Bezbedan Balkan Opšte teme Vesti, zanimljivosti i razno v
Otvorena javna rasprava o novom Zakonu o informacionoj bezbednosti

Linear Mode
Otvorena javna rasprava o novom Zakonu o informacionoj bezbednosti
milos_rs Offline
Administrator
*******
Posts: 1,056
Threads: 405
Joined: Sep 2022
Reputation: 308
#4
08-03-2023, 12:03 PM
Dodao je još:

Quote:U mom ranijem osvrtu na nacrt novog Zakona o informacionoj bezbednosti pomenuo sam da je “šteta što je opet propušteno da se stavi veći fokus na razvoj kulture učenja na greškama, između ostalog i kroz objavljivanje izveštaja o krupnim incidentima (blameless post-mortems), kakvih do sada, na žalost, nije manjkalo”.

Hteo bih da se osvrnem na to sa nešto više detalja:

Naime, sprovođenje istraga nakon nesreća sa teškim posledicama postoji kao višedecenijska praksa u oblastima kao što su vazdušni, železnički i pomorski saobraćaj, ispitivanje incidenata u vezi sa medicinskim uređajima, nuklearna bezbednost itd.

Cilj ovih istraga nije utvrđivanje prekršajne ili krivične odgovornosti, već činjenica o uzrocima i posledicama incidenta, kao i formulisanje preporuka kako se slični incidenti ne bi ponavljali. Ove istrage sprovode nezavisna tela, a izvešaji sa preporukama su javni.

Ovakva praksa stvorila je vremenom kulturu učenja na greškama (umesto kulturu zataškavanja incidenata), što je rezultiralo time da je, recimo, vazdušni saobraćaj danas jedan od najbezbednijih vidova transporta.

Malo je poznato da Srbija takođe ima posebnu instituciju za sprovođenje istraga u vezi sa težim nesrećama u saobraćaju – http://CINS.gov.rs – kao i prateći zakonski okvir https://cins.gov.rs/.../ZAKON-o-istrazivanju-nesreca-u...

Izvešaji o istragama, zajedno sa preporukama, dostupni su javnosti https://cins.gov.rs/nesrece-u-vazdusnom-...ju.php#izv
Za razliku od nesreća u saobraćaju, cybersec incidenti ne uzimaju direktan danak u krvi, mada ni takvi nisu isključeni. Međutim, sistemski karakter IKT svakako zavređuje ozbiljnu pažnju i napor na tome da se stvori kultura odgovornosti i učenja na greškama.

Čak i na globalnom nivou, odgovornost IT kompanija nije na zavidnom nivou i kultura učenja na greškama je samo endemski prisutna. Cloudflare je sjajan primer https://blog.cloudflare.com/tag/postmortem/ Google takođe (mada ne objavljuju izveštaje javno) https://sre.google/sre-book/postmortem-culture/
Potrebu da se u oblasti IKT izgradi kultura učenja na greškama primetila je administracija SAD, koja je nedavno formirala Cyber Safety Review Board, kao svojevrsni pandan NTSB-u https://dhs.gov/.../dhs-launches-first-e...ber-safety...

Naravno, sprovođenje cybersec istraga ima svoje specifičnosti (npr. broj i opseg incidenata, koji bi mogli da budu predmet istrage, mnogo je širi nego u oblasti saobraćaja; istrage su teže zbog transnacionalne prirode interneta i kompleksne forenzike), ali na tu temu se razmišlja i deluje.

Zato mislim da je ovo vrlo relevantna tema i za nas. Ne samo da imamo realnu potrebu, nego imamo i pravnu/regulatornu praksu od koje bismo mogli da krenemo u izradu okvira za stvaranje kulture učenja na greškama u oblasti cyber bezbednosti.

izvor https://twitter.com/smarkovic/status/168...9896051712
Find
Reply


Messages In This Thread
RE: Otvorena javna rasprava o novom Zakonu o informacionoj bezbednosti - by milos_rs - 08-03-2023, 12:03 PM

Forum Jump:


Users browsing this thread: 1 Guest(s)