1. UVOD

Tehnološki razvoj nigdje nije bio tako dinamičan i sveobuhvatan kao što je u području komunikacijske i informacijske tehnologije. Težište je uvijek bilo na brzom razvoju i uvođenju novih usluga i proizvoda, dok su sigurnosni aspekti, u pravilu, imali vrlo mali utjecaj na široko prihvaćanje novih tehnologija.

Životni ciklusi suvremenih informacijskih sustava, od procesa planiranja, uvođenja, korištenja, do povlačenja iz uporabe, vrlo su kratki, pa njihovo sustavno testiranje često nije moguće, odnosno najčešće se primjenjuje kao izuzetak, u slučajevima koji su izrijekom propisani.

Korisnici najčešće imaju minimalno znanje o tehnologiji koju koriste, a način primjene tehnologije je takav da je vrlo teško procijeniti sigurnosna obilježja većine komercijalnih proizvoda s obzirom na zaštitu povjerljivosti, odnosno privatnosti podataka korisnika. Sve je to dovelo do toga da se odnos korisnika prema komunikacijskoj i informacijskoj tehnologiji zasniva gotovo isključivo na slijepom povjerenju.

Suvremena društva duboko su prožeta komunikacijskom i informacijskom tehnologijom. Ljudi su danas povezani putem raznovrsnih tehnologija za prijenos teksta, slike i zvuka, a u porastu je i povezivanje elektroničkih uređaja u nepregledne mreže na koje čovjek nema utjecaj.

Dok bi odstupanje u normalnom funkcioniranju jedne vrste komunikacijskog i informacijskog sustava moglo proći nezapaženo, neispravan rad nekih drugih sustava mogao bi imati teške posljedice na funkcioniranje države, dovesti do gubitka života, zdravlja ljudi, velikih materijalnih šteta, onečišćenja okoliša i drugih funkcionalnosti bitnih za kvalitetno funkcioniranje društva u cjelini.  

Od početaka razvoja komunikacijske i informacijske tehnologije do danas, odstupanja u njihovom ispravnom radu nastajala su zbog različitih razloga, od ljudskih pogrešaka ili zlonamjernih postupaka, do tehnoloških grešaka ili organizacijskih propusta.

Stvaranjem Interneta i povezivanjem niza komunikacijskih i informacijskih sustava javnog, akademskog i gospodarskog sektora te građanstva, stvoren je suvremeni kibernetički prostor koji sačinjava ne samo ova međusobno povezana infrastruktura, već i stalno rastuća količina raspoloživih podataka te korisnici koji međusobno komuniciraju u sve većem broju, pri čemu koriste rastući broj različitih usluga, neke potpuno nove, a neke tradicionalne, ali u novom, virtualnom obliku.

Odstupanja od ispravnog rada tih međusobno povezanih sustava ili njihovih dijelova više nisu samo tehničke smetnje, već predstavljaju opasnost globalnih sigurnosnih razmjera. Njima se suvremena društva suprotstavljaju nizom različitih aktivnosti i mjera koje skupno nazivamo „kibernetička sigurnost“.

Pojam „kibernetički“ uveden je u pravni poredak RH ratifikacijom Budimpeštanske konvencije o kibernetičkom kriminalu ¹ prije 12 godina. Slijedom toga, uvriježilo se koristiti pojam „kibernetički“ u obliku  pridjeva za nešto što uključuje, koristi ili je povezano s računalima, a osobito s Internetom.

1 Zakon o potvrđivanju Konvencije o kibernetičkom kriminalu („Narodne novine“, broj: 09/02) i Zakon o potvrđivanju Dodatnog protokola uz Konvenciju o kibernetičkom kriminalu o inkriminiranju djela rasističke i ksenofobne naravi počinjenih pomoću računalnih sustava („Narodne novine“, broj: 04/08).

Iako je izvorni pojam „kibernetika“, nastao sredinom prošlog stoljeća, on predstavlja znanost o sustavima automatskog upravljanja te općenito procesima upravljanja u biološkim, tehničkim, ekonomskim i drugim sustavima. Pridjevska inačica „kibernetički“ danas se u hrvatskom jeziku uvriježila na sličan način i s istim, prethodno uvedenim značenjem kakvo ima i prefiks „cyber-“ u engleskom jeziku. Pojam „kibernetika“ danas se u hrvatskom jeziku vrlo malo koristi u svom izvornom značenju, slično kao i pojam „cybernetics“ u engleskom jeziku. U tehnički usmjerenim znanostima o upravljanju sustavima prevladava pojam „automatsko upravljanje“, a u širem smislu značenja pojma kibernetika, o procesima upravljanja u različitim sustavima, puno više se koristi „teorija sustava“, uvedena u drugoj polovini prošlog stoljeća.  

Prepoznavanje važnosti sigurnosti kibernetičkog prostora kao zajedničke odgovornosti svih segmenata društva, potaklo je izradu ove Strategije.  Njena svrha je sustavno i koordinirano provođenje aktivnosti potrebnih za podizanje sposobnosti RH u području kibernetičke sigurnosti, a s ciljem izgradnje sigurnog društva u kibernetičkom prostoru. Cilj je, također, i korištenje svih tržišnih potencijala informacijskog društva u cjelini te posebno proizvoda i usluga kibernetičke sigurnosti.

S obzirom da se radi o prvoj sveobuhvatnoj Strategiji u RH u području kibernetičke sigurnosti, primarni cilj Strategije je prepoznavanje organizacijskih problema u njezinoj provedbi te širenje razumijevanja važnosti ove problematike u društvu.

Poticanje koordinacije i suradnje svih državnih tijela i pravnih osoba s javnim ovlastima, ali i drugih sektora društva, nužno je kako bi se uspostavile nove funkcionalnosti, podigla učinkovitost rada relevantnih aktera te učinkovitije koristilo već postojeće resurse i bolje planiralo potrebu i ostvarenje novih resursa.

Temeljna uloga Strategije stoga je u povezivanju i međusobnom razumijevanju ove složene problematike u različitim sektorima društva te među različitim tijelima i pravnim osobama kao dionicima ove Strategije koji imaju različite nadležnosti, obveze, zadatke, potrebe, očekivanja i interese. Ovo je naročito važno za osiguravanje potrebne razine razumijevanja složene operativne i tehničke problematike kibernetičke sigurnosti, a koja je nužna nositeljima javne vlasti i odlučivanja u svim sektorima društva, kao i za sigurnost građanstva i prosperitet društva u cjelini, a time i za konačni cilj ove Strategije: provedbu zakona i poštivanja svih temeljnih ljudskih prava u novoj virtualnoj dimenziji društva.

Kako bi se obuhvatila vrlo široka i složena problematika na koju se odnosi Strategija te uskladio zajednički rad niza dionika koji su sudjelovali u izradi ove Strategije, upotrijebljena je metoda za razvoj sadržaja Strategije koja se sastoji od definiranja osnovnih načela pristupa području kibernetičke sigurnosti, zatim definiranja ciljeva Strategije te opsega primjene Strategije u odnosu na društvo u cjelini.

Nastavno na prethodno, utvrđena su prioritetna područja kibernetičke sigurnosti za RH, koja su analizirana prvenstveno u odnosu na opće ciljeve Strategije, a na isti način definirani su i posebni ciljevi svakog od utvrđenih područja kibernetičke sigurnosti za koje će se detaljnije provedbene mjere razraditi akcijskim planom za provedbu Strategije. Na ovaj način obuhvaćene su i specifičnosti svakog pojedinog područja vezano za Strategijom definirane sektore društva i oblike međusobne suradnje i koordinacije različitih dionika kibernetičke sigurnosti.

Kako bi se cjelovito obuhvatilo i one segmente kibernetičke sigurnosti za koje je procijenjeno da su u velikoj mjeri zajednički za sva, ili za većinu, prethodno utvrđenih područja kibernetičke sigurnosti, definirane su poveznice područja kibernetičke sigurnosti. Poveznice područja kibernetičke sigurnosti bitne su za poboljšanje i učinkovitije ostvarenje ciljeva i mjera u područjima kibernetičke sigurnosti. Stoga se i u odnosu na poveznice područja kibernetičke sigurnosti Strategijom definiraju posebni ciljevi koji su procijenjeni ključnim za unaprjeđenje razine sigurnosti u kibernetičkom prostoru. Posebna pažnja i ovdje je usmjerena na definirane sektore društva i utjecaj svake poveznice područja kibernetičke sigurnosti na pojedine sektore društva i oblike suradnje i međusobne koordinacije rada dionika kibernetičke sigurnosti.

2. NAČELA

Sveobuhvatnost pristupa kibernetičkoj sigurnosti obuhvaćanjem kibernetičkog prostora te infrastrukture i korisnika koji pripadaju pod nadležnost RH (državljanstvo, registracija, domena, adresa);

Integracija aktivnosti i mjera koje proizlaze iz različitih područja kibernetičke sigurnosti i njihovo međusobno povezivanje i nadopunjavanje u cilju stvaranja sigurnijeg zajedničkog kibernetičkog  prostora;

Proaktivni pristup stalnom prilagodbom aktivnosti i mjera, kao i povremenom odgovarajućom prilagodbom strateških okvira iz kojih one proizlaze;

Jačanje otpornosti, pouzdanosti i prilagodljivosti primjenom univerzalnih kriterija povjerljivosti, cjelovitosti i raspoloživosti određenih skupina podataka i prepoznatih društvenih vrijednosti, uz poštivanje odgovarajućih obveza vezanih uz zaštitu privatnosti odnosno povjerljivosti, cjelovitosti i raspoloživosti, koje se nameću za pojedine skupine podataka, uključujući provedbu odgovarajuće certifikacije i akreditacije kako različite vrste uređaja i sustava, tako i poslovnih procesa u kojima se koriste takvi podaci;

Primjena osnovnih načela na kojima se temelji uređenje suvremenog društva i u području kibernetičkog prostora kao virtualne dimenzije društva:

Primjena zakona u svrhu zaštite ljudskih prava i sloboda, osobito privatnosti, vlasništva i svih drugih bitnih obilježja uređenog suvremenog društva;

Razvoj usklađenog zakonodavnog okvira kroz stalno poboljšavanje svih segmenata regulatornih mehanizama državne i sektorskih razina te kroz usklađene inicijative svih sektora društva, odnosno tijela i pravnih osoba u ulozi dionika ove Strategije;

Primjena načela supsidijarnosti kroz sustavno razrađen prijenos ovlasti za odlučivanje i obavještavanje o pitanjima kibernetičke sigurnosti na odgovarajuće tijelo čija nadležnost najbliže pokriva problem koji se rješava u područjima važnim za kibernetičku sigurnost, od organizacije, preko koordinacije i suradnje, do tehničke problematike odgovora na računalne ugroze određene komunikacijske i informacijske infrastrukture;

Primjena načela proporcionalnosti kako bi razina povećanja zaštite i povezanih troškova za tu svrhu, u svakom području bila proporcionalna s povezanim rizicima i mogućnostima ograničavanja prijetnji koje ih uzrokuju.

3. OPĆI CILJEVI STRATEGIJE

Sustavni pristup u primjeni i razvoju nacionalnog zakonodavnog okvira kako bi se uzela u obzir nova, kibernetička dimenzija društva, vodeći računa o usklađenosti s međunarodnim obvezama te globalnim trendovima kibernetičke sigurnosti;

Provođenje aktivnosti i mjera u svrhu povećanja sigurnosti, otpornosti i pouzdanosti kibernetičkog prostora, koje je s ciljem osiguravanja svojstava raspoloživosti, cjelovitosti i povjerljivosti odgovarajućih skupina podataka korištenih u okviru kibernetičkog prostora, potrebno primijeniti kako na strani davatelja različitih elektroničkih i infrastrukturnih usluga, tako i na strani korisnika, odnosno svih pravnih i fizičkih osoba čiji su informacijski sustavi povezani s kibernetičkim prostorom;

Uspostavljanje učinkovitijeg mehanizma razmjene, ustupanja i pristupa podacima potrebnim za osiguravanje više razine opće sigurnosti u kibernetičkom prostoru, uz obvezu svakog dionika da pri tome, osobito u odnosu na pojedine skupine podataka, mora osigurati primjenu odgovarajućih i usklađenih normi zaštite podataka;

Jačanje svijesti o sigurnosti svih korisnika kibernetičkog prostora kroz pristup koji razlikuje specifičnosti javnog i gospodarskog sektora, pravnih i fizičkih osoba te koji uključuje uvođenje potrebnih obrazovnih elemenata u okviru redovnih školskih, kao i drugih izvannastavnih programa, ali i organiziranje i provedbu različitih aktivnosti usmjerenih osvješćivanju šire javnosti o pojedinim aktualnim pitanjima iz ove domene;

Poticanje razvoja usklađenih obrazovnih programa u školama, visokim učilištima, kroz namjenske i specijalističke tečajeve, povezivanjem akademskog, javnog i gospodarskog sektora;

Poticanje razvoja e-usluga kroz razvoj povjerenja korisnika u e-usluge definiranjem odgovarajućih minimalnih sigurnosnih zahtjeva;

Poticanje istraživanja i razvoja u svrhu aktiviranja potencijala i poticanja usklađenog rada akademskog, gospodarskog i javnog sektora;

Sustavni pristup međunarodnoj suradnji koji omogućava učinkovit prijenos znanja i koordiniranu razmjenu, ustupanje i pristup potrebnim podacima između različitih nacionalno nadležnih tijela, institucija i sektora društva, a s ciljem prepoznavanja i stvaranja sposobnosti za uspješno sudjelovanje u poslovnim aktivnostima u globalnom okruženju.

4. SEKTORI DRUŠTVA I OBLICI SURADNJE DIONIKA KIBERNETIČKE SIGURNOSTI

Definiranjem sektora društva i njihovog značenja za potrebe ove Strategije, kao i načina suradnje dionika kibernetičke sigurnosti, definiran je i opseg primjene ove Strategije.

Sektori društva i njihovo značenje za potrebe ove Strategije su:

Javni sektor s različitim nadležnim tijelima koja su dionici Strategije te ostalim državnim tijelima, tijelima jedinica lokalne i područne (regionalne) samouprave, odnosno pravnim osobama s javnim ovlastima te institucijama, koji na različite načine predstavljaju korisnike kibernetičkog prostora i obveznike primjene mjera koje proizlaze iz Strategije;

Akademski sektor u uskoj suradnji s nadležnim državnim tijelima koja su dionici Strategije, kao i druge obrazovne institucije iz javnog i gospodarskog sektora koje na različite načine predstavljaju korisnike kibernetičkog prostora i obveznike primjene mjera koje proizlaze iz Strategije;

Gospodarski sektor u uskoj suradnji s nadležnim državnim i regulatornim tijelima koja su dionici Strategije, napose pravne osobe koje su obveznici posebnih propisa o kritičnim infrastrukturama i obrani, kao i sve druge pravne osobe, odnosno poslovni subjekti koji na različite načine predstavljaju korisnike kibernetičkog prostora i obveznike primjene mjera koje proizlaze iz Strategije, sa svim specifičnostima tih pravnih osoba i subjekata, s obzirom na djelatnosti kojima se bave, broj zaposlenika koji imaju te tržišta koja pokrivaju;

Građanstvo u cjelini koje predstavlja korisnike komunikacijskih i informacijskih tehnologija i usluga i na koje se na različite načine reflektira stanje sigurnosti u kibernetičkom prostoru. Odnosi se i na one građane koji ne koriste aktivno kibernetički prostor, ali se njihovi osobni podaci nalaze u njemu.

Oblici suradnje dionika kibernetičke sigurnosti predviđeni ovom Strategijom su:

Koordinacija unutar javnog sektora;

Nacionalna suradnja javnog, akademskog i gospodarskog sektora;

Savjetovanje sa zainteresiranom javnošću i informiranje građanstva;

Međunarodna suradnja dionika kibernetičke sigurnosti.

Svi ovi oblici suradnje provode se na sustavan i koordiniran način, sukladno nadležnostima, sposobnostima, ciljevima i prema funkcionalno razrađenim područjima kibernetičke sigurnosti.

5. PODRUČJA KIBERNETIČKE SIGURNOSTI

Područja kibernetičke sigurnosti definirana su sukladno procjeni prioritetnih potreba RH u trenutku izrade Strategije i obuhvaćaju sigurnosne mjere u području komunikacijske i informacijske infrastrukture i usluga, u kojem razlikujemo javne elektroničke komunikacije, elektroničku upravu i elektroničke financijske usluge, kao infrastrukturu od primarnog strateškog interesa društva u cjelini.

Vrlo važno područje kibernetičke sigurnosti predstavlja i zaštita kritične komunikacijske i informacijske infrastrukture koja se može nalaziti u svakom od prethodna tri infrastrukturna područja, ali koja ima bitno različita obilježja te je potrebno utvrditi kriterije za prepoznavanje takvih obilježja.

Kibernetički kriminalitet prisutan je u društvu već dugo vremena u različitim pojavnim oblicima, ali na današnjem stupnju razvoja virtualne dimenzije društva predstavlja stalnu i rastuću prijetnju razvoju i gospodarskom prosperitetu svake suvremene države. Stoga se suzbijanje kibernetičkog kriminaliteta, također, prepoznaje kao prioritetno područje kibernetičke sigurnosti za koje je nužno definirati strateške ciljeve u svrhu unaprjeđenja u suzbijanju ovog oblika kriminaliteta u narednom razdoblju.

Područje kibernetičke obrane predstavlja dio vojne strategije obrane za koje je zaduženo  ministarstvo nadležno za poslove obrane i ono je predmet zasebne obrade i rješavanja, pri čemu će se koristiti svi potrebni elementi koji proizlaze iz ove Strategije. Kibernetički terorizam i drugi kibernetički aspekti nacionalne sigurnosti obrađuju se u okviru manjeg broja nadležnih tijela sigurnosno-obavještajnog sustava te zahtijevaju zaseban pristup u rješavanju, pri čemu će se, također, koristiti svi potrebni elementi koji proizlaze iz ove Strategije.

Područja kibernetičke sigurnosti analiziraju se u odnosu na opće ciljeve Strategije, radi identificiranja posebnih ciljeva usmjerenih na poboljšanje u svakom pojedinom području i mjera potrebnih za ostvarenje postavljenih ciljeva Strategije. Posebni ciljevi, kao i mjere koje će se detaljnije razraditi akcijskim planom za provedbu Strategije, utvrđuju se s osvrtom na definirane sektore društva i utjecaj područja kibernetičke sigurnosti na svaki pojedini sektor, ali i s osvrtom na oblike međusobne suradnje i koordinacije dionika kibernetičke sigurnosti. Pri tome se kroz razradu područja kibernetičke sigurnosti prate načela definirana Strategijom.

5.1 Elektronička komunikacijska i informacijska infrastruktura i usluge

5.1.1  Javne elektroničke komunikacije (A)

Javne elektroničke komunikacije podrazumijevaju davanje na korištenje elektroničke komunikacijske mreže i/ili pružanje elektroničke komunikacijske usluge. Elektronička komunikacijska i informacijska infrastruktura, obavljanje djelatnosti elektroničkih komunikacijskih mreža i usluga, prostorno planiranje, gradnja, održavanje, razvoj i korištenje elektroničkih komunikacijskih mreža, elektroničke komunikacijske infrastrukture i druge povezane opreme te upravljanje i uporaba radio-frekvencijskog spektra, adresnog i brojevnog prostora, kao prirodno ograničenih općih dobara, od interesa su za RH.

Pravne, regulatorne i tehničke odredbe koje se usvoje na razini EU-a, u vezi sa zaštitom osobnih podataka, privatnosti i legitimnih interesa pravnih osoba u području elektroničkih komunikacija, treba nastaviti trajno usklađivati kako bi se zajamčilo da neće postojati zapreke promicanju i razvoju novih elektroničkih komunikacijskih mreža i usluga između država članica EU-a.

Osnovni ciljevi RH vezani uz kibernetičku sigurnost u području javnih elektroničkih komunikacija su:

Cilj A.1 Nadzor tehničkih i ustrojstvenih mjera koje poduzimaju operatori za osiguranje sigurnosti svojih mreža i usluga, kao i usmjeravanje operatora javnih komunikacijskih mreža i/ili usluga u cilju osiguranja visoke razine sigurnosti i dostupnosti javnih komunikacijskih mreža i usluga.

Potrebno je obuhvatiti različite zahtjeve koji se postavljaju prema operatorima, od kvalitete i dostupnosti mreža i usluga, preko zahtjeva vezanih za zaštitu osobnih podataka, zahtjeva za osiguravanje primjerene pažnje u provedbi sigurnosnih mjera na temelju odgovarajućih međunarodnih normi, zahtjeva za provedbu zakonskih obveza tajnog nadzora elektroničkih mreža i usluga, kao i potrebu razvijanja i stalnog unaprjeđivanja sigurnosne suradnje i razmjene podataka s tijelima nadležnim za računalne sigurnosne incidente u području javnih elektroničkih komunikacija te tijelima kaznenog progona.

Cilj A.2 Neposredna tehnička koordinacija regulatornog tijela za područje elektroničkih komunikacija s nacionalnim i međunarodnim tijelima odgovornim za  područje informacijske sigurnosti.

Potrebno je stvoriti i kontinuirano razvijati međusektorsku suradnju nacionalnih regulatornih tijela i tijela odgovornih za područje informacijske sigurnosti i politike zaštite podataka te uspostaviti međusobnu koordinaciju i razmjenu iskustava u suradnji i zahtjevima koji proizlaze iz međunarodnih okvira.

Cilj A.3 Poticanje korištenja nacionalnog čvora za međusobnu razmjenu internetskog prometa pružatelja javnih komunikacijskih mreža i/ili usluga za davanje usluga korisnicima u RH.

Neprofitna usluga Croatian Internet eXchange (CIX) osigurava međusobnu razmjenu internetskog prometa između korisnika različitih usluga najkraćim komunikacijskim putem u okviru nacionalnog sustava javnih elektroničkih komunikacija. Ovaj način razmjene internetskog prometa predstavlja sigurnosni zahtjev za operatore koji pružaju usluge državnim tijelima, ali i potrebu učinkovitog i ekonomičnog nacionalnog povezivanja svih drugih korisnika u gospodarskom sektoru i samog građanstva RH.

5.1.2 Elektronička uprava (B)

Elektronička uprava strateški je cilj RH kojim se osigurava brza, transparentna i sigurna usluga svim građanima putem kibernetičkog prostora. U tu svrhu nužno je uspostaviti sustav javnih registara i njime upravljati kroz jasno definirana prava, obveze i odgovornosti nadležnih tijela javnog sektora. Za osiguranje potrebne razine sigurnosti podataka pohranjenih u takvim registrima nužno je korištenje zajedničke osnovice za sigurnu razmjenu podataka unutar sustava državne informacijske infrastrukture, zajedničkog sustava identifikacije i autentifikacije. RH će i dalje razvijati i unaprjeđivati elektroničku komunikaciju s građanima, kao i međusobno povezivanje državnih tijela odnosno tijela javnog sektora općenito. Osobita pažnja će se staviti na:

Dostupnost podataka iz javnih registara svim tijelima javnog sektora, građanima i drugim korisnicima sukladno propisima o zaštiti osobnih podataka, tajnosti podataka, informacijske sigurnosti te propisima o pravu na pristup informacijama;

Sustavni razvitak državne informacijske infrastrukture uključujući i prostorno planiranje, gradnju, održavanje, razvoj i korištenje elektroničkih komunikacijskih mreža i infrastrukture za potrebe javnog sektora;

Sustavnu zaštitu i sigurnost državne informacijske infrastrukture sukladno propisima o sigurnosti informacijskih sustava;

Jedinstveno upravljanje Vlade RH razvitkom državne informacijske infrastrukture na osnovi usuglašavanja potreba i prioriteta;

Usklađivanje planova i projekata informatizacije s normama i drugim odrednicama izgradnje informacijske infrastrukture u RH i EU;

Interoperabilnost, skalabilnost i ponovno korištenje;

Racionalizaciju izdataka za izgradnju i zaštitu informacijske infrastrukture na razini svih tijela javnog sektora.

Cilj B.1 Poticati povezivanje informacijskih sustava tijela javnog sektora međusobno i na javni Internet kroz državnu informacijsku i komunikacijsku infrastrukturu.

Tijela javnog sektora koja nisu obuhvaćena zakonom koji regulira područje državne informacijske infrastrukture, u suradnji s nadležnim državnim tijelima za razvoj i sigurnost državne informacijske infrastrukture, provest će analizu potreba i mogućnosti povezivanja na državnu informacijsku infrastrukturu te u skladu s rezultatima analize planirati povezivanje na državnu informacijsku infrastrukturu ili dodatne mjere zaštite.

Cilj B.2 Podići razinu sigurnosti informacijskih sustava javnog sektora.

Provest će se analiza postojećeg stanja u provedbi mjera sigurnosti informacijskih sustava tijela javnog sektora te će se definirati dinamika primjene prihvaćenih normi (sustav NIAS i vjerodajnice u sustavu NIAS, primjena ISO 27001 i sl.). Organizacijske i tehničke norme za povezivanje na državnu informacijsku infrastrukturu, uvjeti i aktivnosti nužni za pokretanje, implementaciju, razvoj i nadzor projekata vezanih uz državnu informacijsku infrastrukturu, način upravljanja, razvoja te ostali elementi neophodni za rad državne informacijske infrastrukture trajno će se procjenjivati kroz koordinaciju nadležnih tijela, uključujući i sigurnosna tijela.

Cilj B.3

Donošenje kriterija za korištenje pojedinih razina autentifikacije kod davatelja usluga elektroničke uprave i davatelja vjerodajnica.

Standardna jednostupanjska autentifikacija, odnosno vjerodajnice razine 2 sukladno dokumentu „Kriteriji za određivanje razine osiguranja kvalitete autentifikacije za NIAS nisu zadovoljavajuće razine sigurnosti za pristup osjetljivim podacima. Zadovoljavajuće rješenje u smislu smanjenja sigurnosnih rizika, prihvatljivo za korištenje u okviru usluga elektroničke uprave, je korištenje vjerodajnica viših (razina 3) ili najviših (razina 4) razina sigurnosti. Nadležna tijela će provesti analizu i međusobnu koordinaciju u svrhu donošenja kriterija za korištenje pojedinih razina autentifikacije kod davatelja usluga elektroničke uprave i davatelja vjerodajnica. U okviru ove analize obuhvatit će se i procjena mogućnosti korištenja buduće elektroničke osobne iskaznice građana za potrebe elektroničke uprave i drugih javnih i financijskih usluga. Također će se obuhvatiti i drugi aspekti povezani s nacionalnim mogućnostima za uspostavu odgovarajućih akreditacijskih i certifikacijskih sposobnosti u području kvalificiranih elektroničkih potpisa, sukladno EU zahtjevima.

5.1.3   Elektroničke financijske usluge (C)

Informacijska tehnologija i njezine pogodnosti uvelike se koriste i u području pružanja financijskih usluga. Postizanje zadovoljavajuće razine sigurnosti cilj je svake suvremene države, a osnovni ciljevi RH vezani uz kibernetičku sigurnost u području elektroničkih financijskih usluga su:

Cilj C.1 Provođenje aktivnosti i mjera u svrhu povećanja sigurnosti, otpornosti i pouzdanosti kibernetičkog prostora, a s ciljem poticanja razvoja elektroničkih financijskih usluga.

Kontinuirano poticati pružatelje elektroničkih financijskih usluga na uvođenje novih te unaprjeđivanje postojećih mehanizama zaštite od zlonamjernih aktivnosti, a sukladno aktualnim prijetnjama te procjeni rizika. Pri tome posebnu pozornost treba posvetiti identifikaciji i autentifikaciji korisnika elektroničkih financijskih usluga, autorizaciji financijskih transakcija te pravovremenom otkrivanju i ograničavanju utjecaja neovlaštenih aktivnosti.

Cilj C.2 Unaprijediti razmjenu i ustupanje podataka o nastalim računalnim sigurnosnim incidentima između pružatelja elektroničkih financijskih usluga, regulatornih i nadzornih tijela te ostalih relevantnih tijela.

Osigurati uvjete za provedbu učinkovite razmjene i ustupanja podataka čime se unaprjeđuje rješavanje nastalih računalnih sigurnosnih incidenata te ujedno osigurava sprječavanje nastanka ili ograničavanje učinka takvih incidenata u budućnosti. Pri tome posebnu pozornost treba posvetiti zaštiti osobnih, kao i drugih podataka na koje se odnose zakonska ograničenja vezana uz korištenje, pa tako i dijeljenje podataka, razvoju povjerenja između uključenih strana te uspostavi protokola i mehanizama koji će osigurati učinkovito i sigurno prikupljanje, dijeljenje i razmjenu takvih podataka. Razmjena i ustupanje podataka o nastalim računalnim sigurnosnim incidentima provodi se između pružatelja elektroničkih financijskih usluga, regulatornih i nadzornih tijela, kao i tijela nadležnih za računalne sigurnosne incidente u području javnih elektroničkih komunikacija te tijela kaznenog progona.

5.2 Kritična komunikacijska i informacijska infrastruktura i upravljanje kibernetičkim krizama (D)

Donošenjem Zakona o kritičnim infrastrukturama i pratećim podzakonskim aktima stvoreni su legislativni preduvjeti za uspješno upravljanje rizicima kritične komunikacijske i informacijske infrastrukture unutar utvrđenih sektora kritične infrastrukture, u cilju:

povećanja otpornosti/smanjenja ranjivosti komunikacijskih i informacijskih sustava;

umanjivanja posljedica negativnih događaja (prirodne i tehničko-tehnološke nesreće) i mogućih napada (namjernih i nenamjernih);

omogućavanja brzog i učinkovitog oporavka te nastavka rada.

Odlukom Vlade RH sektor komunikacijske i informacijske tehnologije utvrđen je kao jedan od sektora iz kojih središnja tijela državne uprave primjenom odgovarajuće metode identificiraju nacionalne kritične infrastrukture. Kao njegovi podsektori utvrđuju se: elektroničke komunikacije, prijenos podataka, informacijski sustavi i pružanje audio i audio-vizualnih medijskih usluga. Ovi se podsektori dalje raščlanjuju na elektroničke komunikacijske mreže, infrastrukturu i povezanu opremu, informatičku infrastrukturu te sustave zemaljske radiodifuzije.

Od strateškog je interesa nastaviti s poduzimanjem aktivnosti u području zaštite kritične  komunikacijske i informacijske infrastrukture, u svrhu osiguravanja svih potrebnih uvjeta za njihov rad i kontinuirano djelovanje.  

Kritičnu komunikacijsku i informacijsku infrastrukturu predstavljaju oni komunikacijski i informacijski sustavi koji upravljaju kritičnom infrastrukturom ili su bitni za njezino funkcioniranje, neovisno o kojem sektoru kritične infrastrukture je riječ.

Stoga je identificiranje kritične komunikacijske i informacijske infrastrukture i propisivanje obveznih tehničkih i organizacijskih mjera, uključujući i postupke izvješćivanja o računalnim sigurnosnim incidentima, potrebno provesti u koordinaciji središnjih državnih tijela za pojedine sektore kritične infrastrukture, vlasnika/upravitelja kritične infrastrukture te nadležnih tehničkih i sigurnosnih državnih tijela.

Također, uspostavljanje sustava upravljanja kibernetičkim krizama koji će osigurati pravovremenu i učinkovitu reakciju/odgovor na prijetnju i osigurati oporavak infrastrukture ili usluge od naročitog je sigurnosnog interesa RH.

Sustav upravljanja u kibernetičkim krizama u RH potrebno je uspostaviti u skladu sa sljedećim zahtjevima:

usklađenost s nacionalnim rješenjima upravljanja u krizama,

obuhvaćanje zaštite kritične nacionalne komunikacijske i informacijske infrastrukture,

usklađenost s međunarodnim sustavima upravljanja u kibernetičkim krizama EU i NATO-a,

usklađenost s nacionalnim nadležnostima tijela zakonom zaduženih za koordinaciju prevencije i odgovora na računalne ugroze sigurnosti informacijskih sustava.

U tom smislu, potrebno je:

Cilj D.1 Utvrditi kriterije za prepoznavanje kritične komunikacijske i informacijske infrastrukture.

Kriteriji za prepoznavanje kritične komunikacijske i informacijske infrastrukture moraju pratiti i dalje razrađivati Zakonom o kritičnoj infrastrukturi predviđenu metodologiju pristupa. Pri tome se kritična komunikacijska i informacijska infrastruktura utvrđuje u okvirima sektora utvrđenih ranije spomenutom Odlukom Vlade RH o određivanju sektora iz kojih središnja tijela državne uprave identificiraju nacionalne kritične infrastrukture te listom redoslijeda sektora kritičnih infrastruktura. Kriteriji koji se definiraju za utvrđivanje kritične komunikacijske i informacijske infrastrukture moraju proizlaziti iz metodologije koju primjenjuje Zakon o kritičnim infrastrukturama te se, prema potrebi koja proizlazi iz analize stanja, mogu dodatno razraditi i propisati odgovarajućim podzakonskim aktima.

Cilj D.2 Utvrditi obvezujuće sigurnosne mjere koje primjenjuju vlasnici/upravitelji utvrđene kritične komunikacijske i informacijske infrastrukture.

Potrebno je utvrditi skup sigurnosnih mjera koje na sustavan način primjenjuju svi utvrđeni vlasnici/upravitelji kritične komunikacijske i informacijske infrastrukture, kao i potrebnu vezu prema općim propisima informacijske sigurnosti u segmentima kao što su zahtjevi sigurnosnog provjeravanja osoba ili potreba klasificiranja podataka.

Cilj D.3 Ojačati prevenciju i zaštitu kroz upravljanje rizikom.

Prioritetna aktivnost je osigurati provedbu odredbi Zakona o kritičnim infrastrukturama u dijelovima koji se odnose na sektorsku procjenu rizika kritične komunikacijske i informacijske infrastrukture, sektorske planove osiguranja rada kritične komunikacijske i informacijske infrastrukture i sigurnosne planove vlasnika/upravitelja kritične komunikacijske i informacijske infrastrukture.

Sektorska procjena rizika uključuje:

identifikaciju kritičnih funkcija (službe, podaci, mreže, itd.);

identifikaciju prijetnji;

procjenu prijetnji, ranjivosti i posljedica;

analizu i prioritetiziranje rizika;

utvrđivanje prihvatljivog rizika i obradu rizika.

Sektorski planovi osiguranja rada kritične infrastrukture i sigurnosni planovi vlasnika/upravitelja ove kritične infrastrukture sadrže mjere i aktivnosti za pripravnost, prevenciju, zaštitu, odgovor i oporavak u slučaju računalnih sigurnosnih incidenata koji imaju negativan utjecaj na funkcioniranje sektora kritične infrastrukture, odnosno proizvodnju, isporuku roba i usluga i druge funkcije vlasnika/upravitelja kritične infrastrukture upravljanje kojom ili čije funkcioniranje se bazira na kritičnoj komunikacijskoj i informacijskoj infrastrukturi. Posebnu pozornost potrebno je posvetiti stručnom usavršavanju osoba koje će biti uključene u postupak utvrđivanja kritične komunikacijske i informacijske infrastrukture.

Cilj D.4 Ojačati javno-privatno partnerstvo i tehničku koordinaciju u obradi računalnih sigurnosnih incidenata.

U sklopu sektora kritične infrastrukture utvrđenih ranije spomenutom Odlukom Vlade RH o određivanju sektora iz kojih središnja tijela državne uprave identificiraju nacionalne kritične infrastrukture te listom redoslijeda sektora kritičnih infrastruktura, potrebno je putem sektorski nadležnih središnjih tijela državne uprave poticati javno-privatno partnerstvo u cilju osiguravanja nesmetanog rada za poslovne subjekte koji predstavljaju vlasnike/upravitelje kritične infrastrukture. U tom smislu potrebno je utvrditi odgovarajuće postupke nadzora, koordinacije, kao i razmjene i ustupanja potrebnih sigurnosnih podataka. Razmjena i ustupanje podataka provode se između sektorskih nositelja i vlasnika/upravitelja kritične infrastrukture, s tijelima koja su nadležna za računalne sigurnosne incidente u područjima javne elektroničke komunikacijske i informacijske infrastrukture i usluga, kao i s tijelima kaznenog progona. Tehnička koordinacija u obradi računalnih sigurnosnih incidenata provodi se suradnjom tijela koja imaju izgrađene sposobnosti odgovora na takvu vrstu incidenata.

Cilj D.5 Uspostaviti kapacitete za učinkoviti odgovor na prijetnju koja može imati za posljedicu kibernetičku krizu.

U RH je potrebno izgraditi nacionalni sustav upravljanja u kibernetičkim krizama, kao dio nacionalnog sustava upravljanja u krizama, u kojem će odgovornosti relevantnih sudionika biti jednoznačno određene na temelju postojećih nadležnosti tijela i dodatnog definiranja uloga tijela u slučajevima koji predstavljaju krizna stanja.

Nacionalni sustav upravljanja u kibernetičkim krizama treba osigurati:

sustavno praćenje stanja sigurnosti nacionalnog kibernetičkog prostora, u svrhu otkrivanja prijetnji koje mogu imati za posljedicu kibernetičku krizu,

periodično izvješćivanje o stanju kibernetičke sigurnosti,

učinkovito planiranje postupanja u kibernetičkim krizama,

usklađeno i koordinirano postupanje državnih tijela u kibernetičkim krizama.

U tu svrhu potrebno je provesti iscrpnu analizu postojećeg stanja, osobito u odnosu na pravni okvir i potrebe za njegovim doradama u kontekstu možebitnog uvođenja novih nadležnosti koje zahtjeva bavljenje ovom problematikom. Temeljem rezultata provedene analize, predložit će se definicija pojma kibernetičke krize u okviru šireg koncepta nacionalnog upravljanja u krizama, kao i kriteriji za utvrđivanje kibernetičke krize.