Kritična informaciona infrastruktura

Kritična informaciona infrastruktura

Kritična informaciona infrastruktura: pojam

Prema definiciji iz Direktive 2008/114/EC o identifikaciji i određivanju kritične infrastrukture i proceni potrebe unapređenja njene zaštite, kritična infrastruktura je imovina, sistem ili njihov deo koji se nalazi u državama članicama Evropske unije i neophodan je za održavanje vitalnih društvenih funkcija, zdravlja, bezbednosti, zaštite, privredne i socijalne dobrobiti građana, čiji bi poremećaj rada ili čije bi uništenje, kao posledica neuspelog održavanja tih funkcija, moglo imati znatna štetna dejstva u državi članici.

Evropska unija je 2006. godine pokrenula Evropski program za zaštitu kritične infrastrukture, u okviru koga je i sačinjena navedena direktiva. Opasnosti koje mogu ugroziti kritičnu infrastrukturu mogu da potiču od terorističkih akcija, kriminalnih aktivnosti, prirodnih katastrofa i drugih razloga. Direktivom je predviđeno da države članice treba da odrede konkretne subjekte koji čine kritičnu infrastrukturu, i koji su obavezni da naprave planove zaštite radi prevencije i odgovora na incidente.

U Aneksu I direktive nabrojane su oblasti kritične infrastrukture (energetika i saobraćaj), s tim što je državama članicama ostavljena mogućnost da i u drugim oblastima identifikuju subjekte kritične infrastrukture. Direktiva nije uredila kritičnu informacionu infrastrukturu.

Kritična informaciona infrastruktura: evropska politika u ovoj oblasti

Nesporno je da se u današnje vreme rad brojnih kritičnih infrastruktura zasniva na informaciono-komunikacionim (IKT) sistemima i da narušavanje bezbednosti ovih sistema može da ima štetne posledice. Kritična informaciona infrastruktura sastoji se od komunikacionih ili informacionih sistema čija je dostupnost, pouzdanost i otpornost od suštinske važnosti za funkcionisanje moderne ekonomije, bezbednosti i drugih važnih društvenih vrednosti. Ovakva infrastruktura sve češće je predmet napada. Jedan od najpoznatijih primera u skorije vreme je incident u nuklearnoj elektrani u Iranu, u čiji je IKT sistem unet virus Staksnet (eng. Stuxnet), napravljen za napad na industrijske sisteme, koji je pogodio postrojenja za obogaćivanje uranijuma.  Često se pominje i napad na IKT sisteme u Estoniji 2007. godini, u kojoj je zavisnost kritičnih infrastruktura od IKT sistema prilično velika. Tada je izvršen napad na servere državnih organa i banaka, zbog čega su finansijske transakcije danima bile blokirane. Takođe, usled razvoja Interneta stvari, sve više medicinskih uređaja (hirurških i anestetičkih sredstava, pumpi za infuziju, pejsmejkera, defibrilatora, labaratorijske opreme) je umreženo, što, pored korisnih dejstava, predstavlja veliki bezbednosni rizik za zdravstvene ustanove i pacijente, imajući u vidu da hakovanje ovih uređaja može dovesti i do smrti pacijenta. Treba istaći i da su operatori kritične informacione infrastrukture često međusobno povezani i zavisni, te napad na jednog može da ima štetne posledice i na drugog, kao što je, na primer, slučaj sa napadima na elektroenergetske sisteme, sa kojim su povezani brojni drugi sistemi, ili napadima na operatore elektronskih komunikacija (operatore mobilne telefonije, Internet provajdere i druge).

Evropska komisija je 2009. godine usvojila Saopštenje o zaštiti kritične informacione infrastrukture koje sadrži osnovna načela u ovoj oblasti i akcioni plan, koji predviđa sledeća polja koja treba da se razvijaju:

  • pripremljenost i prevencija,
  • otkrivanje i reakcija,
  • minimizacija štete i oporavak,
  • međunarodna saradnja, i
  • utvrđivanje kriterijuma za evropsku kritičnu IKT infrastrukturu.

Dve godine od objavljivanja tog dokumenta, Komisija je izdala saopštenje u kome je navela da države članice moraju da se aktivnije uključe u zaštitu kritične informacione infrastrukture, i da ne zasnivaju svoju politiku isključivo na nacionalnom pristupu, već da međusobno sarađuju.  U Rezoluciji Evropskog parlamenta o zaštiti kritične informacione infrastrukture, donetoj 2012. godine, ukazano je da je potrebno propisati minimalne standarde za pripremljenost i reakciju na opstrukcije rada, incidente, pokušaje uništenja i napade na IKT sisteme kritičnih infrastruktura, i omogućiti informisanje o rizicima i incidentima.  Ova rezolucija je imala veliki uticaj na politiku utvrđenu Strategijom informacione bezbednosti Evropske unije i rešenja iz Predloga direktive o mrežnoj i informacionoj bezbednosti.

Evropska komisija i Evropski savet su u tekstu navedene direktive definisali kao operatore kritične infrastrukture one subjekte koji su od značaja za obavljanje vitalnih ekonomskih i društvenih aktivnosti u oblastima energetike, saobraćaja, bankarstva, berzi i zdravstva. Evropski parlament je, putem amandmana na tekst direktive, proširio ovu definiciju, dodajući kao operatore i infrastrukture finansijskog tržišta, središta za razmenu interneta, lance snabdevanja hranom, i precizirao da su direktivom obavezani samo oni operatori čiji su IKT sistemi povezani sa njihovim ključnim uslugama. Bez obzira na to čiji će stav na kraju biti unet u tekst direktive, izvesno je da će se ovim aktom pitanja kritične informacione infrastrukture konačno urediti, a operatori obavezati da preduzimaju odgovarajuće mere zaštite IKT sistema i da prijavljuju incidente koji bi mogli da izazovu veću opasnost za rad kritičnih infrastruktura u okviru Evropske unije.

Bezbednost sistema operatora elektronskih komunikacija od velikog je značaja za bezbednost IKT sistema operatora kritične infrastrukture, kao i svih drugih lica koja koriste njihove usluge. Prekidi u telekomunikacionim uslugama, maliciozni softveri, neovlašćen pristup podacima i drugi rizici mogu da izazovu veliku štetu u ovim sistemima. Direktivom o zajedničkom pravnom okviru za elektronske komunikacije u članovima 13. i 13a predviđeno je da države članice moraju da obezbede da operatori elektronskih komunikacija preduzimaju mere radi očuvanja bezbednosti i integriteta svojih mreža i usluga. Državna tela i druga kvalifikovana tela imaju pravo da ispitaju da li operatori planiraju i sprovode mere na odgovarajući način, kao i da im izdaju obavezujuće instrukcije. Operatori moraju da prijavljuju narušavanje bezbednosti mreža i usluga koja imaju značajan uticaj na vršenje njihovih poslova.

Strateški i regulatorni okvir u Republici Srbiji

Pojam kritične infrastrukture u pravnim aktima Republike Srbije pominje se u Strategiji razvoja informacionog društva u Republici Srbiji do 2020. godine, gde je u okviru tačke 6.2. predviđena zaštita kritične infrastrukture kao jedan od strateških ciljeva u oblasti informacione bezbednosti. Konstatovano je da je potrebno razvijati i unapređivati zaštitu od napada primenom informacionih tehnologija na kritične infrastrukturne sisteme, što pored IKT sistema mogu biti i drugi infrastrukturni sistemi kojima se upravlja korišćenjem IKT, poput elektro-energetskog sistema.

Prema Nacrtu Zakona o informacionoj bezbednosti koji smo komentarisali nedavno (publikaciju možete preuzeti ovde) i  čije je usvajanje planirano u skorijem periodu, pojam kritične informacione infrastrukture se ne pominje, ali zakon predviđa IKT sisteme od posebnog značaja koji obavljaju delatnosti od opšteg interesa, među kojima mnogi predstavljaju kritičnu infrastrukturu, kao što su, na primer, IKT sistemi koji se koriste u obavljanju delatnosti u oblastima energetike, saobraćaja, proizvodnje i prometa naoružavanja i vojne opreme, komunalnih delatnosti, IKT sistemi u zdravstvu i finansijskim institucijama. Ovi subjekti će imati obaveze da zaštite svoje IKT sisteme na odgovarajuće načine i da prijavljuju incidente nadležnim telima, čime se želi postići podizanje nivoa pripremljenosti operatora i zaštite IKT sistema u Republici Srbiji.

Kao što je gore navedeno, bezbednost mreža i usluga operatora elektronskih komunikacija je veoma važna, te Zakon o elektronskim komunikacijama reguliše to pitanje, u skladu sa iznetim rešenjima iz evropske direktive. Takođe, ističemo da je, uvažavajući potrebu za jasno definisanim procedurama u finansijskom sektoru, Narodna banka Srbije donela Odluku o minimalnim standardima upravljanja informacionim sistemom finansijske institucije, kojom se, između ostalog, uređuju i minimalni standardi za upravljanje kontinuitetom poslovanja i oporavak aktivnosti u slučaju katastrofa u finansijskoj instituciji. Odlukom su obavezane finansijske institucije da donesu Plan kontinuiteta poslovanja, kao i Plan oporavka aktivnosti u slučaju katastrofa.

Činjenica da trenutno ne postoji važeći sistemski propis koji reguliše kritičnu informacionu infrastrukturu ne znači da zaštita ovih sistema ne postoji, jer su takvi subjekti odgovorni za svoje poslovanje po različitim osnovama (zakonskim, ugovornim, odgovornost za štetu), i u skladu sa tim preduzimaju mere zaštite i svojih IKT sistema. Međutim, pošto ne postoji konkretno uređenje kritične infrastrukture, nije poznato koliki broj subjekata  preduzima mere zaštite i koliko su te mere opsežne i dovoljne. Regulacija je ovde važna, jer nije pogodno da se svakom pojedinačnom subjektu ostavlja sloboda da li će da primeni mere zaštite i na kom nivou, niti se može dopustiti da se mere zaštite uopšte ne primenjuju, što nikako nije društveni interes. Primeri napada na kritičnu infrastrukturu u svetu, kao i eventualne posledice napada koje mogu da budu katastrofične, zahtevaju da se u ovoj oblasti propišu obaveze i ustanovi odgovornost operatora kritične infrastrukture, i da se bezbednost IKT sistema razvija i unapređuje uz podršku svih relevantnih društvenih činilaca – nadležnih institucija, Nacionalnog CERT-a, akademske zajednice, stručnjaka u ovoj oblasti, privrednih subjekata i drugih, koji bi, u svom domenu, uticali da se važna društvena dobra zaštite.

Milan Vojvodić

Diplomirani pravnik sa fokusom na informacionu bezbednost. Radi u Ministarstvu trgovine, turizma i telekomunikacija - Sektor za informaciono društvo. Bio član delegacije R. Srbije na skriningu u okviru PG 10 - Informaciono društvo i mediji.

One Comment

  1. Pingback: ENISA: analiza kritične informacione infrastrukture | PravoIKT

Comments are closed.