NALED: Novi Zakon o informacionoj bezbednosti

Poslednjih godinu dana jako su učestali napadi na najznačajniju državnu IT infrastrukturu, počevši od hakerskih napada na Republički geodetski zavod prošle godine do ovogodišnjeg napada na Agenciju za privredne registre. Podsetimo, ove institucije čuvaju podatke kojima se garantuje pravo svojine na pokretnoj i nepokretnoj imovini, podatke o privredi.  Upravo u cilju efikasnije zaštite podataka državnih organa, građana i privrede od sajber napada i pravovremenog reagovanja na incidente, Srbija bi uskoro trebalo da dobije novu instituciju – Kancelariju za informacionu bezbednost. To je jedna od ključnih novina izmenjenog Zakona o informacionoj bezbednosti čije se usvajanje očekuje tokom jeseni, nakon prolaska kroz skupštinsku proceduru.foto:NALED

– Novi Zakon ima za cilj da podstakne i omogući sistemsko rešavanje pitanja informacione bezbednosti u Srbiji i doprinese prevazilaženju dosadašnjih izazova poput nedovoljnog broja adekvatno obučenih ljudi za inspekcijski nadzor, nepotpune usklađenosti sa evropskom regulativom i nedostatka kapaciteta za otkrivanje i pravovremeno reagovanje na incidente. Pored toga, dosadašnja praksa je pokazala neophodnost formiranja nacionalne platforme za brzo otkrivanje napada, incidenata, koordinisanog i pravovremenog otkrivanja ranjivosti informaciono-komunikacionih sistema (IKT) – izjavila je Jelena Mićić, savetnica u NALED-u.

Kancelarija za IT i eUpravu i NALED su još 2018. godine testirali IT bezbednost podataka građana na lokalu. Analiza sprovedena u okviru tog projekta je pokazala da od 63 lokalne samouprave u Srbiji gotovo polovina nema odgovarajući propis o procedurama za informacionu bezbednost, i upravo će izmenom Zakona o informacionoj bezbednosti biti omogućeno da se veći kapaciteti ulože u zaštitu mreža, sistema i podataka i na lokalnom nivou.

– Među najčešće prijavljenim incidentima tokom prethodne godine posebno se izdvajaju skeniranje portova, zatim pokušaj otkrivanja kredencijala odnosno korisničkog imena i lozinke, kao i pokušaj iskorišćavanja ranjivosti sistema. Jasno je da opasnosti koje vrebaju u onlajn svetu sve više bivaju prisutne i da je potreban sveobuhvatan pristup koji se može postići usvajanjem novog zakona – izjavila je Mićić.

Prvi značajniji korak u zaštiti i povećanju sigurnosti podataka u Srbiji, bio je uspostavljanje Jedinstvene informaciono-komunikacione mreže elektronske uprave koja omogućava sigurnu razmenu podataka između državnih organa, a potom i izgradnja Državnog data centra, za sigurno čuvanje podataka.

Unapređeni zakonski okvir donosi sa sobom niz inovativnih rešenja poput osnivanja Kancelarije za informacionu bezbednost. Reč je o zasebnoj organizaciji koja će integrisati nadležnosti Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT) koji postoji u okviru Regulatorne agencije za elektronske komunikacije i poštanske usluge (RATEL) i nadležnosti Centra za bezbednost informaciono-komunikacionih sistema organa (CERT republičkih organa) koje ima Kancelarija za IT i elektronsku upravu. Novouspostavljena Kancelarija trebalo bi da obavlja poslove sertifikacije IKT sistema, proizvoda i usluga, stručnog usavršavanja lica koja rade na poslovima informacione bezbednosti, saradnje na nacionalnom nivou sa svim relevantnim institucijama.

Još jedno poboljšanje pređašnjeg zakona tiče se jačanja kapaciteta Nacionalnog CERT-a, pre svega tehnoloških, ljudskih i organizacionih što bi omogućilo prelazak sa informativne i savetodavne na operativniju ulogu. U bliskoj saradnji sa IKT sistemima od posebnog značaja, na njihov zahtev, CERT će moći proaktivno da utvrdi ranjivosti sistema, te da vrši neintruzivno skeniranje mreža ili da formira bazu ranjivosti svih rizika i pretnji.

– Takva praksa pruža sveobuhvatan uvid u nedostatke hardvera, softvera, telekomunikacionih uređaja koji se koriste za obradu i prenos informacija, pre nego što postanu potencijalna meta malicioznih napadača – istakla je Mićić.

Od ostalih novina Zakona značajno je spomenuti uvođenje novih pojmova i definicija, revidiran pristup deljenja informacija o incidentima i pretnjama, kao i pitanje nadzora nad primenom odredbi.

– Iako je postojećim pravnim okvirom značajno unapređena oblast informacione bezbednosti i detektovani izazovi i pretnje na čijem rešavanju je potrebno raditi, neke oblasti ostale su otvorene i povod su za buduću diskusiju – zaključila je naša sagovornica.

S obzirom na to da je jedan od razloga zbog koga se pristupilo izmenama Zakona usklađivanje sa aktuelnom evropskom regulativom, odnosno Direktivom o mrežnoj i informacionoj bezbednosti EU (NIS2) i Аktom o informacionoj bezbednosti u EU, suština novog Zakona je da omogući adekvatan odgovor na rizike i pretnje u vezi sa upotrebom IKT u odvijanju svakodnevnih aktivnosti, pružanju usluga i cirkulisanju podataka i da bude otvoren za nova tehnološka dostignuća u skladu sa propisima Evropske unije.

Direktnu podršku izmenama Zakona učestvovanjem u radnoj grupi pružio je NALED u okviru projekta „Srbija na dohvat ruke – Digitalna transformacija za razvoj“ koji sprovodi Program Ujedinjenih nacija za razvoj (UNDP).

NALED

 

2 comments on “NALED: Novi Zakon o informacionoj bezbednosti

  1. Dragan

    bravo za naled koji je dao brojne kvalitetne kadrove srbiji. tu pre svega mislim na premijerku a tu je i boban iz mionice

    Reply

Оставите одговор

Ваша адреса е-поште неће бити објављена.