ENISA: Indikatori bezbednosnih incidenata

ENISA Indikatori bezbednosnih incidenata

ENISA i merenje uticaja incidenata

Evropska agencija za bezbednost mreža i podataka (ENISA) objavila je studiju „Indikatori bezbednosnih incidenata – merenje uticaja incidenata koji značajno pogađaju elektronske komunikacije“, čija je namena proučavanje onih situacija prema čijim se svojstvima i intenzitetu određuje kritičnost incidenta u javnim komunikacionim mrežama i uslugama. Studija je vršena tako što je ENISA anketirala dvadeset dve regulatorne agencije za elektronske komunikacije u EU i dvadeset sedam operatera elektronskih komunikacija. U ovom tekstu navešćemo najbitnija saznanja do kojih se došlo u ovoj studiji, odnosno nabrojati indikatore koji dovode do prijave kritičnih incidenata u mrežama operatera elektronskih komunikacija.
Prethodno, ENISA je objavila tehničke smernice za izveštavanje o incidentima, o kojima smo ranije pisali.

Obaveze operatera elektronskih komunikacija

Prema Direktivi EU 2009/140/EC kojom je izmenjen regulatorni okvir elektronskih komunikacija, operateri elektronskih komunikacija dužni su da preduzmu odgovarajuće tehničke i organizacione mere kako bi na odgovarajući način upravljali rizicima koji mogu da ugroze bezbednost mreža i usluga. Mere treba da omoguće da se minimiziraju posledice incidenta na korisnike i međupovezane mreže. Operateri moraju da garantuju za integritet njihovih mreža i da obezbede kontinuitet pružanja usluga.
Operateri su dužni da obaveštavaju regulatorne agencije o povredama bezbednosti ili gubitku integriteta koje imaju značajan uticaj na nesmetan rad mreža i usluga.

Indikatori incidenata koji značajno utiču na rad mreža i pružanje usluga

Analizirajući odgovore regulatornih agencija i operatera na pitanja data u istraživanju, zaključeno je da oni nemaju bitno različite poglede o indikatorima na osnovu kojih se meri značaj incidenta. Može se reći da postoji saglasnost da dva indikatora uvek ukazuju na incident sa velikim posledicama, a to je slučaj kada je veliki broj korisnika pod uticajem incidenta, odnosno kada incident traje duži vremenski period.

    Broj korisnika na koje incident utiče

Broj korisnika na koji incident utiče je prepoznat kao jedan od dva indikatora koji se koristi pri određivanju ozbiljnosti incidenta. Prilikom ovog merenja, odvojeno se posmatraju korisnici fiksne i mobilne telefonije, imajući u vidu da je teško primeniti zajednički metod i za jedne i za druge. Broj korisnika fiksne telefonije (i interneta) na koje incident utiče je relativno lako odrediti, s obzirom da je čest slučaj da jednu liniju upotrebljava jedan korisnik. Međutim, nije redak slučaj i da jednu liniju koristi više korisnika (što je slučaj kod pravnih lica), tako da i ovde postoje određene poteškoće u utvrđivanju broja korisnika na koje incident utiče. Kod mobilne telefonije, otežano je utvrđivanje broja korisnika koji je pogođen incidentom, s obzirom da postoje korisnici koji upotrebljavaju usluge više od jednog operatora (od kojih je samo jedan pogođen), i da mobilna telefonija nudi mnogo više usluga, pa je pitanje prema kojim uslugama odrediti značaj incidenta.

Pri utvrđivanju ozbiljnosti incidenta, ENISA preporučuje operaterima da razmotre broj stanovnika koji žive u oblasti u kojoj se desio incident, ili da se vode tržišnim udelom koji imaju u određenoj oblasti, odnosno na koji način je infrastruktura postavljena u pogođenom području. Neke od regulatornih agencija traže od operatera da procene razliku i intenzitet mrežnog saobraćaja i pomnože je sa brojem SIM kartica po formuli: (saobraćaj 7 dana pre incidenta – saobraćaj na dan incidenta) x broj SIM kartica = broj SIM kartica koji je ugrožen. Pojedini operateri kao indikator koriste i prosečan broj korisnika koji upotrebljava određenu baznu stanicu.

    Trajanje incidenta

Trajanje incidenta je drugi indikator koji se uvek koristi pri utvrđivanju kritičnosti incidenta. Period incidenta se računa od njegovog početka do trenutka potpunog oporavka mreže.
Prilikom utvrđivanja ozbiljnosti incidenta, uzima se u obzir kada se on desio. Incidenti koji se dešavaju radnim danima imaju različit uticaj u odnosu na one koje se dešavaju vikendom. Takođe, nije isto kada se incident dešava danju i kada se dešava noću, kada je intenzitet saobraćaja manji.
Provajderi ponekad imaju teškoće da procene kada je incident započeo, jer se trenutak početka može razlikovati od trenutka kada se za incident saznalo. Takođe, u nedoumici su da li je za ocenu trenutka prestanka trajanja incidenta relevantan oporavak pojedinih servisa ili oporavak svih servisa. Pored toga, nisu sigurni da li bi trenutak opadanja kvaliteta usluga mreže (npr. slabiji signal) trebalo smatrati kao značajan incident. Preporuka je da se slabljenje servisa ispod minimalnih parametara smatra za trenutak koji je relevantan za merenje perioda incidenta.

    Geografski faktori

Merenje značaja incidenta može da se izvrši prema različitim kriterijumima koji se odnose na geografske faktore (površinu teritorije koja je obuhvaćena incidentom, procenat pokrivenosti teritorije), kao i merenjem odnosa broja korisnika i usluga prema površini teritorije na koju incident utiče.

    Vrsta usluge koja je pogođena

Regulatorne agencije često traže od operatera da im dostave podatke o vrsti usluga koje su onemogućene, kako bi se procenio značaj incidenta. Prekid servisa fiksne telefonije ili interneta procentualno se najčešće prijavljuje, dok se prekid mobilne telefonije ili interneta prijavljuje u nešto manjem procentu.

    Uticaj na dostupnost brojeva za hitne pozive

Incident je značajan i kada on utiče na dostupnost brojeva za hitne pozive (policija, vatrogasci, hitna pomoć). S obzirom da prekid fiksne i mobilne telefonije ne mora uvek da utiče na dostupnost broja za hitne pozive, i obratno, preporučuje se da se kao indikator koristi broj korisnika koji nije u mogućnosti da pozove broj za hitne pozive.

    Ekonomski uticaj incidenta

Ekonomski uticaj koji incident ima na operatere u nekim državama se smatra relevantnim za merenje incidenta, najčešće u slučajevima kada oporavak od incidenta zahteva velike troškove, a ponekad u situacijama kada operater ima velike gubitke prihoda usled incidenta, ili gubi određen udeo u tržištu.

    Uticaj na poverljivost, dostupnost i integritet podataka

Ukoliko incident ima uticaja na dostupnost informacija, veliki broj regulatornih agencija i operatera smatra da se radi o značajnim incidentima. Takođe, incidenti mogu da utiču na gubitak integriteta, odnosno neovlašćen pristup informacijama, ipak, takav indikator se ne koristi preterano često.

Utvrđivanje uzroka incidenta

Poznavanje razloga koji su doveli do incidenta je veoma značajno, i može da pomogne da operateri odgovore na incident na pravi način, i preduzmu mere da se incident ne ponovi. Uzroci incidenta mogu da se nalaze u ljudskim greškama, padu sistema, prirodnim nepogodama, propusta firmi koje je angažovao operater, kao i u zlonamernim napadima na mrežu.

Preporuke i zaključci ENISE

Prema sprovedenom istraživanju, najčešći indikatori koji se koriste za određivanje značaja incidenta su broj korisnika na koji incident utiče i dužina trajanja incidenta. Kao indikator često se koristi i broj servisa koji je pogođen. Kombinacija različitih indikatora svakako može dovesti do najpotpunijih i najpreciznijih zaključaka o kritičnosti incidenta.

Regulatornim agencijama i operaterima se preporučuje da se incidenti mere putem definisanih skala, kao i da koriste različite oznake zavisno od tipa incidenta (na primer, „crveni“, „žuti“ i „zeleni“ stepen kritičnosti ). Takođe, ENISA ukazuje da bi „značaj korisnika“ mogao da se koristi kao indikator, odnosno da bi trebalo voditi računa ko je pogođen incidentom. Iako regulatorne agencije ne upotrebljavaju ovaj indikator, utvrđeno je da većina operatera ipak ima „specijalne korisnike“ za koje postoje dodatni bezbednosni protokoli, kao što su državni organi koji rukuju osetljivim podacima i kritična infrastruktura (kao, na primer, bankarska informaciona infrastruktura).

Utvrđeno je i da krajnji korisnici često nemaju informacije o incidentima, i da mogućnost informisanja postoji tek putem godišnjih izveštaja regulatora. Preporučuje se da se krajnji korisnici uključe, da budu češće obaveštavani o incidentima, posebno kada se radi o prekidu mreža i usluga u kritičnoj infrastrukturi.

Primena u Srbiji

Zakon o elektronskim komunikacijama obavezuje operatere da obaveste regulatorno telo ( RATEL) o svakoj povredi bezbednosti i integriteta javnih komunikacionih mreža i usluga, koja je značajno uticala na njihov rad, a naročito o povredama koje su imale za posledicu narušavanje zaštite podataka o ličnosti ili narušavanje privatnosti pretplatnika i korisnika. Operateri su dužni da obaveste pretplatnike kada postoji poseban rizik povrede bezbednosti i integriteta javnih komunikacionih mreža i usluga, i, ako je takav rizik van opsega mera koje je operator dužan da primeni, da ih obavesti o mogućim merama zaštite i troškovima u vezi sa primenom tih mera.

Zakon ne ostavlja prostor za donošenje podzakonskog akta kojim bi se bliže uredili značaj i vrsta incidenata koje treba prijaviti, ali bi u budućim izmenama zakona moglo da se razmotri to pitanje. Prilikom izrade podzakonskog akta trebalo bi uzeti u obzir zaključke do kojih je došla ENISA u istraživanju koje smo obradili. Donošenje podzakonskog akta je neophodno i zbog usklađivanja našeg prava sa pravom Evropske unije, s obzirom da je članom 13b gore navedene Direktive 2009/140 predviđeno da države članice treba da donesu obavezujuća uputstva u vezi sa primenom odredaba o bezbednosti i integritetu mreža. Pre donošenja takvog akta, operateri bi svakako mogli da se prilikom određivanja kritičnosti incidenta vode indikatorima koji su opisani u istraživanju ENISA, i to pre svega prema indikatorima koji se najčešće koriste – broju korisnika koji je pogođen incidentom i dužinom trajanja incidenta. Prilikom utvrđivanja pokazatelja za kritičnost incidenata, regulatorno telo i operateri bi trebalo da međusobno sarađuju, što ENISA ocenjuje kao dobru praksu koja vodi do najoptimalnijih rešenja.

Milan Vojvodić

Diplomirani pravnik sa fokusom na informacionu bezbednost. Radi u Ministarstvu trgovine, turizma i telekomunikacija - Sektor za informaciono društvo. Bio član delegacije R. Srbije na skriningu u okviru PG 10 - Informaciono društvo i mediji.