BEZBEDNOST JE OBAVEZA SVIH NAS

Sa Nebojšom Jokićem razgovarali smo o radu Centra za reagovanje na napade na informacioni sistem, na čijem čelu se nalazi, o merama koje se u Srbiji preduzimaju u cilju zaštite informacionih sistema, o najavama novog zakona o zaštiti podataka i usaglašavanju naše zakonske regulative sa zahtevima GDPR-a…

B&IT: Za početak, predstavite nam ukratko rad Centra za reagovanje na napade na informacioni sistem i svoju ulogu u njegovom funkcionisanju.
Nebojša Jokić: Centar za reagovanje na napade na informacioni sistem formalno je uspostavljen u Ministarstvu unutrašnjih poslova u avgustu 2015. godine, a sa radom je počeo u novembru iste godine. Naš Centar je duže od godinu dana bio jedini CERT (Computer Emergency Response Team) u organima javne uprave, i u tom periodu smo, pored redovnih dužnosti, asistirali CERT-ovima iz drugih zemalja u rešavanju incidenata u cyber prostoru kod kojih se izvor incidenta nalazio u Srbiji. Naše primarne dužnosti su monitoring i reagovanje na napade na informacioni sistem Ministarstva unutrašnjih poslova, ali mi, pored toga, obavljamo i niz preventivnih aktivnosti u cilju poboljšanja zaštite sistema, smanjenja potencijalne površine za napad i podizanja bezbednosne svesti zaposlenih.

Za rad Centra neophodne su dobra informisanost o aktuelnim i potencijalnim problemima i saradnja sa sličnim timovima i organizacijama koje mogu pomoći u rešavanju tih problema. Naš Centar nalazi se na listama aktivnih CERT-ova najvećeg evropskog udruženja CERT timova Trusted Introducer, kod kojih smo započeli postupak dobijanja akreditacije, i Agencije Evropske Unije za mrežnu i informacionu bezbednost ENISA. Često učestvujemo na konferencijama u zemlji i inostranstvu, i imamo lične kontakte sa predstavnicima brojnih CERT timova sa svih kontinenata. Imamo intenzivniju saradnju sa nekoliko timova iz zemalja koje su među najrazvijenijima u svetu u oblasti cyber bezbednosti, sa kojima organizujemo uzajamne posete ili tematske radionice.

Moj posao je da obezbedim odgovarajuće uslove za rad i da usmeravam aktivnosti Centra kako bi se postigli najbolji mogući efekti. Posebnu pažnju posvećujem podizanju kapaciteta Centra, izgradnji pravnog okvira, saradnji sa drugim institucijama iz javnog sektora u Srbiji i međunarodnoj saradnji. Aktivno sam učestvovao u izradi svih propisa iz oblasti informacione bezbednosti na nacionalnom nivou, član sam Tela za koordinaciju poslova informacione bezbednosti, član Neformalne radne grupe OEBS-a za cyber bezbednost i nacionalna tačka kontakta Srbije u slučaju incidenata.

B&IT: Kako biste ocenili, u odnosu na region i Evropu, mere koje u Srbiji preduzimamo u cilju zaštite informacionih sistema?
Nebojša Jokić: U poslednje tri godine u Srbiji je napravljen značajan pomak po pitanju pravnog i institucionalnog okvira. Počelo je u januaru 2016. godine, usvajanjem Zakona o informacionoj bezbednosti, a zatim su donete četiri uredbe na osnovu ovog zakona, usvojena je Strategija razvoja informacione bezbednosti, formirano je Telo za koordinaciju poslova informacione bezbednosti, Nacionalni CERT je počeo sa radom i uspostavljena je Inspekcija za informacionu bezbednost. U ovom pogledu, Srbija je stigla i prestigla većinu zemalja regiona. Međutim, problem koji imamo i mi i mnoge druge zemlje je implementacija bezbednosnih mera.

Neke druge, razvijene zemlje znatno su spremnije od nas da reaguju u slučajevima velikih napada na kritičnu infrastrukturu. Institucije sistema formirane su odavno, ljudi su obučeni i uspostavljene su procedure u slučaju incidenata. Međutim, zbog dinamičnosti interneta i globalne dostupnosti svakog korisnika ne mogu se predvideti sve situacije, pa s vremena na vreme u medijima osvanu naslovi o napadima na sisteme u razvijenim zemljama. Posledice ovih napada treba da budu motiv svima nama da poboljšamo bezbednost i izbegnemo da se učimo na sopstvenim greškama.

B&IT: Postoje li precizne informacije o šteti koju hakerski napadi nanose kompanijama u našoj zemlji?
Nebojša Jokić: Mada prema Zakonu o informacionoj bezbednosti IKT sistemi od posebnog značaja imaju obavezu da prijavljuju incidente nadležnom organu, to se u praksi veoma retko dešava. Kompanije prijavljuju incidente policiji ili tužilaštvu onda kada imaju finansijski gubitak i žele da iskoriste sve mogućnosti da povrate izgubljena sredstva. U slučajevima kada su ukradeni ili ugroženi podaci njihovih korisnika kompanije u velikom procentu ne prijavljuju incidente, jer bi time narušile svoju reputaciju i rizikovale velike gubitke. Ovakva praksa nije karakteristična samo za Srbiju, a podaci o šteti objavljuju se tek kada kompanija bude podvrgnuta medijskim pritiscima.

Iz ovih razloga ne postoji tačna statistika ni na globalnom nivou, nego samo procene, koje se kreću od 500 pa sve do 3.000 milijardi dolara štete od cyber kriminala u ovoj godini. Cyber kriminal je najbrže rastuća vrsta kriminala i ne očekuje se promena tog trenda.

B&IT: Koji faktor biste izdvojili kao veoma bitan za bezbedno poslovanje u Srbiji?
Nebojša Jokić: Jedan od ključnih faktora je ljudski faktor. Ako ljudi nisu dobro informisani o opasnostima i obučeni kako da se zaštite, onda će biti ugroženi kako njihovi privatni podaci, tako i informacije kompanija i institucija u kojima rade. Veliki broj napada u današnje vreme počinje od neke vrste socijalnog inženjeringa i može se očekivati da se u bližoj budućnosti nastavi trend rasta broja ovakvih napada. Tek nakon što se metodama socijalnog inženjeringa izvuku određeni podaci ili ostvari pristup sistemu, primenjuju se tehnički metodi i alati za eksploataciju i povećanje dobijenih privilegija.

U Ministarstvu unutrašnjih poslova posvećujemo posebnu pažnju ovom aspektu i uspostavili smo obuku za radnike o opasnostima u cyber prostoru, merama za smanjenje mogućnosti da postanu žrtve zloupotrebe i načinima zaštite svojih i tuđih ličnih podataka. Smatramo da će samo oni koji imaju svest o potrebi zaštite i koji znaju kako da štite sopstvene podatke znati da zaštite i podatke drugih građana.

B&IT: Može li se u bližoj budućnosti očekivati donošenje novog zakona o zaštiti podataka o ličnosti i u kojoj meri će ovaj zakon biti usklađen sa zahtevima GDPR-a?
Nebojša Jokić: Važeći Zakon o zaštiti podataka o ličnosti donet je pre deset godina i razumljivo je da postoji potreba da se on unapredi. Međutim, usaglašavanje oko teksta ovako značajnog zakona nije jednostavno i sigurno će biti dosta polemika oko pojedinih odredaba. U prilog takvom razmišljanju govori činjenica da su i u Evropskoj Uniji u proteklom periodu imali veoma različita mišljenja i da su bile potrebne četiri godine da se postigne saglasnost oko ključnih odredaba GDPR-a.

Mora se imati u vidu da je usklađivanje zakonske regulative jedan od uslova za ulazak u EU i ne dozvoliti da se za koju godinu ovaj proces vrati na početak.

B&IT: Interesuje nas i Vaša procena kada i na koji način možemo da očekujemo proveru usklađenosti poslovanja u Srbiji sa GDPR-om?
Nebojša Jokić: Prema ovoj regulativi, svaka država članica ima obavezu da uspostavi nacionalni nadzorni organ, dok je za nadzor implementacije i obezbeđenje saradnje nacionalnih nadzornih organa nadležan Evropski odbor za zaštitu podataka. S obzirom da Srbija nije članica Evropske Unije, mi nemamo obavezu da sprovodimo odredbe GDPR-a, a takođe ne postoji zakon u Srbiji koji bi takvu obavezu propisao. Za sada nije poznato da li će, ko i na koji način vršiti proveru usklađenosti, ali će takve provere imati smisla tek nakon usvajanja našeg zakonskog okvira usklađenog sa GDPR-om.

Ipak, moram da podsetim da je ova regulativa specifična jer se odnosi i na subjekte van EU. Naše kompanije koje prodaju proizvode preko interneta i pri tome imaju stranice na engleskom jeziku, cene u evrima i pružaju mogućnost da građani EU kupe taj proizvod svakako bi trebalo da dobro prouče odredbe ove regulative.

B&IT: Postoji li onda potreba da naše kompanije i organizacije usaglase svoje poslovanje sa GDPR-om?
Nebojša Jokić: Bez obzira na to što Srbija nije članica EU i što ne postoji domaći zakon koji bi regulisao ovu oblast, savetovao bih sve koji posluju sa građanima EU da i te kako obrate pažnju na ovu regulativu i da usklade svoje poslovanje. Ne smatram da je realno da u bliskom periodu neka od kompanija iz Srbije bude prinuđena da plati zaprećenu kaznu, bez obzira kako se ponašala, ali u trenutku kada Srbija uđe u EU prethodno ponašanje može da bude i te kakav problem.

B&IT: Imate li neku poruku koju biste ovom prilikom želeli da pošaljete svim kompanijama i organizacijama u Srbiji?
Nebojša Jokić: Vodite računa o zaštiti ljudi, informacija i uređaja. Činjenica je da poslovanje zavisi od interneta i da postoje ogromne mogućnosti za delovanje zlonamernih korisnika na internetu. U slučaju napada, mogućnosti za otkrivanje pravih počinilaca nisu velike, a za njihovo kažnjavanje i vraćanje izgubljenog mnogo manje. Investicije u poboljšanje bezbednosti predstavljaju ulaganje u stabilan rad kompanije.
Druga poruka koju bih poslao je da radite na sebi. Posvetite više pažnje svojoj edukaciji i pružite podršku drugima. Bezbednost je obaveza svih nas.

0 komentara

Najnoviji

Bezbedno otključajte GenAI potencijale

Generative AI revolucija je već stigla. Kakve su njene implikacije? Generativni...

Benefiti uvođenja Business Central

Implementacija Business Central ERP sistema može doneti značajne prednosti...

Najčešće greške pri implementaciji

ERP rešenja mogu značajno unaprediti poslovanje, ali njihovo uvođenje zahteva...

Nova implementacija vs. konverzija

Pri prelasku na novo ERP rešenje pred organizacije se postavlja izbor između...