Categories
Politika

Andrej Plenković JE korumpirani političar

Promatram ovu situaciju koja se dogodila s Gordan Grlić Radmanom kojem se “dogodilo” da je zaboravio prijaviti neke milijune EUR-a isplaćene dobiti u svojoj imovinskoj kartici. Ta dobit proizlazi iz suvlasništva nad tvrtkom koja posjeduje defacto monopol dodijeljen od države. Tu Agroproteinku sam prvi puta primjetio u izvještajima Ureda Predsjednice pa mi je bilo zanimljivo shvatiti što oni tamo rade i zašto (prije ih, koliko znam, tamo nije bilo kao dobavljača).

Dakle imamo problem da čovjek koji je navodno zadužen voditi vanjsku politiku cijele države, koji ima dvojbene jezične sposobnosti i na materinjem jeziku, te sasvim sigurno pogrešne procjene vanjskopolitičkih partnera, ima problema u ispunjavanju imovinske kartice. Grlić Radman je tako još jedan u nevjerojatnom nizu Plenkovićevih ministara koji nije u stanju ispoštivati ovakve jadne, okljaštrene i po svim kriterijima nevjerojatno blage antikoruptivne mjere poput ispunjavanja imovinske kartice. Nisam brojao, ali broj ministara koji je morao otići u posljednjih šest-sedam godina je sada skoro pa duplo veći od ukupnog broja ministarskih pozicija u vladi.

Propusti ovog tipa, da državni dužnosnik propusti navesti svoju imovinu su tu s razlogom i samo totalnom idiotu može promaknuti misao da je možda morao nekome prijaviti neke milijune eura koji su mu sjeli na račun dok obavlja javnu dužnost. Ipak obzirom na opću toleranciju na korupciju koju imamo, apsolutni nedostatak volje da se vodi primjerom i da sam predsjednik vlade “plijevi” loše primjere iz svoje administracije, počevši od Radmana, preko raznih Barbarića na dalje, nema nikakvog čuda da postoji mišljenje kako je plaćanje kazne povjerenstvu za sukob interesa samo po sebi dovoljno da ispere grijeh sakrivanja. U uređenom društvu, svima bi bilo odmah jasno, počevši od Radmana, kako ovaj propust nije dopušten, ostavka bi odavno bila na stolu, te bi mi svi zajedno danas već razglabali o tome tko je (više nego zakašnjela i dobrodošla) zamjena, no u kleptokratskom društvu u kojem živimo, “propusti” se minoriziraju i svode na razinu nebitnog prometnog prekršaja poput pogrešnog parkiranja.

Dvomilijunski “propust” Gordana Grlić Radmana je simboličke prirode, “osim” monopola kojeg mu je država dodijelila i koju ovaj aktivno njeguje desetljećima čini se, barem zasada, kako nije bilo druge materijalne štete. Ipak, borba protiv korupcije se vodi prvenstveno na simboličkoj razini i pozitivnim primjerima. Ako malo bolje pogledate što korupcija radi, vidjeti ćete kako korupcija direktno utječe na naše osobne slobode i vladavinu prava, kako erodira naše povjerenje u državu i u konačnici direktno utječe na našu vlastitu mogućnost da sagradimo bogatstvo i imovinu. Razlog zbog kojeg su stotine tisuća ljudi u proteklim godinama napustile hrvatsku nije nužno taj što su ovdje živjeli loše, nego velikim dijelom zato što znaju da znanje, uporni rad i vještina nisu dovoljni za uspjeh, da je osim tih elemenata potrebno još “sastojaka” a koji se uglavnom sastoje od nekog tipa korupcije koji je prečesto povezan s bojom stranačke knjižice (neovisno o tome koje je ona boje, ovisno već o aktualnoj pobjedničkoj opciji ili zemljopisnom porijeklu).

Korupcija nije uvijek razmjena novca, ja pogodujem nekome a on meni isplaćuje naknadu. Daleko opasniji oblici su razmjene usluga koje nisu uvijek mjerljive ili uočljive jer nije moguće direktno povezati transakcijsku prirodu aktivnosti dvije strane. Korupciju je teško otkriti jer, za razliku od “običnog” kriminala u kojem je jedna strana kriminalac a druga oštećeni, u slučaju korupcije obje strane su vitalno zainteresirane da se nikada ne sazna da je do došlo do neke koruptivne radnje. Tko npr. može jamčiti da neka tvrtka ili pojedinac kojoj je Radman pogodovao nije naručila neku fiktivnu uslugu od Agroproteinke? I to isto možemo reći za svaku tvrtku koja je povezana s bilo kojim državnim dužnosnikom i tisućama državnih i javnih službenika na svim razinama. Zato je simbolika transparentnosti iznimno bitna, no mi je niti približno ne poštujemo, dapače, od samog vrha vlasti na niže ona se ignorira i minorizira.

I tu nas priča dovede do aktualnog predsjednika vlade. Kada on ispadne kao tema razgovora, vrlo često ćete čuti kako on nije korumpiran, no korupcija koju razmatramo je ona u kojoj je on direktno i novčano bio nagrađen za neku “transakciju”. Ali korupcija je daleko više od toga, korupcija je svaka situacija u kojoj osoba na vlasti omogućuje korupciju, primjerice instaliranjem na pozicije moći ljudi koji aktivno kradu ili pogoduju drugima (različiti Radmani, Žalci, Marići, Kujundžići, Kitarovići, Beroši, Barbarići i tko zna koliko velika bulumenta kompromitiranih i korumpiranih na svim razinama). Korupcija je i nečinjenje u trenucima kada je nužno djelovati i poslati simboličnu poruku kako bi se održao autoritet i povjerenje u sustav, baš kao što je to sada s Radmanom (ili Barbarićem ili…). Korupcija je i manipulacija cjelokupnim sustavom kako bi se ostvarile ambicije jedne osobe (koliko god one neracionalne i sulude bile), a za ostvarenje čega je netko, poput Plenkovića, voljan žrtvovati sudbinu cijele nacije – a cijeli proces se još u postupku interpretira kao velika pobjeda, postignuće ili kako je to jučer lijepo interpretirao “Čovjeku na kraju bude žao činiti dobro“, a što je osobita razina samoobmane.

Ova država će na kraju, kada se bude radio obračun, zapamtiti Plenkovića kao predsjednika vlade koji je bio korumpiraniji, karakterno kvarniji i veća štetočina od Ive Sanadera, sedam godina vlasti će biti sedam izgubljenih godina rasta u kojem plodove tog rasta i okolnosti koje su nam išle u prilog nismo iskoristili za boljitak sviju, nego za gradnju velikog PR-ovskog Potemkinovog sela tankih fasada i stvaranja privida borbe za uspješniju Hrvatsku, a sve u funkciji utaživanja gladi za moći jedne jedine osobe.

Mart Laar je jednom prilikom, usred Zagreba, izgovorio rečenicu “Borba protiv korupcije počinje tako da sam nisi korumpiran.”. Tada ju je izgovorio u lice Ivi Sanaderu, ali kao što vidimo, petnaest godina kasnije, s borbom i dalje ne možemo početi jer oni koji bi je morali započeti i voditi su sami kompromitirani i korumpirani.

Misao dana:
Power-lust is a weed that grows only in the vacant lots of an abandoned mind.

Categories
Business eDržava Internet

Zakon o kibernetičkoj sigurnosti (moje primjedbe njima)

Kako sam i napisao prije nekoliko dana, doradio sam i malo preciznije formulirao moje primjedbe i prijedloge na tekst zakona o kibernetičkoj sigurnosti i sve je svedeno na nekoliko točaka, a sve zajedno možete pronaći i na stranicama eSavjetovanja (skupa s mojim prijedlozima promjena):

Opći komentar

NIS2 direktiva u svojoj preambuli (točka 15), upozorava na potrebi „osiguranja pravedne ravnoteže između zahtjeva i obveza utemeljenih na procjeni rizika s jedne strane te administrativnog opterećenja koje proizlazi iz nadzora usklađenosti s druge strane“. Nacrt zakona kakav je ovdje prezentiran ne predviđa, niti govori o osiguranju ravnoteže nego na istovjetni način kreira zahtjeve i obveze usklađenosti za sve subjekte, neovisno o njihovoj relativnoj veličini i/ili riziku – što će rezultirati nerazmjernim opterećenjem za niz subjekata, uključivo i za središnje državno tijelo koje će istim mjerilima morati promatrati sve zahvaćene subjekte.

Nadalje, iako u se u NIS2 direktivi na više mjesta spominje potreba koordinacije različitih javnih tijela, u nacrtu zakona kakvog vidimo ovdje cjelokupna regulacija je svedena na središnje državno tijelo za kibernetičku sigurnost koje je smješteno u Sigurnosnu obavještajnu agenciju.

Za razliku od ostalih sastavnica (nacionalne) sigurnosti koje često zahtijevaju različite razine tajnosti ili opskurnosti, kibernetička sigurnost je, po svojoj prirodi, osobito zbog svoje sveobuhvatnosti u cijelosti u javnoj sferi. Stoga smatram da je za središnje tijelo za kibernetičku sigurnost nužno imenovati ured ili agenciju koja je, poput Europske ENISA-e, u cijelosti civilna organizacija.

Kao i drugi sudionici savjetovanja, upozorio bi i na nelogičnost Ministarstva hrvatskih branitelja kao predlagača (u smislu da ne posjeduje kadrove koji su kompetentni za izradu ovakvog nacrta zakona, kao i činjenicu da je ovaj zakon sasvim očigledno izvan djelokruga djelovanja ministarstva kako je ono definirano u Zakonu o ustrojstvu i djelokrugu tijela državne uprave, članak 19.), te činjenice da je predlagač prekšio Zakon o pravu na pristup informacijama članak 11. stavak 2. samom činjenicom da nije objavio sastav radne skupine odnosno autore nacrta prijedloga zakonskog teksta.

Članak 24.

Članak 24. vrlo široko i bez jasnih kriterija opisuje kako Vlada donosi mjerila za razvrstavanje ključnih odnosno važnih subjekata i to isključivo na prijedlog središnjeg državnog tijela za kibernetičku sigurnost.  Ovom definicijom se odluka o tome koji će subjekt biti obveznik zakona svodi na diskrecijsku odluku tijela koje po svojoj prirodi nije transparentno.

Ovaj članak je u značajnom raskoraku s NIS2 direktivom, koja u svojem članku 13. stavak 5. predviđa da sva nadležna tijela (kako su definirana u članku 13. stavak 4.) redovno surađuju i razmjenjuju informacije kako bi identificirali kritične subjekte, prijetnje i dr., što znači da bi kao donji minimum u zakonski tekst trebalo uvrstiti obvezu suradnje s nadležnim tijelima (sektorskim, regulatornim) poput HAKOM, HERA, HNB, HANFA, Ministarstvo financija, Ministarstvo gospodarstva i održivog razvoja, Ministarstvo mora, prometa i infrastrukture (i druge po potrebi).

Napominjem također, da se ovaj članak zakona bavi posebnim kriterijima, te se razlikuje od obveze definirane člankom 17. prijedloga iako za to nema argumenta.

Članak 28.

U stavku 1. taksativno se navode „najnovija tehnička dostignuća“ koja se koriste u okviru „najbolje sigurnosne prakse u području kibernetičke sigurnosti“. Obzirom da za sukladnost s člankom 28. zakona postoje prekršajne odredbe (članak 101. prijedloga), postavlja se pitanje kako nadzirani subjekt može nedvosmisleno znati da se nalazi u prekršaju uz subjektivno postavljeni cilj sukladnosti, a što je suprotno temeljnom načelu da bilo koji prekršaj mora jasno utvrđen da bi bio kažnjiv.

Nadalje, ovaj članak je u raskoraku s NIS2 direktivom i to na način da je u stavku 2. dodana formulacija „ili nacionalnih shema kibernetičke sigurnosne certifikacije“, a koja ne postoji u članku 24. NIS2 direktive.

Nadalje, taj dodatak je u direktnoj suprotnosti s EU uredbom o kibernetičkoj sigurnosti (EU2019/881), koji u članku 57. stavak 2. eksplicitno naređuje kako „članice EU neće uvoditi nove nacionalne kibernetičke certifikacijske sheme za ICT proizvode, ICT servise i ICT procese koji su već pokriveni Europskom kibernetičkom certifikacijskom shemom koja je na snazi“.

Također, potrebno je detaljno razraditi što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju. Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa). Ovo je nužno razraditi i zbog primjene prekršajnih odredbi članka 101. i 102. nacrta.

Predlaže se brisanje dijela koji glasi „ili nacionalnih shema kibernetičke sigurnosne certifikacije“ obzirom da nepotrebno izlazi iz prostora NIS2 direktive, te je u direktnoj suprotnosti s obvezama koje proizlaze iz EU uredbe o kibernetičkoj sigurnosti.

Članak 51.

Ovim člankom se propisuje kako će subjekt, a koji je diskrecijskom odlukom definiranom u članku 24. ovog prijedloga morati pristupiti „nacionalnom sustavu za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora“.

Sustav SK@UT koji predstavlja nacionalni „kibernetički kišobran“ (gore spomenuti nacionalni sustav) sastoji se od nekoliko komponenti (alata), od kojih su neki invazivne prirode na način da podrazumijevaju pristup lokalnoj mreži/komunikaciji nadziranog subjekta. Obzirom da je sukladno zakonu, nadležni CSIRT obavještajna agencija, postavlja se pitanje prekomjernosti dosega obavještajne agencije prema podacima kojima subjekt raspolaže (osobnim podacima, poslovnim tajnama i sl.) pod krinkom zakonske obveze.

NIS2 direktiva (točka 44. preambule), precizno navodi kako bi CSIRT-ovi trebali imati „mogućnost na zahtjev ključnog ili važnog subjekta pratiti imovinu subjekta s internetskim sučeljem“. Nadalje, u NIS2 direktivi nema naznake da bi CSIRT (sa svojim alatima) mogao ili smio imati pristup lokalnim resursima subjekta koji je kategoriziran kao ključni ili važni.

Predlaže se da se članak 51. preformulira na način da se precizno navede kako je primjena dopuštena na zahtjev ključnog ili važnog subjekta isključivo pratiti imovinu subjekta s internetskim sučeljem, a kako bi se spriječile buduće zlouporabe obavještajnog sustava.

Članak 61.

Mandat SOA-e (članak 23. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno definira kako SOA brine o neovlaštenom ulasku u zaštićene informacijske i komunikacijske sustave državnih tijela. Definiranjem SOA-e kao središnjeg državnog tijela za kibernetičku sigurnost izlazi se iz zakonom definiranog djelokruga rada SOA-e.

Nadalje, SOA je kao obavještajna agencija u svojem radu zaštićena tajnom, izuzeta je iz zakona o javnoj nabavi, te ne podliježe većini demokratskih mehanizama za nadzor svojeg poslovanja, nema gotovo nikakve obveze za transparentnim djelovanjem. Istovremeno, u smislu NIS2 direktive biti će zadužena za redovitu komunikaciju, te postaje regulatorno tijelo za vrlo veliki broj pravnih subjekata (državnih, javnih i privatnih) što je suprotno samoj prirodi funkcioniranja obavještajne agencije. Osim toga, u okviru koordinacije i izvještavanja koje proizlaze iz primjene NIS2 direktive, SOA će komunicirati s drugim EU tijelima, a koja su redom civilna.

Istovremeno, Zavod za sigurnost informacijskih sustava (ZSIS) u svojem mandatu (članak 14. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno navodi kako ZSIS obavlja poslove u područjima sigurnosti informacijskih sustava. Stoga je sasvim jasno i logično kako je ZSIS tijelo koje je trebalo biti imenovano središnjim državnim tijelom za kibernetičku sigurnost.

Širina obuhvata NIS2 direktive će posljedično u redovima veličine proširiti prostor na kojem SOA djeluje, a značajno izvan zakonskog okvira koji je za SOA-u definiran, ali i definicije koja je sadržana u NIS2 direktivi.

Predlaže se stoga da se središnjim državnim tijelom za kibernetičku sigurnost proglasi ZSIS, te da se ZSIS izdvoji iz obavještajnog sustava RH i pretvori u Vladin ured ili Agenciju, a koji u cijelosti djeluje kao civilni subjekt. Alternativno, moguće je (neovisno o nepopularnosti takve odluke), osnovati sasvim novi ured ili agenciju koja će se baviti ovim iznimno značajnim aspektom funkcioniranja društva.

I svakako treba spomenuti i problem financiranja, SOA za svoje cjelokupno djelovanje ima 55mil EUR, a ZSIS nešto manje od 3mil EUR godišnje; istovremeno i usporedbe radi, HAKOM kao regulator telekomunikacijskog sektora ima 15mil EUR proračuna.

Članak 101. i Članak 102.

Ovaj članak navodi niz prekršajnih kazni za subjekte, no nigdje nije definirano što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju.

Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa).

Misao dana:
My main problem with cops is that they do what they’re told. They say ‘Sorry mate, I’m just doing my job’ all the fucking time.

Categories
eDržava Ekonomija Internet

Zakon o kibernetičkoj sigurnosti (prijedlog)

Prije nekoliko tjedana se (manje-više niotkuda) pojavilo eSavjetovanje o nacrtu prijedloga zakona o kibernetičkoj sigurnosti (inače ta cijela priča između “kiber” i “kibernetički” ima svoj vlastiti tragikomični zaplet koji koliko razumijem proizlazi od jedne jedine, ali iznimno uporne osobe u javnoj upravi). Već sama ta cijela priča oko zakona ima svojih problema, naime prvi zanimljivi problem je da se kao predlagač zakona pojavilo Ministarstvo hrvatskih branitelja.

Ustrojstvo Ministarstva hrvatskih branitelja

Kao što je razvidno iz samog ustrojstva ministarstva, oni se bave isključivo i jedino socijalnim temama (vidi Zakon o ustrojstvu i djelokrugu tijela državne uprave, članak 19.). Dakle imaju doslovno nula kompetencija (ali i ovlasti) da budu predlagač ovog zakona.

Da oni doista pojma nemaju o tome što moraju napraviti, bilo je jasno još prilikom savjetovanja oko obrasca prethodne procjene za zakon o kibernetičkoj sigurnosti. U tom obrascu je nepoznati i neupućeni netko napravio niz pogrešnih konstatacija i zaključaka. Na obrascu sam osobno dao dva komentara. Prvi se odnosio na koncentraciju aktivnosti u SOA-i koja nije kadrovski niti tehnički opremljena da se bavi nadzorom primjene kibernetičke sigurnosti, ali, puno bitnije, SOA nema niti mentalitet i razinu transparentnosti i demokratičnosti koja je nužna da se bavi ovim poslom. Drugi komentar se odnosio na totalno promašenu procjenu utjecaja zakona na ekonomiju i društvo. Oba komentara su odbijena bez ijednog suvislog argumenta (actually, nisu ni pokušali dati protuargumente nego su samo napravili copy&paste općih fraza i ničime utemeljenih dogmi iz nekog dokumenta i to je to, urbi et orbi).

Općenito gledano, eSavjetovanja su formalnost koja se prolazi kako bi se stavila kvačica na nekom obrascu. Birokrat s druge strane žice nema niti najmanjeg interesa usavršiti tekst (a vjerojatno ni intelektualnog kapaciteta da razumije posljedice zakonskog prijedloga), odgovornosti za kvalitetu zakonskog teksta ionako nema, totalno je nebitno inzistirati na odgovornosti trećeg ešalona, jer kada Zekanovići dignu ruku u saboru, to je to – izabrani predstavnici naroda su odlučili. Svejedno, smatram da je nužno napisati svoje komentare, ako ništa drugo onda zato da oni ostanu kao spomenik gluposti, ograničenosti i slabovidnosti javne uprave (na čelu s ministrom koji to potpisuje i predsjednikom vlade koji u normalnim zemljama actually odgovara za posljedice svojih postupaka).

I da se vratimo na aktualni prijedlog nacrta zakona, on je također krajnje problematičan iz jednostavnog razloga što i dalje ne znamo tko ga je pisao, jedino što je sigurno da ga nisu pisali u ministarstvu branitelja. Zakonska je obveza javno objaviti članove radne skupine, što smo nedavno naučili na primjeru zakona koji će regulirati agencije za naplatu potraživanja (stvarni pisci ovog zakona su vjerojatno pokopani negdje u izvještaju Nacionalnog vijeća za kibernetičku sigurnost, a koji je bio 18. točka vladine 203. sjednice, na posljednjoj stranici izvješća imate i članove pa uzmite veliko povećalo i probajte pronaći u tom vijeću ljude koji svojom biografijom barem donekle jamče da razumiju dokument kojeg su potpisali).

Na sreću, veliki dio zakonskog prijedloga je prevedeni tekst europske NIS2 direktive (NIS = Network and Information Systems), a koja je nastala kao prirodna ekstenzija prethodne NIS direktive, što barem dijelom jamči da je tekst barem donekle smislen. No, kao i uvijek, vrag je u detaljima, pa tako sakrivene motive moramo tražiti u razlikama između direktive i zakonskog teksta.

Proširenje opsega NIS na NIS2 direktivu.

Moja prva primjedba na tekst nacrta je u biti istovjetna kao i na početku, iz razloga koji je nejasan, uloga Nacionalnog centra za kibernetičku sigurnost (CSIRT) dodijeljena je i koncetrirana u Sigurnosno obavještajnoj agenciji. Smatram da je to nespojivo s ulogom SOA-e, budući da je riječ o organizaciji koja se bavi obavještajnim poslom i prikupljanjem podataka. Aktivnosti SOA-e su po svojoj prirodi tajni, te SOA sama po sebi nema propisanu transparentnost niti mi možemo znati što se događa s podacima koje SOA prikupi u okviru svojeg djelovanja. Ovaj zakon CSIRT smješta unutar SOA-e (ok, zakon ima predviđen i još jedan CSIRT i to onaj koji je unutar CERT-a), a CSIRT ima zakonsku ovlast implementirati unutar računalne mreže subjekta vlastite uređaje i mehanizme temeljem kojih ima pravo pristupa resursima i prometu koji se događaju na internim mrežama i sustavima subjekta koji je predmet nadzora.

Za razliku od klasičnog obavještajnog ili obrambenog djelovanja u kojima je tajnog očekivana i poželjna, meni se nekako čini da je pitanju kibernetičke sigurnosti potrebno pristupati s puno otvorenijih i transparentnih pozicija budući da je veliki dio kibernetičke sigurnosti razvijanje svijesti i razumijevanja prijetnje (kao što pristupamo recimo, sorry na gruboj i daleko pojednostavljenoj usporedbi, sa sigurnosti u prometu), a daleko manje sastančenje po tamnim sobama u kojima se ne vode zapisnici i donose odluke koje se kasnije niti obrazlažu niti ih je moguće preispitati. SOA nije niti će ikada biti autoritet po pitanju kibernetičke sigurnosti, oni jednostavno nemaju niti će ikada imati resurse (tehničke, ljudske) koji im mogu osigurati takvu poziciju iz jednostavnog razloga što se rizici događaju u iznimno disperziranom javnom i privatnom sektoru, koji su daleko proaktivniji i neusporedivo bolje financirani u privlačenju kadrova, nabavci tehničkih rješenja pa čak i identificiranju prijetnji. Iz svih tih razloga, nacionalni centar za kibernetičku sigurnost bi (opet, prema moje mišljenju), svojim ustrojem više morao ličiti na dobro organiziranu interesnu udrugu poput HUP-a ili regulatornu agenciju poput HAKOM-a (koja, uzgred rečeno, mi se čini daleko opremljenijom i prikladnijim izborom od SOA-e). I ako vam ništa od ovih argumenata ne sjeda, samo da napomenem kako se krovna organizacija koja koordinira nacionalne CSIRT-ove na razini EU zove ENISA, i riječ je naravno o 100% civilnoj agenciji.

Sve to skupa naravno ne znači da obrambeni aparatus ne treba biti duboko uključen u razvoj kibernetičke sigurnosti, nego samo da je priroda kibernetičkih prijetnji jednostavno bitno drugačija od svega čime se obrambeni sustav do sada susretao.

Ovakvim rješenjem, SOA kao obavještajna agencija se postavlja u ulogu regulatora što je jednostavno nespojivo s njihovom “core” djelatnošću i u direktnoj kontradiktornosti s potrebom transparentnosti i suradnje svih aktera, a kako bi se postigao cilj – u konkretnom slučaju, povećana razina opće kibernetičke sigurnosti.

Tricky part je u tome što se o tome koji subjekti ulaze u nadzor odlučuje putem mjerila koje se propisuju uredbom vlade, a na prijedlog tog istog CSIRT-a. Što, otprilike znači da subjekt nad kojim SOA ima nekakav interes, se može lagano proglasiti ključnim odnosno važnim subjektom i odjednom ste dužni instalirati poslovnicu SOA-e usred svojeg ureda (članci 12, 24, 27 i 51 zakona). Mišljenja sam da mjerila po kojem se javni ili privatni subjekti klasificiraju kao kritični ili važni, moraju nastati u jasnijem i transparentnijem procesu i da se ne smijemo zadovoljiti ovom definicijom, jer ona omogućava da se kroz podzakonske akte nametne daleko nedemokratskiji standard od ovoga koji je zakonom predviđen.

Teško mi je uopće opisati moje protivljenje ideji da CSIRT bude unutar SOA-e, jer je to suprotno cijelom nizu malo krupnijih koncepata poput slobode, demokracije i prava da ne budete nadzirani (a što će se sada i dogoditi).

Članak 28. zakona govori o “određenim IKT proizvodima, IKT uslugama i IKT procesima te upravljanim sigurnosnim uslugama, koje su certificirane na temelju europskih programa kibernetičke sigurnosne certifikacije ili nacionalnih shema kibernetičke sigurnosne certifikacije, ako je takva obveza propisana” – iz ovoga proizlazi da je za određene subjekte moguće propisati koje proizvode, usluge i procese smiju koristiti (ili bolje rečeno koje ne smiju koristiti). Ovaj dio je u biti nastavak priče o kojoj sam pisao još prošle godine u tekstovima Rat čipovima i Rat čipovima II. Postoji veliki pritisak na Kinu koji se uglavnom svodi na računalnu i 5G opremu a koja, teoretski (kao uostalom i svaka druga oprema) može u nekome času otkazati poslušnost. Administrativno-političko odlučivanje o tome što jest, a što nije prihvatljiva ICT oprema je vrlo tanki led sa svojim posljedicama (primjerice DB kaže da će im trebati 400mil EUR da zamijene “problematičnu” opremu, dok se zamjena 5G u primjerice Velikoj Britaniji mjeri u milijardama dolara, progooglajte ima brdo tekstova na tu temu). Mnoge zemlje ovom problemu pristupaju s “zero trust” načela, te se ne odlučuje o proizvođačima ili zemlji porijekla opreme, nego o pojedinačnim komadima opreme ili softvera koji jesu ili nisu pouzdani. U ovom konkretnom članku zakona, osobito je problematični dio “ili nacionalnih shema kibernetičke certifikacije” iz čega proizlazi da možemo odlučiti o razini standarda koja je “stroža” (čitaj “drugačija”) od Europske a o čemu će odlučivati neko nepoznato domaće tijelo (a za kojeg apriori moramo vjerovati da je jednako stručno ili stručnije od EU tijela, haha :). Osim toga, tu je pitanje čak i ako odlučimo da neku opremu moramo baciti van, tko će pokriti trošak te zamjene, jer se kod nekih subjekata (telekoma) taj trošak može lagano popesti u desetke ako ne i stotine milijuna eura.

Zanimljivo, člankom 29. propisana je obveza edukacije odgovornih osoba (zanimljiva formulacija, vjerujem da ima vladajućima bliskih učilišta koja pripremaju kurikulume kako bi pokrili ovu regulatornu priliku).

In other regulatory news, CSIRT ima pravo neograničenog pristupa i prema nacionalnom TLD registraru (što je kod nas Carnet), a Carnet spada u obrazovni sektor. U popisu drugih kritičnih sektora navode se i istraživanje i sustav obrazovanja, što su vertikale koje nisu sastavni dio NIS2 direktive pa u ovome dijelu definitivno soliramo u odnosu na ostatak Europe (istina je, sektor obrazovanja je opcionalan). Osobito je zanimljivo da se CERT kao nadležni CSIRT pojavljuje samo u sektorima istraživanja, obrazovanja ali i bankarstva i infrastrukture financijskoj tržišta, pa se čovjek zapita kako je došlo do točno ovakve podjele? Very strange.

I posljednja zanimljiva obzervacija na prijedlog zakona je ta što u originalnoj NIS2 direktivi imate propisano na koja se tijela ovaj zakon ne odnosi, konkretnije:

Ova se Direktiva ne primjenjuje na subjekte javne uprave koji obavljaju svoje aktivnosti u području nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući sprečavanje, istragu, otkrivanje i progon kaznenih djela.

Članak 2. točka 7. direktive

Koliko vidim, naš zakon nema takve izuzetke, i možda bi se članak 8. mogao dijelom primijeniti na gore navedeni dio direktive. Ali, kako ja to vidim (jer imam puno loših iskustava s time), ovime recimo omogućavamo SOA-i da odluči “štititi” DORH/USKOK pa možda u pozadini malo dojavljuju životno zainteresiranim članovima vladajuće koalicije o postupcima u tijeku (ali nema brige, naša SOA je profesionalna i skroz depolitizirana organizacija).

Drugi bitni aspekt cijelog zakona je trošak, naime broj subjekata koji će biti zahvaćeni kao obveznici ovog zakona će dramatično narasti u odnosu na prethodni zakon, bio sam u nekom trenutku naletio na tekst (kojeg nisam bookmarkirao na vrijeme) koji je rekao da je u Češkoj broj subjekata s 400 narastao na 6.000, što je povećanje od 12x. Češka je svojim ustrojem slična nama i top 6.000 subjekata čine polovicu naše ekonomije; dakle efekti implementacije NIS2 će biti ogromni (ENISA je objavila zanimljivo istraživanje na tu temu prepuno korisnih podataka).

Potrošnja na kibernetičku sigurnost kao udio ukupnog IT budžeta. (Izvor: ENISA 2022)

Ernst&Young je početkom godine napravio dobar white paper na temu NIS2 (dokument možete, uz besplatnu registraciju, skinuti ovdje), i oni između ostalog kažu kako nove vertikale koje će postati obveznici NIS2 implementacije, mogu očekivati rast potrošnje na ICT sustave od 25% (u odnosu na dosadašnje ICT budžete), dok organizacije koje su već sada unutar NIS sustava mogu očekivati 11.4% rasta potrošnje. Kao što se vidi iz gornje mape, mi stojimo jako loše i najgori smo u EU u postotku potrošnje na kibernetičku sigurnost – dobra vijest u tome je da smo kao meta maleni i insignifikantni (iako smo imali u proteklih nekoliko godina niz značajnih sigurnosnih incidenata ovog tipa i u privatnom i u javnom sektoru), ali isto tako mali napor će dramatično utjecati na opću razinu informatičke sigurnosti. Tu vrijedi spomenuti, itekako relevantno za ovaj tekst, kako se SOA hvali u svojem godišnjem izvješću kako će za IT security potrošiti 1.7mil eur u sljedeće tri godine, nije da je to jedini trošak ali sama činjenica da se hvale time govori o odsustvu imalo spomena vrijednih rezultata na drugim poljima.

Tekst se već pomalo odužio, no moj je prijedlog, ako se u IT security businessu da bacite pogled na prijedlog zakona i date koji komentar ako mislite da je potreban. Također, ako ste u srednjoj ili velikoj tvrtci, sva je šansa da će vas NIS2 zahvatiti i dobro je informirati se i početi pripremati (sebe i budžete) za sve ono što dolazi. Zakon o kibernetičkoj sigurnosti će po svemu sudeći biti izglasan do početka sljedeće godine i to vrijeme će brzo proći (čak je i zanimljiva ta brzina, rokovi za harmonizaciju s EU direktivom su listopad sljedeće godine, mi inače poslovično kasnimo no ovdje smo iz nekog razloga ispred drugih, pitam se zašto).

Misao dana:
We’re not hunter-gatherers anymore. We’re all living like patients in the intensive care unit of a hospital. What keeps us alive isn’t bravery, or athleticism, or any of those other skills that were valuable in a caveman society. It’s our ability to master complex technological skills. It is our ability to be nerds. We need to breed nerds.