Veštačka inteligencija uveliko je postala sadašnjost naše civilizacije. Nižu se kao na traci primeri prednosti koju donosi građanima i privredi – efikasnost, preciznost, uštede. Očekivano, oberučke su je prihvatili i oni koji prednost AI vide kao način da efikasno i precizno stignu do lake i nelegalne zarade. Kršenje intelektualne svojine, dipfejkovi koji diskredituju poznate ličnosti i pokušaji krađe identiteta u cilju varanja banaka, samo su neki od primera zloupotreba.
Prvi slučajevi pojavili su se i u Srbiji, ali nije izazov samo veštačka inteligencija. Veštine hakera sve su naprednije i regulativa u oblasti informacione bezbednosti i sistemi zaštite moraju da idu u korak s njima. Ipak, naša država dala je sebi „luksuz“ da praktično završenu, unapređenu verziju Zakona o informacionoj bezbednosti, ostavi za usvajanje posle izbora.
Ko je udario rampu novom zakonu
Kako je javna rasprava o nacrtu zakona završena u avgustu, bilo je dovoljno vremena da bude usvojen i pred Vladom i u parlamentu pre raspuštanja poslanika, ali kako saznaje Forbes Srbija, rampu je postavilo Ministarstvo finansija. Naime, tekst zakona je bio poslat na mišljenje svim ministarstvima, ali se finansije nisu saglasile jer je budžet za 2024. već bio donet i nije bilo novca za formiranje kancelarije za informacionu bezbednost.
Prema našim informacijama, Ministarstvo informisanja i telekomunikacija, kao nadležna institucija za ovaj propis, pokušala je da predloži kompromisno rešenje – da zakon bude usvojen odmah, a da se primena odredbi o kancelariji za informacionu bezbednost odloži za 2025. – ali ni to nije prihvaćeno.
Tako je još najmanje šest meseci do godinu dana odloženo usklađivanje našeg regulatornog okvira sa novom direktivom Evropske unije o merama za visoki nivo sajber bezbednosti (NIS 2), koja je doneta još u decembru 2022.
Stručnjaci s kojima je razgovarao Forbes, kažu da je reč o dobrom zakonu, možda i jednom od najboljih, ali ni to nije bilo dovoljno da bude usvojen. Ministarstvo informisanja i telekomunikacija nije odgovorilo na upit Forbes Srbija kakva će biti dalja dinamika usvajanja i kada će se naći pred poslanicima Narodne skupštine.
Ono što je prednost u trenutnoj situaciji jeste da, prema našim informacijama, neće morati ponovo na javnu raspravu, ali moraće ponovo da dobije mišljenja resornih ministarstava. Takođe, mogao bi da bude usvojen odmah, sa predloženim odloženim dejstvom odredbi koje se tiču formiranja kancelarije za informacionu bezbednost. Da li će tako i biti, ostaje nam samo da čekamo i vidimo.
Iako njegovo usvajanje ne bi spasilo EPS hakerskog napada, možda bi sprečilo neki novi incident što bi značilo da je Ministarstvo finansija došlo u situaciju da možda ne plati na mostu (budžet za kancelariju), ali da bi moglo odlaganje usvajanja da plati na ćupriji (eventualni otkup podataka).
Manje od 30 nadzora godišnje
Država će tako još neko vreme, u eri najvećeg značaja jačanja informacione bezbednosti, biti bez kancelarije koja bi radila na preventivi, sanirala posledice, uticala da organizacije koje čuvaju podatke pažljivo rade procenu rizika i unapređuju zaštitu.
Sve to već na neki način imamo – postojeći Zakon o informacionoj bezbednosti predstavlja dobar okvir, postoji Kancelarija za IT i eUpravu koja može da pomogne EPS-u i drugima da im se slična situacija ne ponovi, a tu je i Inspekcija za informacionu bezbednost sa svojim „kapacitetima“.
Naime, ova inspekcija uvećala je ljudstvo za 100% i sada ih je… dvoje. Podatak za verovali ili ne, ponavljamo, u eri najvećeg značaja jačanja informacione bezbednosti.
U poslednjem dostupnom izveštaju o radu inspekcije (za 2022.) navodi se da su za godinu dana izvršili 28 terenskih nadzora – 23 redovna (po planu), dva kontrolna, dva vanredna i jednu savetodavnu posetu. Takođe, obavili su 13 kancelarijskih kontrolnih nadzora.
U planu za 2024. je sprovođenje 29 nadzora, a „pod lupom“ će biti i EPS. I to u drugom kvartalu. Nadzor će biti obavljen po Zakonu o informacionoj bezbednosti, a kao i sve ostale organizacije i institucije, i EPS je svrstan u srednji nivo rizika.
Osim EPS-a, inspekcija je planirala da kontroliše četiri lokalne samouprave – Voždovac, Rumu, Čačak i Obrenovac. Među kompanijama, inspektore mogu da očekuju NIS, Jetel i Srbija kargo, javna i javna-komunalna preduzeća Službeni glasnik i Informatika, finansijski sektor – Prokredit, Adiko i OTP banka i Triglav osiguranje, zdravstveni sektor – Univerzitetska dečija klinika, Zavod za javno zdravlje Zrenjanin, apotekarske ustanove Smederevo i Kraljevo, Zavod za zdravstvenu zaštitu studenata Novi Sad, a pod nadzorom će biti i Seizmološki zavod, RNIDS, Privredna komora i RATEL (sertifikaciona tela biće pod nadzorom u okviru Zakona o elektronskom poslovanju).
U Ministarstvu informisanja i telekomunikacija nisu želeli da nam odgovore na pitanje kakvi su planovi u pogledu daljeg jačanja kapaciteta inspekcije i u kom roku bi mogli da budu pojačani novim ljudima.
Ono što je najvažnije, nisu nam odgovorili da li su sprovodili nadzor nad EPS-om zbog hakerskog napada i ako jesu, šta je nadzorom utvrđeno.
Netransparentnost, pitanje odgovornosti i kapaciteta
Andrej Petrovski iz SHARE fondacije kaže za Forbes Srbija da je (ne)transparentnost jedan od tri ključna problema sa jačanjem informacione bezbednosti u našoj zemlji. Preostala dva su nepostojanje odgovornosti i manjak kapaciteta institucija.
„Istina je da usvajanje novog zakona o informacionoj bezbednosti ne bi ništa dramatično promenilo u slučaju EPS-a. Imamo važeći zakon koji pokriva ovu oblast i imamo mehanizme kako da se odbranimo, ali javnost nije obaveštena da li je došlo do inspekcijskog nadzora u EPS-u i šta je on utvrdio“, naglašava Petrovski.
On podseća da je EPS sistem od najvišeg, prioritetnog značaja kada je reč o informacionoj bezbednosti, i da će to ostati i u novom zakonu.
„Vlasti nikoga ne obaveštavaju kada dođe do incidenta niti znamo druge informacije, šta je bio problem i kakav je ishod“, dodaje Petrovski.
Na pitanje da li ovo zatišje koje je nastalo nakon januara kada je hakerska grupa navodno počela da objavljuje dokumenta do kojih je došla, znači da su blefirali i da nemaju ništa vredno u svojim rukama ili je država ipak ušla u pregovore o otkupu, Petrovski kaže da je i jedno i drugo moguće.
„Nemamo informacije od države i to je ključni problem“, dodaje Petrovski.
Naš sagovornik napominje da je drugo ključno pitanje izostanak odgovornosti.
„Pre EPS-a imali smo slučajeve Informatike i Republičkog geodetskog zavoda. I niko nije odgovarao. Ili barem ne znamo da je procesuiran i da je odgovarao. Mi smo tražili tu informaciju da bismo znali, ali je nikada nismo dobili“, napominje Petrovski.
I na kraju, treći problem je nedostatak kapaciteta u institucijama.
„Da li je dvoje ljudi u inspekciji dovoljno? To je za celu Srbiju daleko od dovoljnog odnosno apsolutno nedovoljno. Oni su nadležni da postupe u ovom slučaju, kao i Poverenik za zaštitu podataka o ličnosti i tužilaštvo odnosno više institucija. Nedostatak kapaciteta ukazuje na nedostatak političke volje vlasti da se ozbiljno bavi pitanjem informacione bezbednosti“, zaključuje Petrovski.
Jedna presuda za hakovanje
Prema podacima Republičkog zavoda za statistiku, u 2022. sudovi su izrekli samo dve osuđujuće presude za dela protiv bezbednosti računarskih podataka. Od toga, jedna je bila za računarsku prevaru i jedna za neovlašćeni pristup zaštićenom računaru, računarskoj mreži i elektronskoj obradi podataka.
Izvor: Forbes Srbija / Ivan Radak
Foto: YouTube printscreen