Informaciona bezbednost – među-sektorska saradnja

Imajući u vidu širinu  zahvata oblasti kao što je informaciona bezbednost, broj aktera koje ona obuhvata kao i razmere izazova i pretnji koje sa sobom nosi, među-sektorska saradnja i javno-privatna partnerstva su postala model koji sve veći broj država u svetu prepoznaje kao neizbežan odnosno poželjan. Javni sektor uglavnom ima ograničene kapacitete u smislu ljudskih i finansijskih resursa; privredi je neophodan jasan normativni i strateški okvir u kojem dalje razvija svoje poslovanje; značajan broj operatora IKT sistema od posebnog značaja (kritične infrastrukture) je u rukama privatnog sektora; akademski sektor doprinosi u smislu istraživanja i razvoja; civilno društvo ukazuje na pitanja i izazove koje nose nove tehnologije kao i normativni okviri koji se razvijaju a koja nisu uvek primarni fokus prethodno navedenih aktera i slično.

Srbija je prepoznala potrebu za među-sektorskom saradnjom i ona se donekle odražava u samom Zakonu, ali i mnogo više u Strategiji razvoja informacione bezbednosti. Naime, usvajanjem Zakona o informacionoj bezbednosti 2016. godine, osnovano je Telo za koordinaciju poslova informacione bezbednosti pod okriljem Vlade Srbije. Telo ima savetodavnu ulogu i primarni članovi su predstavnici ministarstava nadležnih za poslove informacione bezbednosti, odbrane, unutrašnjih poslova, pravde, predstavnici službi bezbednosti, Kancelarije Saveta za nacionalnu bezbednost i zaštitu tajnih podataka, Generalnog sekretarijata Vlade, Centra za bezbednost IKT sistema (CERT-a) u organima vlasti i Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalnog CERT-a). Nedavnim izmenama Zakona (u oktobru 2019. godine), osnovnom članstvu Tela za koordinaciju dodati su i predstavnici Narodne banke. Zakon međutim ostavlja i mogućnost formiranja stručnih radnih grupa Tela za koordinaciju u koje se uključuju i predstavnici drugih organa vlasti, ali i privrede, akademske zajednice i nevladinog sektora.

Operativniji vid javno-privatne saradnje koji zakonski okvir omogućava je i formiranje takozvanih Posebnih CERT-ova. Poseban CERT je pravno lice ili organizaciona jedinica u okviru pravnog lica koje obavlja poslove prevencije i zaštite od bezbednosnih rizika u IKT sistemima u okviru određenog pravnog lica, grupe pravnih lica, oblasti poslovanja i slično. U praksi, ovo ostavlja prostor za formiranje mreže Posebnih CERT-ova koji se upisuju u evidenciju koju vodi Nacionalni CERT i koji mogu biti, na primer, u okviru konkretnog preduzeća ili organizacije i usmereni samo na jedan sistem, ili sektorski i usmereni na grupu srodnih aktera (npr. bankarski CERT, CERT telekomunikacionih operatora, medijski CERT i sl). sektorski CERT-ovi su tako uže specijalizovani za posebnu ciljnu grupu (ne-državnih) aktera, a upisom u evidenciju Nacionalnog CERT-a uključuju se u mrežu CERT-ova na nacionalnom nivou koja se zasniva na principima među-sektorske, javno-privatne saradnje.

Konačno, učešće u, i povezivanje sa, među-sektorskim forumima dodatno doprinosi naporima usmerenim na razmenu informacija sa relevantnim akterima kao i specifičnih iskustava u prevenciji i prevazilaženju rizika i posledica napada u sajber prostoru. Iako su motivi napada na, na primer, bankarski sektor značajno drugačiji od motiva napada na medije ili organizacije civilnog društva, načini na koji se napadi izvode i razvijaju, kao i njihove posledice su isti, ili makar dovoljno slični, za svaki sektor. U tom smislu, razmena informacija, znanja i iskustava u među-sektorskim forumima može samo dodatno pomoći u uspostavljanju otpornih sistema i prevenciji, ali i u otklanjanju mogućih posledica napada kroz širu mrežu kontakata i podrške.

Kompletan izveštaj “Informaciona bezbednost – među-sektorska saradnja: normativni i strateški okvir” Irine Rizmal (Ženevski centar za demokratsku kontrolu oružanih snaga – DCAF) – .pdf