Categories
Business eDržava Internet

Zakon o kibernetičkoj sigurnosti (moje primjedbe njima)

Kako sam i napisao prije nekoliko dana, doradio sam i malo preciznije formulirao moje primjedbe i prijedloge na tekst zakona o kibernetičkoj sigurnosti i sve je svedeno na nekoliko točaka, a sve zajedno možete pronaći i na stranicama eSavjetovanja (skupa s mojim prijedlozima promjena):

Opći komentar

NIS2 direktiva u svojoj preambuli (točka 15), upozorava na potrebi „osiguranja pravedne ravnoteže između zahtjeva i obveza utemeljenih na procjeni rizika s jedne strane te administrativnog opterećenja koje proizlazi iz nadzora usklađenosti s druge strane“. Nacrt zakona kakav je ovdje prezentiran ne predviđa, niti govori o osiguranju ravnoteže nego na istovjetni način kreira zahtjeve i obveze usklađenosti za sve subjekte, neovisno o njihovoj relativnoj veličini i/ili riziku – što će rezultirati nerazmjernim opterećenjem za niz subjekata, uključivo i za središnje državno tijelo koje će istim mjerilima morati promatrati sve zahvaćene subjekte.

Nadalje, iako u se u NIS2 direktivi na više mjesta spominje potreba koordinacije različitih javnih tijela, u nacrtu zakona kakvog vidimo ovdje cjelokupna regulacija je svedena na središnje državno tijelo za kibernetičku sigurnost koje je smješteno u Sigurnosnu obavještajnu agenciju.

Za razliku od ostalih sastavnica (nacionalne) sigurnosti koje često zahtijevaju različite razine tajnosti ili opskurnosti, kibernetička sigurnost je, po svojoj prirodi, osobito zbog svoje sveobuhvatnosti u cijelosti u javnoj sferi. Stoga smatram da je za središnje tijelo za kibernetičku sigurnost nužno imenovati ured ili agenciju koja je, poput Europske ENISA-e, u cijelosti civilna organizacija.

Kao i drugi sudionici savjetovanja, upozorio bi i na nelogičnost Ministarstva hrvatskih branitelja kao predlagača (u smislu da ne posjeduje kadrove koji su kompetentni za izradu ovakvog nacrta zakona, kao i činjenicu da je ovaj zakon sasvim očigledno izvan djelokruga djelovanja ministarstva kako je ono definirano u Zakonu o ustrojstvu i djelokrugu tijela državne uprave, članak 19.), te činjenice da je predlagač prekšio Zakon o pravu na pristup informacijama članak 11. stavak 2. samom činjenicom da nije objavio sastav radne skupine odnosno autore nacrta prijedloga zakonskog teksta.

Članak 24.

Članak 24. vrlo široko i bez jasnih kriterija opisuje kako Vlada donosi mjerila za razvrstavanje ključnih odnosno važnih subjekata i to isključivo na prijedlog središnjeg državnog tijela za kibernetičku sigurnost.  Ovom definicijom se odluka o tome koji će subjekt biti obveznik zakona svodi na diskrecijsku odluku tijela koje po svojoj prirodi nije transparentno.

Ovaj članak je u značajnom raskoraku s NIS2 direktivom, koja u svojem članku 13. stavak 5. predviđa da sva nadležna tijela (kako su definirana u članku 13. stavak 4.) redovno surađuju i razmjenjuju informacije kako bi identificirali kritične subjekte, prijetnje i dr., što znači da bi kao donji minimum u zakonski tekst trebalo uvrstiti obvezu suradnje s nadležnim tijelima (sektorskim, regulatornim) poput HAKOM, HERA, HNB, HANFA, Ministarstvo financija, Ministarstvo gospodarstva i održivog razvoja, Ministarstvo mora, prometa i infrastrukture (i druge po potrebi).

Napominjem također, da se ovaj članak zakona bavi posebnim kriterijima, te se razlikuje od obveze definirane člankom 17. prijedloga iako za to nema argumenta.

Članak 28.

U stavku 1. taksativno se navode „najnovija tehnička dostignuća“ koja se koriste u okviru „najbolje sigurnosne prakse u području kibernetičke sigurnosti“. Obzirom da za sukladnost s člankom 28. zakona postoje prekršajne odredbe (članak 101. prijedloga), postavlja se pitanje kako nadzirani subjekt može nedvosmisleno znati da se nalazi u prekršaju uz subjektivno postavljeni cilj sukladnosti, a što je suprotno temeljnom načelu da bilo koji prekršaj mora jasno utvrđen da bi bio kažnjiv.

Nadalje, ovaj članak je u raskoraku s NIS2 direktivom i to na način da je u stavku 2. dodana formulacija „ili nacionalnih shema kibernetičke sigurnosne certifikacije“, a koja ne postoji u članku 24. NIS2 direktive.

Nadalje, taj dodatak je u direktnoj suprotnosti s EU uredbom o kibernetičkoj sigurnosti (EU2019/881), koji u članku 57. stavak 2. eksplicitno naređuje kako „članice EU neće uvoditi nove nacionalne kibernetičke certifikacijske sheme za ICT proizvode, ICT servise i ICT procese koji su već pokriveni Europskom kibernetičkom certifikacijskom shemom koja je na snazi“.

Također, potrebno je detaljno razraditi što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju. Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa). Ovo je nužno razraditi i zbog primjene prekršajnih odredbi članka 101. i 102. nacrta.

Predlaže se brisanje dijela koji glasi „ili nacionalnih shema kibernetičke sigurnosne certifikacije“ obzirom da nepotrebno izlazi iz prostora NIS2 direktive, te je u direktnoj suprotnosti s obvezama koje proizlaze iz EU uredbe o kibernetičkoj sigurnosti.

Članak 51.

Ovim člankom se propisuje kako će subjekt, a koji je diskrecijskom odlukom definiranom u članku 24. ovog prijedloga morati pristupiti „nacionalnom sustavu za otkrivanje kibernetičkih prijetnji i zaštitu kibernetičkog prostora“.

Sustav SK@UT koji predstavlja nacionalni „kibernetički kišobran“ (gore spomenuti nacionalni sustav) sastoji se od nekoliko komponenti (alata), od kojih su neki invazivne prirode na način da podrazumijevaju pristup lokalnoj mreži/komunikaciji nadziranog subjekta. Obzirom da je sukladno zakonu, nadležni CSIRT obavještajna agencija, postavlja se pitanje prekomjernosti dosega obavještajne agencije prema podacima kojima subjekt raspolaže (osobnim podacima, poslovnim tajnama i sl.) pod krinkom zakonske obveze.

NIS2 direktiva (točka 44. preambule), precizno navodi kako bi CSIRT-ovi trebali imati „mogućnost na zahtjev ključnog ili važnog subjekta pratiti imovinu subjekta s internetskim sučeljem“. Nadalje, u NIS2 direktivi nema naznake da bi CSIRT (sa svojim alatima) mogao ili smio imati pristup lokalnim resursima subjekta koji je kategoriziran kao ključni ili važni.

Predlaže se da se članak 51. preformulira na način da se precizno navede kako je primjena dopuštena na zahtjev ključnog ili važnog subjekta isključivo pratiti imovinu subjekta s internetskim sučeljem, a kako bi se spriječile buduće zlouporabe obavještajnog sustava.

Članak 61.

Mandat SOA-e (članak 23. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno definira kako SOA brine o neovlaštenom ulasku u zaštićene informacijske i komunikacijske sustave državnih tijela. Definiranjem SOA-e kao središnjeg državnog tijela za kibernetičku sigurnost izlazi se iz zakonom definiranog djelokruga rada SOA-e.

Nadalje, SOA je kao obavještajna agencija u svojem radu zaštićena tajnom, izuzeta je iz zakona o javnoj nabavi, te ne podliježe većini demokratskih mehanizama za nadzor svojeg poslovanja, nema gotovo nikakve obveze za transparentnim djelovanjem. Istovremeno, u smislu NIS2 direktive biti će zadužena za redovitu komunikaciju, te postaje regulatorno tijelo za vrlo veliki broj pravnih subjekata (državnih, javnih i privatnih) što je suprotno samoj prirodi funkcioniranja obavještajne agencije. Osim toga, u okviru koordinacije i izvještavanja koje proizlaze iz primjene NIS2 direktive, SOA će komunicirati s drugim EU tijelima, a koja su redom civilna.

Istovremeno, Zavod za sigurnost informacijskih sustava (ZSIS) u svojem mandatu (članak 14. Zakona o sigurnosno obavještajnom sustavu RH) eksplicitno navodi kako ZSIS obavlja poslove u područjima sigurnosti informacijskih sustava. Stoga je sasvim jasno i logično kako je ZSIS tijelo koje je trebalo biti imenovano središnjim državnim tijelom za kibernetičku sigurnost.

Širina obuhvata NIS2 direktive će posljedično u redovima veličine proširiti prostor na kojem SOA djeluje, a značajno izvan zakonskog okvira koji je za SOA-u definiran, ali i definicije koja je sadržana u NIS2 direktivi.

Predlaže se stoga da se središnjim državnim tijelom za kibernetičku sigurnost proglasi ZSIS, te da se ZSIS izdvoji iz obavještajnog sustava RH i pretvori u Vladin ured ili Agenciju, a koji u cijelosti djeluje kao civilni subjekt. Alternativno, moguće je (neovisno o nepopularnosti takve odluke), osnovati sasvim novi ured ili agenciju koja će se baviti ovim iznimno značajnim aspektom funkcioniranja društva.

I svakako treba spomenuti i problem financiranja, SOA za svoje cjelokupno djelovanje ima 55mil EUR, a ZSIS nešto manje od 3mil EUR godišnje; istovremeno i usporedbe radi, HAKOM kao regulator telekomunikacijskog sektora ima 15mil EUR proračuna.

Članak 101. i Članak 102.

Ovaj članak navodi niz prekršajnih kazni za subjekte, no nigdje nije definirano što se događa sa subjektom u kojem je zatečena oprema, servisi ili procesi a za koje je propisana EU certifikacija, ali oprema, servisi ili procesi je ne posjeduju.

Nužno je propisati prijelazne rokove tj. rokove zamjene (npr. do kraja amortizacijskog roka, ili vremenskog roka npr. 5 godina), te u slučaju da postoji utemeljeni razlog za žurnu zamjenu, tko će podmiriti nastalu štetu (trošak zamjene opreme, servisa ili procesa, odnosno trošak nabavke i implementacije nove opreme, servisa ili procesa).

Misao dana:
My main problem with cops is that they do what they’re told. They say ‘Sorry mate, I’m just doing my job’ all the fucking time.

Categories
eDržava Ekonomija Internet

Zakon o kibernetičkoj sigurnosti (prijedlog)

Prije nekoliko tjedana se (manje-više niotkuda) pojavilo eSavjetovanje o nacrtu prijedloga zakona o kibernetičkoj sigurnosti (inače ta cijela priča između “kiber” i “kibernetički” ima svoj vlastiti tragikomični zaplet koji koliko razumijem proizlazi od jedne jedine, ali iznimno uporne osobe u javnoj upravi). Već sama ta cijela priča oko zakona ima svojih problema, naime prvi zanimljivi problem je da se kao predlagač zakona pojavilo Ministarstvo hrvatskih branitelja.

Ustrojstvo Ministarstva hrvatskih branitelja

Kao što je razvidno iz samog ustrojstva ministarstva, oni se bave isključivo i jedino socijalnim temama (vidi Zakon o ustrojstvu i djelokrugu tijela državne uprave, članak 19.). Dakle imaju doslovno nula kompetencija (ali i ovlasti) da budu predlagač ovog zakona.

Da oni doista pojma nemaju o tome što moraju napraviti, bilo je jasno još prilikom savjetovanja oko obrasca prethodne procjene za zakon o kibernetičkoj sigurnosti. U tom obrascu je nepoznati i neupućeni netko napravio niz pogrešnih konstatacija i zaključaka. Na obrascu sam osobno dao dva komentara. Prvi se odnosio na koncentraciju aktivnosti u SOA-i koja nije kadrovski niti tehnički opremljena da se bavi nadzorom primjene kibernetičke sigurnosti, ali, puno bitnije, SOA nema niti mentalitet i razinu transparentnosti i demokratičnosti koja je nužna da se bavi ovim poslom. Drugi komentar se odnosio na totalno promašenu procjenu utjecaja zakona na ekonomiju i društvo. Oba komentara su odbijena bez ijednog suvislog argumenta (actually, nisu ni pokušali dati protuargumente nego su samo napravili copy&paste općih fraza i ničime utemeljenih dogmi iz nekog dokumenta i to je to, urbi et orbi).

Općenito gledano, eSavjetovanja su formalnost koja se prolazi kako bi se stavila kvačica na nekom obrascu. Birokrat s druge strane žice nema niti najmanjeg interesa usavršiti tekst (a vjerojatno ni intelektualnog kapaciteta da razumije posljedice zakonskog prijedloga), odgovornosti za kvalitetu zakonskog teksta ionako nema, totalno je nebitno inzistirati na odgovornosti trećeg ešalona, jer kada Zekanovići dignu ruku u saboru, to je to – izabrani predstavnici naroda su odlučili. Svejedno, smatram da je nužno napisati svoje komentare, ako ništa drugo onda zato da oni ostanu kao spomenik gluposti, ograničenosti i slabovidnosti javne uprave (na čelu s ministrom koji to potpisuje i predsjednikom vlade koji u normalnim zemljama actually odgovara za posljedice svojih postupaka).

I da se vratimo na aktualni prijedlog nacrta zakona, on je također krajnje problematičan iz jednostavnog razloga što i dalje ne znamo tko ga je pisao, jedino što je sigurno da ga nisu pisali u ministarstvu branitelja. Zakonska je obveza javno objaviti članove radne skupine, što smo nedavno naučili na primjeru zakona koji će regulirati agencije za naplatu potraživanja (stvarni pisci ovog zakona su vjerojatno pokopani negdje u izvještaju Nacionalnog vijeća za kibernetičku sigurnost, a koji je bio 18. točka vladine 203. sjednice, na posljednjoj stranici izvješća imate i članove pa uzmite veliko povećalo i probajte pronaći u tom vijeću ljude koji svojom biografijom barem donekle jamče da razumiju dokument kojeg su potpisali).

Na sreću, veliki dio zakonskog prijedloga je prevedeni tekst europske NIS2 direktive (NIS = Network and Information Systems), a koja je nastala kao prirodna ekstenzija prethodne NIS direktive, što barem dijelom jamči da je tekst barem donekle smislen. No, kao i uvijek, vrag je u detaljima, pa tako sakrivene motive moramo tražiti u razlikama između direktive i zakonskog teksta.

Proširenje opsega NIS na NIS2 direktivu.

Moja prva primjedba na tekst nacrta je u biti istovjetna kao i na početku, iz razloga koji je nejasan, uloga Nacionalnog centra za kibernetičku sigurnost (CSIRT) dodijeljena je i koncetrirana u Sigurnosno obavještajnoj agenciji. Smatram da je to nespojivo s ulogom SOA-e, budući da je riječ o organizaciji koja se bavi obavještajnim poslom i prikupljanjem podataka. Aktivnosti SOA-e su po svojoj prirodi tajni, te SOA sama po sebi nema propisanu transparentnost niti mi možemo znati što se događa s podacima koje SOA prikupi u okviru svojeg djelovanja. Ovaj zakon CSIRT smješta unutar SOA-e (ok, zakon ima predviđen i još jedan CSIRT i to onaj koji je unutar CERT-a), a CSIRT ima zakonsku ovlast implementirati unutar računalne mreže subjekta vlastite uređaje i mehanizme temeljem kojih ima pravo pristupa resursima i prometu koji se događaju na internim mrežama i sustavima subjekta koji je predmet nadzora.

Za razliku od klasičnog obavještajnog ili obrambenog djelovanja u kojima je tajnog očekivana i poželjna, meni se nekako čini da je pitanju kibernetičke sigurnosti potrebno pristupati s puno otvorenijih i transparentnih pozicija budući da je veliki dio kibernetičke sigurnosti razvijanje svijesti i razumijevanja prijetnje (kao što pristupamo recimo, sorry na gruboj i daleko pojednostavljenoj usporedbi, sa sigurnosti u prometu), a daleko manje sastančenje po tamnim sobama u kojima se ne vode zapisnici i donose odluke koje se kasnije niti obrazlažu niti ih je moguće preispitati. SOA nije niti će ikada biti autoritet po pitanju kibernetičke sigurnosti, oni jednostavno nemaju niti će ikada imati resurse (tehničke, ljudske) koji im mogu osigurati takvu poziciju iz jednostavnog razloga što se rizici događaju u iznimno disperziranom javnom i privatnom sektoru, koji su daleko proaktivniji i neusporedivo bolje financirani u privlačenju kadrova, nabavci tehničkih rješenja pa čak i identificiranju prijetnji. Iz svih tih razloga, nacionalni centar za kibernetičku sigurnost bi (opet, prema moje mišljenju), svojim ustrojem više morao ličiti na dobro organiziranu interesnu udrugu poput HUP-a ili regulatornu agenciju poput HAKOM-a (koja, uzgred rečeno, mi se čini daleko opremljenijom i prikladnijim izborom od SOA-e). I ako vam ništa od ovih argumenata ne sjeda, samo da napomenem kako se krovna organizacija koja koordinira nacionalne CSIRT-ove na razini EU zove ENISA, i riječ je naravno o 100% civilnoj agenciji.

Sve to skupa naravno ne znači da obrambeni aparatus ne treba biti duboko uključen u razvoj kibernetičke sigurnosti, nego samo da je priroda kibernetičkih prijetnji jednostavno bitno drugačija od svega čime se obrambeni sustav do sada susretao.

Ovakvim rješenjem, SOA kao obavještajna agencija se postavlja u ulogu regulatora što je jednostavno nespojivo s njihovom “core” djelatnošću i u direktnoj kontradiktornosti s potrebom transparentnosti i suradnje svih aktera, a kako bi se postigao cilj – u konkretnom slučaju, povećana razina opće kibernetičke sigurnosti.

Tricky part je u tome što se o tome koji subjekti ulaze u nadzor odlučuje putem mjerila koje se propisuju uredbom vlade, a na prijedlog tog istog CSIRT-a. Što, otprilike znači da subjekt nad kojim SOA ima nekakav interes, se može lagano proglasiti ključnim odnosno važnim subjektom i odjednom ste dužni instalirati poslovnicu SOA-e usred svojeg ureda (članci 12, 24, 27 i 51 zakona). Mišljenja sam da mjerila po kojem se javni ili privatni subjekti klasificiraju kao kritični ili važni, moraju nastati u jasnijem i transparentnijem procesu i da se ne smijemo zadovoljiti ovom definicijom, jer ona omogućava da se kroz podzakonske akte nametne daleko nedemokratskiji standard od ovoga koji je zakonom predviđen.

Teško mi je uopće opisati moje protivljenje ideji da CSIRT bude unutar SOA-e, jer je to suprotno cijelom nizu malo krupnijih koncepata poput slobode, demokracije i prava da ne budete nadzirani (a što će se sada i dogoditi).

Članak 28. zakona govori o “određenim IKT proizvodima, IKT uslugama i IKT procesima te upravljanim sigurnosnim uslugama, koje su certificirane na temelju europskih programa kibernetičke sigurnosne certifikacije ili nacionalnih shema kibernetičke sigurnosne certifikacije, ako je takva obveza propisana” – iz ovoga proizlazi da je za određene subjekte moguće propisati koje proizvode, usluge i procese smiju koristiti (ili bolje rečeno koje ne smiju koristiti). Ovaj dio je u biti nastavak priče o kojoj sam pisao još prošle godine u tekstovima Rat čipovima i Rat čipovima II. Postoji veliki pritisak na Kinu koji se uglavnom svodi na računalnu i 5G opremu a koja, teoretski (kao uostalom i svaka druga oprema) može u nekome času otkazati poslušnost. Administrativno-političko odlučivanje o tome što jest, a što nije prihvatljiva ICT oprema je vrlo tanki led sa svojim posljedicama (primjerice DB kaže da će im trebati 400mil EUR da zamijene “problematičnu” opremu, dok se zamjena 5G u primjerice Velikoj Britaniji mjeri u milijardama dolara, progooglajte ima brdo tekstova na tu temu). Mnoge zemlje ovom problemu pristupaju s “zero trust” načela, te se ne odlučuje o proizvođačima ili zemlji porijekla opreme, nego o pojedinačnim komadima opreme ili softvera koji jesu ili nisu pouzdani. U ovom konkretnom članku zakona, osobito je problematični dio “ili nacionalnih shema kibernetičke certifikacije” iz čega proizlazi da možemo odlučiti o razini standarda koja je “stroža” (čitaj “drugačija”) od Europske a o čemu će odlučivati neko nepoznato domaće tijelo (a za kojeg apriori moramo vjerovati da je jednako stručno ili stručnije od EU tijela, haha :). Osim toga, tu je pitanje čak i ako odlučimo da neku opremu moramo baciti van, tko će pokriti trošak te zamjene, jer se kod nekih subjekata (telekoma) taj trošak može lagano popesti u desetke ako ne i stotine milijuna eura.

Zanimljivo, člankom 29. propisana je obveza edukacije odgovornih osoba (zanimljiva formulacija, vjerujem da ima vladajućima bliskih učilišta koja pripremaju kurikulume kako bi pokrili ovu regulatornu priliku).

In other regulatory news, CSIRT ima pravo neograničenog pristupa i prema nacionalnom TLD registraru (što je kod nas Carnet), a Carnet spada u obrazovni sektor. U popisu drugih kritičnih sektora navode se i istraživanje i sustav obrazovanja, što su vertikale koje nisu sastavni dio NIS2 direktive pa u ovome dijelu definitivno soliramo u odnosu na ostatak Europe (istina je, sektor obrazovanja je opcionalan). Osobito je zanimljivo da se CERT kao nadležni CSIRT pojavljuje samo u sektorima istraživanja, obrazovanja ali i bankarstva i infrastrukture financijskoj tržišta, pa se čovjek zapita kako je došlo do točno ovakve podjele? Very strange.

I posljednja zanimljiva obzervacija na prijedlog zakona je ta što u originalnoj NIS2 direktivi imate propisano na koja se tijela ovaj zakon ne odnosi, konkretnije:

Ova se Direktiva ne primjenjuje na subjekte javne uprave koji obavljaju svoje aktivnosti u području nacionalne sigurnosti, javne sigurnosti, obrane ili izvršavanja zakonodavstva, uključujući sprečavanje, istragu, otkrivanje i progon kaznenih djela.

Članak 2. točka 7. direktive

Koliko vidim, naš zakon nema takve izuzetke, i možda bi se članak 8. mogao dijelom primijeniti na gore navedeni dio direktive. Ali, kako ja to vidim (jer imam puno loših iskustava s time), ovime recimo omogućavamo SOA-i da odluči “štititi” DORH/USKOK pa možda u pozadini malo dojavljuju životno zainteresiranim članovima vladajuće koalicije o postupcima u tijeku (ali nema brige, naša SOA je profesionalna i skroz depolitizirana organizacija).

Drugi bitni aspekt cijelog zakona je trošak, naime broj subjekata koji će biti zahvaćeni kao obveznici ovog zakona će dramatično narasti u odnosu na prethodni zakon, bio sam u nekom trenutku naletio na tekst (kojeg nisam bookmarkirao na vrijeme) koji je rekao da je u Češkoj broj subjekata s 400 narastao na 6.000, što je povećanje od 12x. Češka je svojim ustrojem slična nama i top 6.000 subjekata čine polovicu naše ekonomije; dakle efekti implementacije NIS2 će biti ogromni (ENISA je objavila zanimljivo istraživanje na tu temu prepuno korisnih podataka).

Potrošnja na kibernetičku sigurnost kao udio ukupnog IT budžeta. (Izvor: ENISA 2022)

Ernst&Young je početkom godine napravio dobar white paper na temu NIS2 (dokument možete, uz besplatnu registraciju, skinuti ovdje), i oni između ostalog kažu kako nove vertikale koje će postati obveznici NIS2 implementacije, mogu očekivati rast potrošnje na ICT sustave od 25% (u odnosu na dosadašnje ICT budžete), dok organizacije koje su već sada unutar NIS sustava mogu očekivati 11.4% rasta potrošnje. Kao što se vidi iz gornje mape, mi stojimo jako loše i najgori smo u EU u postotku potrošnje na kibernetičku sigurnost – dobra vijest u tome je da smo kao meta maleni i insignifikantni (iako smo imali u proteklih nekoliko godina niz značajnih sigurnosnih incidenata ovog tipa i u privatnom i u javnom sektoru), ali isto tako mali napor će dramatično utjecati na opću razinu informatičke sigurnosti. Tu vrijedi spomenuti, itekako relevantno za ovaj tekst, kako se SOA hvali u svojem godišnjem izvješću kako će za IT security potrošiti 1.7mil eur u sljedeće tri godine, nije da je to jedini trošak ali sama činjenica da se hvale time govori o odsustvu imalo spomena vrijednih rezultata na drugim poljima.

Tekst se već pomalo odužio, no moj je prijedlog, ako se u IT security businessu da bacite pogled na prijedlog zakona i date koji komentar ako mislite da je potreban. Također, ako ste u srednjoj ili velikoj tvrtci, sva je šansa da će vas NIS2 zahvatiti i dobro je informirati se i početi pripremati (sebe i budžete) za sve ono što dolazi. Zakon o kibernetičkoj sigurnosti će po svemu sudeći biti izglasan do početka sljedeće godine i to vrijeme će brzo proći (čak je i zanimljiva ta brzina, rokovi za harmonizaciju s EU direktivom su listopad sljedeće godine, mi inače poslovično kasnimo no ovdje smo iz nekog razloga ispred drugih, pitam se zašto).

Misao dana:
We’re not hunter-gatherers anymore. We’re all living like patients in the intensive care unit of a hospital. What keeps us alive isn’t bravery, or athleticism, or any of those other skills that were valuable in a caveman society. It’s our ability to master complex technological skills. It is our ability to be nerds. We need to breed nerds.

Categories
Politika Priroda i društvo

Stanje nacije

Jučer sam bio u Koprivnici, ako nekoga interesira, ramsteak u njihovoj pivnici na glavnome trgu košta svega 32,00 kn. No mimo toga imam nekoliko stvari koje me posljednjih dana pomalo brinu:

  • Već neko vrijeme sa zanimanjem pratim priču vezanu za Šibenskog konobara i Damira Horvatovića koji je optužen da je autor tog bloga. Prije nekoliko dana osvanuo je intervju sa načelnikom PU Šibensko Kninske Brankom Peranom u kojem čovjek doslovce kaže: “da je Horvatović priznao da je blog njegov, sluičaj bi bio riješen bez medijske pompe”.
  • Jučer je pak cnn objavio nekoliko dokumenata koji se bave Željkom Peratovićem. Ti dokumenti bi bili iznimno smiješni da nisu toliko ozbiljni.

Cijela ta priča sa Horvatovićem i Peratovićem me podsjetila na pjesmicu koju sam već citirao a koja glasi:

First they came for communists,
and I didn’t speak up, because I wasn’t a communist.
Then they came for Jews,
and I didn’t speak up, because I wasn’t a Jew.
Then they came for Catholics,
and I didn’t speak up because I was a Protestant.
Then they came for me
and by that time there was no one left to speak up for me.

I u slučaju Horvatovića ali i Peratovića (ne računajući pažnju koju je dobio prilikom uhićenja) ono što me osobito zabrinjava je nedostatak pažnje medija za ovim problemima. Naime, mediji se ponašaju kao da se to njih uopće ne tiče, neovisno o tome što imamo s jedne strane čovjeka koji tvrdi da nešto nije njegovo ali trpi određene konsekvence zbog toga, ili pak Peratovića za kojeg su sada izronili vrlo konkretni podaci oko toga da ga obavještajna zajednica ne samo pratila nego mu je na različite načine podmetala. Danas pričamo o Horvatiću, nekome policajcu usred Šibenika ili Peratoviću, slobodnom novinaru i blogeru koji piše o teško razumljivim temama, no njih dvojca su samo jedan klik udaljeni od nas svih skupa…

Neki kritičari cijele priče, govore o tome kako je Horvatović kao policajac trebao držati jezik za zubima, a Peratović nije imao zašto objavljivati dokumenti koji su državne tajne – no ako kroz legalne kanale ne uspijete riješiti problem, koji vam drugi lijek preostaje nego objava u medijima (pa makar to bio blog), no razina Procesa je sasvim drugačija ako vas optuže da ste autor bloga koji uopće nije vaš, ili ako vam aktivno na blogu komentiraju pripadnici obavještajne službe kako bi “minimalizirali štetu ili odveli diskusiju u drugome pravcu”.

Osnova za Peratovićevo uhićenje i premetačinu kao i cijeli postupak koji još uvijek nije okončan je objava državne tajne, koja je objavljena i prije Peratovića, no jednako tako je dobrim dijelom riječ o dokumentima koji po riječima obavještajaca uopće nije državna tajna.

Jedna od temeljnih funkcija novinara i medija je da budu protuteža vlasti i da budu kontrolni mehanizam zloupotrebe vlasti, što nas dovodi do pitanja što je to javni interes? Pitanje zaštite državne tajne je pitanje kojime se moraju baviti oni koji njima barataju i koji državne tajne kreiraju – interes novinara je da takvu državnu tajnu objavi, i koliko razumijem novinari po jednoj od presuda europskog suda za ljudska prava nisu dužni čuvati državnu tajnu ako do nje dođu. Mislim da je neprihvatljivo da se obavještajne i uostalom policijske službe uopće bave novinarima, a još manje da se nad njima rade nekakve obrade, a da ne kažemo kako su kvalifikacije poput ove koja je otišla prema Peratoviću kako je on prijetnja nacionalnoj sigurnosti i potencijalni uzrok usporavanja pritupanja euroatlanskim integracijama? Otkad se službe uopće smiju baviti političkim kvalifikacijama ili prosuđivati oko toga što je ili nije interes zemlje?

Što je to javni interes? Da li je javni interes ujedno i interes države, a samim time i klike na vlasti – ili bi javni interes morao biti vladavina prava? Tko je taj koji se brine da se odluči što je što; novinari, sudovi ili po nekoj plemenskoj liniji zaposleni apartčiki u obavještajnim agencijama ili uredima koji se bave kriminalom u policijskim upravama?

Naravno da kritiku na svoj račun nije ugodno čitati u novinama (ili na internetu), i naravno da pojedini dokumenti u nekome času iziđu na svjetlo dana zato što nekome u tome času odgovaraju, no novinarski zadatak nije da procjenjuje kome će koji dokument koristiti ili štetiti, nego je na njemu da procijeni da li postoji javni interes da takva informacija iziđe u javnost.

Tužno je da ta ista javnost (i mediji koji bi toj javnosti trebali tu informaciju proslijediti jednom kada ona postane javna) uopće ne razumiju zašto je priča o Horvatoviću ili Peratoviću iznimno zabrinjavajuća. Možemo mi govoriti o demokraciji i koječemu drugome, no i dalje postoje procesi protiv pojedinaca, i dalje se promatraju novinari (a sada po novome i blogeri), službe i dalje podmeću i plasiraju informacije, i dalje postoje državni neprijatelji i prijetnje interesima zemlje – u stvari, UDBA je i dalje ovdje samo se sada drugačije zove i ima prihvatljiviji nacionalni predznak. Dečki rade po starom, nema nikakve razlike. stara škola, radi se ko nekad.

Svima koji promatraju (i možda komentiraju) moj blog iskreno čestitam i divim se kako novac prikupljen od mojeg poreza u cijelosti bude potrošen upravo na mene; nema boljeg povrata od toga.

Nisam siguran da sam bio totalno jasan; no poanta je da me brine u kojem času su aktivnosti poput gornjih postale normalne i kada smo oguglali na to do te mjere da se više na to niti ne osvrćemo. Gdje su mehanizmi koji bi morali spriječiti da se tako nešto uopće događa, i gdje je bijes javnosti da svima da do znanja da to nije prihvatljivo ponašanje. Da li je biti HDZovac politička doktrina ili karakterna osobina, da li je to nešto od čega se možete morate izliječiti. Zašto nam nitko prije nije rekao da ulaskom u “demokraciju” ujedno gubimo i smisao za razlikovati dobro od lošega?

Misao dana:
If you watch the news and don’t like it, then this is your counter program to the news.