Državne institucije u Srbiji dobiće veću zaštitu od sajber napada

Poslednjih godinu dana jako su učestali napadi na najznačajniju državnu IT infrastrukturu, počevši od hakerskih napada na Republički geodetski zavod prošle godine do ovogodišnjeg napada na Agenciju za privredne registre. Kako bi se ove institucije zaštitile od sajber napada, Srbija bi uskoro trebalo da dobije novu instituciju – Kancelariju za informacionu bezbednost.

To je jedna od ključnih novina izmenjenog Zakona o informacionoj bezbednosti čije se usvajanje očekuje tokom jeseni, nakon prolaska kroz skupštinsku proceduru.

Kancelarija za IT i eUpravu i NALED su još 2018. godine testirali IT bezbednost podataka građana na lokalu. Analiza sprovedena u okviru tog projekta je pokazala da od 63 lokalne samouprave u Srbiji gotovo polovina nema odgovarajući propis o procedurama za informacionu bezbednost i upravo će izmenom Zakona o informacionoj bezbednosti biti omogućeno da se veći kapaciteti ulože u zaštitu mreža, sistema i podataka i na lokalnom nivou.

“Među najčešće prijavljenim incidentima tokom prethodne godine posebno se izdvajaju skeniranje portova, zatim pokušaj otkrivanja kredencijala, odnosno korisničkog imena i lozinke, kao i pokušaj iskorišćavanja ranjivosti sistema. Jasno je da opasnosti koje vrebaju u online svetu sve više bivaju prisutne i da je potreban sveobuhvatan pristup koji se može postići usvajanjem novog zakona”, izjavila je Jelena Mićić, savetnica u NALED-u.

Stručnjak za sajber bezbednost Marko Relić, komentarišući za Biznis.rs najavu osnivanja Kancelarije za informacionu bezbednost, kaže da je usled sve većeg broja sajber napada – ne samo u Srbiji već globalno – država detektovala neophodnost i hitnost unapređenja informacione bezbednosti.

“Osnivanjem Kancelarije za informacionu bezbednost obezbeđuje se okvir za adekvatno reagovanje na bezbednosne incidente i njihovo pravovremeno otkrivanje u sistemima republičkih organa, kao i veća usklađenost sa regulativom EU. Takođe, očekivano je da Kancelarija detektuje gde su nedostaci u profesionalnom kadru unutar same državne uprave i lokalne samouprave, kako bi bilo omogućeno usavršavanje lica koja rade na poslovima informacione bezbednosti, kao i da planski investira u neophodnu opremu, servise i sveukupnu zaštitu podataka”, ocenjuje Relić.

Prema rečima našeg sagovornika, na taj način bi se stekao uvid u sve manjkavosti hardvera, softvera, kao i telekomunikacionih uređaja koji se koriste za obradu i prenos informacija, pre nego što postanu potencijalna meta malicioznih napadača.

Kancelarija bi trebalo da bude zasebna organizacija koja će integrisati nadležnosti Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT), koji postoji u okviru Regulatorne agencije za elektronske komunikacije i poštanske usluge (RATEL), i nadležnosti Centra za bezbednost informaciono-komunikacionih sistema organa (CERT republičkih organa), koje ima Kancelarija za IT i elektronsku upravu.

Od ostalih novina Zakona značajno je spomenuti uvođenje novih pojmova i definicija, revidiran pristup deljenja informacija o incidentima i pretnjama, kao i pitanje nadzora nad primenom odredbi.

“Iako je postojećim pravnim okvirom značajno unapređena oblast informacione bezbednosti i detektovani izazovi i pretnje na čijem rešavanju je potrebno raditi, neke oblasti ostale su otvorene i povod su za buduću diskusiju”, navode iz NALED-a.

S obzirom na to da je jedan od razloga zbog koga se pristupilo izmenama zakona usklađivanje sa aktuelnom evropskom regulativom, odnosno Direktivom o mrežnoj i informacionoj bezbednosti EU (NIS2) i Аktom o informacionoj bezbednosti u EU, suština novog propisa je da omogući adekvatan odgovor na rizike i pretnje u vezi sa upotrebom IKT u odvijanju svakodnevnih aktivnosti, pružanju usluga i cirkulisanju podataka i da bude otvoren za nova tehnološka dostignuća u skladu sa propisima Evropske unije.