Zabrinutost zbog nove strukture sajber bezbjednosti Crne Gore
Predlog zakona o informacionoj bezbjednosti omogućava Ministarstvu javne uprave ključnu kontrolu nad sajber zaštitom i uvodi široka nadzorna ovlašćenja.
Najavljeni zakon o informacionoj bezbjednosti mogao bi da izazove preklapanje nadležnosti institucija zaduženih za odbranu od sajber napada i pojača politički uticaj u toj oblasti, tvrde stručnjaci.
Predlog zakona o informacionoj bezbjednosti, koji je pripremilo Ministarstvo javne uprave (MJU), dostavljen je Skupštini Crne Gore nakon što ga je Vlada usvojila 10. maja. Važeći Zakon o informacionoj bezbjednosti donijet je 2010. godine, a jedine izmjene i dopune pretrpio je 2016. godine.
Stručnjak za informacionu bezbjednost Branko Džakula smatra da bi sprovođenje novog zakona moglo biti izazov za Crnu Goru zbog ograničenih tehničkih resursa.
"Indeks sajber bezbjednosti Crne Gore značajno zaostaje za prosjekom u Evropskoj uniji, a tradicionalno postoje problemi sa finansijskim, tehničkim i ljudskim resursima. Ovo dovodi u pitanje kapacitet javnog, ali i privatnog sektora da adekvatno apsorbuju i primijene nove zahtjeve u praksi", rekao je Džakula za BIRN.
Prema izvještaju Globalnog indeksa informacione bezbjednosti (GCI) za 2024. godinu, koji je objavila Međunarodna telekomunikaciona unija (ITU), Crna Gora je svrstana u kategoriju "uspostavljanje", koja pripada trećoj od pet grupa po nivou informacione bezbjednosti.
Da je crnogorski informacioni sistem ranjiv pokazalo se u avgustu 2022. godine kada je zbog sajber napada digitalna infrastruktura većeg dijela javne uprave bila van funkcije, uključujući ministarstva, Upravu za imovinu, Upravu prihoda i carina i sudove zbog čega nije funkcionisalo izdavanje dokumenata i fiskalnih računa.
Server Vlade Crne Gore tada je pogođen sa "ransomwareom", vrstom malicioznog softvera (malware) u kojem napadač zaključava i šifrira podatke i važne fajlove žrtve, a zatim zahtijeva plaćanje kako bi otključao i dešifrovao podatke.
Iako je sajber grupa "Cuba-Ransomwer" na svojoj web stranici u septembru 2022. preuzela odgovornost za napad, državno tužilaštvo još nije pronašlo direktnog počinioca napada. Na zahtjev Vlade Crne Gore u septembru 2022. stručnjaci FBI i francuske Nacionalne agencije za bezbjednost informacionih sistema (ANSSI) uključili su se u istragu napada. FBI je Upravi policije predao Izvještaj o sajber napadima na vladine servere u januaru 2023. ali on nikad nije objavljen.
Ministar javne uprave Maraš Dukaj je 10. maja ove godine rekao da Crna Gora prije napada nije imala konstantnu sajber zaštitu, navodeći da će se novim zakonom stvoriti bezbjedan sajber prostor usklađen sa standardima EU.
EU je u novembru 2022. godine usvojila novu NIS 2 direktivu koja predviđa zakonske mjere za podizanje ukupnog nivoa sajber bezbjednosti u EU, posebno kada je u pitanju zaštita kritične infrastrukture.
Direktor Direktorata za infrastrukturu, informacionu bezbjednost, digitalizaciju i e-servise u MJU, Dušan Polović, tvrdi da je fokus novog zakona usklađivanje sa NIS2 direktivom u što većoj mjeri. Donošenje zakona je jedna od obaveza pristupnih pregovora sa EU koji se odnose na Poglavlje 10 (Informatičko društvo i mediji).
Preklapanje nadležnosti i politički uticaj
Predlogom zakona predviđeno je da Ministarstvo javne uprave bude zaduženo za informacionu bezbjednost, preko posebne organizacione jedinice – CIRT (Computer Incident Response Team) koja će od sajber prijetnji i incidenata štiti informacioni sistem državne uprave. Važećim zakonom za to je zadužen postojeći CIRT koji je bio dio Direkcije za zaštitu tajnih podataka.
Vladinim predlogom planirano je i formiranje posebne Agencije za sajber bezbjednost, koja će biti centralno tijelo za zaštitu informacionih sistema subjekata koji nijesu dio državne uprave. Agencija će biti zadužena i za saniranje prijavljenih incidenta u informacionim sistemima van državne uprave kao i nadzor primjena zaštitnih mjera.
Ivan Vujović iz Agencije za elektronske komunikacije i poštansku djelatnost (EKIP) kazao je za BIRN da novo zakonsko riješenje može izazvati probleme u funkcionisanju novog sistema, zbog nejasne podjele nadležnosti između Agencije za sajber bezbjednost i CIRT-a. Vujović smatra da Agencija za informacionu bezbjednost treba da bude krovna institucija za sajber bezbjednost.
"U praksi može doći do preklapanja nadležnosti između Agencije i Vladinog CIRT-a, što može prouzrokovati nefunkcionalnost sistema zaštite od sajber napada i istraživanja uzroka napada", smatra Vujović.
I Džakula smatra da treba jasno definisati nadležnosti i zadatke Agencije i CIRT-a kako bi se izbjeglo preklapanje funkcija i odgovornosti.
"CIRT namijenjen državnim organima mogao bi imati specifične mandate koji su usmjereni isključivo na zaštitu državne infrastrukture, dok bi Agencija imala širu ulogu u zaštiti šireg sajber prostora, uključujući privatni sektor. Takvo razdvajanje bi moglo povećati efikasnost, pod uslovom da postoji čvrsta koordinacija između ovih institucija kako bi se izbjegli sukobi nadležnosti ili dupliranje zadataka", rekao je Džakula.
Nacionalnom Strategijom sajber bezbjednosti 2022-2026. koja je usvojena u junu 2022. predviđeno je da krovno tijelo koje će biti odgovorno za sajber bezbjednost bude Agencija za sajber bezbjednost, a u okviru koje bi funkcionisao CIRT. Upitan da li je predlog zakona usklađen sa Strategijom, Polović je kazao da je zakon prevashodno usklađen sa evropskim zakonodavstvom, kao i sa strateškim okvirom u Crnoj Gori.
Za Agenciju i novi CIRT 2,6 miliona eura
Analizirajući novo zakonsko riješenje iz Ministarstva finansija ocijenili su da je za njegovo sprovođenje potrebno izdvojiti 2,62 miliona eura, od čega se 2,09 miliona odnosi na ispunjenje uslova za rad novoformirane Agencije, a ostatak se odnosi na troškove povećanja kapaciteta CIRT-a. Predviđeno je da se za osnovne potrebe funkcionisanja Agencije tokom ove godine izdvoji 281.500 eura.
"U zemlji poput Crne Gore, gdje već postoje ograničenja u raspoloživim ljudskim i finansijskim resursima, formiranje dodatnih tijela može dovesti do nepotrebnog rasipanja resursa. Racionalnije bi bilo da Agencija za sajber bezbjednost integriše poseban odjeljak posvećen zaštiti državnih organa, čime bi se postigla bolja koordinacija i ušteda resursa", tvrdi Džakula.
Polović tvrdi da je i pored Agencije, bilo potrebno formirati poseban CIRT u okviru MJU jer to resorno ministarstvo upravlja Vladinom infrastrukturom i mrežom državnih organa.
"Nakon napada uspostavljen je kompletan sajber ekosistem koji je omogućio bezbjedan rad servisa i sistema, uprkos brojnim napadima koje smo imali, tako da je ovakvo rješenje i racionalno i efikasno", tvrdi Polović.
Predlogom zakona je predviđeno i da budući direktor Agencije za sajber bezbjednost bude imenovan na osnovu javnog konkursa koji raspisuje Savjet agencije, koji će imati predsjednika i četiri člana koje imenuje i razrješava Vlada. Predsjednika Savjeta predlaže Ministarstvo javne uprave, dok po jednog člana predlažu Univerzitet Crne Gore, Privredna komora, Crnogorska akademija nauka i umjetnosti (CANU) kao i Agencija iz reda zaposlenih.
Džakula smatra da ovakav način biranja članova Agencije nosi velike rizike politički motivisanih imenovanja.
"S obzirom na ključnu ulogu koju će Agencija imati u zaštiti državne infrastrukture i šireg sajber prostora, izuzetno je važno da njen sastav bude zasnovan na stručnosti, iskustvu i nepristrasnosti, a ne na političkim kriterijumima. Politički motivisana imenovanja mogu ugroziti kredibilitet i efikasnost Agencije", rekao je Džakula.
"Neophodno je uvesti transparentan i rigorozan proces selekcije, koji će osigurati da na ključne pozicije budu imenovani eksperti sa dokazanim iskustvom u sajber bezbjednosti", dodao je.
Tokom javne rasprave o predlogu zakona u martu 2023. bilo je zahtjeva da Savjet agencije ima bar jednog člana zajednice stručne za sajber bezbijednost ali su iz resornog ministarstva to odbili.
Polović tvrdi da će Agencija sajber bezbjednost biti profesionalno ustrojena i van političkog uticaja, ističući da će u njoj biti "stručan i dobro plaćen kadar".
Strah od širokih nadzornih ovlašćenja
Predlogom zakona je, između ostalog, predviđeno uvođenje nacionalnih i sektorskih registara kritične infrastrukture i donošenje Nacionalnog plana za odgovor na sajber incidente. Propisane su i obaveze izvještavanja o incidentima i procedure u skladu sa nivoom incidenata.
"Veoma važno je i uvođenje i implementacija standarda informacione bezbjednosti koje zakon propisuje, kao i stručni nadzor. Jasno je propisana obaveza dvosmjerne saradnje između inspektora i nadzornika", naveo je Polović.
Međutim, stručnjaci smatraju da je novi zakon prije usvajanja trebalo uskladiti sa Zakonom o zaštiti podataka o ličnosti, koji je zastario.
Predlogom zakona predviđeno je da su radi stručnog nadzora, organi i drugi subjekti, osim organa državne uprave, dužni da nadzorniku omoguće pristup prostoru, računarskoj opremi i uređajima, kao i da bez odlaganja stave na uvid ili dostave potrebne podatke i dokumentaciju u vezi sa predmetom nadzora.
Važećim Zakonom o zaštiti prava ličnosti propisano je da se lični podaci ne mogu obrađivati u većem obimu nego što je potrebno da bi se postigla svrha obrade, niti na način koji nije u skladu sa njihovom namjenom.
Džakula upozorava da Vladin predlog uvodi široka nadzorna ovlašćenja, koja mogu biti rizična.
"Ključno je uspostaviti ravnotežu između jačanja sajber bezbjednosti i očuvanja prava na privatnost. Potrebno je osigurati da nadzorna ovlašćenja budu proporcionalna i jasno definisana kako bi se izbjegle eventualne zloupotrebe ili prekomjerni nadzor", ukazuje Džakula.
Iz Agencije za zaštitu ličnih podataka i slobodan pristup informacijama kazali su BIRN-u da im predlog zakona nije dostavljan na izjašnjavanje, kao i da im se Ministarstvo javne uprave nije zvanično obraćalo tim povodom. Iz Agencije su kazali da će nakon donošenja novog Zakona o zaštiti podataka o ličnosti, svi propisi morati da se usaglase sa tim zakonskim aktom.