Informaciona bezbednost u Srbiji: strateški i regulatorni okvir

Informaciona bezbednost u Srbiji

Informaciona bezbednost uopšte

Informaciona bezbednost predstavlja skup mera koje omogućavaju da IKT sistem zaštiti tajnost, integritet, raspoloživost, autentičnost i neporecivost podataka kojima se rukuje putem tog sistema i da bi taj sistem funkcionisao kako je predviđeno, kada je predviđeno i pod kontrolom ovlašćenih lica.

Informaciona bezbednost u Srbiji

Informaciona bezbednost u Srbiji je oblast u kojoj sveobuhvatno strateško i regulatorno uređenje tek treba da se uspostavi. Stoga, u narednom periodu očekuje se priprema i donošenje odgovarajuće regulative, što, pre svega, podrazumeva usvajanje Zakona o informacionoj bezbednosti i odgovarajućih podzakonskih akata. Iako taj zakon, kao sistemski u ovoj oblasti, još nije donet, u odredbama različitih zakona postoje norme koje se odnose na informacionu bezbednost, kao što su Krivični zakonik i Zakon o elektronskim komunikacijama.

Strateški prioritet

Strategija čiji je isključivi predmet informaciona bezbednost nije doneta, te je i njeno usvajanje jedan od budućih koraka koje treba preduzeti. Međutim, to ne znači da informaciona bezbednost nije utvrđena kao strateški prioritet, budući da je Strategijom razvoja informacionog društva u Republici Srbiji do 2020. godine informaciona bezbednost prepoznata kao jedna od šest prioritetnih oblasti razvoja.

U Strategiji je navedeno da razvoj i unapređenje informacione bezbednosti treba postići kroz unapređenje pravnog i institucionalnog okvira, zaštitu kritične informacione infrastrukture, borbu protiv visokotehnološkog kriminala i naučno–istraživački rad. U Strategiji nacionalne bezbednosti zaključeno je da je tendencija povećanog korišćenja informaciono-komunikacionih tehnologija praćena konstantnim povećanjem rizika od visokotehnološkog kriminala i ugrožavanja informacionih i telekomunikacionih sistema.

Neophodnost donošenja Zakona o informacionoj bezbednosti

U cilju unapređenja pravnog okvira, potrebno je, najpre, doneti Zakon o informacionoj bezbednosti. Zakonom bi trebalo da se utvrde mere koje državni organi i privatni sektor moraju da preduzmu radi očuvanja bezbednosti svojih IKT sistema. Tim odredbama bi se od njih zahtevalo postojanje plana postupanja radi prevencije incidenata u informacionim sistemima, čime bi se postiglo da se informacionoj bezbednosti prida odgovarajući značaj i predvide mere i procedure za prevenciju sajber napada.

Pored toga, u zakonu je potrebno propisati i obaveznu prijavu incidenata u informacionim sistemima u slučaju njihovog znatnog ugrožavanja i opasnosti nastanka štete, jer je širenje informacija o incidentima u IS bitno za adekvatnu prevenciju i reakciju na incidente.

Nacionalni centar za brzo reagovanje u slučaju incidenta

Takođe, važno je da se zakonom ustanovi Nacionalni centar za brzo reagovanje u slučaju incidenata vezanih za IS (engleski izraz bi bio Computer Response Emergency Team – CRET). Zakonom bi trebalo odrediti nadležnost Centra.

Centar bi bio telo čija bi prevashodna uloga bila podrška pri pojavi incidenata u IKT sistemima, kao i širenje svesti i edukacija javnosti o potrebi zaštite IKT sistema i mogućim rizicima. Prilikom izrade zakona, treba imati u vidu strateške smernice Evropske unije, a važno je pratiti i proces usvajanja Direktive o mrežnoj i informacionoj bezbednosti (NIS Directive).

Prilagođavanje Krivičnog zakonika

Što se tiče krivičnopravne materije, a u vezi sa borbom protiv visokotehnološkog kriminala, treba istaći da se u posebnoj glavi Krivičnog zakonika utvrđuju krivična dela protiv bezbednosti računarskih podataka (čl.298-304a). Propisivanjem ovih krivičnih dela je ustanovljen osnov za sankcionisanje počinilaca štetnih radnji u sajber prostoru, što je veoma značajno, budući da sajber pretnje i incidenti konstantno rastu, da mogu imati veoma štetne posledice po državu i građane, i da mogu ugroziti različita dobra, pre svega imovinu, privatnost i brojne vrste informacija. Pored krivičnih dela protiv računarskih podataka, Krivični zakonik inkriminiše i iskorišćavanje računarske mreže ili komunikacije drugim tehničkim sredstvima za izvršenje krivičnih dela protiv polne slobode prema maloletnom licu (član 185b), kao i krivična dela protiv intelektualne svojine (čl. 198-202.)

Naš zakonodavac je propisivanjem navedenih krivičnih dela usvojio rešenja iz Konvencije o visokotehnološkom kriminalu, kojom su se države potpisnice, među kojima je i Srbija, obavezale da će u svojim propisima predvideti krivična dela iz domena visokotehnološkog kriminala. Odredbe KZ-a su u većem delu usaglašene i sa Direktivom EU o napadima na informacione sisteme, a za potpunu usklađenost sa ovim aktom potrebno je pooštriti sankcije za pojedina krivična dela protiv bezbednosti računarskih programa i propisati teže oblike određenih krivičnih dela.

Informaciona bezbednost u Srbiji i princip transparentnosti

Prijavljivanje incidenata i obaveštavanje javnosti o sajber napadima predstavlja jednu od osnovnih mera politike informacione bezbednosti. Kao što smo već naveli, Zakonom o informacionoj bezbednosti trebalo bi da se uredi ko će, na koji način i pod kojim okolnostima prijavljivati incidente u IS.

Prema postojećim propisima, operatori imaju obavezu prijavljivanja incidenata u njihovim komunikacionim mrežama. Shodno Direktivi 2009/140/EC kojom je izmenjen regulatorni okvir EU u oblasti elektronskih komunikacija, naš Zakon o elektronskim komunikacijama obavezuje operatore da preduzmu sve radnje neophodne za očuvanje bezbednosti i integriteta javnih komunikacionih mreža i usluga, kao i da obaveste pretplatnike o postojanju posebnog rizika za njihovo narušavanje.

U slučaju da je takav rizik van opsega mera koje je operator dužan da primeni, operator mora da obavesti pretplatnike o mogućim merama zaštite i troškovima u vezi sa primenom tih mera. Takođe, operetor mora da obavesti RATEL o povredama bezbednosti i integriteta mreže, a posebno ako su povrede za posledicu imale narušavanje zaštite podataka o ličnosti ili narušavanje privatnosti pretplatnika ili korisnika. RATEL je ovlašćen da obavesti javnost o povredi bezbednosti i integriteta mreža i usluga, ili da traži od operatora da to sam uradi.

Zakon o elektronskom potpisu i podzakonski akti doneti na osnovu njega sadrže odredbe kojima se od strane sertifikacionih tela zahteva ispunjenje određenih tehničko-tehnoloških kriterijuma neophodnih, između ostalog, i za postizanje i očuvanje bezbednosti kvalifikovanog elektronskog sertifikata.

Na osnovu navedenog, može se zaključiti da je materija koja se odnosi na bezbednost IS obrađena u odredbama naših propisa. Isto tako je jasno da je u ovoj oblasti potrebno regulisanje na širem planu. Rizici i pretnje koje postoje u sajber prostoru treba da se shvate ozbiljno, i zato je potrebno preduzeti koordinisane i sistemske mere i aktivnosti kako bi se društvo u celini bolje pripremilo za incidente u sajber prostoru i kako bi se postigla adekvatna reakcija kada se dogodi ugrožavanje informacionih sistema.

Milan Vojvodić

Diplomirani pravnik sa fokusom na informacionu bezbednost. Radi u Ministarstvu trgovine, turizma i telekomunikacija - Sektor za informaciono društvo. Bio član delegacije R. Srbije na skriningu u okviru PG 10 - Informaciono društvo i mediji.