Национална сајбер конференција ШТА ЈЕ ТО НИС2 И КАКО СЕ СРБИЈА УКЛАПА У БЕЗБЕДНОСНУ СЛИКУ ЕВРОПЕ
Национална сајбер конференција коју 23. октобра по други пут заједно организују Фондација „Регистар националног интернет домена Србије“ (РНИДС) и Национални ЦЕРТ Републике Србије (РАТЕЛ) ове године у центар интересовања поставила је НИС2 директиву Европске уније, коју је ових дана требало да имплементирају на локалу све земље ЕУ, уз питање да ли ће се и колико од ње разликовати будући Закон о информационој безбедности, који би требало да се донесе до средине 2025. године.
О томе, али и о другим сајбер претњама, укључујући и сајбер претње на друштвеним мрежама, расправљало се на Националној сајбер конференцији пред пуном салом Радисон Мил хотела. Било је ту представника великих компанија, које углавном спремно дочекују промену прописа везаних за сајбер безбедност, али и правника, ИТ стручњака и представника домаћих и међународних институција које су учествовале у припреми и примени нове стратегије ЕУ посвећене борби за бољу сајбер сигурност.
-Шесту годину заредом окупљамо стручњаке из ове области са циљем да у сајбер простору омогућимо што виши степен безбедности. До 2023.године национални ЦЕРТ је забележио пораст броја пријављених инцидената за 40 посто у односу на 2022, а тај тренд се наставља и данас– рекао је у уводном излагању Душко Коџић, директор Сектора за информациону безбедност и технологије РАТЕЛ-а. – Зато је неопходно континуирано радити на информационој безбедности кроз три основна сегмента, а то су људи, процеси и технологија.
Уводне говоре одржали су и Дејан Ђукић, директор Регистра националног интернет домена Србије, Милан Војводић из Министарства информисања и телекомуникација, амбасадор Jan Braathu, шеф Мисије ОЕБС-а у Србији и Пламена Халачева, заменица шефа Делегације Европске уније у Србији.
Први панел био је посвећен НИС 2 директиви, њеној примени у земљама Европске уније, које су имале рок до 17. октобра да имплементирају ове одредбе у своју легислативу (неке земље ипак нису то још учиниле), а било је речи и о томе како и колико је наша држава Нацртом закона о информационим делатностима одговорила на захтеве које поставља Директива. Како смо сазнали од учесника, неке компаније одавно примењују ове стандарде, а оно што се сада очекује јесте боља и већа сарадња између сектора, уз питање како одредбе ове директиве, које подразумевају коришћење и манипулисање личним подацима, ускладити с одредбама Закона о заштити података о личности, чији је циљ управо њихова заштита. Мина Томић, из компаније А1 рекла је да телекомуникационе компаније предњаче у имплементацији ових директива, док је Горазд Божич, SI-CERT Slovenia, поделио искуства Словеније у грађењу сајбер безбедносне легислативе. Милан Војводић истакао је да ће Србија имати довољно времена да испрати како тече имплементација НИС2 директиве пре него што и сама усвоји нови Нацрт закона.
Претње и друштвене мреже
На конференцији је било речи о врло широком спектру претњи које долазе са друштвених мрежа – од превара и фишинг порука до преузимања налога ради изнуде или злоупотребе идентитета, које угрожавају не само приватне, већ и пословне кориснике. Уз анализу проблема увођења вештачке интелигенције у причу, било је речи о томе како претње еволуирају, каква и колика је одговорност платформи, али и о пожељним безбедносним процедурама које треба применити да би се предупредили ризици.
-Земље ЕУ које су имплементирале НИС2 директиву донеле су националне законе и код њих је дефинисан рок када ће почети примена тог закона с јасним одредбама које с уобавезе ИКТ система – рекао је Дејан Ђукић, директор Регистра националног интернет домена Србије. - За нас то значи да ћемо моћи да видимо у пракси како то функционше, јер је код нас закон још у фази нацрта.
-Будући закон потписује и процедуре које морају да дефинишу ИКТ системи који су дефинисани као системи од посебног значаја. Такође, прописује како реагују у случају инцидената, прописује како морају да држе резервне копије, односо бекап својих података – каже Ђукић. -то свакако диже оперативни трошак рада свих организација, поготово оних које још нису на нивоу као што су телеком оператери, рецимо.
Како је рекао, остали системи, као што је здравство просвета не могу да парирају својим системима телеком оператерима, па ће морати пуно тога да ураде, да би достигли тај ниво. Посебан проблем је недостатак људства, пошто сада имамо само два инспектора, а Инспекторијат тек треба да се, како су најавили на панелу, отвори 2027. године.
-На министарству је да види како ће попунити људством, ми смо ту да сарађујемо с институцијама. Ми смо још од првог закона ИКТ систем од посебног значаја, тако да смо морали пуно тога да урадимо, да бисмо достигли те стандарде. Имамо и ИСО27001, који је практично имплементиран у НИС директиву. Тај ниво стандардне безбедности и добре праксе ми већ поседујемо, каже Ђукић.
Шта уствари доноси НИС2? Све оно што је у појединим великим компанијама била добра пракса кад је у питању сајбер безбедност и брзо реаговање на претње, сад је постало обавеза. НИС2 директива проширује обухват предузећа и организација које морају поштовати строже стандарде сајбер безбедности, укључујући обавезно пријављивање инцидената, јачу сарадњу између држава чланица ЕУ и развијање заједничких стандарда за сајбер безбедност. Организације које не поштују ову регулативу могу се суочити са значајним прекршајима, иако, како су истакли, ниједан прекршај не потпада под кривично дело..
Главне новине НИС2 директиве укључују проширење броја сектора и врста предузећа која потпадају под регулативу, увођење строжих правила о извештавању о инцидентима, јачање одговорности руководства компанија за сајбер безбедност, као и промовисање сарадње и размене информација између земаља чланица.
Конференција је организована уз подршку Министарства информисања и телекомуникација, фондације Мрежа са сајбер безбедност, Мисије ОЕБС-а у Србији, организација eGA, ICANN, CILC и NUKIB.
Ивана Радоичић
Фото: И. Р.