POTREBA ZA PRAVNIM REGULISANJEM SAJBER / INFORMACIONE BEZBEDNOSTI
Informaciona ili sajber bezbednost predstavlja jedan od ključnih aspekata zaštite podataka i sistema u savremenom digitalnom okruženju, sa ciljem sprečavanja neovlašćenog pristupa, gubitka ili kompromitovanja poverljivih informacija. Ona obuhvata sveobuhvatne mere, tehnike i tehnologije, kao i politike koje se preduzimaju kako bi se očuvali integritet, poverljivost i dostupnost podataka, što je značajno u poslovnim procesima, ali i u širem društvenom kontekstu, odnosno u javnom interesu.
Regulisanje informacione bezbednosti posebno je značajno u kontekstu aktuelne i rastuće digitalizacije poslovanja i veće globalne povezanosti, gde se rizici od sajber pretnji i napada, curenja podataka rapidno povećavaju. U odgovoru na ove izazove, zakonodavna tela širom sveta, a posebno u Evropskoj uniji, postavila su pravne standarde koji se tiču obezbeđenja bezbednosti mrežnih i informacionih sistema, kako bi se zaštitili ne samo lični podaci i privatnost, već i stabilnost ključnih sektora ekonomije i infrastrukture.
Sajber bezbednost spada u širi okvir prava informaciono komunikacionih tehnologija pravne discipline koja se bavi između ostalog regulisanjem odnosa u digitalnom svetu, posebno u pogledu zaštite podataka/informacija, komunikacionih tehnologija i privatnosti. Međutim, ova grana se neminovno prepliće sa drugim oblastima prava, poput krivičnog prava u slučajevima kada se pretnje i napadi na informacione sisteme kvalifikuju kao krivična dela. Sa aspekta bezbednosti, ova grana prava često uključuje regulisanje prava i obaveza vezanih za upotrebu kriptografskih rešenja, digitalnih potpisa i mehanizama autentifikacije, što dodatno proširuje njeno delovanje u savremenom društvu.
Prema Zakonu o informacionoj bezbednosti Republike Srbije, informaciona bezbednost je definisana na sledeći način:
“Informaciona bezbednost predstavlja sposobnost informaciono- komunikacionih sistema i mreža da se odupru i/ili ublaže, uz određeni stepen pouzdanosti, svaki događaj koji bi mogao da ugrozi raspoloživost, integritet, autentičnost, neporecivost i poverljivost podataka koji se obrađuju, odnosno usluga koje se pružaju ili su dostupne putem tog IKT sistema.”
Osnovni principi informacione bezbednosti
Informaciona bezbednost zasniva se na nekoliko osnovnih principa. Prva tri su poznata kao tripartitni Confidentiality, Integrity, Availability Model, dok su jednako važni i Autentičnost i Neporecivost:
Poverljivost (Confidentiality): Poverljivost podataka podrazumeva da su informacije dostupne samo onima koji su ovlašćeni da im pristupe. Ovaj princip štiti osetljive podatke od neovlašćenog otkrivanja ili pristupa, što je posebno važno u slučajevima kada su u pitanju lični podaci ili poslovne tajne. Za postizanje poverljivosti koriste se mehanizmi poput enkripcije i kontrole pristupa.
Integritet (Integrity): Integritet podataka osigurava da informacije ostanu tačne i potpune, bez neovlašćenih izmena. Ovaj princip zahteva da se podaci zaštite od namerne ili slučajne promene tokom prenosa ili skladištenja. Za očuvanje integriteta koriste se alati kao što su digitalni potpisi i tehnike provere integriteta podataka (hash funkcije).
Dostupnost (Availability): Dostupnost podrazumeva da ovlašćeni korisnici u svakom trenutku mogu pristupiti potrebnim informacijama. Održavanje dostupnosti podataka i sistema ključni je faktor za neometano poslovanje. Mere koje se preduzimaju za očuvanje dostupnosti uključuju upotrebu backup sistema, redundanciju resursa i planove za oporavak u slučaju katastrofa.
Autentičnost predstavlja svojstvo IKT sistema kojim se osigurava mogućnost da se proveri i potvrdi da je informaciju stvorio ili poslao onaj za koga se tvrdi da je tu radnju izvršio.
Neporecivost predstavlja sposobnost dokazivanja da se dogodila određena radnja ili da je nastupio određeni događaj, tako da ga naknadno nije moguće poreći.
Pretnje sajber bezbednosti
Pretnje informacionoj bezbednosti su brojne i raznolike, a njihov intenzitet raste s napretkom tehnologije. Među najčešćim pretnjama u praksi su:
Zlonamerni softver (Malware): Raspodela malvera, uključujući viruse, trojance i ransomware, može izazvati ozbiljne posledice po integritet i dostupnost podataka, ali i omogućiti napadačima neovlašćeni pristup sistemima.
Phishing napadi: Phishing se odnosi na pokušaje prevara putem lažnih emailova ili web stranica sa ciljem da se korisnici prevare i otkriju poverljive informacije, kao što su lozinke ili brojevi kreditnih kartica.
Distributed Denial of Service (DDoS): DDoS napadi nastoje da onesposobe sisteme ili mreže tako što preplavljuju servere ili resurse ogromnim količinama lažnog saobraćaja, čineći ih nedostupnim korisnicima.
Iskorišćavanje ranjivosti (Exploits): Napadači koriste ranjivosti u softveru ili hardveru kako bi neovlašćeno pristupili podacima ili sistemima, što može dovesti do krađe ili modifikacije podataka.
Mere zaštite i kontrole u informacionoj bezbednosti
Radi efikasne zaštite informacionih sistema, subjekti uvode različite tehničke i organizacione mere. Neke od ključnih mera uključuju:
Enkripcija: Enkripcija podataka omogućava da samo ovlašćeni korisnici mogu dešifrovati informacije, čime se sprečava neovlašćen pristup osetljivim podacima.
Višefaktorska autentifikacija (MFA): Višefaktorska autentifikacija povećava nivo bezbednosti tako što zahteva od korisnika potvrdu identiteta korišćenjem više metoda, kao što su lozinke, biometrijski podaci ili jednokratni kodovi.
Firewall i sistemi za zaštitu: Firewall-evi i srodni alati predstavljaju osnovnu odbranu od neovlašćenih pokušaja pristupa mrežama i sistemima. Moderni firewall sistemi i alati za detekciju pretnji pružaju dodatni nivo zaštite, posebno protiv sofisticiranih napada.
Sistemi za detekciju i odgovor (EDR): Ovi sistemi omogućavaju nadzor aktivnosti u realnom vremenu i automatski odgovor na pretnje, čime se unapređuje otpornost subjekata na sajber napade.
Planovi za oporavak u slučaju katastrofe (DRP): Subjekti uspostavljaju planove za oporavak kako bi se obezbedilo brzo vraćanje u normalno poslovanje nakon incidenata kao što su sajber napadi ili prirodne nepogode.
Pravni okvir i usklađenost
Zakonodavni okviri igraju ključnu ulogu u regulisanju informacione bezbednosti i obezbeđivanju usklađenosti subjekata sa standardima zaštite podataka. Naročito su važna ova dva propisa:
Opšta uredba o zaštiti podataka (GDPR): Ova uredba postavlja stroge zahteve za zaštitu podataka o ličnosti građana EU i predviđa visoke administrativne novčane kazne za kršenje njenih odredbi, posebno u slučaju neadekvatne zaštite ili gubitka podataka.
Direktiva NIS2: Kao ključna regulativa u oblasti sajber bezbednosti, NIS2 postavlja standarde za zaštitu kritične infrastrukture i usluga, naročito u sektorima kao što su energetika, transport, zdravstvo i digitalne usluge. Direktiva nalaže preduzimanje konkretnih mera zaštite i uspostavljanje odgovornosti za upravljanje bezbednosnim incidentima.
Informaciona bezbednost danas dakle predstavlja ključnu komponentu zaštite podataka i sistema, ne samo u poslovnom sektoru već i na nivou državnih institucija. Uspešna i temeljna implementacija tehničkih i organizacionih mera, u kombinaciji sa poštovanjem pravnih zahteva i standarda, ključni su za minimizaciju rizika od kibernetičkih pretnji. Uspostavljanje odgovarajućih mehanizama zaštite, kao i usklađivanje sa propisima poput GDPR-a i NIS2 direktive, omogućava subjektima da osiguraju kontinuitet poslovanja, zaštitu poverljivih informacija i integritet svojih sistema.
NIS 2
Direktiva NIS 2 o bezbednosti mrežnih i informacionih sistema usvojena je od strane Evropskog parlamenta i Saveta Evropske unije 14. decembra 2022. godine. NIS 2 zamenjuje prethodnu NIS direktivu iz 2016. godine, sa ciljem unapređenja otpornosti na sajber pretnje i obezbeđenja bolje zaštite kritičnih mrežnih i informacionih sistema unutar EU. Direktiva je stupila na snagu u januaru 2023. godine, dok su državama članicama ostavljeni rokovi do 17. oktobra 2024. godine da njene odredbe prenesu u svoje nacionalne zakonodavne okvire. Nakon tog datuma, NIS 2 postaje obavezujuća u svim državama članicama EU.
Glavni cilj NIS 2 direktive jeste harmonizacija nivoa sajber bezbednosti među državama članicama i unapređenje koordinacije u odgovoru na sajber incidente. Organizacije obuhvaćene ovom direktivom imaju obavezu da redovno sprovode procenu rizika svojih mrežnih i IT sistema, kao i da primenjuju odgovarajuće tehničke i organizacione mere za upravljanje pretnjama. Te mere obuhvataju analizu rizika, upravljanje ranjivostima, primenu kriptografskih tehnologija i enkripcije. Takođe, organizacije su obavezne da uspostave procedure za praćenje incidenata i krizno upravljanje, koje uključuju detekciju, analizu i klasifikaciju bezbednosnih povreda, uz obavezu blagovremenog izveštavanja nadležnih organa.
Direktiva NIS 2 uvodi sveobuhvatan i strožiji okvir za sajber bezbednost u Evropskoj uniji, stavljajući poseban akcenat na jačanje otpornosti na sajber pretnje i poboljšanje sposobnosti brzog reagovanja na incidente. Njene odredbe značajno proširuju obuhvat subjekata na koje se primenjuje, a visoke novčane kazne i druge sankcije osiguravaju doslednu primenu i usklađenost sa regulativom. Države članice dužne su da do 17. oktobra 2024. godine prenesu ovu direktivu u svoje nacionalne propise i uspostave adekvatne mehanizme nadzora i sprovođenja.
Direktiva NIS 2 obuhvata nekoliko ključnih oblasti koje se odnose na unapređenje sajber bezbednosti i zaštitu kritičnih mrežnih i informacionih sistema u Evropskoj uniji. Odredbe direktive proširuju krug subjekata koji su u obavezi da se pridržavaju standarda predviđenih direktivom, uvode strože obaveze za zaštitu i prijavu incidenata, i propisuju značajne sankcije za kršenje propisa.
Subjekti na koje se NIS 2 primenjuje
U odnosu na NIS 1, NIS 2 proširuje obim subjekata koji podležu njenim odredbama, podelivši ih u dve kategorije: Ključni (Prioritetni) subjekti i Važni subjekti (Essential i Important subjekti)
Kategorija ključnih subjekata obuhvata sektore poput energetike, transporta, finansijskih usluga, zdravstva, vodoprivrede, digitalne infrastrukture poput internet provajdera. Ovi prioritetni subjekti podležu strožijim obavezama i kaznenim merama u poređenju sa važnim subjektima.
S druge strane važni subjekti su oni čija je delatnost poštanskih usluga i kurirske službe, proizvodnje, prerade i distribucije hrane, proizvodnje hemikalija, otpada, kao i proizvodnje i distribucije ICT opreme.
Obaveze u vezi sa upravljanjem informacionom bezbednošću
Svi subjekti obuhvaćeni NIS 2 direktivom imaju obavezu da uspostave odgovarajuće tehničke i organizacione mere za upravljanje rizicima i zaštitu svojih informacionih sistema. Ove mere uključuju:
- Redovno sprovođenje procena rizika povezanih sa mrežnim i informacionim sistemima,
- Upravljanje ranjivostima i primenu odgovarajućih mera zaštite, uključujući korišćenje kriptografskih tehnologija i enkripcije,
- Uvođenje politika i procedura za osiguranje kontinuiteta poslovanja u slučaju sajber incidenata,
- Implementaciju sistema za detekciju, analizu i prijavu bezbednosnih incidenata.
Obaveza prijavljivanja incidenata
NIS 2 direktiva postavlja stroge rokove za prijavu sajber incidenata nadležnim organima. Subjekti su u obavezi da početnu prijavu izvrše u roku od 24 sata od otkrivanja incidenta, dok se detaljan izveštaj mora dostaviti u roku od 72 sata. Konačni izveštaj, koji uključuje informacije o ozbiljnosti incidenta, njegovom uticaju i preduzetim merama, mora biti dostavljen u roku od mesec dana. Ovi rokovi osiguravaju brzo reagovanje i minimizaciju štetnih posledica po mrežne i informacione sisteme.
Kaznene odredbe koje propisuje direktiva
Član 34. NIS 2 direktive predviđa visoke novčane kazne za subjekte koji se ne pridržavaju njenih odredbi. Ključni subjekti mogu biti kažnjeni sa do 10 miliona evra ili 2% ukupnog godišnjeg prihoda na globalnom nivou, zavisno od toga koji je iznos veći. Važni subjekti mogu biti kažnjeni sa do 7 miliona evra ili 1,4% ukupnog prihoda, u zavisnosti od veće vrednosti. Osim novčanih kazni, moguće su i dodatne sankcije, kao što su privremeno oduzimanje sertifikata ili ovlašćenja za pružanje usluga, kao i zabrana obavljanja funkcija za odgovorna lica, poput generalnog direktora ili zakonskog zastupnika.
Nadzor nad primenom direktive
Direktiva NIS 2 predviđa posebne mehanizme nadzora i sprovođenja naloženih mera. Države članice imaju ovlašćenje da prate usklađenost subjekata sa direktivom i da izriču odgovarajuće sankcije u slučaju kršenja. Pri tome, države članice mogu uvesti strožije mere od onih koje direktiva predviđa, ali ne mogu uvoditi blaže standarde od onih koji su propisani.
Međudržavna saradnja
Direktiva podstiče saradnju među državama članicama EU kroz mehanizme za razmenu informacija o pretnjama i incidentima, kao i kroz zajedničke operativne mehanizme za reagovanje na sajber incidente. Ovo podrazumeva uspostavljanje mreže nacionalnih centara za sajber bezbednost koji olakšavaju koordinaciju i razmenu podataka na nivou Evropske unije.
Dejstvo direktive na subjekte van EU
Direktiva NIS 2 se odnosi i na subjekte sa sedištem izvan EU koji pružaju usluge ili obavljaju poslovne aktivnosti unutar EU, posebno u ključnim sektorima. Ovi subjekti su obavezni da usklade svoje poslovanje sa NIS 2 direktivom, uključujući imenovanje predstavnika u EU koji će biti odgovoran za sprovođenje njenih odredbi i za komunikaciju sa nadležnim organima unutar Unije.
Implementacija pravila iz NIS 2 u poslovanje subjekata
Implementaciju NIS 2 direktive možemo predstaviti tako što ćemo je podeliti na tri faze, odnosno na tri nivoa obaveza koje moraju biti ispunjene od strane subjekata u ključnim i važnim sektorima kako bi se uskladile sa zahtevima ovog propisa. Ovi nivoi pokrivaju različite aspekte zaštite informacione bezbednosti i upravljanja rizicima.
Prvi nivo uključuje uspostavljanje osnovnih procesa za upravljanje bezbednošću informacionih sistema. To podrazumeva identifikaciju i upravljanje rizicima, uključujući one povezane sa lancima snabdevanja, kao i praćenje i kontrolu incidenata. Ovaj nivo takođe zahteva kreiranje politika i procedura koje osiguravaju kontinuitet poslovanja u skladu sa NIS 2 zahtevima.
Drugi nivo obuhvata primenu tehničkih i organizacionih mera zasnovanih na proceni rizika i analizi uticaja na poslovne procese. Ove mere uključuju upotrebu naprednih tehnologija, kao što su višefaktorska autentifikacija, kontrola pristupa, rešenja za kontinuitet poslovanja (kao što su IaaS, BaaS, DRaaS i AntiDDoS), kao i osnovna bezbednosna rešenja kao što su antivirus programi, firewall, i EDR (Endpoint Detection and Response). Takođe, na ovom nivou se moraju primeniti i kadrovske mere, odnosno mora se obezbediti podizanje svesti zaposlenih kroz obuke o prepoznavanju sajber pretnji, Na primer, anti-phishing kampanje.
Treći nivo se odnosi na uspostavljanje sistema za stalni bezbednosni nadzor i validaciju bezbednosnih kontrola. To uključuje upotrebu sigurnosnih operativnih centara (SOC) i upravljanih servisa za detekciju i odgovor (MDR), koji omogućavaju stalno praćenje sajber pretnji 24/7 tokom cele godine. Organizacije takođe mogu koristiti usluge penetracionog testiranja, procene ranjivosti i vežbi koje simuliraju različite scenarije napada kako bi unapredile otpornost svojih IT sistema.
Potreba za novim stručnim kadrovima za usalgašavanje sa novim propisima o informacionoj bezbednosti
Pored izuzetno visokih troškova koji se tiču politika, procedura i novih tehnoloških i informacionobezbednosnih sistema zaštite, jedan od ključnih problema je i onaj kadrovske prirode. Naime, u EU se preko noći stvorila potreba za velikim brojem stručnjaka koje će subjekti „pogođeni“ od strane NIS 2, morati da zaposle odnosno radno angažuju. I da novac za to angažovanje nije problem (a često jeste izazov), još veći problem je gde pronaći sve te kompetentne stručnjake za tako kratko vreme.
Kada smo kod uslova vezanih za kadrovsku politiku obavezanih subjekata, nacrt Zakona o informacionoj bezbednosti Srbije odnosno NIS 2 direktiva zahtevaju od kompanija koje se smatraju operatorima IKT sistema od posebnog značaja da preduzmu niz obaveza i mera, za koje je neophodno veliko znanje i iskustvo iz oblasti IKT bezbednosti, što direktno utiče na potrebu za zapošljavanjem na specifične pozicije vezane za sajber bezbednost. Ovo se odnosi na firme u sektorima poput energetike, finansija, zdravstva, saobraćaja, kompanije koje pružaju usluge digitalne infrastrukture, kao prioritetne, ali i na privredna društva iz niza drugih delatnosti koja su kategorizovana kao važni operatori.
A potrebni kadrovi koji su zaduženi za ovu oblast u kompanijama moraju imati specifične veštine i znanja za zaštitu IKT sistema. Obično su to pozicije poput IT menadžera za bezbednost, inženjera sajber bezbednosti i specijalista za mrežnu bezbednost. Zakonski propisi, kao što su NIS 2 direktiva, ali i naš novi Zakon o informacionoj bezbednosti Srbije (koji je za sada u formi nacrta sa izvesnim usvajanjem u skorije vreme), ne propisuju direktno koje specifične dokaze o kompetentnosti ti kadrovi moraju imati, ali od njih se očekuje visoko stručno obrazovanje u oblasti informacionih tehnologija. Sertifikati kao što su CISSP (Certified Information Systems Security Professional), CISM (Certified Information Security Manager) i CEH (Certified Ethical Hacker), iako nisu direktno propisani, predstavljaju međunarodno priznate standarde kompetentnosti u sajber bezbednosti i često se traže kao uslov za zapošljavanje na tim pozicijama.
Od operatora se dakle traži obezbeđivanje da lica koja koriste IKT sistem odnosno upravljaju IKT sistemom budu osposobljena za posao koji rade i razumeju svoju odgovornost, odnosno da obezbedi održavanje osnovnih i po potrebi naprednih informatičkih obuka za sve zaposlene i angažovana lica koja imaju pristup IKT sistemima
Ovo je naročito važno kod potrebe za implementacijom zaštite od napada posredstvom tzv. socijalnog inženjeringa, u takođe ključnu ulogu igraju stručnjaci za sajber bezbednost, ali i dodatni tim za obuku zaposlenih. Obrazovanje uključuje specifične treninge i sertifikate iz oblasti prepoznavanja napada socijalnog inženjeringa (npr. obuke o phishing napadima).
U kontekstu NIS 2 ne možemo da ne pomenemo i GDPR. A Iako je ova uredba tu već nekoliko godina, potreba za usaglašavanjem sa ovom uredbom i njenom implementacijom u poslovanje ne prestaje da bude aktuelna. S toga je Lice za zaštitu podataka o ličnosti (Data Protection Officer) i dalje ključna pozicija za praćenje usklađenosti sa zakonima o zaštiti podataka, poput GDPR-a, ali i bezbednost podataka o ličnosti. Ova osoba mora imati duboko razumevanje regulative o zaštiti podataka, i to ne samo GDPR-a i Zakona o zaštiti podataka o ličnosti u Srbiji, već mora pratiti sve najnovije vodiče i mišljenja nadležnih tela i nadzornih organa. Dakle, stupanje na snagu NIS 2 neće staviti po strane Opštu uredbu o zaštiti podataka, naprotiv. Svaki u svom polju delovanja, ovi propisi će zajedno biti regulatorni okvir za bezbednost podataka, ali i glavobolja mnogima koji svoje poslovanje moraju usaglasiti sa tim normama.
Kazne za nepoštovanje ovih propisa su značajne. U skladu sa NIS 2 direktivom i nacrtom Zakona o informacionoj bezbednosti Srbije, firme mogu biti kažnjene novčanim kaznama, a odgovorna lica mogu snositi ličnu odgovornost. Kazne se mogu kretati od nekoliko stotina hiljada do višemilionskih iznosa, zavisno od vrste prekršaja. Što u evrima, što u dinarima.