ПРВА ЛИНИЈА ОДБРАНЕ ОД САЈБЕР НАПАДА: "Новости" истражују шта доноси Закон о информационој безбедности

БРОЈ инцидента, тј. сајбер напада на информационо-комуникационе системе (ИКТ) пријављен Националном ЦЕРТ-у, порастао је за 40 одсто прошле у односу на 2022. годину и тај тренд се наставља, чуло се на недавном скупу о информационој безбедности који је подржало Министарство информисања и телекомуникација.

Arhiva Novosti

Један од разлога за пораст броја инцидената јесте софистицираност у припреми и извођењу сајбер напада, јер се они данас креирају уз помоћ вештачке интелигенције.

Стално "усавршавање" сајбер криминалаца захтева и константно подизање информационе безбедности државе, па је то један од разлога за доношење новог Закона о информационој безбедности, пошто актуелни датира још из 2016. Други разлог је усклађивање са европском директивом познатом као НИС2. Нови закон, чији нацрт је скоро готов, базиран је, поред осталог, на превентиви.

- Закон уређује мере заштите од безбедносних ризика у ИКТ системима и одговорност субјеката приликом коришћења тих система - објашњава Никола Бићанин, помоћник министра за информационо друштво и информациону безбедност. - Чувати националну безбедност данас буквално значи обезбедити безбедност ИКТ система, како у похрањивању података, тако и у пружању услуга. Кључна законска новина је дефинисање приоритетних и важних ИКТ система од посебног значаја, у складу са европском легислативом. До сада је закон препознавао само системе од посебног значаја.

Како наш саговорник објашњава, у приоритетне спадају сви они код којих би напад, односно прекид или ремећење несметаног пружања услуга, аутоматски утицали на јавну безбедност или јавно здравље. У питању су системи везани за енергетику, водоснабдевање, банкарство, здравство. Међу приоритетнима су и они који пружају телекомуникационе услуге или неки државни органи.

Министарство информисања и телекомуникација

Сваки сајбер напад на ове системе аутоматски угрожава грађане. Ако је у питању напад на енергетску инфраструктуру, остајемо без струје, а ако су нападнуте банке, онемогућена је било каква онлајн услуга или су угрожени лични подаци (од имена, презимена, броја рачуна, до ЈМБГ). Исти је случај и са здравством, где би хакери за тили час могли да се домогну е-картона грађана.

У важне системе спадају они чије би угрожавање могло да има утицаја на јавни интерес, као ИКТ системи из области поштанских услуга, управљања отпадом, производње машина и електричне опреме, научноистраживачке институције...

Закон предвиђа да ИКТ системи имају обавезу процене ризика и доношење акта о тој процени. Као и до сада, доносиће и акт о безбедности, који ће предвиђати мере заштите и процедуре, а биће заснован на акту о процени ризика. Оператори приоритетних ИКТ система мораће најмање два пута годишње да проверавају усклађеност својих система са предвиђеним мерама заштите од сајбер напада, а важни оператери најмање једном годишње.

- Закон предвиђа и квалификовање инцидената према нивоу опасности, па разликује основни, средњи, висок и веома висок ниво, и уређује који су потребни кораци код ког нивоа у случају угрожености. Подзаконским актима уредиће се и процедура обавештавања примерена сваком нивоу. Једна од најзначајнијих новина је увођење Канцеларије за информациону безбедност, која ће имати статус посебне организације са циљем да кроз координацију и управљање одговором на инциденте побољша реакцију наше земље - објашњава Бићанин, и додаје да ће канцеларија морати да реагује хитно и без одлагања и да учествује у отклањању последица.

Закон прописује и казне за различите врсте прекршаја, од недоношења акта о процени ризика или акта о процени безбедности, преко непримењивања одговарајућих мера које предивиђају ова акта, до недостављања података о инцидентима или непоступања по налогу инспектора. За правно лице од приоритетног значаја оне иду од 50.000 до два милиона динара.

Пратите нас и путем иОС и андроид апликације