Милан Војводић
Дипломирани правник са фокусом на информациону безбедност. Ради у Министарству трговине, туризма и телекомуникација – Сектор за информационо друштво. Био члан делегације Р. Србије на скринингу у оквиру ПГ 10 – Информационо друштво и медији.
Критична информациона инфраструктура: појам
Према дефиницији из Директиве 2008/114/EC о идентификацији и одређивању критичне инфраструктуре и процени потребе унапређења њене заштите, критична инфраструктура је имовина, систем или њихов део који се налази у државама чланицама Европске уније и неопходан је за одржавање виталних друштвених функција, здравља, безбедности, заштите, привредне и социјалне добробити грађана, чији би поремећај рада или чије би уништење, као последица неуспелог одржавања тих функција, могло имати знатна штетна дејства у држави чланици.
Европска унија је 2006. године покренула Европски програм за заштиту критичне инфраструктуре, у оквиру кога је и сачињена наведена директива. Опасности које могу угрозити критичну инфраструктуру могу да потичу од терористичких акција, криминалних активности, природних катастрофа и других разлога. Директивом је предвиђено да државе чланице треба да одреде конкретне субјекте који чине критичну инфраструктуру, и који су обавезни да направе планове заштите ради превенције и одговора на инциденте.
У Анексу I директиве набројане су области критичне инфраструктуре (енергетика и саобраћај), с тим што је државама чланицама остављена могућност да и у другим областима идентификују субјекте критичне инфраструктуре. Директива није уредила критичну информациону инфраструктуру.
Критична информациона инфраструктура: европска политика у овој области
Неспорно је да се у данашње време рад бројних критичних инфраструктура заснива на информационо-комуникационим (ИКТ) системима и да нарушавање безбедности ових система може да има штетне последице. Kритичнa информационa инфраструктурa састоји се од комуникационих или информационих система чија је доступност, поузданост и отпорност од суштинске важности за функционисање модерне економије, безбедности и других важних друштвених вредности. Оваква инфраструктура све чешће је предмет напада. Један од најпознатијих примера у скорије време је инцидент у нуклеарној електрани у Ирану, у чији је ИКТ систем унет вирус Стакснет (енг. Stuxnet), направљен за напад на индустријске системе, који је погодио постројења за обогаћивање уранијума. Често се помиње и напад на ИКТ системе у Естонији 2007. години, у којој је зависност критичних инфраструктура од ИКТ система прилично велика. Тада је извршен напад на сервере државних органа и банака, због чега су финансијске трансакције данима биле блокиране. Такође, услед развоја Интернета ствари, све више медицинских уређаја (хируршких и анестетичких средстава, пумпи за инфузију, пејсмејкера, дефибрилатора, лабараторијске опреме) је умрежено, што, поред корисних дејстава, представља велики безбедносни ризик за здравствене установе и пацијенте, имајући у виду да хаковање ових уређаја може довести и до смрти пацијента. Треба истаћи и да су оператори критичне информационе инфраструктуре често међусобно повезани и зависни, те напад на једног може да има штетне последице и на другог, као што је, на пример, случај са нападима на електроенергетске системе, са којим су повезани бројни други системи, или нападима на операторе електронских комуникација (операторе мобилне телефоније, Интернет провајдере и друге).
Европска комисија је 2009. године усвојила Саопштење о заштити критичне информационе инфраструктуре које садржи основна начела у овој области и акциони план, који предвиђа следећа поља која треба да се развијају:
- припремљеност и превенција,
- откривање и реакција,
- минимизација штете и опоравак,
- међународна сарадња, и
- утврђивање критеријума за европску критичну ИКТ инфраструктуру.
Две године од објављивања тог документа, Комисија је издала саопштење у коме је навела да државе чланице морају да се активније укључе у заштиту критичне информационе инфраструктуре, и да не заснивају своју политику искључиво на националном приступу, већ да међусобно сарађују. У Резолуцији Европског парламента о заштити критичне информационе инфраструктуре, донетој 2012. године, указано је да је потребно прописати минималне стандарде за припремљеност и реакцију на опструкције рада, инциденте, покушаје уништења и нападе на ИКТ системе критичних инфраструктура, и омогућити информисање о ризицима и инцидентима. Ова резолуција је имала велики утицај на политику утврђену Стратегијом информационе безбедности Европске уније и решења из Предлога директиве о мрежној и информационој безбедности.
Европска комисија и Европски савет су у тексту наведене директиве дефинисали као операторе критичне инфраструктуре оне субјекте који су од значаја за обављање виталних економских и друштвених активности у областима енергетике, саобраћаја, банкарства, берзи и здравства. Европски парламент је, путем амандмана на текст директиве, проширио ову дефиницију, додајући као операторе и инфраструктуре финансијског тржишта, средишта за размену интернета, ланце снабдевања храном, и прецизирао да су директивом обавезани само они оператори чији су ИКТ системи повезани са њиховим кључним услугама. Без обзира на то чији ће став на крају бити унет у текст директиве, извесно је да ће се овим актом питања критичне информационе инфраструктуре коначно уредити, а оператори обавезати да предузимају одговарајуће мере заштите ИКТ система и да пријављују инциденте који би могли да изазову већу опасност за рад критичних инфраструктура у оквиру Европске уније.
Безбедност система оператора електронских комуникација од великог је значаја за безбедност ИКТ система оператора критичне инфраструктуре, као и свих других лица која користе њихове услуге. Прекиди у телекомуникационим услугама, малициозни софтвери, неовлашћен приступ подацима и други ризици могу да изазову велику штету у овим системима. Директивом о заједничком правном оквиру за електронске комуникације у члановима 13. и 13а предвиђено је да државе чланице морају да обезбеде да оператори електронских комуникација предузимaју мере ради очувања безбедности и интегритета својих мрежа и услуга. Државна тела и друга квалификована тела имају право да испитају да ли оператори планирају и спроводе мере на одговарајући начин, као и да им издају обавезујуће инструкције. Оператори морају да пријављују нарушавање безбедности мрежа и услуга која имају значајан утицај на вршење њихових послова.
Стратешки и регулаторни оквир у Републици Србији
Појам критичне инфраструктуре у правним актима Републике Србије помиње се у Стратегији развоја информационог друштва у Републици Србији до 2020. године, где је у оквиру тачке 6.2. предвиђена заштита критичне инфраструктуре као један од стратешких циљева у области информационе безбедности. Констатовано је да је потребно развијати и унапређивати заштиту од напада применом информационих технологија на критичне инфраструктурне системе, што поред ИКТ система могу бити и други инфраструктурни системи којима се управља коришћењем ИКТ, попут електро-енергетског система.
Према Нацрту Закона о информационој безбедности који смо коментарисали недавно (публикацију можете преузети овде) и чије је усвајање планирано у скоријем периоду, појам критичне информационе инфраструктуре се не помиње, али закон предвиђа ИКТ системе од посебног значаја који обављају делатности од општег интереса, међу којима многи представљају критичну инфраструктуру, као што су, на пример, ИКТ системи који се користе у обављању делатности у областима енергетике, саобраћаја, производње и промета наоружавања и војне опреме, комуналних делатности, ИКТ системи у здравству и финансијским институцијама. Ови субјекти ће имати обавезе да заштите своје ИКТ системе на одговарајуће начине и да пријављују инциденте надлежним телима, чиме се жели постићи подизање нивоа припремљености оператора и заштите ИКТ система у Републици Србији.
Као што је горе наведено, безбедност мрежа и услуга оператора електронских комуникација је веома важна, те Закон о електронским комуникацијама регулише то питање, у складу са изнетим решењима из европске директиве. Такође, истичемо да је, уважавајући потребу за јасно дефинисаним процедурама у финансијском сектору, Народна банка Србије донела Одлуку о минималним стандардима управљања информационим системом финансијске институције, којом се, између осталог, уређују и минимални стандарди за управљање континуитетом пословања и опоравак активности у случају катастрофа у финансијској институцији. Одлуком су обавезане финансијске институције да донесу План континуитета пословања, као и План опоравка активности у случају катастрофа.
Чињеница да тренутно не постоји важећи системски пропис који регулише критичну информациону инфраструктуру не значи да заштита ових система не постоји, јер су такви субјекти одговорни за своје пословање по различитим основама (законским, уговорним, одговорност за штету), и у складу са тим предузимају мере заштите и својих ИКТ система. Међутим, пошто не постоји конкретно уређење критичне инфраструктуре, није познато колики број субјеката предузима мере заштите и колико су те мере опсежне и довољне. Регулација је овде важна, јер није погодно да се сваком појединачном субјекту оставља слобода да ли ће да примени мере заштите и на ком нивоу, нити се може допустити да се мере заштите уопште не примењују, што никако није друштвени интерес. Примери напада на критичну инфраструктуру у свету, као и евентуалне последице напада које могу да буду катастрофичне, захтевају да се у овој области пропишу обавезе и установи одговорност оператора критичне инфраструктуре, и да се безбедност ИКТ система развија и унапређује уз подршку свих релевантних друштвених чинилаца – надлежних институција, Националног ЦЕРТ-а, академске заједнице, стручњака у овој области, привредних субјеката и других, који би, у свом домену, утицали да се важна друштвена добра заштите.