Vlada gura kibernetičku sigurnost u SOA-u. Rakar: 'Toga nema ni u jednoj uređenoj zemlji’
Prvi obrisi budućeg zakona, izašli iz Ministarstva branitelja, već su izazvali žustre komentare
Između hrvatske Vlade i briselske administracije godinama traje bizaran spor. Iz zasad nedokučivog razloga, prevoditeljske službe odbijaju englesku riječ „cyber“ prevoditi izrazom „kibernetički“, kako to traži hrvatska strana, i umjesto toga koriste prijevod „kiber-„. Vlada uporno tvrdi da to stvara pomutnju i izaziva pravnu nesigurnost, ali briselski prevoditelji ne odustaju. I zasad su u uvjerljivom vodstvu.
Hrvatska je i neki dan među službene dokumente Vijeća priložila izjavu u kojoj protestira zbog korištenja, po mišljenju Vlade, pogrešnog prijevoda. I ovoga puta, čini se, bez uspjeha. No, dok u Bruxellesu traje spor oko prijevoda riječi „cyber“, u Zagrebu se otvara novi prijepor na srodnoj temi – oko budućeg zakona o kibernetičkoj sigurnosti.
Problematičan model
Za taj je zakon Ministarstvo hrvatskih branitelja u ožujku u javno savjetovanje poslalo Obrazac prethodne procjene. Radi se o redovitoj proceduri prije nego što će neki zakonski prijedlog biti napisan i o njemu provedena javna rasprava. No, već je i ovaj obrazac izazvao više žustrih komentara. Među ostalim, i zbog toga što je u javno savjetovanje stigao s adrese ministarstva koje s kibernetičkom sigurnošću nema veze.
Nije to, međutim, bila jedina zamjerka. Marko Rakar, savjetnik na području informatičkih sustava, upozorio je na neke, po njemu, nelogičnosti u načinu na koji bi sustav kibernetičke sigurnosti ubuduće bio postavljen, kao i na velika ulaganja potrebna za uvođenje novih europskih pravila – zbog kojih je i najavljen ovaj zakon – a koje je Ministarstvo u procjeni učinka, prema Rakarovom mišljenju, naprosto potcijenilo.
Što tajna služba ima s tim?
U dokumentu, koji je prošao javno savjetovanje, predviđeno je da će se ići na centralizirani model upravljanja kibernetičkom sigurnošću. Taj model trebao bi se oslanjati na Nacionalni centar za kibernetičku sigurnost (National Cyber Security Centre – NCSC) koji se, pak, „planira uspostaviti u SOA-i, na temelju postojećeg SOA-inog Centra za kibernetičku sigurnost“.
“Ovaj centralizirani model osigurava sve potrebne razine upravljanja kibernetičkom sigurnošću, od tehničke, preko operativne do strateške razine”, tvrdi se u procjeni učinka. No, Rakar smatra problematičnim što se uspostava NCSC-a planira u okviru obavještajne službe. Dapače, tvrdi da u drugim europskim zemljama takva praksa ne postoji.
“NCSC je zamišljen kao centralno tijelo koje se bavi kibernetičkom sigurnošću na nacionalnoj razini. U većini europskih zemalja to je ili Vladin ured ili nezavisna Vladina agencija ili je ured unutar nekog ministarstva, a to su onda ministarstva gospodarstva, infrastrukture, veza, i tako dalje. U nekim zemljama je unutar ministarstva obrane ili unutarnjih poslova, ali nigdje u obavještajnom sektoru”, ističe Rakar.
Uloga Centra bit će javna
Pritom napominje da je kibernetička sigurnost javna stvar i da se zato ne može i ne smije skrivati iza obavještajne agencije. Centar će “po svojoj prirodi morati komunicirati, razgovarati, educirati… To je javni posao i javna funkcija, s jako puno javnog djelovanja”, objašnjava Rakar zašto je nelogično da takva institucija bude u sklopu sustava koji je po prirodi tajnovit.
Njegove primjedbe Ministarstvo je odbilo. U okviru javnog savjetovanja, upravo su objavili detaljna obrazloženja u kojima brane planirani model i nabrajaju cijeli niz zadaća i uloga SOA-e, kad je u pitanju kibernetička sigurnost, kao i projekte na kojima agencija već radi s javnim i privatnim sektorom. U odgovoru Ministarstva navodi se i da na razini država članica nema jedinstvenog pristupa pa se tvrdi da su i u drugim zemljama bili uključene tajne službe.
Kako je to drugdje u EU
“Sigurnosno-obavještajni sustavi velikog broja EU država članica korišteni su za ovaj proces centralizacije, budući je područje kibernetičke sigurnosti integralni i vrlo važan dio nacionalne sigurnosti”, piše Ministarstvo. Ne preciziraju, međutim, koje su to EU članice. Za razliku od Rakara koji argumentira konkretnim primjerima država gdje nacionalni centar nije u obavještajnom aparatu.
U Irskoj je to, kaže, unutar ministarstva okoliša, klime i komunikacije. U Austriji je u pitanju ured vlade, kao i u Francuskoj. U Italiji samostalna agencija na nacionalnoj razini. U Švedskoj dio civilne zaštite. U Finskoj u sklopu agencije za transport i komunikacije. U Češkoj zasebna cyber i informacijska sigurnosna agencija, nabraja Rakar.
Broj obveznika 15 puta veći
Na primjeru Češke objašnjava i zašto smatra da će učinak biti puno veći od onoga koji predviđa Ministarstvo. Zakon o kibernetičkoj sigurnosti donosi se zbog preuzimanja obveza iz tzv. NIS2 direktive kojoj je svrha ojačati kibernetičku otpornost cijelog niza sektora, od energetike i zdravstva do financija i javne uprave. Ona obuhvaća značajno veći broj kompanija i drugih pravnih subjekata nego direktiva koja joj je prethodila, a koje će sada morati preuzeti određene obveze u pogledu kibernetičke sigurnosti.
“U Češkoj, primjerice, broj kompanija i pravnih subjekata koji su obveznici po NIS2 je sa 400, koliko ih je bilo po staroj regulativi, porastao na šest tisuća. Dakle, 15 puta”, ističe Rakar dodajući da NIS2 pokriva gotovo sve sektore gospodarstva i javne uprave, poput logistike, energetike, vodoopskrbe, prometa, veza, zdravstva i tako dalje.
Primjer: kako zaštititi vodovod
Zato se ne slaže s procjenom Ministarstva da će trošak prilagodbe u sektoru gospodarstva biti neznatan. To uvjerenje baziraju na činjenici da praktički sve tvrtke barem dio svojih poslovnih procesa već sad zasnivaju na informacijskoj i komunikacijskoj tehnologiji i u to ulažu. Ali Rakar procjenjuje da će ipak trebati dodatno investirati, u infrastrukturu, softver, edukaciju…
“Ako, recimo, vodovod treba poduzeti neke mjere da bi osigurao minimalnu sigurnost svog sustava, oni moraju pokupovati opremu, softver, platiti konzultante, implementirati pravila… To je njima trošak poslovanja, a trošak poslovanja u konačnici uvijek plaćaju građani”, ističe.
Tko na kraju piše Zakon?
Iako je procjena učinka stigla iz resora ministra Tome Medveda, iz Ministarstva uvjeravaju da je to zato što je ministar potpredsjednik Vlade zadužen za nacionalnu sigurnost, ali da će se zakon raditi kroz Nacionalno vijeće za kibernetičku sigurnost i njegovu međuresornu radnu skupinu.
Ministarstvo “nema kibernetičke sigurnosne nadležnosti, već ima administrativnu ulogu za vrijeme procedure transpozicije NIS2 direktive”, kažu u odgovoru na naš upit iz Medvedova resora, dodajući da je “izrada Zakona u tijeku” i da će, dakako, i on proći savjetovanje. S obzirom na komentare koje je izazvao već prvi korak, ne treba iznenaditi bude li to jedna prilično žustra javna rasprava.