Država želi centralizirati sustav obrane od cyber napada i dati ga SOA-i

Vlada je uputila je u saborsku procuduru prijedlog novog Zakona o kibernetičkoj sigurnosti (ZKS) koji će zamijeniti dosadašnji zakon donesen 2018. Formalno, riječ je usklađenju s novom Direktivom EU-a o mjerama za visoku razinu kibernetičke sigurnosti na razini Unije (EU NIS2) koju države članice moraju prenijeti u nacionalna zakonodavstva najkasnije do 17. listopada 2024.

Po zahtjevima EU NIS2 direktive, sljednice prethodne NIS1 novi zakon trebao bi povećati broj sektora koji će biti obveznici jačanja mjera sigurnosti u kibernetičkom prostoru. Sigurnosne prijetnje sve su učestalije ali i sofisticiranije, a manifestira se kroz kibernetski kriminal, špijunažu, terorizam i ratovanje, a mete su kritična infrastruktura, sektori poput financija, prometa i komunikacija.

Javni interes

Glavni cilj novih zahtjeva o kibernetičkoj sigurnosti je osiguravanje uvjeta za funkcioniranje društva i gospodarstva u digitalnom desetljeću koje donosi novosti poput umjetne inteligencije. Prijedlog ZKS-a prošao je javno savjetovanje tijekom kojeg je izneseno 119 komentara i sugestija od kojih je predlagatelj zakona odbio njih 43 a većinu formalistički primio na znanje.

Informatički i pravni stručnjaci iznijeli su i svoje zamjerke na novo zakonsko rješenje koje bi u praktičnoj primjeni moglo vrlo brzo ukazivati na potrebu izmjena i dopuna ukoliko vrlo izvjesni amadmani parlamentarnih klubova u Saboru budu odbačeni.

Za sudionike rasprave neobično je što je predlagatelj zakona Ministarstvo hrvatskih branitelja, a ne MUP ili Ministarstvo znanosti što predlagači opravdaju da je ministar branitelja potpredsjednik Vlade zadužen za nacionalnu sigurnost i da je nacrt radila međuresorna skupina.

No, dodatni je problem što su nisu objavljena imena članova te radne skupine čime je prekršen jedan drugi zakon, Zakon o pravu na pristup informacijama, ističu stručnjaci. Iz Ministarstva branitelja priznaju da radna skupina »nije formalno imenovana donošenjem posebne odluke«, već je radila pod ingerencijama Nacionalnog vijeća za kibernetičku sigurnost i redovito izvještavala Vijeće o napretku.

Najspornijim se može činiti prijedlog da postojeći Centar za kibernetičku sigurnost potpadne pod Sigurnosno-obavještajnu agenciju (SOA) kao Nacionalni centar za kibernetičku sigurnost, točnije da se SOA definira kao središnje državno tijelo za kibernetičku sigurnost.

Time se sugerira micanje nadzora iz javne sfere i premješta u tajni obavještajni sektor. Eksperti su tijekom javne rasprave upozorili da nova EU NIS2 direktiva sugerira nacionalnim zakonodavstvima da novim zakonskim rješenjima osiguraju koordinaciju različitih javnih državnih tijela dok se prijedlogom hrvatskih vlasti kibernetička sigurnost centralizira i cjelokupno prepušta jednoj obavještajnoj agenciji.

Na tu je okolnost upozorio i naš stručnjak i konzultant za informacijske tehnologije Marko Rakar podsjetivši da je kibernetička sigurnost po svojoj prirodi, osobito zbog svoje sveobuhvatnosti u cijelosti u javnom području.

Rakar konkretno napominje da je za središnje tijelo za kibernetičku sigurnost nužno imenovati ured ili agenciju koja je, poput Agencije EU za kibernetičku sigurnost ENISA u cijelosti civilna organizacija, model koji bi se trebao preslikati i u nacionalna zakonodavstva.

U Hrvatskoj trenutno postoji kompetentna institucija Zavod za sigurnost informacijskih sustava (ZSIS) koja može preuzeti tu ulogu ako se izdvoji iz obavještajnog sektora ili se jednostavno može osnovati nova civilna agencija, ističe Rakar i dodaje:

Pitanje financija

– Mandat SOA-e po članku 23. Zakona o sigurnosno- obavještajnom sustavu eksplicitno definira kako SOA brine o neovlaštenom ulasku u zaštićene informacijske i komunikacijske sustave državnih tijela. Definiranjem SOA-e kao središnjeg državnog tijela za kibernetičku sigurnost izlazi se iz zakonom definiranog djelokruga rada tajne službe.

SOA je kao obavještajna agencija u svojem radu zaštićena tajnom, izuzeta je iz zakona o javnoj nabavi te ne podliježe većini demokratskih mehanizama za nadzor svojeg poslovanja, nema gotovo nikakve obaveze za transparentnim djelovanjem.

Istovremeno, u smislu NIS2 direktive bit će zadužena za redovitu komunikaciju te postaje regulatorno tijelo za vrlo veliki broj pravnih subjekata, državnih, javnih i privatnih, što je suprotno samoj prirodi funkcioniranja obavještajne agencije. Osim toga, u okviru koordinacije i izvještavanja koje traži NIS2 direktiva, SOA će komunicirati s EU tijelima, a koja su redom civilna tijela.

Istovremeno, ZSIS prema čl. 14. Zakona o sigurnosno-obavještajnom sustavu eksplicitno se navodi kako obavlja poslove sigurnosti informacijskih sustava pa je logično rješenje da bude imenovano središnjim državnim tijelom za kibernetičku sigurnost, dodaje stručnjak.

Predlagatelj se brani da su takva rješenja cyber-sigurnosti s centrima unutar obavještajnih struktura prisutna u Danskoj, Španjolskoj i Grčkoj, no, priznaje da su Njemačka i Italija svoje centre izmjestile u zasebne agencije izvan tajnih službi. Rakar ukazuje i na nelogičnosti oko proračunskog financiranja:

– SOA za svoje cjelokupno djelovanje ima 55 milijuna eura, a ZSIS nešto manje od tri milijuna eura godišnje. Usporedbe radi, HAKOM kao regulator telekomunikacijskog sektora ima 15 milijuna eura proračuna, upozorio je ekspert tijekom javnog savjetovanja.

Teške dileme

– Zastrašujuće je da SOA kao dio obavještajnog aparata ima pravo nadgledati privatni promet kompanija i pristup njihovim podacima i podacima svih zaposlenika bez ikakvog sudskog naloga. Dodatno jedan takav alat, SK@UT, bi sam po sebi stvarao ogromnu ugrozu cijele IT-infrastrukture u RH ako se taj sustav kompromitira, pogotovo s obzirom na to da je to sustav dijelom rađen na bazi projekta otvorenog koda, upozorava menadžer iz kompanije Mate Rimca Jagor Čakmak.

Pravni stručnjaci ukazuju da SOA kao nepogodni regulator riskira i sukob interesa. Odvjetnički ured »Porobija & Špoljarić« u javnom savjetovanju analizira da bi ustrajanje u određivanju SOA-e kao regulatora moglo rezultirati dovođenjem Agencije u položaj gdje mora birati između izvršavanja svoje primarne zadaće zaštite nacionalne sigurnosti i interesa RH i zaštite tajnosti i povjerljivosti informacija nadziranih subjekata koje jamči zakon.

Nadalje, može doći do nevoljkosti, primjerice, nadziranih multinacionalnih kompanija koje u poslovanju koriste povjerljive informacije vrlo visoke vrijednosti da surađuju s regulatorom u RH, ali i drugih EU regulatora da dijele informacije s takvim regulatorom u RH. Kao i u ranijim prijedlozima domaćih zakona problematični dijelovi mogu se rješavati podzakonskim aktima. No, pitanje je u kojoj će mjeri oni imati korektivnu snagu.

Nije pitanje kompetentnosti i znanja

– Ne dovodeći u pitanje kompetencije koje postoje u SOA-i za obavljanje ovih zadaća, smatram da, sa stajališta mogućih zloupotreba i narušavanja povjerenja javnosti, nije prihvatljivo SOA-i dodijeliti sve tri uloge, nadležnog tijela za provedbu zahtjeva kibernetičke sigurnosti, središnjeg državnog tijela za kibernetičku sigurnost i jedinstvene kontaktne točke. Dio zadaća iz ovog Zakona dodijeljenih SOA-i bolje bi ispunjavao ZSIS, s obzirom na svoje temeljne zadaće i kompetencije, naveo je stručnjak kibernetičke sigurnosti Jurica Čular.

S njime se slaže Jagor Čakmak, menadžer kibernetičke sigurnosti iz poznate kompanije Rimac Technology.

– Ukoliko bi zakon u ovakvom obliku zaživio, zamjerke bi mogao imati privatni sektor, sugerira Čakmak.