ЕНИСА - индикатори безбедносних инцидената

ЕНИСА: Индикатори безбедносних инцидената

Дипломирани правник са фокусом на информациону безбедност. Ради у Министарству трговине, туризма и телекомуникација – Сектор за информационо друштво. Био члан делегације Р. Србије на скринингу у оквиру ПГ 10 – Информационо друштво и медији.

ЕНИСА и мерење утицаја инцидената

Европска агенција за безбедност мрежа и података (ЕНИСА) објавила је студију „Индикатори безбедносних инцидената – мерење утицаја инцидената који значајно погађају електронске комуникације“, чија је намена проучавање оних ситуација према чијим се својствима и интензитету одређује критичност инцидента у јавним комуникационим мрежама и услугама. Студија је вршена тако што је ЕНИСА анкетирала двадесет две регулаторне агенције за електронске комуникације у ЕУ и двадесет седам оператера електронских комуникација. У овом тексту навешћемо најбитнија сазнања до којих се дошло у овој студији, односно набројати индикаторе који доводе до пријаве критичних инцидената у мрежама оператeра електронских комуникација.
Претходно, ЕНИСА је објавила техничке смернице за извештавање о инцидентима, о којима смо раније писали.

Обавезе оператера електронских комуникација

Према Директиви ЕУ 2009/140/EC којом је измењен регулаторни оквир електронских комуникација, оператeри електронских комуникација дужни су да предузму одговарајуће техничке и организационе мере како би на одговарајући начин управљали ризицима који могу да угрозе безбедност мрежа и услуга. Мере треба да омогуће да се минимизирају последице инцидента на кориснике и међуповезане мреже. Оператери морају да гарантују за интегритет њихових мрежа и да обезбеде континуитет пружања услуга.
Оператери су дужни да обавештавају регулаторне агенције о повредама безбедности или губитку интегритета које имају значајан утицај на несметан рад мрежа и услуга.

Индикатори инцидената који значајно утичу на рад мрежа и пружање услуга

Анализирајући одговоре регулаторних агенција и оператера на питања дата у истраживању, закључено је да они немају битно различите погледе о индикаторима на основу којих се мери значај инцидента. Може се рећи да постоји сагласност да два индикатора увек указују на инцидент са великим последицама, а то је случај када је велики број корисника под утицајем инцидента, односно када инцидент траје дужи временски период.

    Број корисника на које инцидент утиче

Број корисника на који инцидент утиче је препознат као један од два индикатора који се користи при одређивању озбиљности инцидента. Приликом овог мерења, одвојено се посматрају корисници фиксне и мобилне телефоније, имајући у виду да је тешко применити заједнички метод и за једне и за друге. Број корисника фиксне телефоније (и интернета) на које инцидент утиче је релативно лако одредити, с обзиром да је чест случај да једну линију употребљава један корисник. Међутим, није редак случај и да једну линију користи више корисника (што је случај код правних лица), тако да и овде постоје одређене потешкоће у утврђивању броја корисника на које инцидент утиче. Код мобилне телефоније, отежано је утврђивање броја корисника који је погођен инцидентом, с обзиром да постоје корисници који употребљавају услуге више од једног оператора (од којих је само један погођен), и да мобилна телефонија нуди много више услуга, па је питање према којим услугама одредити значај инцидента.

При утврђивању озбиљности инцидента, ЕНИСА препоручује оператерима да размотре број становника који живе у области у којој се десио инцидент, или да се воде тржишним уделом који имају у одређеној области, односно на који начин је инфраструктура постављена у погођеном подручју. Неке од регулаторних агенција траже од оператера да процене разлику и интензитет мрежног саобраћаја и помноже је са бројем СИМ картица по формули: (саобраћај 7 дана пре инцидента – саобраћај на дан инцидента) x број СИМ картица = број СИМ картица који је угрожен. Поједини оператери као индикатор користе и просечан број корисника који употребљава одређену базну станицу.

    Трајање инцидента

Трајање инцидента је други индикатор који се увек користи при утврђивању критичности инцидента. Период инцидента се рачуна од његовог почетка до тренутка потпуног опоравка мреже.
Приликом утврђивања озбиљности инцидента, узима се у обзир када се он десио. Инциденти који се дешавају радним данима имају различит утицај у односу на оне које се дешавају викендом. Такође, није исто када се инцидент дешава дању и када се дешава ноћу, када је интензитет саобраћаја мањи.
Провајдери понекад имају тешкоће да процене када је инцидент започео, јер се тренутак почетка може разликовати од тренутка када се за инцидент сазнало. Такође, у недоумици су да ли је за оцену тренутка престанка трајања инцидента релевантан опоравак појединих сервиса или опоравак свих сервиса. Поред тога, нису сигурни да ли би тренутак опадања квалитета услуга мреже (нпр. слабији сигнал) требало сматрати као значајан инцидент. Препорука је да се слабљење сервиса испод минималних параметара сматра за тренутак који је релевантан за мерење периода инцидента.

    Географски фактори

Мерење значаја инцидента може да се изврши према различитим критеријумима који се односе на географске факторе (површину територије која је обухваћена инцидентом, проценат покривености територије), као и мерењем односа броја корисника и услуга према површини територије на коју инцидент утиче.

    Врста услуге која је погођена

Регулаторне агенције често траже од оператера да им доставе податке о врсти услуга које су онемогућене, како би се проценио значај инцидента. Прекид сервиса фиксне телефоније или интернета процентуално се најчешће пријављује, док се прекид мобилне телефоније или интернета пријављује у нешто мањем проценту.

    Утицај на доступност бројева за хитне позиве

Инцидент је значајан и када он утиче на доступност бројева за хитне позиве (полиција, ватрогасци, хитна помоћ). С обзиром да прекид фиксне и мобилне телефоније не мора увек да утиче на доступност броја за хитне позиве, и обратно, препоручује се да се као индикатор користи број корисника који није у могућности да позове број за хитне позиве.

    Економски утицај инцидента

Економски утицај који инцидент има на оператере у неким државама се сматра релевантним за мерење инцидента, најчешће у случајевима када опоравак од инцидента захтева велике трошкове, а понекад у ситуацијама када оператер има велике губитке прихода услед инцидента, или губи одређен удео у тржишту.

    Утицај на поверљивост, доступност и интегритет података

Уколико инцидент има утицаја на доступност информација, велики број регулаторних агенција и оператера сматра да се ради о значајним инцидентима. Такође, инциденти могу да утичу на губитак интегритета, односно неовлашћен приступ информацијама, ипак, такав индикатор се не користи претерано често.

Утврђивање узрока инцидента

Познавање разлога који су довели до инцидента је веома значајно, и може да помогне да оператери одговоре на инцидент на прави начин, и предузму мере да се инцидент не понови. Узроци инцидента могу да се налазе у људским грешкама, паду система, природним непогодама, пропуста фирми које је ангажовао оператер, као и у злонамерним нападима на мрежу.

Препоруке и закључци ЕНИСЕ

Према спроведеном истраживању, најчешћи индикатори који се користе за одређивање значаја инцидента су број корисника на који инцидент утиче и дужина трајања инцидента. Као индикатор често се користи и број сервиса који је погођен. Комбинација различитих индикатора свакако може довести до најпотпунијих и најпрецизнијих закључака о критичности инцидента.

Регулаторним агенцијама и оператерима се препоручује да се инциденти мере путем дефинисаних скала, као и да користе различите ознаке зависно од типа инцидента (на пример, „црвени“, „жути“ и „зелени“ степен критичности ). Такође, ЕНИСА указује да би „значај корисника“ могао да се користи као индикатор, односно да би требало водити рачуна ко је погођен инцидентом. Иако регулаторне агенције не употребљавају овај индикатор, утврђено је да већина оператера ипак има „специјалне кориснике“ за које постоје додатни безбедносни протоколи, као што су државни органи који рукују осетљивим подацима и критична инфраструктура (као, на пример, банкарска информациона инфраструктура).

Утврђено је и да крајњи корисници често немају информације о инцидентима, и да могућност информисања постоји тек путем годишњих извештаја регулатора. Препоручује се да се крајњи корисници укључе, да буду чешће обавештавани о инцидентима, посебно када се ради о прекиду мрежа и услуга у критичној инфраструктури.

Примена у Србији

Закон о електронским комуникацијама обавезује оператере да обавесте регулаторно тело ( РАТЕЛ) о свакој повреди безбедности и интегритета јавних комуникационих мрежа и услуга, која је значајно утицала на њихов рад, а нарочито о повредама које су имале за последицу нарушавање заштите података о личности или нарушавање приватности претплатника и корисника. Оператери су дужни да обавесте претплатнике када постоји посебан ризик повреде безбедности и интегритета јавних комуникационих мрежа и услуга, и, ако је такав ризик ван опсега мера које је оператор дужан да примени, да их обавести о могућим мерама заштите и трошковима у вези са применом тих мера.

Закон не оставља простор за доношење подзаконског акта којим би се ближе уредили значај и врста инцидената које треба пријавити, али би у будућим изменама закона могло да се размотри то питање. Приликом израде подзаконског акта требало би узети у обзир закључке до којих је дошла ЕНИСА у истраживању које смо обрадили. Доношење подзаконског акта је неопходно и због усклађивања нашег права са правом Европске уније, с обзиром да је чланом 13б горе наведене Директиве 2009/140 предвиђено да државе чланице треба да донесу обавезујућа упутства у вези са применом одредаба о безбедности и интегритету мрежа. Пре доношења таквог акта, оператери би свакако могли да се приликом одређивања критичности инцидента воде индикаторима који су описани у истраживању ЕНИСА, и то пре свега према индикаторима који се најчешће користе – броју корисника који је погођен инцидентом и дужином трајања инцидента. Приликом утврђивања показатеља за критичност инцидената, регулаторно тело и оператери би требало да међусобно сарађују, што ЕНИСА оцењује као добру праксу која води до најоптималнијих решења.