Prije nekoliko tjedana se (manje-više niotkuda) pojavilo eSavjetovanje o nacrtu prijedloga zakona o kibernetičkoj sigurnosti (inače ta cijela priča između “kiber” i “kibernetički” ima svoj vlastiti tragikomični zaplet koji koliko razumijem proizlazi od jedne jedine, ali iznimno uporne osobe u javnoj upravi). Već sama ta cijela priča oko zakona ima svojih problema, naime prvi zanimljivi problem je da se kao predlagač zakona pojavilo Ministarstvo hrvatskih branitelja.
Kao što je razvidno iz samog ustrojstva ministarstva, oni se bave isključivo i jedino socijalnim temama (vidi Zakon o ustrojstvu i djelokrugu tijela državne uprave, članak 19.). Dakle imaju doslovno nula kompetencija (ali i ovlasti) da budu predlagač ovog zakona.
Da oni doista pojma nemaju o tome što moraju napraviti, bilo je jasno još prilikom savjetovanja oko obrasca prethodne procjene za zakon o kibernetičkoj sigurnosti. U tom obrascu je nepoznati i neupućeni netko napravio niz pogrešnih konstatacija i zaključaka. Na obrascu sam osobno dao dva komentara. Prvi se odnosio na koncentraciju aktivnosti u SOA-i koja nije kadrovski niti tehnički opremljena da se bavi nadzorom primjene kibernetičke sigurnosti, ali, puno bitnije, SOA nema niti mentalitet i razinu transparentnosti i demokratičnosti koja je nužna da se bavi ovim poslom. Drugi komentar se odnosio na totalno promašenu procjenu utjecaja zakona na ekonomiju i društvo. Oba komentara su odbijena bez ijednog suvislog argumenta (actually, nisu ni pokušali dati protuargumente nego su samo napravili copy&paste općih fraza i ničime utemeljenih dogmi iz nekog dokumenta i to je to, urbi et orbi).
Općenito gledano, eSavjetovanja su formalnost koja se prolazi kako bi se stavila kvačica na nekom obrascu. Birokrat s druge strane žice nema niti najmanjeg interesa usavršiti tekst (a vjerojatno ni intelektualnog kapaciteta da razumije posljedice zakonskog prijedloga), odgovornosti za kvalitetu zakonskog teksta ionako nema, totalno je nebitno inzistirati na odgovornosti trećeg ešalona, jer kada Zekanovići dignu ruku u saboru, to je to – izabrani predstavnici naroda su odlučili. Svejedno, smatram da je nužno napisati svoje komentare, ako ništa drugo onda zato da oni ostanu kao spomenik gluposti, ograničenosti i slabovidnosti javne uprave (na čelu s ministrom koji to potpisuje i predsjednikom vlade koji u normalnim zemljama actually odgovara za posljedice svojih postupaka).
I da se vratimo na aktualni prijedlog nacrta zakona, on je također krajnje problematičan iz jednostavnog razloga što i dalje ne znamo tko ga je pisao, jedino što je sigurno da ga nisu pisali u ministarstvu branitelja. Zakonska je obveza javno objaviti članove radne skupine, što smo nedavno naučili na primjeru zakona koji će regulirati agencije za naplatu potraživanja (stvarni pisci ovog zakona su vjerojatno pokopani negdje u izvještaju Nacionalnog vijeća za kibernetičku sigurnost, a koji je bio 18. točka vladine 203. sjednice, na posljednjoj stranici izvješća imate i članove pa uzmite veliko povećalo i probajte pronaći u tom vijeću ljude koji svojom biografijom barem donekle jamče da razumiju dokument kojeg su potpisali).
Na sreću, veliki dio zakonskog prijedloga je prevedeni tekst europske NIS2 direktive (NIS = Network and Information Systems), a koja je nastala kao prirodna ekstenzija prethodne NIS direktive, što barem dijelom jamči da je tekst barem donekle smislen. No, kao i uvijek, vrag je u detaljima, pa tako sakrivene motive moramo tražiti u razlikama između direktive i zakonskog teksta.
Moja prva primjedba na tekst nacrta je u biti istovjetna kao i na početku, iz razloga koji je nejasan, uloga Nacionalnog centra za kibernetičku sigurnost (CSIRT) dodijeljena je i koncetrirana u Sigurnosno obavještajnoj agenciji. Smatram da je to nespojivo s ulogom SOA-e, budući da je riječ o organizaciji koja se bavi obavještajnim poslom i prikupljanjem podataka. Aktivnosti SOA-e su po svojoj prirodi tajni, te SOA sama po sebi nema propisanu transparentnost niti mi možemo znati što se događa s podacima koje SOA prikupi u okviru svojeg djelovanja. Ovaj zakon CSIRT smješta unutar SOA-e (ok, zakon ima predviđen i još jedan CSIRT i to onaj koji je unutar CERT-a), a CSIRT ima zakonsku ovlast implementirati unutar računalne mreže subjekta vlastite uređaje i mehanizme temeljem kojih ima pravo pristupa resursima i prometu koji se događaju na internim mrežama i sustavima subjekta koji je predmet nadzora.
Za razliku od klasičnog obavještajnog ili obrambenog djelovanja u kojima je tajnog očekivana i poželjna, meni se nekako čini da je pitanju kibernetičke sigurnosti potrebno pristupati s puno otvorenijih i transparentnih pozicija budući da je veliki dio kibernetičke sigurnosti razvijanje svijesti i razumijevanja prijetnje (kao što pristupamo recimo, sorry na gruboj i daleko pojednostavljenoj usporedbi, sa sigurnosti u prometu), a daleko manje sastančenje po tamnim sobama u kojima se ne vode zapisnici i donose odluke koje se kasnije niti obrazlažu niti ih je moguće preispitati. SOA nije niti će ikada biti autoritet po pitanju kibernetičke sigurnosti, oni jednostavno nemaju niti će ikada imati resurse (tehničke, ljudske) koji im mogu osigurati takvu poziciju iz jednostavnog razloga što se rizici događaju u iznimno disperziranom javnom i privatnom sektoru, koji su daleko proaktivniji i neusporedivo bolje financirani u privlačenju kadrova, nabavci tehničkih rješenja pa čak i identificiranju prijetnji. Iz svih tih razloga, nacionalni centar za kibernetičku sigurnost bi (opet, prema moje mišljenju), svojim ustrojem više morao ličiti na dobro organiziranu interesnu udrugu poput HUP-a ili regulatornu agenciju poput HAKOM-a (koja, uzgred rečeno, mi se čini daleko opremljenijom i prikladnijim izborom od SOA-e). I ako vam ništa od ovih argumenata ne sjeda, samo da napomenem kako se krovna organizacija koja koordinira nacionalne CSIRT-ove na razini EU zove ENISA, i riječ je naravno o 100% civilnoj agenciji.
Sve to skupa naravno ne znači da obrambeni aparatus ne treba biti duboko uključen u razvoj kibernetičke sigurnosti, nego samo da je priroda kibernetičkih prijetnji jednostavno bitno drugačija od svega čime se obrambeni sustav do sada susretao.
Ovakvim rješenjem, SOA kao obavještajna agencija se postavlja u ulogu regulatora što je jednostavno nespojivo s njihovom “core” djelatnošću i u direktnoj kontradiktornosti s potrebom transparentnosti i suradnje svih aktera, a kako bi se postigao cilj – u konkretnom slučaju, povećana razina opće kibernetičke sigurnosti.
Tricky part je u tome što se o tome koji subjekti ulaze u nadzor odlučuje putem mjerila koje se propisuju uredbom vlade, a na prijedlog tog istog CSIRT-a. Što, otprilike znači da subjekt nad kojim SOA ima nekakav interes, se može lagano proglasiti ključnim odnosno važnim subjektom i odjednom ste dužni instalirati poslovnicu SOA-e usred svojeg ureda (članci 12, 24, 27 i 51 zakona). Mišljenja sam da mjerila po kojem se javni ili privatni subjekti klasificiraju kao kritični ili važni, moraju nastati u jasnijem i transparentnijem procesu i da se ne smijemo zadovoljiti ovom definicijom, jer ona omogućava da se kroz podzakonske akte nametne daleko nedemokratskiji standard od ovoga koji je zakonom predviđen.
Teško mi je uopće opisati moje protivljenje ideji da CSIRT bude unutar SOA-e, jer je to suprotno cijelom nizu malo krupnijih koncepata poput slobode, demokracije i prava da ne budete nadzirani (a što će se sada i dogoditi).
Članak 28. zakona govori o “određenim IKT proizvodima, IKT uslugama i IKT procesima te upravljanim sigurnosnim uslugama, koje su certificirane na temelju europskih programa kibernetičke sigurnosne certifikacije ili nacionalnih shema kibernetičke sigurnosne certifikacije, ako je takva obveza propisana” – iz ovoga proizlazi da je za određene subjekte moguće propisati koje proizvode, usluge i procese smiju koristiti (ili bolje rečeno koje ne smiju koristiti). Ovaj dio je u biti nastavak priče o kojoj sam pisao još prošle godine u tekstovima Rat čipovima i Rat čipovima II. Postoji veliki pritisak na Kinu koji se uglavnom svodi na računalnu i 5G opremu a koja, teoretski (kao uostalom i svaka druga oprema) može u nekome času otkazati poslušnost. Administrativno-političko odlučivanje o tome što jest, a što nije prihvatljiva ICT oprema je vrlo tanki led sa svojim posljedicama (primjerice DB kaže da će im trebati 400mil EUR da zamijene “problematičnu” opremu, dok se zamjena 5G u primjerice Velikoj Britaniji mjeri u milijardama dolara, progooglajte ima brdo tekstova na tu temu). Mnoge zemlje ovom problemu pristupaju s “zero trust” načela, te se ne odlučuje o proizvođačima ili zemlji porijekla opreme, nego o pojedinačnim komadima opreme ili softvera koji jesu ili nisu pouzdani. U ovom konkretnom članku zakona, osobito je problematični dio “ili nacionalnih shema kibernetičke certifikacije” iz čega proizlazi da možemo odlučiti o razini standarda koja je “stroža” (čitaj “drugačija”) od Europske a o čemu će odlučivati neko nepoznato domaće tijelo (a za kojeg apriori moramo vjerovati da je jednako stručno ili stručnije od EU tijela, haha :). Osim toga, tu je pitanje čak i ako odlučimo da neku opremu moramo baciti van, tko će pokriti trošak te zamjene, jer se kod nekih subjekata (telekoma) taj trošak može lagano popesti u desetke ako ne i stotine milijuna eura.
Zanimljivo, člankom 29. propisana je obveza edukacije odgovornih osoba (zanimljiva formulacija, vjerujem da ima vladajućima bliskih učilišta koja pripremaju kurikulume kako bi pokrili ovu regulatornu priliku).
In other regulatory news, CSIRT ima pravo neograničenog pristupa i prema nacionalnom TLD registraru (što je kod nas Carnet), a Carnet spada u obrazovni sektor. U popisu drugih kritičnih sektora navode se i istraživanje i sustav obrazovanja, što su vertikale koje nisu sastavni dio NIS2 direktive pa u ovome dijelu definitivno soliramo u odnosu na ostatak Europe (istina je, sektor obrazovanja je opcionalan). Osobito je zanimljivo da se CERT kao nadležni CSIRT pojavljuje samo u sektorima istraživanja, obrazovanja ali i bankarstva i infrastrukture financijskoj tržišta, pa se čovjek zapita kako je došlo do točno ovakve podjele? Very strange.
I posljednja zanimljiva obzervacija na prijedlog zakona je ta što u originalnoj NIS2 direktivi imate propisano na koja se tijela ovaj zakon ne odnosi, konkretnije:
Ova se Direktiva ne primjenjuje na subjekte javne uprave koji obavljaju svoje aktivnosti u području nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući sprečavanje, istragu, otkrivanje i progon kaznenih djela.
Članak 2. točka 7. direktive
Koliko vidim, naš zakon nema takve izuzetke, i možda bi se članak 8. mogao dijelom primijeniti na gore navedeni dio direktive. Ali, kako ja to vidim (jer imam puno loših iskustava s time), ovime recimo omogućavamo SOA-i da odluči “štititi” DORH/USKOK pa možda u pozadini malo dojavljuju životno zainteresiranim članovima vladajuće koalicije o postupcima u tijeku (ali nema brige, naša SOA je profesionalna i skroz depolitizirana organizacija).
Drugi bitni aspekt cijelog zakona je trošak, naime broj subjekata koji će biti zahvaćeni kao obveznici ovog zakona će dramatično narasti u odnosu na prethodni zakon, bio sam u nekom trenutku naletio na tekst (kojeg nisam bookmarkirao na vrijeme) koji je rekao da je u Češkoj broj subjekata s 400 narastao na 6.000, što je povećanje od 12x. Češka je svojim ustrojem slična nama i top 6.000 subjekata čine polovicu naše ekonomije; dakle efekti implementacije NIS2 će biti ogromni (ENISA je objavila zanimljivo istraživanje na tu temu prepuno korisnih podataka).
Ernst&Young je početkom godine napravio dobar white paper na temu NIS2 (dokument možete, uz besplatnu registraciju, skinuti ovdje), i oni između ostalog kažu kako nove vertikale koje će postati obveznici NIS2 implementacije, mogu očekivati rast potrošnje na ICT sustave od 25% (u odnosu na dosadašnje ICT budžete), dok organizacije koje su već sada unutar NIS sustava mogu očekivati 11.4% rasta potrošnje. Kao što se vidi iz gornje mape, mi stojimo jako loše i najgori smo u EU u postotku potrošnje na kibernetičku sigurnost – dobra vijest u tome je da smo kao meta maleni i insignifikantni (iako smo imali u proteklih nekoliko godina niz značajnih sigurnosnih incidenata ovog tipa i u privatnom i u javnom sektoru), ali isto tako mali napor će dramatično utjecati na opću razinu informatičke sigurnosti. Tu vrijedi spomenuti, itekako relevantno za ovaj tekst, kako se SOA hvali u svojem godišnjem izvješću kako će za IT security potrošiti 1.7mil eur u sljedeće tri godine, nije da je to jedini trošak ali sama činjenica da se hvale time govori o odsustvu imalo spomena vrijednih rezultata na drugim poljima.
Tekst se već pomalo odužio, no moj je prijedlog, ako se u IT security businessu da bacite pogled na prijedlog zakona i date koji komentar ako mislite da je potreban. Također, ako ste u srednjoj ili velikoj tvrtci, sva je šansa da će vas NIS2 zahvatiti i dobro je informirati se i početi pripremati (sebe i budžete) za sve ono što dolazi. Zakon o kibernetičkoj sigurnosti će po svemu sudeći biti izglasan do početka sljedeće godine i to vrijeme će brzo proći (čak je i zanimljiva ta brzina, rokovi za harmonizaciju s EU direktivom su listopad sljedeće godine, mi inače poslovično kasnimo no ovdje smo iz nekog razloga ispred drugih, pitam se zašto).
Misao dana:
We’re not hunter-gatherers anymore. We’re all living like patients in the intensive care unit of a hospital. What keeps us alive isn’t bravery, or athleticism, or any of those other skills that were valuable in a caveman society. It’s our ability to master complex technological skills. It is our ability to be nerds. We need to breed nerds.