Početak primene Zakona o informacionoj bezbednosti — Da li je vreme za promenu paradigme?

Ko bi trebalo da poveća odgovornost kada je u pitanju informaciona bezbednost? Korisnici ili kompanije?

Bojan Perkov - 10. Decembar, 2016.

Vlada Srbije je 17. novembra usvojila podzakonske akte neophodne za početak primene Zakona o informacionoj bezbednosti, koji je stupio na snagu još početkom februara. Operatore informacionih sistema očekuje primena niza mera zaštite iz zakona, koje su dodatno razjašnjene nedavno usvojenim uredbama Vlade.

Recimo, ustanove i kompanije koje upravljaju informacionim sistemima od posebnog značaja, kao što su državni organi, operatori elektronskih komunikacija ili banke, imaju obavezu da do 1. marta naredne godine donesu akt o bezbednosti informacionog sistema. Prijavljivanje svakog incidenta na infrastrukturi informacionog sistema Ministarstvu trgovine, turizma i telekomunikacija, Narodnoj banci Srbije i RATEL-u obavezno je već od poslednje nedelje novembra.

Narativ o digitalnoj bezbednost obično sadrži apel na korisnike da kreiraju jake pristupne šifre i koriste različite šifre na svim internet platformama, što jeste važno sa aspekta sajber-bezbednosne kulture. Studija Norveškog centra za informacionu bezbednost iz 2016. godine je pokazala da 85% ispitanika smatra da deljenje pristupne šifre sa drugima predstavlja rizično ponašanje, dok 61% učesnika korišćenje iste šifre za više internet servisa precipira kao rizik.

Sa konačnim uspostavljanjem pravnog okvira informacione bezbednosti u Srbiji, pitanje je da li konkretni propisi mogu da vode ka promeni odnosa prema digitalnoj zaštiti naših podataka, koji su raštrkani po brojnim informacionim sistemima.

Svakodnevno čujemo vesti o kompromitovanju bezbednosti podataka u informacionim sistemima (data breaches) i milionima ugroženih naloga korisnika, čak i na veoma korišćenim servisima. Prema podacima kompanije Gemalto, procenjuje se da je u prvoj polovini 2016. bilo više od 900 slučajeva proboja u informacione sisteme koji su poznati javnosti, prilikom kojih je izgubljeno ili ukradeno više od 550 miliona podataka, za trećinu više nego u toku druge polovine 2015. godine.

Nedavno smo imali prilku da vidimo da su napadi na infrastrukturu u porastu, što su pokazali problemi sa ruterima u Nemačkoj i Ujedinjenom Kraljevstvu. Pametni kućni uređaji koji čine internet stvari (Internet of Things) dodatno komplikuju zaštitu bezbednosti internet infrastrukture.

Korisnici (ni)su krivi?

Da li je očekivano da promena paradigme digitalne bezbednosti zapravo znači veću odgovornost kompanija? Ovo pitanje je postavio stručnjak za onlajn bezbednost Brus Šnajer, koji je pisao o tome kako IT zajednica treba da prestane sa pokušajima da “popravi korisnike”. On smatra da je bezbednost računarskih sistema dizajnirana toliko loše da se od korisnika traži da rade kontra-intuitivne stvari. Pamćenje dugih i komplikovanih šifara, obazrivost prilikom kliktanja na linkove u mejlovima ili ubacivanja USB fleš memorija u kompjutere za prosečnog korisnika zaista predstavljaju procedure o kojima se ne vodi računa baš u svakom trenutku.

Kada korisnici interneta primenjuju sve preporučene mere zaštite podataka i paze na “digitalnu higijenu”, kakve garancije imaju da propust u kompaniji kojoj su poverili svoje podatke na čuvanje ili dali podatke u zamenu za korišćenje neke usluge neće prouzrokovati gubitak ili krađu njihovih informacija?

Nalozi možda i mogu da se “spasu” brzim menjanjem šifre i korišćenjem rezervnog mejla, ali šta se dešava sa podacima koji su dospeli u ruke nekoga čije namere su vam potpuno nepoznate? Razumna pretpostavka je da neko mora da odgovara za nastalu štetu i nadoknadi je, a u slučaju tehničkih napada daleko je lakše targetirati kompaniju nego nepoznatog hakera ili hakersku grupu.

U septembru je protiv Yahoo-a podneta tužba u ime svih korisnika usluga ove internet kompanije u Sjedinjenim Državama pogođenih tehničkim napadom iz 2014, tokom koga su ukradeni podaci sa najmanje 500 miliona naloga.

Pravni osnov za prekršajnu odgovornost kompanija u sličnim slučajevima u Srbiji posle usvajanja Zakona o informacionoj bezbednosti i podzakonskih akata za njegovu primenu svakako postoji. Takođe, zahvaljujući propisanim merama zaštite informacionih sistema sada je mnogo lakše dokazati krivičnu i građansku odgovornost kompanija za bezbednosne propuste.

Unapređenje informacione bezbednosti predstavlja dug proces za koji je neophodno izdvojiti mnogo resursa, ali je od presudnog značaja za kritičnu infrastrukturu, tj. snabdevanje vodom, električnom energijom, komunikacije i sl, bez koje nijedno savremeno društvo ne može da funkcioniše. Operatori informacionih sistema moraju da prihvate obaveze propisane zakonom i primenjuju odgovarajuće mere zaštite, jer je čitava infrastruktura jaka onoliko koliko i njen najslabiji deo. Ako želimo da izbegnemo novi slučaj u rangu propusta Agencije za privatizaciju, ubuduće je potrebna dosledna primena Zakona o informacionoj bezbednosti, posebno u kažnjavanju odgovornih.