Počinje primena Zakona o informacionoj bezbednosti

Od 1. marta 2017. kazne za nepoštovanje propisa do 2 miliona dinara

Ustanove i preduzeća koje obavljaju delatnosti od posebnog značaja imaju rok od tri meseca da svoje informaciono-komunikacione sisteme prilagode pravilima postavljenim u Zakonu o informacionoj bezbednosti i podzakonskim aktima čija primena počinje 1. decembra. Delom kritične infrastrukture u državi smatraju se, između ostalih, saobraćaj, energetika, komunikacije, nuklearni objekti, finansijske institucije, zdravstvena zaštita i druge.

Tokom neformalnog okupljanja predstavnika internet zajednice, privatnog sektora i državnih institucija, održanog u ponedeljak u Startit centru, u organizaciji SHARE Fondacije, naglašeno je da nove obaveze podrazumevaju nimalo blage kazne za kršenje propisa. “Zakonom su definisane odgovornosti i kazne, dok inspekcijski nadzor primene zakona vrši Ministarstvo”, objasnio je pomoćnik ministra za informaciono društvo, Sava Savić.

Prošlog vikenda je zbog hakerskog napada na mrežnu infrastrukturu, 900.000 korisnika nemačkog telekoma ostalo bez pristupa internetu. Ranije ove godine, zbog neadekvatne zaštite, na internet je dospela baza ličnih podataka 50 miliona turskih državljana. Sličan incident se u Srbiji dogodio pre dve godine. Ovi slučajevi, uz podatak da se globalna šteta od sajber napada procenjuje na dve hiljade milijardi dolara godišnje, jasno govore o rizicima kojima su izložena savremena društva.

Zemlje u regionu su informacionom bezbednošću počele da se bave već s pojavom interneta na ovim prostorima. U Sloveniji su još pre 20 godina uspostavljena tela koja se bave incidentima u oblasti informacione bezbednosti. Među poslednjima u Evropi, Srbija je početkom godine konačno usvojila ključni zakon u ovoj oblasti. Većina podzakonskih akata doneta je sredinom novembra, da bi primena počela već ove sedmice.

U roku od tri meseca ustanove i preduzeća koje obavljaju delatnosti od posebnog značaja moraće  da donesu interni akt o bezbednosti kojim treba da urede niz mera za upravljane organizacionom bezbednošću kao što su postizanje bezbednosti rada na daljinu, obezbeđivanje integriteta softvera i operativnih sistema, klasifikovanje podataka, fizička zaštita objekata i prostorija u kojima se obrađuju podaci, mere koje obezbeđuju kontinuitet obavljanja posla u vanrednim okolnostima i mnoge druge. Pored toga, ove ustanove su od ove nedelje dužne da svaki incident na infrastrukturi prijave Ministartstvu trgovine, turizma i telekomunikacija, Narodnoj banci i RATEL-u. Nepoštovanje ovih odredbi vodi već pomenutoj prekršajnoj odgovornosti i kaznama do 2 miliona dinara, ali i dodatno olakšava dokazivanje građanske kao i krivične odgovornosti u kritičnim situacijama.

Prema ovom Zakonu, Regulatorna agencija za elektronske komunikacije i poštanske usluge (RATEL) nadležna je za uspostavljanje i rad Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT). Direktor RATEL-a, Vladica Tintor, najavio je formiranje tima i utvrđivanje operativnih procedura CERT-a za prvi kvartal naredne godine, ističući pritom izazove u pogledu ograničenih kapaciteta koje će institucije morati da savlađuju.

Napori za promenu navika u održavanju “sajber higijene” zaposlenih u ustanovama i kompanijama moraju se ulagati pre, a ne nakon bezbednosnih incidenata, napomenuo je saradnik misije OEBS u Srbiji, Adel Abusara, i dodao da je takav pristup i dalje retkost. Abusara očekuje da će se međunarodno pravo u oblasti sajber bezbednosti tek razvijati tokom narednih 30 godina.

Administrator za bezbednost i prevare kompanije Limundo i osnivač udruženja e-Sigurnost, Jovan Šikanja, upozorio je da će javni sektor imati ozbiljnih problema da zadrži stručni kadar s platama koje su u privatnom sektoru višestruko veće. On je pozvao nadležne da ne dozvole da ovaj, temeljni zakon za održiv razvoj informacionog društva, ostane samo mrtvo slovo na papiru.

Institucionalizovana javno-privatna saradnja biće od suštinskog značaja za primenu Zakona, kazao je savetnik za IKT politike u Registru nacionalnog internet domena Srbije (RNIDS) Slobodan Marković. Budući da je najveći deo infrastrukture u privatnom vlasništvu, odsustvo predstavnika privatnog sektora u koordinacionim telima nije dobro rešenje, ocenio je Marković.

Moderatori okupljanja, Đorđe Krivokapić i Andrej Petrovski iz SHARE Fondacije, najavili su još dva susreta na ovu temu tokom narednih meseci u saradnji sa Ministarstvom trgovine, turizma i telekomunikacija i organizacijama eSigurnost i Startit, i pozvali građanske organizacije, državne organe, IT zajednicu i kompanije da se pridruže partnerstvu i učestvuju u dijalogu.