Broj prijavljenih sajber napada na informaciono-komunikacione sisteme (IKT) u Srbiji u 2023. godini povećao se za 40% u odnosu na 2022. godinu. Ovaj porast ukazuje na rastući rizik, a stručnjaci upozoravaju da sajber kriminalci koriste sve sofisticiranije tehnike, uključujući veštačku inteligenciju, kako bi izvodili napade. Ove izazove prepoznaje i država, koja je donela novi Zakon o informacionoj bezbednosti.
Unapređenje zaštite kroz zakonodavne promene
Novim zakonom, koji se bazira na evropskim standardima, prepoznaju se ključni sistemi od strateškog značaja, kao što su energetski sektor, zdravstvo, banke i telekomunikacije. Ovi sektori moraju imati uspostavljene efikasne mere zaštite, jer bi napadi na njih mogli imati ozbiljne posledice po javnu bezbednost, zdravlje i ekonomiju. Zakon sada uključuje i nove sektore, kao što su pružaoci usluga u farmaceutskoj industriji, zdravstvenim proizvodima i poštanskim uslugama.
Koliko je važna informaciona bezbednost?
Svaki cyber napad na ove sisteme direktno ugrožava građane. Napad na energetsku infrastrukturu može dovesti do nestanka struje, dok bi napad na banke onemogućio online usluge ili ugrozio lične podatke, uključujući ime, prezime, brojeve računa i JMBG. Slično je i u zdravstvu, gde bi hakeri lako mogli doći do e-kartona građana.
Šta zakon predviđa?
Nikola Bićanin, pomoćnik ministra za informaciono društvo i informacionu bezbednost, naglašava da je ključno da se svaki sistem u kojem se čuvaju podaci ili pružaju usluge, proceni u pogledu rizika, a zatim implementiraju odgovarajuće sigurnosne mere. „Zaštita IKT sistema je osnovni preduslov za očuvanje nacionalne bezbednosti“, objašnjava Bićanin.
Zakon predviđa klasifikaciju incidenata prema stepenu opasnosti, razdvajajući ih na osnovni, srednji, visoki i veoma visoki nivo. Za svaki od ovih nivoa, zakon definiše odgovarajuće mere i postupke koji treba da se preduzmu u slučaju ugroženosti. Podzakonski akti će detaljnije regulisati i proceduru obaveštavanja, koja će biti prilagođena svakom nivou opasnosti.
Obaveze za operatere ključnih sistema
Prema novom zakonu, operateri sistema od posebnog značaja moraju redovno proveravati svoju usklađenost sa bezbednosnim standardima. Zakonska obaveza uključuje najmanje dva puta godišnje izvršavanje procene rizika, dok je za manje prioritizovane sisteme to predviđeno na godišnjoj bazi.
Stvaranje novih institucija za bržu reakciju
Jedna od najvažnijih novina u zakonu je uspostavljanje Kancelarije za informacionu bezbednost, koja će imati zadatak da brzo i efikasno reaguje u slučaju sajber napada, koordinira odgovore i pomogne u sanaciji štete.
Sankcije za nepoštovanje zakona
Za prekršaje poput izostavljanja obaveza u vezi sa procenom rizika ili neimplementiranjem potrebnih bezbednosnih mera, zakon predviđa kazne za pravna lica. Kazne mogu iznositi od 50.000 do 2 miliona dinara, što pokazuje ozbiljnost sa kojom država pristupa pitanjima zaštite od sajber pretnji.