Novi Zakon o informacionoj bezbednosti

Da li se sećate nedavnog sajber napada na Er Srbiju? A na EPS? Republički geodetski zavod?

Iako su to veliki državni sistemi sa širokim poljem uticaja – verovatno ne. Razlog tome je što su hakerski napadi postali “kao dobar dan”.
Svi trendovi pokazuju da će oni postati samo još češći i veći, jer veštačka inteligencija (AI) gotovo sve čini bržim i boljem, pa i njih.
Tzv. fišing poruke i mejlovi biće realističniji i lakše će varati korisnike ili prenositi viruse, a hakeri će nalaziti više načina da zaobiđu mere bezbednosti.

Šta je rešenje?

Biti makar jedan korak ispred napadača.

To je svakako lakše reći nego postići, ali kao jedan od koraka – Srbija je nedavno usvojila novi Zakon o informacionoj bezbednosti, kako bi i zakonodavstvo uskladila sa novim, evropskim trendovima zaštite od sajber napada.

Digitalna bezbednost – tema koja nas se sve više tiče

Pre samo nekoliko godina, sajber bezbednost se smatrala problemom velikih sistema: banaka, ministarstava, IT giganata.

Danas, međutim, čak i mikropreduzetnik koristi neki oblik informacionog sistema: sajt, online shop, CRM, bazu kupaca, mejlove. Sa sada već uobičajenim radom van kancelarije i outsourcingom, i poslovanje se sve više odvija na cloudu, koji je, takođe, „zgodan“ za napade.

Dakle, svako može postati meta hakerskog napada, prevare ili curenja podataka.

Novi Zakon i Evropska direktiva o sajber bezbednosti – NIS2

Novi Zakon o informacionoj bezbednosti usklađuje naše propise sa evropskom NIS2 direktivom.

NIS2 Direktiva je propis Evropske unije koji ima za cilj da podigne nivo sajber bezbednosti širom EU. NIS2 direktiva, u odnosu na prethodni propis, uključuje više sektora, više firmi, i uvodi oštrije obaveze: pravila za upravljanje rizikom, obaveštavanje o incidentima, saradnju između država, kao i oštrije sankcije.

Za Srbiju je ova usklađenost važna, između ostalog, kako bi se povećalo poverenje u domaće kompanije koje posluju na teritoriji Evropske unije.

Stari Zakon o informacionoj bezbednosti

Princip sajber pretnji i napada menja se ogromnom brzinom. Danas su male i srednje firme česta meta napada jer imaju veoma slabe ili nikakve sisteme sajber bezbednosti. Stari Zakon nije prepoznavao da je njima uopšte potrebna zaštita.

Novi Zakon je donet upravo zato da bi:

• Unapredio postojeći sistem zaštite;
• Obuhvatio sektore koji do sada nisu imali obaveze u ovoj oblasti;
• Omogućio bržu reakciju ako dođe do incidenta.

Koga sve obuhvata novi Zakon o informacionoj bezbednosti?

Prethodna verzija zakona važila je uglavnom za državne organe i najveće sisteme (energetika, banke, telekomunikacije).

Sada se obuhvat znatno proširuje, i na nove delatnosti i manje sisteme. Novi zakon se odnosi i na:

• Poštanske i kurirske usluge;
• Upravljanje otpadom i vodosnabdevanjem;
• Zdravstvene ustanove;
• IT firme – posebno one koje nude hosting, data centre, digitalne sertifikate, softverske platforme;
• Proizvodnju hrane i lekova.

Najvažnija nova pravila

Zakon uvodi dve kategorije informacionih sistema:

1. Prioritetni IKT sistemi – oni čiji bi pad mogao da izazove ozbiljne posledice po društvo (npr. zdravstvo, energetika, javne službe);
2. Važni IKT sistemi – kompanije koje svojim radom utiču na privredu i svakodnevni život građana (npr. pošte, IT firme, proizvodnja).

Svi oni sada moraju da imaju:

• Odgovorno lice za informacionu bezbednost;
• Plan reagovanja na incidente;
• Redovno praćenje rizika i prijavu incidenata u roku od 24 sata; i
• Tehničke mere zaštite podataka.

Dok prioritetni sistemi imaju i dodatne obaveze, kao što je donošenje Akta o bezbednosti.

Nova tela i saradnja

Zakon uvodi i nova tela i jasniji sistem nadzora:

• Kancelariju za informacionu bezbednost;
• Nacionalni CERT – Centar za prevenciju bezbednosnih rizika; i
• Obavezu da svaki veći IKT sistem formira svoj sopstveni CERT.

Njihov zadatak je da prate, analiziraju i reaguju na incidente, ali i da pomažu firmama savetima i preporukama.

Šta je CERT?

CERT je skraćenica od Computer Emergency Response Team, što bukvalno znači tim za reagovanje u slučaju računarskih incidenata. Drugim rečima, to je interni tim (ili osoba) koji zna šta treba da se uradi ako se desi nešto što ugrožava bezbednost sistema: hakerski napad, curenje podataka, virus, prevara, neovlašćen pristup i slično.

Sopstveni CERT u firmi koja se smatra prioritetnim ili važnim IKT sistemom, može biti:

• Jedan zaposleni ili tim od nekoliko ljudi, koji je obučеn za krizne situacije;
• IT firma sa kojom je potpisan ugovor za reagovanje u slučaju incidenata; ili
• Formalno imenovana osoba koja vodi evidenciju i komunicira sa Nacionalnim CERT-om (državnim telom koje koordinira sve incidente u zemlji).

Veliki sistemi u praksi

Ako neko provali u veliki e-commerce shop ili marketplace platformu, može doći do curenja podataka o kupcima, brojevima kartica, adresama isporuke. Dakle, iako njih zakon ne ističe ni kao prioritetne ni kao važne IKT sisteme, po samoj logici zakona i oni imaju svoje obaveze ukoliko se dogodi sajber napad.

Takve firme moraju:

• Imenovati odgovorno lice za informacionu bezbednost;
• Imati akt o proceni rizika;
• Prijavljivati incidente u roku od 24 sata; i
• Sprovoditi redovne bezbednosne provere.

Mali sistemi u praksi

Uzmimo sada za primer klasičan „mali retailer“: butik, prodavnica, franšiza… Iako i oni koriste osnovne IT alate (npr. kasa, e-pošta, cloud, CRM, webshop), oni nisu automatski prioritetni ili važan IKT sistem.

Ali:

• Ako čuvaju veće baze ličnih podataka kupaca (članstvo, loyalty kartice, online narudžbine); ili
• Koriste digitalnu infrastrukturu koja može ugroziti podatke više korisnika (npr. online plaćanja, e-commerce sistem).

Na njih se mogu primenjivati pojedine obaveze iz Zakona, naročito u delu koji se tiče zaštite sistema i prijavljivanja incidenata.

Dakle, mali trgovac sigurno neće morati da osniva sopstveni CERT (to će imati IT kompanija koja mu obezbeđuje hosting, data centar, digitalne sertifikate, itd.), ali će morati da primenjuje osnovne mere bezbednosti, da ima plan reagovanja i da čuva integritet i dostupnost podataka o kupcima.

Usklađivanje sa zaštitom podataka o ličnosti

Sajber napadi često znače i povredu podataka o ličnosti.

Zato su novi propisi usklađeni sa GDPR-om (Uredba (EU) 2016/679) i Zakonom o zaštiti podataka o ličnosti Republike Srbije.

Naime, firme moraju prijaviti svaki incident koji bi mogao ugroziti lične podatke najkasnije u roku od 24 časa od trenutka saznanja. Cilj je da građani budu zaštićeni, a šteta po njih smanjena.

Šta sve ovo znači za preduzetnike i kompanije?

Novi zakon donosi nove obaveze i biće potrebno uložiti više u IT infrastrukturu i obuke. Ipak, ideja je da shodno tome firme imaju i veću bezbednost i poverenje klijenata, što znači i veću konkurentnost, naročito u saradnji sa partnerima iz EU.

Drugim rečima, ulaganje u sajber bezbednost trebalo bi da zaista i donese veću bezbednost i bolju reputaciju.

Koje su kazne za nepoštovanje propisa?

Kazne za nepoštovanje zakona kreću se od 50.000 do 2.000.000 dinara, u zavisnosti od težine prekršaja i tipa sistema. Prekršaji mogu biti različiti, od nepostojanja akta o bezbednosti, preko neprimenjivanja mera i neprijavljivanja incidenata, do neimenovanja odgovornog lica.

Zaključak

Iako će ovaj novi Zakon o informacionoj bezbednosti u finansijskom smislu možda delovati kao još jedna velika i skupa obaveza, on je neophodan kako bi se obezbedila sigurnost poslovanja. Šteta od sajber napada ne samo da može biti milionska, i u tom kontekstu bi bilo korisno razmotriti tzv. sajber osiguranje, nego sa sobom nosi i veliki reputacioni rizik.

Zakon je tek usvojen, svakako predstoji njegova implementacija, ali vi već sada proverite:

• Gde vam se čuvaju podaci;
• Ko ima pristup;
• Imate li plan ako se dogodi incident.

Ako nemate sve ove odgovore, trenutak je da se time pozabavite.