Otvorena javna rasprava o novom Zakonu o informacionoj bezbednosti

[milos_rs]

Slobodan Marković je objavio svoj preliminarni osvrt na nacrt novog Zakona o informacionoj bezbednosti

(boldovanje moje)

Evo mog kratkog, preliminarnog, osvrta na nacrt novog Zakona o informacionoj bezbednosti - tekst je ovde https://www.mit.gov.rs/.../obavestenje-o-sprovodjenju... Javna rasprava traje do 30. avgusta, a okrugli stolovi biće održani 18. avgusta u Beogradu i 21. avgusta u Kragujevcu (detalji na istom linku).

Sva je prilika da će konačni tekst ovog zakona biti usvojen na Vladi početkom jeseni i usvojen u Parlamentu do kraja godine. Imajući u vidu važnost teme i obuhvat nekih rešenja, kao i sezonu godišnjih odmora, imalo je smisla produžiti period javne rasprave barem do sredine septembra, mislim da to ne bi ugrozilo planiranu dinamiku, a verujem da bi doprinelo kvalitetu.

Najveći deo izmena u odnosu na važeći zakon odnosi se na usklađivanje sa NIS2 direktivom EU, koja je nedavno stupila na snagu https://eur-lex.europa.eu/eli/dir/2022/2555 Npr. usklađivanje definicija, pravljenje razlike između operatora kritičnih i drugih važnih IKT sistema (gde prvi imaju nešto strože obaveze) itd. pa se na ove izmene neću osvrtati za sada.

Možda najveću novost predstavlja predlog za formiranje novog tela - Kancelarije za informacionu bezbednost (KIB), kao "posebne organizacije" državne uprave (poput Kancelarije za IT i e-Upravu). KIB treba da (od 2026.) preuzme poslove nacionalnog CERT-a od RATEL-a i CERT-a državnih organa od ITE. KIB će imati mogućnost da propisuje mere zaštite sistema e-uprave, a biće i tačka kontakta za međunarodnu saradnju u domenu cyber bezbednosti.

Kao što se vidi iz priloženog, delokrug nove kancelarije je krajnje ozbiljan. Dobro je što se objedinjavaju nadležnosti, jer postojeća podela posla nije baš idealno funkcionisala, pre svega zbog oskudnih/razvučenih resursa za sprovođenje zakona (što ljudskih, što finansijskih).

Podizanje profila KIB takođe ukazuje da tema cyber bezbednosti dobija na političkom značaju, što može značiti da će ova oblast biti predmet veće pažnje i da će se u nju više ulagati (a potrebno je zaista dosta ulaganja na svim frontovima).

Sa druge strane, pitanje koliko će pravni oblik nove kancelarije (koji implicira da su zaposleni u statusu državnih službenika) doprineti mogućnosti da se ozbiljan kapacitet izgradi i zadrži, posebno u uslovima gde su cybersec stručnjaci na tržištu veoma traženi i dobro plaćeni.

Mislim da je šteta što je opet propušteno da se stavi veći fokus na razvoj kulture učenja na greškama, između ostalog i kroz objavljivanje izveštaja o krupnim incidentima (blameless post-mortems), kakvih do sada, na žalost, nije manjkalo. Npr. ransomver koji je paralisao gradske institucije u Novom Sadu, dvonedeljni potpuni krah CROSO, višenedeljna borba sa posledicama ransomvera koji je pogodio RGZ prošle godine u ovo vreme itd.

Predloženo rešenje nagoveštava nastavak dosadašnje prakse - da javnost dobija nikakve ili minimalne informacije o incidentima, kao i da se okolnosti napada i posledice uobičajeno guraju pod tepih, umesto da se neke pouke izvuku i to znanje podeli po široj zajednici.

Takođe, u oči upada podela zaduženja pri upravljanju incidentima visokog i veoma visokog rizika. Kao što se vidi iz priloženog - kad je kriza, onda glavnu reč vodi struka; kad je velika kriza, onda glavnu reč vodi politika ?

Međutim, ne bih da se puno zadržavao na stvarima koje praktično predstavljaju kontrolu štete, jer bi cilj ovakvog zakona trebalo da bude stvaranje okruženja u kome se najteži incidenti u principu ne dešavaju.

S tim u vezi i moje konačne napomene - bez obzira na ovih par kritika (od kojih će neke, nadam se, biti adresirane u novoj verziji nacrta posle javne rasprave), novi ZIB nam je potreban. Isto važi za KIB, koja mora da dobije jaču političku podršku i više resursa.

Koliko je država do sada ulagala u razvoj e-uprave, barem toliko pažnje i resursa treba posvetiti temi informacione bezbednosti (ako ne i više).
I naravno, fokus treba da bude mnogo više na uspostavljaju dobrih tehničkih osnova i poslovnih procesa vezanih za cybersec širom javne uprave, razvoju kapaciteta i saradnji na relaciji država-privatni sektor, nego na raportiranju, kažnjavanju i kontroli štete kada ona već nastane.

izvor https://twitter.com/smarkovic/status/168...9071168512