Ovog ima samo kod nas: Doznajemo koliko ljudi radi u brutalno važnom odjelu SOA-e

Sigurnost hrvatskog kibernetičkog prostora uskoro bi trebala završiti u rukama petero ljudi! Toliko zaposlenih, naime, ima Nacionalni centar za kibernetičku sigurnost koji je u sastavu Sigurnosno-obavještajne agencije (SOA-e). Upravo bi taj centar trebao postati središnje tijelo za provedbu Zakona o kibernetičkoj sigurnosti, odnosno implementaciju europske direktive NIS2 kojom se želi podići razina kibernetičke sigurnosti.

Dok ovo čitate, Hrvatske vode, jedna od državnih tvrtki, sagledava posljedice ozbiljnog hakerskog napada koji je onemogućio pristup serverima te tako blokirao rad tvrtke. Oporavak će biti dug.
Upravo bi novi propisi koji moraju biti implementirani do listopada iduće godine trebali spriječiti da se ubuduće ovakve situacije događaju. Zato začuđuje što u ionako teškoj situaciji s iskusnim kadrovima u računalnom svijetu Vlada odlučuje kibernetičku sigurnost ključnih državnih tvrtki, kritične infrastrukture i svih ostalih na koje se novi zakon odnosi prepustiti u ruke peteročlanom timu koji djeluje pod kapom domaće tajne službe.

SOA LOCIRALA EKSTREMNE LJEVIČARE! ‘Crvena Hrvatska’ operira u tajnosti, kriminalist upozorava: ‘Ovdje je problematična jedna stvar’

Podatak da samo petero ljudi radi u Nacionalnom centru za kibernetičku sigurnost potvrđen nam je iz dva neovisna izvora, a izvori iz SOA-e uvjeravaju kako će tim biti povećan do početka provedbe europske direktive NIS2.

Direktiva NIS2 stupila je na snagu 16. siječnja 2023. i njome je izvan snage stavljena prva direktiva o kibernetičkoj sigurnosti NIS1 koja je vrijedila od 2016. godine. Sve zemlje članice Europske unije nova pravila moraju usvojiti do 17. listopada 2024. godine.
Iz Vlade objašnjavaju da NIS2 postavlja bitno proširene zahtjeve, zbog čega Hrvatska i donosi novi zakon o kibernetičkoj sigurnosti. Stoga je čudno što će sve biti centralizirano u rukama samo petero ljudi.

Nova pravila

Kako je nacrt Zakona prošlog tjedna upućen u saborsku proceduru, možemo se samo nadati da će tijekom rasprave u parlamentu biti dostatno propitan te u konačnici dopunjen.
“Nije se ni dosad puno više brinulo o kibernetičkoj sigurnosti u Hrvatskoj, odnosno nije puno više ljudi sudjelovalo u provedbi direktive NIS1”, uvjeravaju nas sugovornici iz sigurnosnog sektora.
“Cilj novih, bitno proširenih NIS2 zahtjeva kibernetičke sigurnosti na razini EU-a je osiguravanje uvjeta za učinkovito funkcioniranje društva i gospodarstva u aktualnom digitalnom desetljeću koje donosi cijeli niz disruptivnih tehnologija poput umjetne inteligencije ili kvantnog računarstva, ali isto tako i podizanje spremnosti EU-a na krize kao što je COVID-19 ili ruska agresija na Ukrajinu te njihove refleksije na kibernetički prostor”, objašnjavaju iz Vlade zbog čega je bilo potrebno donijeti novi zakon o kibernetičkoj sigurnosti.

Osim toga, nova pravila odnosit će se na triput više obveznika. Drugim riječima, bit će trostruko više onih kojih će morati provoditi kibernetičku sigurnost.

“Višestruko se povećava broj sektora, podsektora i vrsta subjekata obveznika kibernetičke sigurnosti, koji sada obuhvaća sve ključne segmente društva, promjene uskog pristupa zahtjevima kibernetičke sigurnosti iz direktive NIS1, koji su se primjenjivali samo na ključne usluge operatora i uvođenje sveobuhvatnog pristupa direktive NIS2 koji postavlja kibernetičke sigurnosne zahtjeve prema cjelokupnom poslovanju svakog od subjekata koji su NIS2 obveznici”, stoji u obrazloženju nacrta Zakona.

Svi oni koji će biti obvezni provoditi mjere za kibernetičku sigurnost morat će imati učinkovite instrumente upravljanja organizacijom i kibernetičkim sigurnosnim procesima. Morat će surađivati sa svim nadležnim tijelima, a propisana je i uspostava reguliranog pristupa kibernetičkoj sigurnosti na razini cijelog EU-a, odnosno uvođenje mjera za visoku zajedničku razinu kibernetičke sigurnosti širom Unije.

I onda se opet postavlja pitanje kako će to raditi pet ljudi. Hoće li do iduće godine SOA-in centar pronaći dovoljno stručnjaka za provedbu europskih pravila? Ili će se Hrvatska krajem listopada iduće godine već naći na meti kritika EU-a, te nakon toga završiti na Sudu EU-a?

Primamljiva ideja

Dio naših sugovornika iz državnog sektora umiruje i smatra da će Hrvatska uspjeti na vrijeme implementirati direktivu EU-a.

“Iza kritika koje dobivamo stoje partikularni i financijski interesi jer će zbog novih pravila biti nužno instalirati puno nove opreme za kibernetičku sigurnost. Uvoz neke od njih u Hrvatsku nije dopušten pa se zato cijeli postupak implementacije direktive nastoji kompromitirati”, smatraju naši sugovornici iz državnih institucija.
Privatni sektor pak bruji i upozorava na manjkavost ideje prema kojoj će središnje državno tijelo za provedbu direktive NIS2 biti SOA-a, odnosno njezin Nacionalni centar za kibernetičku sigurnost.

Ako neka privatna tvrtka poželi biti uvezana s ovim centrom, neminovno će svoje poslovanje morati otvoriti SOA-i, što nikomu nije primamljiva ideja. Dodatno zabrinjava potkapicitiranost Centra, što bi, smatraju naši sugovornici iz privatnog sektora, moglo ozbiljno ugroziti kibernetičku sigurnost u Hrvatskoj. Među najglasnijim je kritičarima stručnjak i konzultant za informacijske tehnologije Marko Rakar, koji napominje da je za središnje tijelo za kibernetičku sigurnost nužno imenovati ured ili agenciju koja je, poput Agencije EU-a za kibernetičku sigurnost ENISA, u cijelosti civilna organizacija. To je model koji bi se trebao preslikati i u nacionalna zakonodavstva.

U Hrvatskoj, podsjeća Rakar, trenutno postoji kompetentna institucija Zavod za sigurnost informacijskih sustava (ZSIS) koja može preuzeti tu ulogu ako se izdvoji iz obavještajnog sektora ili se jednostavno može osnovati nova civilna agencija.

“Mandat SOA-e po članku 23. Zakona o sigurnosno-obavještajnom sustavu eksplicitno definira kako se SOA brine o neovlaštenom ulasku u zaštićene informacijske i komunikacijske sustave državnih tijela. Definiranjem SOA-e kao središnjeg državnog tijela za kibernetičku sigurnost izlazi se iz zakonom definiranog djelokruga rada tajne službe. SOA je kao obavještajna agencija u svojem radu zaštićena tajnom, izuzeta je iz zakona o javnoj nabavi te ne podliježe većini demokratskih mehanizama za nadzor svojeg poslovanja i nema gotovo nikakve obaveze za transparentnim djelovanjem. Istovremeno, u smislu direktive NIS2, bit će zadužena za redovitu komunikaciju te postaje regulatorno tijelo za vrlo velik broj pravnih subjekata, državnih, javnih i privatnih, što je suprotno samoj prirodi funkcioniranja obavještajne agencije. Osim toga, u sklopu koordinacije i izvještavanja koje traži direktiva NIS2, SOA će komunicirati s tijelima EU-a, a koja su redom civilna tijela. ZSIS pak prema članku 14. Zakona o sigurnosno-obavještajnom sustavu obavlja poslove sigurnosti informacijskih sustava pa je logično rješenje da bude imenovan središnjim državnim tijelom za kibernetičku sigurnost”, zaključuje Rakar. Vlada i na to ima odgovor.

‘SEDAM DANA SU ZNALI DA SU HAKIRANI, NIŠTA NISU PODUZELI!’ Haker koji upao u A1 otkrio sve detalje i plan što će napraviti

Novi zakon

“Kibernetička sigurnost danas nužno traži uspostavu reguliranog pristupa kakav je u tradicionalnim resorima državne uprave prisutan već desetljećima (npr. promet, financije, poljoprivreda ili gospodarstvo). Organizacijski se NIS2 transpozicija provodi na isti način kao i NIS1 transpozicija 2018. godine, kroz međuresornu radnu skupinu Nacionalnog vijeća za kibernetičku sigurnost (NVKS). Dogovorom NVKS-a, NIS1 transpoziciju 2018. koordinirao je Ured Vijeća za nacionalnu sigurnost (UVNS), a NIS2 transpoziciju koordinira SOA”, navodi se u dokumentu koji je uz nacrt Zakona o kibernetičkoj sigurnosti otišao u Sabor.

U nastavku se objašnjava da bi se s novim zakonom nastavila transformacija postojećeg Centra za kibernetičku sigurnost SOA-e, kao najkompletnijeg nacionalnog resursa kibernetičke sigurnosti. Dakle, ove riječi koriste se za opis centra u kojem radi petero ljudi.

“Cilj je uvođenje centralizacije upravljanja kibernetičkom sigurnošću i stvaranje novog Nacionalnog centra za kibernetičku sigurnost. Pritom se koriste razvijene tehničke, organizacijske i stručne sposobnosti te kapaciteti koje je SOA izgradila u području kibernetičke sigurnosti. Neki od dosad izgrađenih kibernetičkih sposobnosti i resursa su Centar za kibernetičku sigurnost SOA-e uspostavljen 2019. godine, sustav SK@UT koji je 2021. utvrđen kao nacionalni sustav za otkrivanje naprednih kibernetičkih prijetnji i zaštitu kibernetičkog prostora. U SK@UT su uključena sva ministarstva i ključna državna tijela, operatori ključne infrastrukture, primarno iz sektora energetike i transporta, kao i niz drugih tvrtki značajnih za Republiku Hrvatsku u cjelini. Sustav SK@UT omogućuje nacionalnu i globalnu razmjenu informacija o kibernetičkim incidentima i koordiniranje odgovora na kibernetičke napade u stvarnom ili gotovo stvarnom vremenu”, naglašava se.

Nacionalni resurs

Sve to trebalo bi valjda biti dovoljno da se zanemari činjenica da će kibernetička sigurnost u Hrvatskoj biti pod šapom tajne službe, kao i da će je provoditi peteročlana ekipa.
Treba li Hrvatska sustav koji će nas braniti od svekolikih kibernetičkih napada, poput onoga koji su upravo proživjele Hrvatske vode, dati tajnoj službi?

“Polovica država članica EU-a je centralizaciju kibernetičke sigurnosti započela upravo kroz nacionalne sigurnosno-obavještajne sustave, kao što su Danska, Grčka, Španjolska, Francuska, Njemačka i Italija. Neke od njih, poput Italije i Njemačke, kasnije su svoje nacionalne centre izdvojile u zasebne agencije, ali su oni godinama uredno i uspješno funkcionirali unutar sigurnosno-obavještajnih sustava. Također i države poput Velike Britanije i Kanade, s visokim stupnjem razvoja u području kibernetičke sigurnosti, imaju ustrojene nacionalne centre u sigurnosno-obavještajnim sustavima. Svaka je članica EU-a osnivanje nacionalnog centra određivala na temelju vlastitih specifičnosti, potreba i već razvijenih kapaciteta. S obzirom na to da je Centar za kibernetičku sigurnost SOA-e trenutno najrazvijeniji i najkompletniji nacionalni resurs kibernetičke sigurnosti u Hrvatskoj od 2019., najučinkovitije je rješenje transformacija postojećeg centra u Nacionalni centar za kibernetičku sigurnost”, uvjeravaju iz Vlade. Nakon što smo razotkrili da Centar čini samo pet ljudi, možda se ipak nešto promijeni.