Na osnovu člana 45. stav 1. Zakona o Vladi („Službeni glasnik RS”, br. 55/05, 71/05 – ispravka, 101/07, 65/08, 16/11, 68/12 – US, 72/12, 7/14 – US i 44/14),
Vlada donosi
STRATEGIJU RAZVOJA INFORMACIONE BEZBEDNOSTI U REPUBLICI SRBIJI
ZA PERIOD OD 2017. DO 2020. GODINE
1. UVOD
Informaciona bezbednost je aspekt bezbednosti koji se odnosi na bezbednosne rizike povezane sa upotrebom informaciono-komunikacionih tehnologija, uključujući bezbednost podataka, uređaja, informacionih sistema, mreža, organizacija i pojedinaca.
Razvoj novih tehnologija donosi nesumnjive koristi za društvo, ali paralelno sa tehnološkim razvojem dolaze i novi bezbednosni izazovi. Prema navodima iz Strategije informacione bezbednosti Evropske unije (Cybersecurity Strategy of the European Union), visokotehnološki kriminal je vrsta kriminala koja je u najvećem porastu, a milion ljudi, uključujući decu, svakodnevno bude žrtva napada. Hakerski napadi na informacione sisteme mogu bitno da ugroze poslovanje preduzeća, funkcionisanje državne infrastrukture i nacionalnu bezbednost, dok su pojedinci, a pre svega deca, sve više izloženi riziku od prevara, ucena i zlostavljanja putem interneta.
Upotreba informaciono-komunikacionih tehnologija (IKT) od strane države, privrede i građana je u porastu i sve više poslova i aktivnosti se zasniva na njihovom korišćenju. Državni organi se u velikoj meri oslanjaju na informacione sisteme, koji omogućavaju lakše i efikasnije obavljanje poslova iz njihovih nadležnosti. Kada je u pitanju opštenje organa i stranaka, treba istaći da se elektronska uprava razvija, da je broj elektronskih usluga organa javne vlasti u porastu, čime se građanima omogućuje olakšano pribavljanje različitih dokumenata koji su im potrebni. Javna preduzeća koja obavljaju delatnosti od opšteg interesa, kao i privredna društva, upotrebljavaju informacione sisteme u velikoj meri, a u pojedinim delatnostima, kao što je, na primer, delatnost proizvodnje, distribucije i snabdevanja električnom energijom, poslovi se u znatnoj meri oslanjaju na IKT sisteme. Brojne ustanove, kao, na primer, ustanove u oblasti zdravstvene zaštite, vode evidencije u okviru svojih informacionih sistema. Upotreba Interneta je u porastu na svim nivoima. Prema podacima Republičkog zavoda za statistiku, objavljenim u okviru dokumenta „Upotreba informaciono-komunikacionih tehnologija u Republici Srbiji, 2016”, utvrđeno je da 99.8% preduzeća na teritoriji Republike Srbije koristi računar u svom poslovanju, da 99,8% preduzeća ima internet priključak, a 99,1% ima širokopojasnu (broadband) internet konekciju. Prema istom izvoru, 98,6% preduzeća koristi elektronske servise javne uprave. Sa druge strane, 65,8% domaćinstava poseduje računar, 64,7% domaćinstava poseduje internet priključak, a 57,8% domaćinstava u Republici Srbiji ima širokopojasnu (broadband) internet konekciju. Takođe, preko 1.510.000 lica koristi elektronske servise javne uprave, a preko 1.450.000 lica kupovalo je ili poručivalo robu/usluge putem interneta u poslednjih godinu dana.
Napadi na informacione sisteme mogu da bitno ugroze funkcionisanje države, kao što je bio slučaj u Estoniji 2007. godine, kada je izvršen sajber napad na IKT sisteme državnih organa i finansijskih institucija, i kada je došlo do blokade usluga elektronske uprave, koje se masovno koriste u toj državi, kao i platnog prometa. Poznat je i slučaj unošenja računarskog virusa „Staksnet” u nuklearnu elektranu u Iranu 2010. godine, sa namerom da se izvrši sabotaža industrijskih sistema. U februaru 2016. godine hakeri su uspeli da ukradu 81 milion dolara Centralnoj banci Bangladeša tako što su provalili u njihovu računarsku mrežu, otkrili ključeve za pristup SWIFT sistemu i neovlašćeno izdali naloge za prenos sredstava sa računa u Banci federalnih rezervi u Njujorku. Pored toga, postoje pretnje po nacionalnu bezbednost koje se po međunarodnom pravu ne mogu svrstati u oblike oružane agresije, ali su prisutne u međunarodnim odnosima.
Prema podacima Ministarstva unutrašnjih poslova, broj prijavljenih krivičnih dela iz oblasti visokotehnološkog kriminala raste 50% godišnje. Napadi na servere državnih organa sve su učestaliji i napredniji.
Republika Srbija je prepoznala informacionu bezbednost kao jednu od šest prioritetnih oblasti razvoja informacionog društva i preduzela korake u cilju uspostavljanja sveobuhvatnog okvira informacione bezbednosti. U skladu sa tim, Strategija razvoja informacionog društva u Republici Srbiji do 2020. godine („Službeni glasnik RS”, broj 51/10) predviđa da razvoj i unapređenje informacione bezbednosti treba postići kroz unapređenje pravnog i institucionalnog okvira, zaštitu kritične informacione infrastrukture, borbu protiv visokotehnološkog kriminala i naučno–istraživački rad.
Zakon o informacionoj bezbednosti („Službeni glasnik RS”, broj 6/16 – u daljem tekstu: Zakon) stvorio je osnov za uspostavljanje i primenu sveobuhvatnog okvira u oblasti informacione bezbednosti. Zakonom se uređuju mere zaštite od bezbednosnih rizika u IKT sistemima od posebnog značaja, odgovornosti operatora IKT sistema od posebnog značaja prilikom upravljanja i korišćenja IKT sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.
U smislu uspostavljanja sveobuhvatnog okvira, Zakon takođe ostavlja prostor i za uključivanje drugih aktera, poput privatnog sektora, akademske zajednice i civilnog društva, tako što predviđa formiranje posebnih radnih grupa u okviru Tela za koordinaciju poslova informacione bezbednosti.
Po pitanju informacione bezbednosti pojedinaca, posebno je značajna bezbednost dece. Upotreba IKT i interneta kod dece u Republici Srbiji je veoma raširena. Istraživanje UNICEF-a sprovedeno 2012. godine na teritoriji Republike Srbije, pokazalo je da više od 90% starijih osnovaca i srednjoškolaca imaju mobilne telefone i da oko 90% dece koristi internet. Isto istraživanje je ukazalo na visoke stope izloženosti rizicima na internetu i izloženosti digitalnom nasilju, odnosno dve trećine dece su bili izloženi nekoj vrsti onlajn rizika. Pri tome polovina ispitanih nastavnika izjavljuje da ne poseduje odgovarajuće veštine korišćenja računara i interneta, a skoro polovina smatra da je nedovoljno informisana o digitalnom nasilju. Prema istraživanju UNICEF-a iz 2016. godine, „Istraživanje o nivou svesti o potencijalnim internet rizicima i zloupotrebama među roditeljima dece uzrasta 8 do 17 godine”, tek nešto više od 50 odsto roditelja smatra sebe dovoljno, ali ne i potpuno sposobnim da pruži pomoć i podršku svom detetu u takvim situacijama. U istraživanju je istaknuto da 25 odsto roditelja navodi da je njihovo dete bilo izloženo rizičnoj ili opasnoj situaciji na internetu u poslednjih 12 meseci od dana ispitivanja. Pored toga, navedeno je da 85% dece u uzrastu od 8 do 17 godina poseduje mobilni telefon, od kojih su 63% „pametni telefoni”, kao i da dva od tri deteta u provode u proseku preko sat vremena dnevno na internetu.
Opšti cilj Strategije je razvoj i unapređenje informacione bezbednosti u Republici Srbiji i njeno održavanje na adekvatnom nivou, a s obzirom da su donošenjem propisa u ovoj oblasti definisani IKT sistemi od posebnog značaja, mere zaštite, nadležni organi, izazov za ostvarenje cilja nalazi se u stvaranju preduslova za kontinuirano unapređenje kadrova, kako kroz uvođenje posebnih programa na univerzitetima iz oblasti informacione bezbednosti, tako i kroz kontinuirano obučavanje i usavršavanje zaposlenih u relevantnim institucijama koji se bave informacionom bezbednošću. Uzimajući u obzir dinamičnost ove oblasti, jedan od ključnih preduslova za kontinuirano održavanje adekvatnog nivoa informacione bezbednosti je uspostavljanje centra za razvoj i istraživanje koji bi imao ulogu praćenja kretanja u ovoj oblasti i, shodno tome, davanje doprinosa daljem unapređenju informacione bezbednosti u skladu sa najnovijim saznanjima i tehnološkim rešenjima. Ostvarivanjem ciljeva Strategije postiže se stabilno funkcionisanje IKT sistema od posebnog značaja, informaciona bezbednost građana i Republike Srbije, podižu se kapaciteti za borbu protiv visokotehnološkog kriminala, s tim da je za realizaciju toga od ključnog značaja saradnja između javnog sektora, privatnog sektora, nevladinih organizacija, akademske zajednice i drugih relevantnih činilaca.
S obzirom značaj i širinu oblasti informacione bezbednosti, Vlada donosi ovu strategiju u cilju razvoja i unapređenja informacione bezbednosti u Republici Srbiji.
Oblast informacione bezbednosti regulisan je sledećim propisima:
Zakon o informacionoj bezbednosti („Službeni glasnik RS”, broj 6/16);
Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala („Službeni glasnik RS”, br. 61/05 i 104/09);
Krivični zakonik („Službeni glasnik RS”, br. 85/05, 88/05 – ispravka, 107/05 – ispravka, 72/09, 111/09, 121/12, 104/13, 108/14 i 94/16);
Zakon o tajnosti podataka („Službeni glasnik”, broj 104/09);
Zakon o zaštiti podataka o ličnosti („Službeni glasnik RS”, br. 97/08, 104/09 – dr. zakon, 68/12 –US i 107/12);
Zakon o elektronskim komunikacijama („Službeni glasnik RS”, br. 44/10, 60/13 –US i 62/14);
Zakon o potvrđivanju Konvencije o visokotehnološkom kriminalu („Službeni glasnik RS”, broj 19/09);
Zakon o potvrđivanju Dodatnog protokola uz Konvenciju o visokotehnološkom kriminalu koji se odnosi na inkriminaciju dela rasističke i ksenofobične prirode izvršenih preko računarskih sistema („Službeni glasnik RS”, broj 19/09);
Zakon o potvrđivanju Konvencije Saveta Evrope o zaštiti dece od seksualnog iskorišćavanja i seksualnog zlostavljanja („Službeni glasnik RS – Međunarodni ugovori”, broj 1/10);
Zakon o Vojnobezbednosnoj agenciji i Vojnoobaveštajnoj agenciji („Službeni glasnik RS”, br. 88/09, 55/12 – US i 17/13).
Razvoj informacione bezbednosti u Republici Srbiji počiva na sledećim principima:
1) Informaciona bezbednost čini sastavni deo sveukupne bezbednosti i u funkciji je ostvarivanja i poštovanja prava, sloboda i interesa građana, privrede i države;
2) Informaciona bezbednost je od značaja za sve društvene činioce koji koriste informaciono-komunikacione tehnologije, a koji treba da budu svesni rizika povezanih sa upotrebom tehnologije i da preduzimaju preventivne i druge potrebne mere zaštite;
3) Informaciona bezbednost podrazumeva blagovremeno prepoznavanje rizika, preduzimanje preventivnih mera i efikasnu reakciju na incidente;
4) Potrebno je uspostaviti i unapređivati redovnu i efikasnu razmenu informacija o rizicima i incidentima u oblasti informacione bezbednosti na nacionalnom i međunarodnom nivou;
5) Nastaviti kontinuirani razvoj sistema zaštite u informacionoj bezbednosti na pravnom, organizacionom i tehničkom nivou, uz prilagodljivost novim okolnostima i izazovima;
6) Sistematski podizati svest i unapređivati znanja i veštine kod svih kategorija građana po pitanju informacione bezbednosti u svakodnevnom životu i na radnom mestu;
7) Uspostaviti stalnu saradnju između javnog i privatnog sektora, kao osnov za razvoj i unapređenje strateških prioriteta.
U cilju razvoja i unapređenja informacione bezbednosti u Republici Srbiji utvrđuju se sledeće prioritetne oblasti:
1) bezbednost informaciono-komunikacionih sistema, što se odnosi na rizike narušavanja funkcionisanja organa vlasti, privrede i organizacija kao posledica incidenata u informaciono-komunikacionim sistemima;
2) informaciona bezbednost građana, što se odnosi na rizike narušavanja bezbednosti građana zloupotrebom informaciono-komunikacionih tehnologija;
3) borba protiv visokotehnološkog kriminala, što se odnosi na prevenciju i sankcionisanje krivičnih dela koja se zasnivaju na zloupotrebi informaciono-komunikacionih tehnologija;
4) informaciona bezbednost Republike Srbije, što se odnosi na rizike narušavanja nacionalne bezbednosti putem informaciono-komunikacionih sistema;
5) međunarodna saradnja, što podrazumeva saradnju sa stranim državnim organima, međunarodnim organizacijama i drugim partnerima u oblasti informacione bezbednosti.
U okviru prioritetnih oblasti određuju se sledeći strateški ciljevi:
1) u oblasti bezbednosti informaciono-komunikacionih sistema:
(1) prevencija i zaštita putem razmene informacija, praćenja aktuelnih rizika i podizanje svesti,
(2) bezbednost IKT sistema u privrednim subjektima i bezbednost elektronskog poslovanja,
(3) bezbednost IKT sistema od posebnog značaja,
(4) bezbednost tajnih podataka u IKT sistemima,
(5) saradnja javnog i privatnog sektora u oblasti informacione bezbednosti;
2) u oblasti bezbednosti građana pri korišćenju tehnologije:
(1) bezbednost dece na internetu,
(2) zaštita privatnosti i zaštita od zloupotreba pri korišćenju IKT,
(3) informaciona bezbednost u obrazovnom sistemu;
3) u oblasti borbe protiv visokotehnološkog kriminala:
(1) unapređenje mehanizama za otkrivanje visokotehnološkog kriminala i krivično gonjenje učinilaca,
(2) podizanje svesti o opasnostima od visokotehnološkog kriminala,
(3) unapređenje međunarodne saradnje u borbi protiv visokotehnološkog kriminala;
4) u oblasti informacione bezbednosti Republike Srbije:
(1) sistem informacione bezbednosti od značaja za nacionalnu bezbednost,
(2) razvoj naučnih, tehnoloških i industrijskih kapaciteta neophodnih za zaštitu informacione bezbednosti Republike Srbije,
(3) izgradnja vojnih kapaciteta sistema odbrane za odbranu od visokotehnoloških napada,
(4) Izgradnja bezbednosno-obaveštajnih kapaciteta u oblasti informacione bezbednosti;
5) međunarodna saradnja.
Incidenti u oblasti informacione bezbednosti su obično povezani sa narušenom bezbednošću informaciono-komunikacionih sistema, što može biti provala u sistem, pristup podacima koji nije trebalo da bude omogućen, izazivanje problema u radu sistema i slično. Krajnje posledice takvih incidenata najčešće izlaze iz okvira samog IKT sistema i odnose se na poslove, organizacije i ljude koji se neposredno ili posredno oslanjaju na IKT sistem. Na primer, prekid rada informacionog sistema u banci može onemogućiti banku da opslužuje svoje klijente, a klijenta banke može dovesti u situaciju da ne može da plati račun svojom kreditnom karticom. Takvi incidenti širih razmera mogu ugroziti funkcionisanje države, privrede i društva, zbog čega se određuju IKT sistemi od posebnog značaja za koje postoji zakonska obaveza staranja o informacionoj bezbednosti u skladu sa Zakonom.
U svim sferama bezbednosti se kontinuirano pojavljuju nove tehnike i sredstva ugrožavanja bezbednosti i nove mere zaštite, ali ni u jednoj oblasti se to ne dešava toliko dinamično kao u informacionoj bezbednosti.
Zbog toga je pravovremeno informisanje, podizanje svesti, korigovanje navika i pružanje relevantnih informacija o bezbednosnim rizicima i načinima otklanjanje posledica incidenata od izuzetne važnosti.
Brza, pouzdana i efikasna razmena informacija može da utiče da organi javne vlasti, privredni subjekti i građani preduzmu blagovremene i adekvatne mere zaštite svojih sistema i uređaja, i tako spreče da se desi incident, odnosno ublaže posledice incidenta koji se ostvario.
Zbog toga, Zakonom je ustanovljen Nacionalni centar za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT) u okviru Regulatorne agencije za elektronske komunikacije i poštanske usluge (RATEL), a čiji je zadatak da prikuplja i razmenjuje informacije o rizicima za bezbednost IKT sistema, kao i događajima koji ugrožavaju bezbednost IKT sistema i u vezi toga obaveštava, upozorava i savetuje lica koja upravljaju IKT sistemima u Republici Srbiji, kao i javnost.
Nacionalni CERT treba da sarađuje sa sličnim organizacijama drugih zemalja, s obzirom na globalni karakter izazova u oblasti informacione bezbednosti.
Nacionalni CERT treba da sarađuje sa relevantnim međunarodnim institucijama na polju informacione bezbednosti i učestvuje kao član u njihovom radu.
Od izuzetnog je značaja efikasno uspostavljanje i stalno unapređivanje rada Nacionalnog CERT-a, kako bi u što većoj meri odgovorio na ulogu koja mu je data.
U okviru republičkih organa zakonom je ustanovljen Centar za bezbednost IKT sistema u republičkim organima (u daljem tekstu: CERT republičkih organa) u okviru Uprave za zajedničke poslove republičkih organa, a obavlja poslove koji se odnose na zaštitu od incidenata u IKT sistemima republičkih organa, izuzev IKT sistema samostalnih operatora.
Pored toga Zakonom je ostavljena mogućnost formiranja nezavisnih posebnih CERT-ova koji obavljaju poslove prevencije i zaštite od bezbednosnih rizika u IKT sistemima u okviru određenog pravnog lica, grupe pravnih lica, oblasti poslovanja i slično. Posebni CERT-ovi se evidentiraju kod Nacionalnog CERT-a. Na taj način treba da se uspostavi mreža CERT-ova između kojih će se efikasno i brzo razmenjivati informacije i iskustva.
Razvojem elektronskog poslovanja privredni subjekti su sve više izloženi bezbednosnim rizicima vezanim za tehnologiju koju koriste.
Pre svega je u privrednim subjektima potrebno uspostavljati i unapređivati sisteme upravljanja informacionom bezbednošću u skladu sa međunarodnim standardima i dobrim praksama iz drugih zemlja.
Pored aktivnosti CERT-a koje su usmerene na podizanje svesti, između ostalog, privrednih subjekata, potrebno je kao poseban prioritet postaviti unapređivanje bezbednosti IKT sistema u privredi. Shodno tome, značaj Nacionalnog CERT-a se ogleda i u podizanju svesti privrednih subjekata o potrebi primena mera zaštite, u skladu sa nacionalnim i međunarodnim standardima, kao i o koristima uspostavljanja posebnih CERT-ova (u okviru određenog privrednog subjekta, grupe privrednih subjekata ili oblasti poslovanja) koji treba da imaju važnu ulogu u prevenciji i zaštiti IKT sistema i razmeni informacija sa drugim relevantnim činiocima sistema informacione bezbednosti u Republici Srbiji. U cilju podizanja svesti o bezbednosnim rizicima i značaju primena mera zaštite, od velikog značaja je učešće i nevladinog sektora, akademske zajednice i drugih subjekata u ovoj oblasti.
Kada narušavanje bezbednosti pojedinog IKT sistema ili nekoliko IKT sistema iz iste oblasti može da dovede do značajnog narušavanja funkcionisanja javnih institucija, privrede i svakodnevnog života građana, tada odgovornost za bezbednost takvog IKT sistema izlazi iz okvira štete nanete preduzeću, organizaciji ili instituciji kojoj IKT sistem pripada. To su IKT sistemi od kojih zavisi kritična infrastruktura ili sistemima koji sami po sebi predstavljaju kritičnu infrastrukturu. S obzirom da u pravnom sistemu još uvek nije formalno uveden pojam kritične infrastrukture, u Zakonu se takvi sistemi označavaju kao IKT sistemi od posebnog značaja.
Operatori IKT sistema od posebnog značaja imaju Zakonom utvrđene obaveze staranja o informacionoj bezbednosti i po tom pitanju su pod nadzorom nadležnih državnih organa.
Takođe je propisano da IKT sistemi od posebnog značaja obaveštavaju nadležni organ uvek kada se desi incident u IKT sistemima koji može da ima značajan uticaj na narušavanje informacione bezbednosti. Operatori IKT sistema od posebnog značaja moraju da budu svesni značaja prijave incidenata, kao i njihovih posledica na nacionalnom i međunarodnom nivou.
Nadležni organ uspostavlja i unapređuje međunarodnu saradnju u oblasti bezbednosti IKT sistema, koja će se dodatno formalizovati pristupanjem Republike Srbije Evropskoj uniji, a na osnovu Direktive o mrežnoj i informacionoj bezbednosti Evropske unije.
Nadležni organ kontinuirano prati stanje informacione bezbednosti putem inspekcijskog nadzora, prijema i obrade prijava obaveštenja o incidentima u IKT sistemima od posebnog značaja koji mogu da imaju značajan uticaj na narušavanje informacione bezbednosti, kao i na osnovu analize rizika i incidenata koju izrađuje Nacionalni CERT, i u skladu sa tim unapređuje oblast informacione bezbednosti uz saradnju svih relevantnih institucija, a posebno onih čiji predstavnici učestvuju u radu Tela za koordinaciju poslova informacione bezbednosti. Shodno tome, od izuzetnog je značaja izgradnja kapaciteta nadležnog organa, to jest Ministarstva trgovine, turizma i telekomunikacija, po pitanju inspekcije za informacionu bezbednost i prijema i obrade prijava o incidentima, kao i kapaciteta drugih institucija nadležnih u oblasti informacione bezbednosti.
Sa druge strane predstoji uspostavljanje sistema upravljanja informacionom bezbednošću u skladu za propisanim uslovima u velikom broju operatora IKT sistema od posebnog značaja, što je krajnja svrha zakonskih mera i od ključne je važnosti za bezbednost kritične infrastrukture u Republici Srbiji.
Tajni podatak u IKT sistemima je podatak koji je, u skladu sa propisima o tajnosti podataka, određen i označen određenim stepenom tajnosti.
Zaštita tajnih podataka u IKT sistemima predstavlja posebni bezbednosni izazov, imajući u vidu da najsofisticiraniji oblici visokotehnoloških napada (uključujući špijunažu) predstavljaju upravo napad na sadržaje tajnih podataka.
Neovlašćeni pristup tajnim podacima i njihova krađa iz IKT sistema državnih institucija, javnih i privatnih preduzeća, kao i napadi na IKT infrastrukturu od vitalnog značaja za funkcionisanje države mogu se posmatrati kao jedan od najtežih oblika napada na IKT sistem.
Zakonom o tajnosti podataka, i na osnovu tog zakona donetim podzakonskim aktima, uspostavljen je osnov normativnog okvira za rad sa tajnim podacima, uključujući i pitanja tajnih podataka koji se obrađuju u informaciono-komunikacionim sistemima, kao i nadležnosti Kancelarije Saveta za nacionalnu bezbednost i zaštitu tajnih podataka u ovoj oblasti. U narednom periodu treba izvršiti nadogradnju nacionalne regulative i nadležnosti Kancelarije Saveta za nacionalnu bezbednost i zaštitu tajnih podataka u području zaštite tajnih podataka u IKT sistemima, u skladu sa odgovarajućim direktivama Evropske unije, sa posebnim težištem na određivanje nadležnosti i propisivanje procesa akreditacije IKT sistema za rad sa tajnim podacima.
Od prioritetnog značaja za unapređivanje bezbednosti tajnih podataka u IKT sistemima je brzo i efikasno okončanje uspostavljanja jedinstvenog sistema i postupka akreditacije IKT sistema za rad sa tajnim podacima, definisanje mera zaštite IKT sistema za rad sa tajnim podacima, donošenje nacionalnog programa za podizanje svesti pri korišćenju IKT sistema za rad sa tajnim podacima, kao i donošenje nacionalne metodologije za procenu rizika za IKT sisteme za rad sa tajnim podacima. U tom cilju, potrebno je dodatno ojačati kapacitete Kancelarije Saveta za nacionalnu bezbednost i zaštitu tajnih podataka i drugih nadležnih državnih organa.
3.1.5. Saradnja javnog i privatnog sektora u oblasti informacione bezbednosti
Za održavanje adekvatnog nivoa informacione bezbednosti u Republici Srbiji, potrebno je, pored države, učešće i drugih – privrede, građana, nevladinog sektora, akademske zajednice i ostalih relevantnih činilaca. Saradnja između javnog i privatnog sektora može da bude veoma značajna za industrijska istraživanja i inovacije u oblasti informacione bezbednosti, a veoma bitan segment saradnje je razmena informacija u cilju adekvatne pripremljenosti i odgovora na bezbednosne rizike i incidente.
Zakonom je ostavljen prostor za uključivanje aktera iz privatnog, akademskog i civilnog sektora u napore usmerene na jačanje informacione bezbednosti u Republici Srbiji putem formiranja posebnih radnih grupa u okviru Tela za koordinaciju poslova informacione bezbednosti. U tom smislu, uspostavljanje saradnje javnog i privatnog sektora koja će omogućiti efikasnu komunikaciju i optimizaciju planiranih budućih aktivnosti, odnosno blagovremenu razmenu informacija i deljenje resursa takođe je jedan od polaznih prioriteta za unapređivanje oblasti informacione bezbednosti u Republici Srbiji.
Sve ove aktivnosti treba da vode ka uspostavljanju trajnog poverenja u okvirima informacione bezbednosti između svih aktera: javnog sektora odnosno predstavnika državnih institucija, privatnog sektora, odnosno privrede i građana organizovanih u civilno društvo.
Pored izloženosti preduzeća, organizacija i organa vlasti rizicima informacione bezbednosti, tim rizicima je izložen i svaki pojedinac. Pojedinci mogu doživeti finansijske prevare, narušavanje ugleda zbog otkrivanja intimnih sadržaja, ucene, štetu zbog gubitka podataka, a posebno ugrožena kategorija su deca, koja su pored svega toga često žrtve zlostavljanja.
Deca u sve većoj meri i sve ranije počinju da koriste informaciono-komunikacione tehnologije i pristup internetu. Širenjem upotrebe mobilnih uređaja deca u svakom trenutku, bez nadzora odraslih mogu da ostvare pristup internetu, da uspostavljaju kontakte sa nepoznatim osobama preko društvenih mreža, da previše izlažu lične podatke o sebi i svojoj porodici, da jedni prema drugima ispoljavaju individualnu i organizovanu verbalnu agresiju, da snimaju i razmenjuju fotografije i video zapise koji njima ili drugim osobama mogu naneti štetu. Svi ovi rizici dešavaju se u okolnostima složenih socijalnih odnosa među decom, uključujući narastajuće vršnjačko nasilje.
Donošenjem Zakona o ratifikaciji Konvencije Ujedinjenih nacija o pravima deteta („Službeni list SFRJ – Međunarodni ugovori”, broj 15/90 i „Službeni list SRJ – Međunarodni ugovori”, br. 4/96 i 2/97) država se obavezala da preduzme mere za sprečavanje i da obezbedi zaštitu deteta od svih oblika nasilja u porodici, institucijama i široj društvenoj sredini. Odredbama Konvencije predviđeno je da države preduzimaju mere koje se odnose na zaštitu deteta od: fizičkog i mentalnog nasilja, zloupotrebe i zanemarivanja i svih drugih oblika iskorišćavanja (eksploatacije) štetnih po bilo koji vid detetove dobrobiti. Takođe, Konvencijom je određena obaveza države da obezbedi mere podrške za fizički i psihički oporavak deteta – žrtve nasilja i njegovu socijalnu reintegraciju.
Opšti protokol za zaštitu dece od zlostavljanja i zanemarivanja, koji je Vlada usvojila Zaključkom 05 Broj: 011-5196/2005 od 25. avgusta 2005. godine, predviđa da u procesu zaštite deteta od zlostavljanja i zanemarivanja treba da učestvuju ustanove i pojedinci iz različitih sistema (zdravstvo, obrazovanje, socijalna zaštita, policija, pravosuđe i dr), svaki od njih u okviru svojih nadležnosti.
Strategijom Evropske unije za bolji internet za decu, donetoj 2012. godine, predviđeno je da deca, roditelji, staratelji i nastavnici moraju da budu svesni rizika koji postoje na internetu, kao i da je potrebno da deca budu savetovana i informisana o bezbednim načinima korišćenja interneta. Navedeno je da je potrebno da se uspostave mehanizmi koji će omogućiti jednostavno i lako dostupno prijavljivanje štetnog i neprimerenog sadržaja za decu.
Vlada je u julu 2016. godine donela Uredbu o bezbednosti i zaštiti dece pri korišćenju informaciono-komunikacionih tehnologija („Službeni glasnik RS”, broj 61/16). Na osnovu ove uredbe, Ministarstvo trgovine, turizma i telekomunikacija preduzima preventivne mere za bezbednost i zaštitu dece na internetu putem informisanja i edukacije, i uspostavilo je Nacionalni kontakt centar za bezbednost dece na internetu kao jedinstveno mesto za pružanje saveta i prijem prijava u vezi sa bezbednošću dece na internetu.
Za adekvatnu zaštitu dece na internetu potrebno je podizanje svesti i roditelja i dece, kao i jačanje uloge škole kroz odgovarajuće školske programe i podizanje kapaciteta nastavnika. Javne institucije koje sa različitih pozicija reaguju kada dođe do određenih posledica, kao što su Ministarstvo unutrašnjih poslova, centri za socijalni rad i zdravstvene ustanove takođe treba da podižu svoje kapacitete u ovoj oblasti.
Veću pažnju zaštiti dece na internetu, kroz odgovarajuće programske sadržaje, potrebno je posvetiti i u medijima i time doprineti podizanju svesti roditelja i dece, a što se posebno odnosi na javne servise.
Potrebno je dalje podizati kapacitet i jačati ulogu jedinstvenog mesta za pružanje saveta i prijem prijava u vezi sa bezbednošću dece na internetu, uključujući koordinaciju podrške u pojedinačnim slučajevima i koordinaciju uspostavljanja novih sistemskih rešenja za prepoznate tipove problema.
U saradnji nadležnih ministarstava sa operatorima elektronskih komunikacija i Akademskom mrežom Republike Srbije treba definisati mere kojima će na tehničkom nivou moći da se ograniči izloženost dece neodgovarajućim sadržajima.
Rizici koji nastaju zbog prekomerne dostupnosti ličnih podataka često u dovoljnoj meri nisu sagledani kako od vlasnika podataka, tako ni od obrađivača, pri čemu kod obrađivača nisu retki slučajevi i namernog prenebregavanja potrebe zaštite podataka o ličnosti.
Većina incidenata u oblasti informacione bezbednosti u kojima je ugrožena bezbednost pojedinca uključuju i zlonamerno saznavanje ličnih podataka, bilo da su ti podaci dobijeni na prevaru (takozvano „pecanje” ličnih podataka), provalom u računar ili drugi lični uređaj ili oticanjem podataka iz zbirki podataka.
Potrebno je dalje unapređivati zakonski okvir u oblasti zaštite podataka o ličnosti, a u skladu sa standardima Evropske unije, kao i otklanjati prepreke za efikasniju primenu zakona.
Sa druge strane je kod građana potrebno značajno podići svest o značaju čuvanja sopstvenih ličnih podataka i neprihvatanja nesrazmernog davanja i objavljivanja ličnih podataka, kao i o mogućim prevarama i drugim zloupotrebama putem interneta i o odgovarajućim preventivnim merama.
„Misija sistema obrazovanja u Republici Srbiji u 21. veku je da osigura osnovni temelj života i razvoja svakog pojedinca, društva i države zasnovanog na znanju.” U skladu sa tako definisanom misijom, Strategijom razvoja obrazovanja do 2020 godine, kao jedan od ciljeva razvoja obrazovanja postavlja se dostizanje i održavanje relevantnosti obrazovanja, u skladu sa neposrednim i razvojnim potrebama pojedinaca, ekonomskog, socijalnog, kulturnog, istraživačkog, obrazovnog, javnog, administrativnog i drugih sistema.
Obrazovni sistem treba da obezbedi razvoj i sticanje opštih/međupredmetnih kompetencija učenika osnovne i srednje škole koje su relevantne za lični, profesionalni i socijalni razvoj i funkcionisanje pojedinca u savremenom svetu. Ovako definisane kompetencije izlaze iz okvira tradicionalnih školskih predmeta i angažuju školska znanja na pripremi učenika da budu konkurentni i funkcionalni u sadašnjem i budućem obrazovnom i profesionalnom prostoru i da kompetentno i aktivno realizuju svoje građanske uloge. Jedna od međupredmetnih kompetencija je i digitalna pismenost: „Učenik je sposoban da koristi raspoloživa sredstva iz oblasti informaciono-komunikacionih tehnologija (uređaje, softverske proizvode, elektronske komunikacione usluge i usluge koje se koriste putem elektronskih komunikacija) na odgovoran i kritički način radi efikasnog ispunjavanja postavljenih ciljeva i zadataka u svakodnevnom životu, školovanju i budućem poslu. Prilikom korišćenja IKT-a svestan je rizika za sopstvenu i tuđu sigurnost i dobrobit i odgovornim postupanjem sebe i druge štiti od neželjenih posledica.”
Misija obrazovanja za 21. vek i usmerenost obrazovnog procesa na razvoj kompetencija uticale su na definisanje strateških mera za razvoj digitalnih kompetencija i korišćenje IKT. Ove mere pre svega se odnose na unapređenje kvaliteta uslova (definisanje standarda školskog prostora i didaktičke, umetničke i informatičke opreme i definisanje mehanizama kontrole primene tih standarda) i kvalitet procesa nastave i učenja, u kojima se poziva na korišćenje prednosti informaciono-komunikacionih tehnologija i različitih oblika učenja u on-line okruženju (elektronske konferencije, predmetni blogovi, diskusione tribine, elektronska testiranja itd.), i podizanje kompetencija nastavnika da koriste informaciono – komunikacione tehnologije u nastavi ili njenoj pripremi kroz inicijalno obrazovanje i sistem usavršavanja nastavnika.
Zbog kompleksnosti pitanja uspešne integracije IKT u sistem obrazovanja, kao i činjenice da do sada nisu izrađeni dokumenti koji bi pomogli formulisanju obrazovne politike u ovoj oblasti, Nacionalni prosvetni savet (NPS) je inicirao izradu dokumenta Smernice za unapređivanje uloge informaciono-komunikacionih tehnologija u obrazovanju (Smernice).
Smernice daju prikaz svih preporuka organizovanih na osnovu dva kriterijuma: u odnosu na nivo opštosti i prema prioritetu implementacije (visok- hitna intervencija, srednji početak u toku jedne godine i nizak prioritet u periodu tri do pet godina). Prema kriterijumu opštosti, preporuke su klasifikovane u odnosu na nivo: a) Strategije razvoja: dugoročno planiranje, primarno donošenje zakona i praćenje savremenih tendencija; b) Obrazovne institucije: preporuke koje se primenjuju na institucionalnom nivou; i v) Nastavne prakse: preporuke koje se odnose na neposredan rad nastavnika.
Zbog višefunkcionalnosti obrazovno-vaspitnog sistema, neophodna je čvrsta interresorska saradnja u vezi sa bezbednošću dece pri korišćenju IKT (naročito s oblastima bezbednosti, zdravstva i socijalne politike). Resori u domenima svojih nadležnosti treba da definišu i realizuju odgovarajuće stručne standarde. Neophodno je na nacionalnom nivou uspostaviti funkcionalne mehanizme koordinacije između različitih sistema i jasno definisati njihove uloge.
Obrazovni sistem treba da omogući sticanje znanja u oblasti informacione bezbednosti, kroz uvođenje posebnih studijskih programa na univerzitetima, čime bi se doprinelo povećanju broja stručnih kadrova u ovoj oblasti, što je neophodno, imajući u vidu brzinu razvoja IKT i povećanje rizika od bezbednosnih incidenata.
Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala, zajedno sa odredbama Krivičnog zakonika, o krivičnim delima visokotehnološkog kriminala, uspostavljaju institucionalni i pravni osnov za sankcionisanje krivičnih dela u ovoj oblasti. Prema podacima Ministarstva unutrašnjih poslova, u 2013. godini otkriveno je 961 krivično delo u oblasti visokotehnološkog kriminala, u 2014. godini 1.423 ovakvih dela, a u 2015. godini taj broj je značajno povećan i iznosi 2.074, što na pravi način ilustruje razmere i značaj sprečavanja i suzbijanja ovog oblika kriminala.
U cilju efikasne borbe protiv visokotehnološkog kriminala neophodno je unaprediti postojeći zakonodavni okvir. Republika Srbija usvojila je 2009. godine Zakon o potvrđivanju Konvencije o visokotehnološkom kriminalu CETS 185 (Budimpeštanska konvencija) i Zakon o potvrđivanju Dodatnog protokola uz Konvenciju o visokotehnološkom kriminalu koji se odnosi na inkriminaciju dela rasističke i ksenofobične prirode izvršenih preko računarskih sistema, dok je 2010. godine usvojen Zakon o potvrđivanju Konvencije Saveta Evrope o zaštiti dece od seksualnog iskorišćavanja i seksualnog zlostavljanja.
Međutim, Republika Srbija još uvek nije u potpunosti uskladila svoje zakonodavstvo sa Direktivom 2013/40/EU o napadima na informatičke sisteme, koja je jedan od mehanizama za otkrivanje i krivično gonjenje izvršilaca krivičnih dela iz ove oblasti.
Evolucija načina izvršenja visokotehnološkog kriminala prati razvoj informacionih tehnologija. Ovo je jedan od vidova kriminala sa najvišom stopom rasta, imajući u vidu da svakog dana više od milion ljudi širom sveta postanu žrtve krivičnog dela. Iz navedenog razloga, nadležni državni organi – specijalizovana organizaciona jedinica za visokotehnološki kriminal u okviru Ministarstva unutrašnjih poslova i Posebno tužilaštvo za visokotehnološki kriminal moraju unaprediti operativne alate i operativnu sposobnost za suzbijanje ove vrste krivičnih dela. Takođe, neophodno je unaprediti koordiniraciju i zajednički pristup organa otkrivanja, organa gonjenja, javnog i privatnog sektora.
Pored toga, potrebno je nastaviti sprovođenje obuke sudija za postupanje u ovim predmetima, imajući u vida ubrzani razvoj savremenih informacionih tehnologija kao i nove načine na koje se vrše krivična dela visokotehnološkog kriminala.
Krajnji korisnici igraju ključnu ulogu u obezbeđivanju sigurnosti mreža i informacionih sistema, te stoga moraju biti svesni rizika sa kojima se suočavaju na mreži i spremni da preduzmu jednostavne korake da spreče nastanak rizičnih situacija.
U tom smislu, neophodno je da državni organi, javni i privatni sektor organizuju javne kampanje o najzastupljenijim oblicima visokotehnološkog kriminala, kao što su neovlašćen pristup računaru ili računarskoj mreži, ugrožavanje sigurnosti, prevare putem interneta, zloupotreba platnih kartica, te kampanje i radionice fokusirane na bezbednost dece na internetu, pre svega od digitalnog nasilja i seksualne eksploatacije.
Imajući u vidu da visokotehnološki kriminal, usled globalnog dometa interneta, ne poznaje granice, od izuzetne je važnosti dodatno unaprediti međunarodnu saradnju sa relevantnim organima stranih zemalja. Republika Srbija, kao jedna od potpisnica Budimpeštanske konvencije ima zapaženu ulogu u radu 24/7 mreže kontakt tačaka uspostavljene na osnovu konvencije, sa određena dva predstavnika za saradnju i hitno postupanje u predmetima iz ove oblasti. Jedna kontakt tačka je Posebni tužilac za visokotehnološki kriminal, a druga predstavnik Jedinice za visokotehnološki kriminal Ministarstva unutrašnjih poslova.
Informaciona bezbednost Republike Srbije je ključni deo sveobuhvatne nacionalne bezbednosti koja se zasniva na informacionoj bezbednosti institucija, snaga, ljudi, sistema, procesa, informacija i vrednosti koje su od značaja za bezbednost i odbranu zemlje.
Informaciono-komunikaciona infrastruktura, servisi i podaci sistema odbrane imaju poseban značaj za nacionalnu bezbednost Republike Srbije. Samim tim, informaciona bezbednost sistema odbrane jedna je od ključnih komponenti informacione bezbednosti u Republici Srbiji.
U Republici Srbiji je potrebno definisati sistem informacione bezbednosti od značaja za nacionalnu bezbednost, u skladu sa postojećim nadležnostima i dodatnim definisanim ulogama državnih i drugih tela.
Informaciona bezbednost u funkciji odbrane Republike Srbije se zasniva na organizovanom upravljanju znanjem u oblasti informacione bezbednosti i ljudima, kao nosiocima tog znanja. Razvoj sistema informacione bezbednosti stoga kao osnovni zadatak ima izgradnju, razvoj i investiranje u sistem obrazovanja, obuke, istraživanja i razvoja i investiranje u ljude kao nosioce znanja iz oblasti informacione bezbednosti u području odbrane. To podrazumeva zajedničko predlaganje, usvajanje i implementaciju standarda i praksi koje povećavaju sigurnost i bezbednost. Saradnja akademske zajednice sa nadležnim institucijama, uz aktivno učešće privatnog sektora, trebalo bi da bude institucionalizovana kako bi se zajednički preduzimale određene aktivnosti u cilju razvoja proizvoda, procesa i servisa radi prevencije i pružanja adekvatnog nivoa informacione bezbednosti. Akademska zajednica sa jedne i privatni sektor sa druge strane svojom stručnošću i ekspertizom ukazaće na primere dobre prakse, naglašavajući značaj analize rizika i upravljanja u organizacijama kroz organizovanje odgovarajućih obuka, treninga, seminara, tribina. Obrazovanje stručnih kadrova omogućiće uspostavljanje bezbednih IT rešenja dostupnih korisnicima.
Akademska zajednica kroz zajedničke projekte sa javnim i privatnim sektorom uticaće na kontinuirano poboljšanje metoda identifikacije i utvrđivanja bezbednosnih problema, primenu adekvatne kontrole, uspostavljanja efikasne komunikacije svih zainteresovanih strana i razmenu informacija o najboljim praksama u drugim zemljama. Podsticanje saradnje između naučne zajednice i privrede, sa jasno definisanim potrebama u oblasti informacione bezbednosti doprineće razvoju tehnologija i usluga u skladu sa prihvaćenim međunarodnim standardima. Preduzimanjem mera koje će doprineti očuvanju informacione bezbednosti u Republici Srbiji od strane svih relevantnih subjekata dovešće do unapređenja stanja u ovoj oblasti. Pokretanje eksperimentalnih okruženja za razvoj novih tehnologija i servisa na univerzitetima doprineće razvoju novih rešenja kojim će se odgovoriti na sve brojnije izazove u oblasti informacione bezbednosti.
Ministarstvo odbrane i Vojska Srbije će razviti sveobuhvatne sposobnosti za odbranu u sajber prostoru u skladu sa ustavnim i zakonskim nadležnostima i dodeljenim misijama i zadacima. Navedene aktivnosti obuhvataju uspostavljanje informacione bezbednosti i sposobnosti za izvođenje odbrane u sajber prostoru, u okviru delotvorne upotrebe snaga i funkcionalnih sposobnosti Vojske Srbije, kao osnovnog subjekta sistema odbrane.
Ministarstvo odbrane i Vojska Srbije su nosioci odbrane od pretnji iz informacionog prostora svih sistema i resursa u njihovoj nadležnosti na takav način, koji u potpunosti omogućava bezbednu i pouzdanu upotrebu tih sistema i resursa u cilju izvršavanja dodeljenih nadležnosti, misija i zadataka.
Posebno je značajno predvideti obaveze subjekata sistema odbrane na zaštiti IKT sistema u vanrednom i ratnom stanju. Takođe, značajno je predvideti angažovanje snaga Ministarstva odbrane i Vojske Srbije na pružanju pomoći operatorima IKT sistema od posebnog značaja, u pogledu otkrivanja pretnji i adekvatnog odgovora sa ciljem njihove odbrane i sprečavanja ugrožavanja nacionalne bezbednosti Republike Srbije.
Izgradnja bezbednosno-obaveštajnih kapaciteta u oblasti informacione bezbednosti
Službe bezbednosti Republike Srbije će razviti sveobuhvatne sposobnosti za zaštitu informacione bezbednosti Republike Srbije u skladu sa zakonskim nadležnostima, radi zaštite IKT sistema od posebnog značaja, u pogledu blagovremenog otkrivanja pretnji sa ciljem sprečavanja ugrožavanja nacionalne bezbednosti Republike Srbije.
3.5. Međunarodna saradnja
Široka međusobna povezanost društvenih, organizacionih, tehničkih, finansijskih, privrednih i drugih vrsta sistema preko državnih granica, koja je zasnovana na primeni IKT i sistema, stvara kompleksno međunarodno okruženje u kome se odvija dinamična interakcija između raznovrsnih subjekata. Društveni i ekonomski prosperitet, nacionalna bezbednost i odbrana Republike Srbije direktno i posredno zavise od mreža IKT koje se prostiru unutar i izvan nacionalnih granica u složenom, dinamičnom i često nepredvidljivom okruženju. Interakcija zasnovana na IKT je dvosmerna i ostvaruje složen direktan i posredan uticaj na nacionalnu bezbednost. Taj uticaj takođe mora biti regulisan na kompleksan način, kroz različite oblike i sadržaje saradnje na nacionalnom i međunarodnom nivou.
Uspostavljanje i razvoj informacione bezbednosti na nacionalnom nivou može biti ostvareno jedino kroz realizaciju sveobuhvatnog skupa aktivnosti koje su istovremeno ostvarene i koordinisane na nacionalnom i međunarodnom nivou. Kontakt sa međunarodnim partnerima je višeslojan, aktivan i optimalan, jer obuhvata širok skup državnih, nevladinih i naddržavnih organizacija na političkom, tehničkom i stručnom nivou.
Ključni međunarodni partneri Republike Srbije u tom pogledu su Organizacija Ujedinjenih nacija (OUN), Organizacija za evropsku bezbednost i saradnju (OEBS), Evropska unija (EU), Savet Evrope (SE), političke, ekonomske bezbednosne i odbrambene organizacije i savezi sa kojima Republika Srbija ima zaključene sporazume o međusobnoj saradnji, susedne i tradicionalni saveznici Republike Srbije.
Za ostvarivanje postavljenih ciljeva međunarodne saradnje Republike Srbije neophodno je uspostaviti i razvijati međunarodnu saradnju na bilateralnim i multilateralnim osnovama sa ciljem unapređenja nacionalne i međunarodne informacione bezbednosti. Pored toga, potrebno je uspostaviti saradnju u cilju razmene informacija, znanja i iskustva sa inostranom mrežom nacionalnih, profesionalnih i međunarodnih centara za prevenciju bezbednosnih rizika u IKT sistemima. Po mogućstvu, Republika Srbija treba da aktivno učestvuje u međunarodnim civilnim i vojnim vežbama čiji je cilj uspostavljanje i razvoj informacione bezbednosti na svim nivoima.
4. REALIZACIJA STRATEGIJE
Realizaciju ove strategije prati Ministarstvo trgovine, turizma i telekomunikacija.
Vlada će doneti akcioni plan za sprovođenje ove strategije u roku od šest meseci od njenog objavljivanja u „Službenom glasniku Republike Srbije”.
5. ZAVRŠNI DEO
Ovu strategiju objaviti u „Službenom glasniku Republike Srbije”.
05 Broj: 030-3942/2017-1
U Beogradu, 29. maja 2017. godine
V L A D A
PREDSEDNIK Aleksandar Vučić,s.r.