Otvorena javna rasprava o novom Zakonu o informacionoj bezbednosti

[milos_rs]

Obaveštenje o sprovođenju javne rasprave o Nacrtu zakona o informacionoj bezbednosti

Hoćemo neki kolektivni komentar kao zajednica?

Inicijative, predlozi, sugestije i komentari dostavljaju se Ministarstvu informisanja i telekomunikacija, putem elektronske pošte, od početka javne rasprave, a najkasnije do 30. avgusta 2023. godine, na adresu: [email protected] ili pisanim putem na adresu Ministarstvo informisanja i telekomunikacija, Nemanjina 22-26, 11000 Beograd.

Nacrt ZIB 2023- za javnu raspravu https://mit.gov.rs/extfile/sr/2357/Nacrt...pravu.docx

Obrazloženje ZIB https://mit.gov.rs/extfile/sr/2360/%D0%9...%D0%91.DOC

[maxxa]

Bravo za inicijativu, realno gledano bi trebalo da se čuje glas zajednice.

[milos_rs]

Slobodan Marković je objavio svoj preliminarni osvrt na nacrt novog Zakona o informacionoj bezbednosti

(boldovanje moje)

Evo mog kratkog, preliminarnog, osvrta na nacrt novog Zakona o informacionoj bezbednosti - tekst je ovde https://www.mit.gov.rs/.../obavestenje-o-sprovodjenju... Javna rasprava traje do 30. avgusta, a okrugli stolovi biće održani 18. avgusta u Beogradu i 21. avgusta u Kragujevcu (detalji na istom linku).

Sva je prilika da će konačni tekst ovog zakona biti usvojen na Vladi početkom jeseni i usvojen u Parlamentu do kraja godine. Imajući u vidu važnost teme i obuhvat nekih rešenja, kao i sezonu godišnjih odmora, imalo je smisla produžiti period javne rasprave barem do sredine septembra, mislim da to ne bi ugrozilo planiranu dinamiku, a verujem da bi doprinelo kvalitetu.

Najveći deo izmena u odnosu na važeći zakon odnosi se na usklađivanje sa NIS2 direktivom EU, koja je nedavno stupila na snagu https://eur-lex.europa.eu/eli/dir/2022/2555 Npr. usklađivanje definicija, pravljenje razlike između operatora kritičnih i drugih važnih IKT sistema (gde prvi imaju nešto strože obaveze) itd. pa se na ove izmene neću osvrtati za sada.

Možda najveću novost predstavlja predlog za formiranje novog tela - Kancelarije za informacionu bezbednost (KIB), kao "posebne organizacije" državne uprave (poput Kancelarije za IT i e-Upravu). KIB treba da (od 2026.) preuzme poslove nacionalnog CERT-a od RATEL-a i CERT-a državnih organa od ITE. KIB će imati mogućnost da propisuje mere zaštite sistema e-uprave, a biće i tačka kontakta za međunarodnu saradnju u domenu cyber bezbednosti.

Kao što se vidi iz priloženog, delokrug nove kancelarije je krajnje ozbiljan. Dobro je što se objedinjavaju nadležnosti, jer postojeća podela posla nije baš idealno funkcionisala, pre svega zbog oskudnih/razvučenih resursa za sprovođenje zakona (što ljudskih, što finansijskih).

Podizanje profila KIB takođe ukazuje da tema cyber bezbednosti dobija na političkom značaju, što može značiti da će ova oblast biti predmet veće pažnje i da će se u nju više ulagati (a potrebno je zaista dosta ulaganja na svim frontovima).

Sa druge strane, pitanje koliko će pravni oblik nove kancelarije (koji implicira da su zaposleni u statusu državnih službenika) doprineti mogućnosti da se ozbiljan kapacitet izgradi i zadrži, posebno u uslovima gde su cybersec stručnjaci na tržištu veoma traženi i dobro plaćeni.

Mislim da je šteta što je opet propušteno da se stavi veći fokus na razvoj kulture učenja na greškama, između ostalog i kroz objavljivanje izveštaja o krupnim incidentima (blameless post-mortems), kakvih do sada, na žalost, nije manjkalo. Npr. ransomver koji je paralisao gradske institucije u Novom Sadu, dvonedeljni potpuni krah CROSO, višenedeljna borba sa posledicama ransomvera koji je pogodio RGZ prošle godine u ovo vreme itd.

Predloženo rešenje nagoveštava nastavak dosadašnje prakse - da javnost dobija nikakve ili minimalne informacije o incidentima, kao i da se okolnosti napada i posledice uobičajeno guraju pod tepih, umesto da se neke pouke izvuku i to znanje podeli po široj zajednici.

Takođe, u oči upada podela zaduženja pri upravljanju incidentima visokog i veoma visokog rizika. Kao što se vidi iz priloženog - kad je kriza, onda glavnu reč vodi struka; kad je velika kriza, onda glavnu reč vodi politika ?

Međutim, ne bih da se puno zadržavao na stvarima koje praktično predstavljaju kontrolu štete, jer bi cilj ovakvog zakona trebalo da bude stvaranje okruženja u kome se najteži incidenti u principu ne dešavaju.

S tim u vezi i moje konačne napomene - bez obzira na ovih par kritika (od kojih će neke, nadam se, biti adresirane u novoj verziji nacrta posle javne rasprave), novi ZIB nam je potreban. Isto važi za KIB, koja mora da dobije jaču političku podršku i više resursa.

Koliko je država do sada ulagala u razvoj e-uprave, barem toliko pažnje i resursa treba posvetiti temi informacione bezbednosti (ako ne i više).
I naravno, fokus treba da bude mnogo više na uspostavljaju dobrih tehničkih osnova i poslovnih procesa vezanih za cybersec širom javne uprave, razvoju kapaciteta i saradnji na relaciji država-privatni sektor, nego na raportiranju, kažnjavanju i kontroli štete kada ona već nastane.

izvor https://twitter.com/smarkovic/status/168...9071168512

[milos_rs]

Dodao je još:

U mom ranijem osvrtu na nacrt novog Zakona o informacionoj bezbednosti pomenuo sam da je “šteta što je opet propušteno da se stavi veći fokus na razvoj kulture učenja na greškama, između ostalog i kroz objavljivanje izveštaja o krupnim incidentima (blameless post-mortems), kakvih do sada, na žalost, nije manjkalo”.

Hteo bih da se osvrnem na to sa nešto više detalja:

Naime, sprovođenje istraga nakon nesreća sa teškim posledicama postoji kao višedecenijska praksa u oblastima kao što su vazdušni, železnički i pomorski saobraćaj, ispitivanje incidenata u vezi sa medicinskim uređajima, nuklearna bezbednost itd.

Cilj ovih istraga nije utvrđivanje prekršajne ili krivične odgovornosti, već činjenica o uzrocima i posledicama incidenta, kao i formulisanje preporuka kako se slični incidenti ne bi ponavljali. Ove istrage sprovode nezavisna tela, a izvešaji sa preporukama su javni.

Ovakva praksa stvorila je vremenom kulturu učenja na greškama (umesto kulturu zataškavanja incidenata), što je rezultiralo time da je, recimo, vazdušni saobraćaj danas jedan od najbezbednijih vidova transporta.

Malo je poznato da Srbija takođe ima posebnu instituciju za sprovođenje istraga u vezi sa težim nesrećama u saobraćaju – http://CINS.gov.rs – kao i prateći zakonski okvir https://cins.gov.rs/.../ZAKON-o-istrazivanju-nesreca-u...

Izvešaji o istragama, zajedno sa preporukama, dostupni su javnosti https://cins.gov.rs/nesrece-u-vazdusnom-...ju.php#izv
Za razliku od nesreća u saobraćaju, cybersec incidenti ne uzimaju direktan danak u krvi, mada ni takvi nisu isključeni. Međutim, sistemski karakter IKT svakako zavređuje ozbiljnu pažnju i napor na tome da se stvori kultura odgovornosti i učenja na greškama.

Čak i na globalnom nivou, odgovornost IT kompanija nije na zavidnom nivou i kultura učenja na greškama je samo endemski prisutna. Cloudflare je sjajan primer https://blog.cloudflare.com/tag/postmortem/ Google takođe (mada ne objavljuju izveštaje javno) https://sre.google/sre-book/postmortem-culture/
Potrebu da se u oblasti IKT izgradi kultura učenja na greškama primetila je administracija SAD, koja je nedavno formirala Cyber Safety Review Board, kao svojevrsni pandan NTSB-u https://dhs.gov/.../dhs-launches-first-e...ber-safety...

Naravno, sprovođenje cybersec istraga ima svoje specifičnosti (npr. broj i opseg incidenata, koji bi mogli da budu predmet istrage, mnogo je širi nego u oblasti saobraćaja; istrage su teže zbog transnacionalne prirode interneta i kompleksne forenzike), ali na tu temu se razmišlja i deluje.

Zato mislim da je ovo vrlo relevantna tema i za nas. Ne samo da imamo realnu potrebu, nego imamo i pravnu/regulatornu praksu od koje bismo mogli da krenemo u izradu okvira za stvaranje kulture učenja na greškama u oblasti cyber bezbednosti.

izvor https://twitter.com/smarkovic/status/168...9896051712

[milos_rs]

Povezana vest: Državne institucije u Srbiji dobiće veću zaštitu od sajber napada

[1van]

Ako je neko raspoložen možemo da imamo online sastanak (Telegram ili bilo šta drugo) na ovu temu? Ali uglavnom Slobodan Marković je sumirao odlično gde je problem.

[maxxa]

ja sam za