem odgovarajućih zaštitnih mera.

Pre nego se upustimo u analizu i značaj dokumenta koji je objavila ENISA, za napomenimo da smo pojam kritična informaciona struktura već obradili. Zapravo, serija tekstova koja se odnosi na širi kontekst vezan za pojam kritične informacione strukture obuhvata sledeće naslove:

Organi nadležni za KII

Tipovi institucija koji su nadležni za uređenje i obavljanje poslova u oblasti KII razlikuju se među državama EU. Pri tom, u određenom broju država članica ova nadležnost je podeljena među više organa, koji u svom sektoru utvrđuju zasebna pravila (nadležni organi za energetiku, saobraćaj, bankarstvo, itd). Ipak, bez obzira na sistem koji je usvojen u određenoj državi, uglavnom se može identifikovati jedno telo koje se smatra vodećim i koje je nosilac koordinacije.

Najveći broj država na koje se izveštaj odnosi, njih sedam, za nadležno telo odredili su javne agencije ili organe uprave u okviru ministarstava koje imaju veliku samostalnost. Te organizacije su istovremeno i nadležna tela za informacionu bezbednost u svojim zemljama, što govori da se neretko smatra da poslove koji se odnose na zaštitu KII treba povezati sa delokrugom informacione bezbednosti.

Zatim, pet zemalja je kao nadležni organ odredilo telo za vanredne situacije, što se može povezati sa činjenicom da je KII podkategorija kritične infrastrukture, i da ova tela imaju iskustvo i mehanizme za organizovanje u slučaju velikih incidenata. U četiri zemlje nadležni organ je nacionalno regulatorno telo, zbog toga što je poželjno da, kako se u studiji navodi, poslove vezane za KII obavljaju zaposleni koji dobro poznaju informacione tehnologije, ali i strukturu i poslovanje operatora KII.

Poslovi organa nadležnih za KII

U najvećem broju slučajeva, nadležni organi obavljaju sledeće poslove:

  • poslove kontakt tačke za obaveštavanje o incidentima;
  • organizovanje i sprovođenje vežbi i treninga;
  • savetovanje operatora KII (javnih i privatnih);
  • reagovanje na incidente.

Polovina nadležnih organa u ispitanim zemljama se bavi i izradom strategija, propisa, smernica u oblasti KII, nadzora nad Nacionalnim CERT-om i praćenjem primene bezbednosnih mera.

Prijava incidenata

Prijava incidenata u sistemima KII je obavezna za telekomunikacione operatere u skoro svim zemljama, što je i zahtev iz Direktive EU 2009/140 kojom je izmenjen regulatorni okvir elektronskih komunikacija.

Mali broj zemalja (5), među kojima je i Nemačka, zahteva prijavu incidenata od strane KII u svim sektorima. Ove zemlje su, takođe, obavezale sve operatore KII da preduzimaju bezbednosne mere predviđene propisima. Međutim, veći broj zemalja se opredelio za pristup koji nije sveobuhvatan, tako što se prijava incidenata, kao i primena obaveznih bezbednosnih mera, zahteva samo od strane operatora u određenim sektorima (najčešće u finansijskom i energetskom sektoru, kao i u organima javne vlasti).

Bezbednosne provere

Prema navodima studije, izgleda da su bezbednosne provere KII najniži prioritet, jer čak šest zemalja nije obavezalo operatore da ih vrše, a u pet zemalja obaveza bezbednosnih provera je propisana samo za pojedine sektore.

Podsticaji za ulaganje u bezbednost KII

Države se ne opredeljuju za davanje podsticaja (poreskih olakšica, subvencija) onim operatorima koji ulažu u bezbednost svojih sistema. Izuzetak je Finska, u kojoj kompanije koji investiraju u bezbednost KII imaju pravo na oslobađanje od poreza, pod određenim uslovima.

Modeli uređenja oblasti KII

Države članice na različit način, u skladu sa svojim sistemom i potrebama, uređuju oblast KII, pri čemu se misli na pristup određivanja nadležnosti i obuhvatanje regulative.

Razlikuju se tri modela uređenja: decentralizovan, centralizovan i koregulacija sa privatnim sektorom.

Decentralizovani model uređenja KII

Decentralizovan model podrazumeva podelu nadležnosti državnih organa u oblasti KII, tako da svaki resor uređuje sopstvena pravila za sisteme koji su u njegovoj nadležnosti, i to putem zakona iz konkretne oblasti. Decentralizovan model karakterišu princip supsidijarnosti, čvrsta saradnja između državnih organa i operatora, kao i regulativa koja je specifična za svaki pojedinačni sektor. Ne postoji organ koji je pretežno nadležan, već je svaki resorni organ zadužen za uređenje u svojoj oblasti (na primer, Ministarstvo energetike za operatore električne energije, Ministarstvo finansija za finansijske institucije itd), pri čemu su obaveze operatora KII regulisane zakonima iz svake konkretne oblasti (npr. propisi u oblasti bankarstva, energetike, saobraćaja, državne uprave).

Dešava se i da sami operatori KII regulišu svoj sistem, bez uticaja države. Nadležna tela čvrsto i intenzivno sarađuju, s obzirom da ne postoji centralizovani organ, i okupljaju se u posebnim savetima, koji nemaju izvršna ovlašćenja i ne mogu nalagati obavezno postupanje. Kako se u svakom sektoru donose posebni propisi, obaveze operatora KII su na različitim nivoima. Decentralizovan model prisutan je u većini ispitanih zemalja. Dobar primer ovakvog modela je Švedska, gde je nadležnost podeljena između državnih organa, među kojima su Švedska agencija za civilnu zaštitu, Švedska poštanska i telekomunikaciona agencija, kao i nekoliko švedskih bezbednosnih, vojnih i regulatornih institucija.

Centralizovani model uređenja KII

Centralizovan model podrazumeva postojanje jednog nadležnog državnog organa za KII, kao i propisa koji se odnose na sve operatore KII, bez obzira na konkretan sektor. Države koje primenjuju ovaj model određuju nadležni organ, koji priprema propise za KII iz svih sektora, prima obaveštenja o incidentima, priprema strategije i planove zaštite i pruža podršku privatnim operatorima. Propisi u oblasti KII odnose se na subjekte iz svih sektora KII. Primer ovakvog uređenja je Francuska, gde je nadležno telo Nacionalna agencija za bezbednost informacionih sistema, koja ima jaka nadzorna ovlašćenja nad operatorima KII od posebnog značaja. U slučaju incidenta u KII, agencija može da naloži operatorima da reaguju na napad u skladu sa njenim instrukcijama. U okviru ove agencije nalazi se francuski CERT. Što se tiče regulative, u Francuskoj je odavno uspostavljena lista operatora KII od posebnog značaja, a zakonom iz 2013. godine propisane su obavezne mere zaštite koje operatori moraju da preduzmu, kao i prijave incidenata. Zakon se primenjuje bez izuzetka na sve sektore KII.

Centralizovan model upravljanja predstavlja izuzetak, ali njegove karakteristike mogu da se nađu i u drugim zemljama, kao što su Češka (koji ima centralizovan nadležni organ) i Nemačka (koja ima propis za sve sektore KII).

Koregulacija sa privatnim sektorom

Model koregulacije sa privatnim sektorom zasnovan je na institucionalizovanoj saradnji sa privatnim sektorom i horizontalnom odnosu javnih organa i privatnog sektora. Odnosi se uređuju po principima javno-privatnog partnerstva, u okviru koga se zaključuje sporazum, na osnovu kojeg svaka strana obezbeđuje određene resurse (države najčešće novac, a privatni subjekti ekspertizu i efikasnost).

U ovakvom modelu ne postoji striktna regulativa, već se aktivnosti preduzimaju u skladu sa zajedničkim dogovorom javnog i privatnog sektora.

Primer za ovakav model je Holandija. U njoj je nadležno telo Nacionalni centar za informacionu bezbednost, koji je centar za razmenu informacija i ekspertizu u okviru Nacionalnog koordinatora za bezbednost i za borbu protiv terorizma. Ovaj centar je zasnovan na saradnji između javnog i privatnog sektora, iz koje su nastali centri za razmenu informacija i analize i Telo za reagovanje na incidente, koje analizira situaciju tokom kriznih situacija ili pretnji. Saradnja je zasnovana na jednakosti i međusobnom poverenju. Učesnici informacije dele na dobrovoljnoj bazi, i ne postoje nikakve obaveze u tom pogledu. Operatori KII ne moraju da prijavljuju incidente u njihovim sistemima. Ipak, određene čvršće obaveze za operatore KII postoje u telekomunikacionom i nuklearnom sektoru.

ENISA: preporuke u vezi kritične informacione infrastrukture

Na osnovu izvršene analize, ENISA je formulisala više preporuka koje bi države članice trebale da imaju u vidu. Konstatovano je da je potrebno povećati saradnju institucija sa privatnim subjektima, i to ne samo sa operatorima KII, već i onima (udruženjima, fakultetima, akademijama, sektorskim CERT-ovima) koji svojim stručnim znanjem mogu da pomognu unapređenju sistema. ENISA smatra da je sistem upravljanja KII potrebno uskladiti sa sistemom reakcije na vanredne situacije, koji već postoji i razvijen je u svim državama. Prijava incidenta u sistemima KII treba da bude obavezna za sve sektore, jer se u tom slučaju mobiliše veći broj aktera koji pomažu u reakciji, obaveštava se javnost o opasnostima koje mogu da se prošire i na druge sisteme, podiže se informisanost o stanju informacione bezbednosti i u skladu sa tim pripremaju adekvatnije strategije, politike i propisi. Potrebno je sačinjavati nacionalne procene rizika, i tako obuhvatiti sve moguće pretnje koje mogu da ugroze bezbednost KII. ENISA poziva države članice da razmotre mogućnost da se subvencijama ili poreskim olakšicama podstaknu oni koji ulažu u bezbednost KII.

ENISA preporučuje Evropskoj komisiji da obezbedi da KII u državama članicama preduzimaju određene bezbednosne mere, kao i da države izrade odgovarajuće strategije, propise i procene rizika. Poziva se Evropska komisija i da identifikuje evropsku KII kroz propise. U tom smislu, praznine će se popuniti donošenjem Direktive o mrežnoj i informacionoj bezbednosti EU, o kojoj smo pisali u jednom od prethodnih tekstova.

Zakon o informacionoj bezbednosti – okvir za uređenje KII

Donošenjem Zakona o informacionoj bezbednosti uspostavljen je i okvir za KII u Republici Srbiji. Zakon definiše IKT sisteme od posebnog značaja, koji će morati da preduzmu adekvatne tehničke i organizacione mere zaštite svojih IKT sistema.

Među ovim sistemima nalaze se oni od opšteg interesa, koji potpadaju pod KII, i koji će se bliže urediti podzakonskim aktom Vlade. Nadležni organ je ministarstvo nadležno za poslove informacione bezbednosti (prema važećem Zakonu o ministarstvima, za informacionu bezbednost je nadležno Ministarstvo trgovine, turizma i telekomunikacija), čime se Srbija opredelila za model uređenja regulative i politike KII koji ima karakteristike centralizovanog modela. Međutim, to ne znači da će jedan organ sam učestvovati u regulisanju oblasti KII, jer oblast informacione bezbednosti nije moguće adekvatno urediti bez saradnje i doprinosa što šireg kruga društvenih činilaca.

Ovim zakonom je predviđeno formiranje Tela za koordinaciju poslova informacione bezbednosti, koje će činiti predstavnici relevantnih državnih organa, i koje će imati stručne radne grupe, sačinjene od predstavnika privrednih subjekata, akademske zajednice, stručnjaka u oblasti informacione bezbednosti, tako da će u kreiranju politika i propisa, kao i određivanja mera za prevenciju i reakciju na incidente, ulogu imati više društvenih učesnika iz različitih struktura. Koordinisan pristup, informacije iz brojnih segmenata društva i napori svih bitnih društvenih činilaca u ovoj oblasti znatno će pomoći da i sistemi KII budu bezbedniji i da neometano pružaju svoje usluge.

Milan Vojvodić

Diplomirani pravnik sa fokusom na informacionu bezbednost. Radi u Ministarstvu trgovine, turizma i telekomunikacija - Sektor za informaciono društvo. Bio član delegacije R. Srbije na skriningu u okviru PG 10 - Informaciono društvo i mediji.

One Comment

  1. Pingback: Evropska agencija za bezbednost mreža i podataka ENISA | PravoIKT

Comments are closed.