Cyber Security

Kako sam i napisao prije nekoliko dana, doradio sam i malo preciznije formulirao moje primjedbe i prijedloge na tekst zakona o kibernetičkoj sigurnosti i sve je svedeno na nekoliko točaka, a sve zajedno možete pronaći i na stranicama eSavjetovanja (skupa s mojim prijedlozima promjena):

Opći komentar

NIS2 direktiva u svojoj preambuli (točka 15), upozorava na potrebi „osiguranja pravedne ravnoteže između zahtjeva i obveza utemeljenih na procjeni rizika s jedne strane te administrativnog opterećenja koje proizlazi iz nadzora usklađenosti s druge strane“. Nacrt zakona kakav je ovdje prezentiran ne predviđa, niti govori o osiguranju ravnoteže nego na istovjetni način kreira zahtjeve i obveze usklađenosti za sve subjekte, neovisno o njihovoj relativnoj veličini i/ili riziku – što će rezultirati nerazmjernim opterećenjem za niz subjekata, uključivo i za središnje državno tijelo koje će istim mjerilima morati promatrati sve zahvaćene subjekte.

Nadalje, iako u se u NIS2 direktivi na više mjesta spominje potreba koordinacije različitih javnih tijela, u nacrtu zakona kakvog vidimo ovdje cjelokupna regulacija je svedena na središnje državno tijelo za kibernetičku sigurnost koje je smješteno u Sigurnosnu obavještajnu agenciju.

Za razliku od ostalih sastavnica (nacionalne) sigurnosti koje često zahtijevaju različite razine tajnosti ili opskurnosti, kibernetička sigurnost je, po svojoj prirodi, osobito zbog svoje sveobuhvatnosti u cijelosti u javnoj sferi. Stoga smatram da je za središnje tijelo za kibernetičku sigurnost nužno imenovati ured ili agenciju koja je, poput Europske ENISA-e, u cijelosti civilna organizacija.

Kao i drugi sudionici savjetovanja, upozorio bi i na nelogičnost Ministarstva hrvatskih branitelja kao predlagača (u smislu da ne posjeduje kadrove koji su kompetentni za izradu ovakvog nacrta zakona, kao i činjenicu da je ovaj zakon sasvim očigledno izvan djelokruga djelovanja ministarstva kako je ono definirano u Zakonu o ustrojstvu i djelokrugu tijela državne uprave, članak 19.), te činjenice da je predlagač prekšio Zakon o pravu na pristup informacijama članak 11. stavak 2. samom činjenicom da nije objavio sastav radne skupine odnosno autore nacrta prijedloga zakonskog teksta.

Članak 24.

Članak 24. vrlo široko i bez jasnih kriterija opisuje kako Vlada donosi mjerila za razvrstavanje ključnih odnosno važnih subjekata i to isključivo na prijedlog središnjeg državnog tijela za kibernetičku sigurnost. Ovom definicijom se odluka o tome koji će subjekt biti obveznik zakona svodi na diskrecijsku odluku tijela koje po svojoj prirodi nije transparentno.

Ovaj članak je u značajnom raskoraku s NIS2 direktivom, koja u svojem članku 13. stavak 5. predviđa da sva nadležna tijela (kako su definirana u članku 13. stavak 4.) redovno surađuju i razmjenjuju informacije kako bi identificirali kritične subjekte, prijetnje i dr., što znači da bi kao donji minimum u zakonski tekst trebalo uvrstiti obvezu suradnje s nadležnim tijelima (sektorskim, regulatornim) poput HAKOM, HERA, HNB, HANFA, Ministarstvo financija, Ministarstvo gospodarstva i održivog razvoja, Ministarstvo mora, prometa i infrastrukture (i druge po potrebi).

Napominjem također, da se ovaj članak zakona bavi posebnim kriterijima, te se razlikuje od obveze definirane člankom 17. prijedloga iako za to nema argumenta.

Članak 28.

U stavku 1. taksativno se navode „najnovija tehnička dostignuća“ koja se koriste u okviru „najbolje sigurnosne prakse u području kibernetičke sigurnosti“. Obzirom da za sukladnost s člankom 28. zakona postoje prekršajne odredbe (članak 101. prijedloga), postavlja se pitanje kako nadzirani subjekt može nedvosmisleno znati da se nalazi u prekršaju uz subjektivno postavljeni cilj sukladnosti, a što je suprotno temeljnom načelu da bilo koji prekršaj mora jasno utvrđen da bi bio kažnjiv.

Nadalje, ovaj članak je u raskoraku s NIS2 direktivom i to na način da je u stavku 2. dodana formulacija „ili nacionalnih shema kibernetičke sigurnosne certifikacije“, a koja ne postoji u članku 24. NIS2 direktive.

Nadalje, taj dodatak je u direktnoj suprotnosti s EU uredbom o kibernetičkoj sigurnosti (EU2019/881), koji u članku 57. stavak 2. eksplicitno naređuje kako „članice EU neće uvoditi nove nacionalne kibernetičke certifikacijske sheme za ICT proizvode, ICT servise i ICT procese koji su već pokriveni Europskom kibernetičkom certifikacijskom shemom koja je na snazi“.

Također, potrebno je detaljno razraditi što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju. Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa). Ovo je nužno razraditi i zbog primjene prekršajnih odredbi članka 101. i 102. nacrta.

Predlaže se brisanje dijela koji glasi „ili nacionalnih shema kibernetičke sigurnosne certifikacije“ obzirom da nepotrebno izlazi iz prostora NIS2 direktive, te je u direktnoj suprotnosti s obvezama koje proizlaze iz EU uredbe o kibernetičkoj sigurnosti.

Članak 51.

Ovim člankom se propisuje kako će subjekt, a koji je diskrecijskom odlukom definiranom u članku 24. ovog prijedloga morati pristupiti „nacionalnom sustavu za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora“.

Sustav SK@UT koji predstavlja nacionalni „kibernetički kišobran“ (gore spomenuti nacionalni sustav) sastoji se od nekoliko komponenti (alata), od kojih su neki invazivne prirode na način da podrazumijevaju pristup lokalnoj mreži/komunikaciji nadziranog subjekta. Obzirom da je sukladno zakonu, nadležni CSIRT obavještajna agencija, postavlja se pitanje prekomjernosti dosega obavještajne agencije prema podacima kojima subjekt raspolaže (osobnim podacima, poslovnim tajnama i sl.) pod krinkom zakonske obveze.

NIS2 direktiva (točka 44. preambule), precizno navodi kako bi CSIRT-ovi trebali imati „mogućnost na zahtjev ključnog ili važnog subjekta pratiti imovinu subjekta s internetskim sučeljem“. Nadalje, u NIS2 direktivi nema naznake da bi CSIRT (sa svojim alatima) mogao ili smio imati pristup lokalnim resursima subjekta koji je kategoriziran kao ključni ili važni.

Predlaže se da se članak 51. preformulira na način da se precizno navede kako je primjena dopuštena na zahtjev ključnog ili važnog subjekta isključivo pratiti imovinu subjekta s internetskim sučeljem, a kako bi se spriječile buduće zlouporabe obavještajnog sustava.

Članak 61.

Mandat SOA-e (članak 23. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno definira kako SOA brine o neovlaštenom ulasku u zaštićene informacijske i komunikacijske sustave državnih tijela. Definiranjem SOA-e kao središnjeg državnog tijela za kibernetičku sigurnost izlazi se iz zakonom definiranog djelokruga rada SOA-e.

Nadalje, SOA je kao obavještajna agencija u svojem radu zaštićena tajnom, izuzeta je iz zakona o javnoj nabavi, te ne podliježe većini demokratskih mehanizama za nadzor svojeg poslovanja, nema gotovo nikakve obveze za transparentnim djelovanjem. Istovremeno, u smislu NIS2 direktive biti će zadužena za redovitu komunikaciju, te postaje regulatorno tijelo za vrlo veliki broj pravnih subjekata (državnih, javnih i privatnih) što je suprotno samoj prirodi funkcioniranja obavještajne agencije. Osim toga, u okviru koordinacije i izvještavanja koje proizlaze iz primjene NIS2 direktive, SOA će komunicirati s drugim EU tijelima, a koja su redom civilna.

Istovremeno, Zavod za sigurnost informacijskih sustava (ZSIS) u svojem mandatu (članak 14. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno navodi kako ZSIS obavlja poslove u područjima sigurnosti informacijskih sustava. Stoga je sasvim jasno i logično kako je ZSIS tijelo koje je trebalo biti imenovano središnjim državnim tijelom za kibernetičku sigurnost.

Širina obuhvata NIS2 direktive će posljedično u redovima veličine proširiti prostor na kojem SOA djeluje, a značajno izvan zakonskog okvira koji je za SOA-u definiran, ali i definicije koja je sadržana u NIS2 direktivi.

Predlaže se stoga da se središnjim državnim tijelom za kibernetičku sigurnost proglasi ZSIS, te da se ZSIS izdvoji iz obavještajnog sustava RH i pretvori u Vladin ured ili Agenciju, a koji u cijelosti djeluje kao civilni subjekt. Alternativno, moguće je (neovisno o nepopularnosti takve odluke), osnovati sasvim novi ured ili agenciju koja će se baviti ovim iznimno značajnim aspektom funkcioniranja društva.

I svakako treba spomenuti i problem financiranja, SOA za svoje cjelokupno djelovanje ima 55mil EUR, a ZSIS nešto manje od 3mil EUR godišnje; istovremeno i usporedbe radi, HAKOM kao regulator telekomunikacijskog sektora ima 15mil EUR proračuna.

Članak 101. i Članak 102.

Ovaj članak navodi niz prekršajnih kazni za subjekte, no nigdje nije definirano što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju.

Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa).

Misao dana:
My main problem with cops is that they do what they’re told. They say ‘Sorry mate, I’m just doing my job’ all the fucking time.

Prije nekoliko mjeseci, napisao sam članak nazvan Rat čipovima, po istoimenoj knjizi, a koji pokušava sumirati sve ono što se događa u industriji poluvodiča, osobito s pozicije politike u kojem se sukobljavaju istok i zapad, a poluvodiči postaju geopolitičko oružje.

Par mjeseci je prošlo, i danas imamo puno novih elemenata u ovom nenasilnom ratu za premoć nad visokom tehnologijom. Današnja priča može početi s višegodišnjim istraživanjem Australian Strategic Policy Institute , a koji zaključuje kako u čak 37 od 44 tehnološka polja koja su bila predmet istraživanja Kina ima jasnu tehnološku prednost pred Amerikom, dok u čak osam polja ima solidnu šansu kreirati monopolnu poziciju. Istraživanje uključuje tehnološke sektore naprednih materijala i proizvodnje, umjetnu inteligenciju računalstvo i komunikacije, energiju i okoliš, quantum računala, biotehnologiju, senzore, i naravno obranu, svemir, robotiku i transport. Nije stoga nikakvo čudo da je zapad zabrinut nad razvojem situacije. Iako, politika je uvijek iznimno spora i ovakva situacija se nije razvila preko noći nego je rezultat višedesetljetnog napora Kine, dok smo “mi” istovremeno iz praktičnosti odlučili podcijeniti ili ignorirati novonastale odnose u visokoj tehnologiji.

Zaključak cijelog izvještaja (izvještaj možete slobodno downloadati sa stranica instituta) je i set 23 preporuke podijeljene u četiri temeljne teme, a čija bi implementacija mogla usporiti i/ili nadoknaditi tehnološku prednost koju Kina danas ima u odnosu na zapad (ako čitate te preporuke, to su solidne i zdravorazumske policy preporuke i za našu zemlju makar mi imamo malo visoke tehnologije). Neovisno o tome hoće li zemlje zapada krenuti implementirati ove preporuke, činjenica jest da smo u posljednjih nekoliko godina krenuli u smjeru deglobalizacije i gradnji “strateške redundancije”.

Druga bitna sastavnica “rata čipovima” je i dugo očekivanja američka cybersecurity strategija (PDF, download) čiji detalji su ovih dana (napokon) iscurili u javnost. Ta strategija se temelji na pet stupova, od čega je uvjerljivi naglasak na obrani kritične infrastrukture koja je uglavnom u privatnom vlasništvu. Plan predviđa minimalne ali obavezne cybersecurity zahtjeve u kritičnim sektorima gospodarstva, te užu suradnju između javnog i privatnog osobito u segmentima prijetnji i obrane. Plan predviđa i odmak od odgovornosti krajnjeg korisnika prema proizvođačima softvera i hardvera koji će postati odgovorni za sigurnosne propuste u svojim proizvodima i uslugama. Ako pročitate tekst, uočiti ćete i povećani pritisak na sigurnosti osobnih podataka kao temeljnog elementa zaštite privatnosti potrošača (što tumačim kao američko približavanje europskim GDPR i drugim standardima privatnosti koji su do sada uglavnom bili kočnica europskom razvoju). Slično kao i gore navedeni australski izvještaj, zaziva se veća suradnja i kooperacija zapadnih zemalja prema zajedničkim sigurnosnim ciljevima, a tzv. Chips act (zakon o čipovima) predviđa 50 milijardi dolara u financiranju industrije poluvodiča, što je najveća federalna investicija u jednu industriju u dugo vremena (i svojevrsni novi oblik “socijalne politike”).

Prošle godine u listopadu, američko ministarstvo trgovine izdalo je ogromni dokument u kojem se navode izvozne restrikcije visoke tehnologije, a čiji je temeljni cilj ograničiti Kini sposobnost kupnje, gradnje, razvoja i održavanja super računala kao i proizvodnju naprednih poluvodiča (o čemu sam dijelom pisao i u prethodnom tekstu). Naizgled, čini se kako je čipove relativno jednostavno “prešvercati” na drugu stranu granice, no postoje praktični limiti koliko je takav pristup održiv, budući da za jedno super računalo morate iskoristiti desetke ako ne i stotine tisuća čipova, a čak i ako u tome uspijete, šansa da “sakrijete” takav pogon je gotovo zanemariva.

Vizualizacija segmenta računalne opreme koja je zahvaćena izvoznom kontrolom.

Nvidia A100 čip, koji se nalazi u donjem lijevom kutu (ishodištu) izvoznih restrikcija koristi se za pokretanje umjetne inteligencije. Primjera radi, da bi pokrenuli LLM model poput onoga kojeg koristi ChatGPT, potrebno vam je 30.000 komada A100 čipova – što je količina čiju kupovinu i transfer jednostavno nije moguće tek tako sakriti, a ako i uspijete, riječ je o pojedinačnom uspjehu u svijetu u kojem se vrlo uskoro očekuje implementacije desetine ako ne i stotine sličnih AI računalnih klastera.

Nije stoga nikakvo čudo ili iznenađenje da se sami vrhovi vlasti, na svim stranama, bave ovim očito strateškim problemom. Kineski predsjednik Xi Jinping nedavno je u najužem krugu politbiroa govorio o Kineskoj potrebi za samodostatnošću u proizvodnji visoke tehnologije, dok istovremeno najveće kineske kompanije pokušavaju dostići razinu razvoja umjetne inteligencije koja je nedavno demonstrirana od strane OpenAI-ja i ChatGPT projekta.

ASML, Nizozemska kompanija koja proizvodi strojeve koji proizvode čipove.

Istovremeno, američki diplomati učestalo lete i posjećuju Nizozemsku i Japan kako bi očvrsnuli zabranu izvoza visoke tehnologije, a koji bi Kini omogućio daljnji razvoj naprednih poluvodiča. Napori su fokusirane na ove tri zemlje uglavnom zato što u njima posluje većina ASML-a, malo poznate nizozemske kompanije koja se nalazi iza (gotovo) svih strojeva koji su u stanju proizvesti čipove najnovijih generacija. Kineski izazivač u ovom polju je Huawei, koji je potvrdio da je napravio iskorake u EUV litografiji, a što je ključna tehnologija za proizvodnju poluvodiča ispod 14nm koja je zbog zabrane Kini nedostupna.

Puno energije (i novca) slijeva se u TSMC-ov pogon u Americi (koji će biti jedan od dva predviđena klastera proizvodnje poluvodiča), gdje se 50 milijardi dolara investicije u poluvodiče smatra “dobrim početkom”, dok Taiwanski političari gradnju te tvornice koja će omogućiti “stratešku redundnciju” smatraju slabljenjem svojeg silicijkog štita.

Tehnološke crte preko kojih se ne prelazi su iscrtane i u nadolazećem razdoblju ćemo vidjeti u kojem se smjeru razvija tehnološki sraz istoka i zapada. Teško je predvidjeti efekte novih restrikcija koje dolaze (a koje proizlaze iz američkog novog cybersecurity dokumenta), kao i to kako će se Europa postaviti u toj tehnološkoj utrci, i u konačnici hoće li moguće Kineske isporuke oružja Rusiji biti iskorištene za daljnju eskalaciju tehnološko-trgovinskog sukoba.

Misao dana:
Ours is a world of nuclear giants and ethical infants. We know more about war than we know about peace, more about killing than we know about living. We have grasped the mystery of the atom and rejected the Sermon on the Mount.