KA NACIONALNOM OKVIRU ZA SAJBER-BEZBEDNOST U SRBIJI: IZGRADNJA VIŠEPARTNERSKE PLATFORME
1
IMPRESSUM
Izdanje: Diplo Centar (2015.) Pod projektom “Ka nacionalnom okviru za sajber-bezbednost u Srbiji: izgradnja višepartnerske platforme” Diplo Centar Gavrila Principa 44a, Beograd e-mail: diplo@diplomacy.edu veb: www.diplomacy.edu Sadržaj: Vladimir Radunović i Biljana Glišović-Milić Dizajn: Viktor Mijatović Ilustracije: Vladimir Veljašević
Autorstvo - Nekomercijalno - Bez prerada Ova publikacija je licencirana pod https://creativecommons.org/licenses/by-nc-nd/3.0/rs/legalcode.sr-Latn
Realizaciju projekta “Ka nacionalnom okviru za sajber-bezbednost u Srbiji: izgradnja višepartnerske platforme” podržala je Misija OEBS-a u Srbiji, u okviru većeg projekta “Konsolidovanje procesa demokratizacije u sektoru bezbednosti u Republici Srbiji”, koji finansijski podržava Švedska agencija za međunarodnu razvojnu saradnju (Sida).˝
2
KA NACIONALNOM OKVIRU ZA SAJBER-BEZBEDNOST U SRBIJI: IZGRADNJA VIŠEPARTNERSKE PLATFORME
1
SADRŽAJ
UVOD
5
O PUBLIKACIJI
7
SAJBER-BEZBEDNOST: OSNOVNI PARAMETRI
8-11
PREDLOŽENE POČETNE SMERNICE
12-21
OPERATIVNI OKVIR
22-25 2
STRATEŠKI OKVIR
26-27
STANJE U SRBIJI
28-31
MOGUĆI OKVIR ZA SAJBER-BEZBEDNOST U SRBIJI
32-35
O PROJEKTU
36-41
DODATAK: ŠTA JE CERT (ODNOSNO CSIRT)?
42-45
3
IMPRESSUM
Izdanje: Diplo Centar (2015.) Pod projektom “Ka nacionalnom okviru za sajber-bezbednost u Srbiji: izgradnja višepartnerske platforme” Diplo Centar Gavrila Principa 44a, Beograd e-mail: diplo@diplomacy.edu veb: www.diplomacy.edu Sadržaj: Vladimir Radunović i Biljana Glišović-Milić Dizajn: Viktor Mijatović Ilustracije: Vladimir Veljašević
Autorstvo - Nekomercijalno - Bez prerada Ova publikacija je licencirana pod https://creativecommons.org/licenses/by-nc-nd/3.0/rs/legalcode.sr-Latn
Realizaciju projekta “Ka nacionalnom okviru za sajber-bezbednost u Srbiji: izgradnja višepartnerske platforme” podržala je Misija OEBS-a u Srbiji, u okviru većeg projekta “Konsolidovanje procesa demokratizacije u sektoru bezbednosti u Republici Srbiji”, koji finansijski podržava Švedska agencija za međunarodnu razvojnu saradnju (Sida).˝
4
UVOD
Sada već davne 2004. godine, dok sam bio član Radne grupe o upravljanju Internetom Ujedinjenih nacija, prijatelji - a pogotovo diplomate - su me često zvali da im popravim štampač ili instaliram novi softver. Što se njih tiče, bavio sam se nečim vezanim za kompjutere. Danas, isti ti prijatelji i kolege zovu me da pitaju kako da sačuvaju podatke na Fejsbuku i kako da obezbede sebe i svoju decu od sajber-napada; sve češće, diplomate me pitaju o mogućnostima izbijanja sajber-rata i rizicima sajber-prostora po kritičnu infrastrukturu poput elektrana i fabrika. Svest o političkom značaju Interneta - te i neophodnih digitalnih politika - ubrzano raste, a pitanja upravljanja Internetom sve su više na diplomatskoj agendi. Razlog je jednostavan: sajber-prostor je postao neizostavna komponenta modernog društva. Kritična infrastruktura, finansijski sektor, servisi državne uprave, sektor bezbednosti, škole i zdravstvene ustanove nepovratno bivaju zavisne od globalne Mreže. Prednosti opšte digitalizacije društva su, svakako, brojne; da nije tako, nove tehnologije ne bi ni bile usvajane tom brzinom. Sve brojniji i značajniji su i rizici, međutim. Internet je, u osnovi, izgrađen na poverenju: nastao je 60. godina prošlog veka na univerzitetima, zamišljen kao sredstvo olakšanog komuniciranja i bez pomisli da bi bilo ko imao razloga da ga zloupotrebi. Danas mnogi imaju interes da to poverenje zloupotrebe - od kriminalaca preko aktivista pa do država. Da stvar bude teža, dovoljno je napasti "najslabiju kariku" u Internet lancu - a to često mogu biti i krajnji korisnici - i sa malo resursa moguće je stvoriti veliku štetu. Države sve više prepoznaju sajber-bezbednost kao jedan od ključnih strateških interesa. Mnoga iskustva na ovu temu su razmenjena pod okriljem Foruma za upravljanje Internetom Ujedinjenih nacija; Grupa državnih eksperata Ujedinjenih nacija već nekoliko godina traži prostor za sporazum po pitanju ponašanja država u sajber-prostoru i primene međunarodnog prava na neke buduće konflikte; Savet Evrope je "rodna kuća" Konvencije o borbi protiv sajber-kriminala, a OEBS intenzivno radi na sledećem setu Mera za izgradnju poverenja po pitanju rizika koje nose informaciono-komunikacione tehnologije. Mnoge zemlje formirale su ozbiljan strateški, pravni i operativni okvir, i investiraju u dalju izgradnju kapaciteta i međunarodnu saradnju. Ideja za projekat "Ka nacionalnom okviru za sajber-bezbednost u Srbiji: izgradnja višepartnerske platforme" u saradnji sa Misijom OEBS-a u Srbiji rodila se u Diplo Centru nakon uspešnog regionalnog projekta za izgradnju kapaciteta koji su Diplo Fondacija i švajcarski DCAF organizovali jeseni 2014. godine, a dodatno je stimulisana činjenicom da je Srbija 2015. godine preuzela predsedavanje OEBS-u. Činilo nam se da je to izvanredna prilika da Diplo Centar prenese u Srbiju deo energije, znanja i iskustva iz ove oblasti kojim Diplo Fondacija raspolaže i kojim smo pomagali brojne projekte po svetu. Dodatno motiviše saznanje iz inicijalnih faza projekta da interesovanje za ovu temu, kao i znanje, ne manjka među profesionalcima u državnim institucijama, kompanijama i organizacijama u Srbiji. Ono što je važno je povezati sve te profesionalce i institucije međusobno, kao i povezati ključne ljude u okviru hijerarhije svake od institucija. Sajber-bezbednost zahteva široko partnerstvo i promenu profesionalnih kultura sa potrebe da se zna ("need to know") na potrebu da se dele informacije ("need to share"). Ovaj projekat pokazuje da je to i te kako moguće u Srbiji. Pre nego što vas prepustim ilustrovanim smernicama i sažecima diskusija, dozvolite mi da se zahvalim Misiji OEBS-a u Srbiji na podršci, kao i Istraživačkoj stanici "Petnica" na još jednom divnom zajedničkom iskustvu (koje sam, na žalost, propustio). Takođe se zahvaljujem kolegama iz MUP, i CERT-SI i našim "ženevskim" parnerima iz DCAF i GCSP na doprinosu. Na kraju, ovako kvalitetnog projekta ne bi bilo bez sjajnog tima - Vlade Radunovića, Biljane Glišović-Milić, Nikole Božića, Milana Sekuloskog, Adela Abusare i naravno celog tima Diplo Centra. Digitalni pozdrav,
Jovan Kurbalija Direktor DiploFoundation
5
6
O publikaciji
Publikacija donosi sažetak diskusija tokom projekta "Ka nacionalnom okviru za sajber-bezbednost u Srbiji: izgradnja višepartnerske platforme" - primera dobre prakse, razmena mišljenja, diskusija tokom eskpertskog skupa i u onlajn fazi viđeno očima eksperata iz Diplo Centra. Publikacija ne predstavlja zvaničan stav Diplo Centra, Misije OEBS-a u Srbiji niti bilo koje od institucija koje su učestvovale u projektu. Cilj publikacije je da prenese neke od najzanimljivijih i najkorisnijih elemenata diskusije tokom projekta širem krugu institucija, organizacija i kompanija. Time bi se pomoglo širenje svesti o značaju podizanja sveobuhvatnog i višepartnerskog okvira za sajber-bezbednost u Srbiji, i stimulisalo uključenje u dalji proces aktera koji do sada nisu bili uključeni. Sadržaj publikacije, a pogotovo predlog osnovnih smernica i neka razmenjena iskistva, može poslužiti kao osnova za dalje aktivnosti i analize, koje bi na sveobuhvatan i argumentovan način obezbedile donosiocima odluka da definišu prioritete u odgovoru na sajber-bezbednost. Autori publikacije pozivaju sve one koji žele da nastave rad na ovoj temi da u skladu sa CC licencom koriste predstavljene materijale, kako bi se unapredile politike vezane za upravljanje internetom i sajberbezbednost u našoj zemlji i regionu.
7
SAJBER-BEZBEDNOST: OSNOVNI PARAMETRI Internet se često definiše kao mreža svih (kompjuterskih) mreža. Sajber-prostor, međutim, obuhvata i tehnički i društveni sloj, pa predstavlja celovito kompleksno okruženje koga čine mreža hardvera i softvera, podataka i sistema, infrastrukture i servisa, korišćenje i poslovanje, kao i ljudi i njihove interakcije. Današnje društvo je nepovratno zavisno od Interneta: komunikacije, poslovanje, trgovina, obrazovanje, kultura, zdravstvo, diplomatija, sistem bezbednosti, kritična infrastruktura, saobraćaj, ali i "tradicionalne delatnosti" poput poljoprivrede, u sve većoj meri imaju koristi od Internet servisa. Strateški aspekti Internet je, kao specifičar sesurs, od strateškog značaja za svaku zemlju. Upravljanje Internetom kao i bezbednost celokupnog sajber-prostora ušli su u fokus državnih i globalnih politika zbog geo-strateškog značaja kablova i konekcija, protoka i kontrole digitalnih podataka, upravljanja kritičnim resursima poput Internet domena i jedinstvenih brojeva (tzv. IP adrese), kao i uticaja na nove standarde koji će definisati funkcionisanje društva bliže budućnosti. Bezbednost sajber-prostora je jedna od ključnih tema i podrazumeva zaštitu od štete, neovlašćene upotrebe i zloupotrebe Interneta kao i samog sajber-prostora i njegovih korisnika. Međunarodna iskustva i nacionalne strategije razvijenih država, uključujući i politike Evropske Unije, prepoznaju nekoliko ključnih strateških aspekata koje je potrebno analizirati u cilju formiranja okvira za sajber-bezbednost na nacionalnom nivou: 1. Sajber-kriminal: Brzina razvoja tehnologija i novih načina prevara i kriminala nalaže konstantno unapređenje sistema borbe protiv kriminala, znanja i nivoa saradnje. Međunarodna saradnja kroz postojeće mehanizme, poput Konvencije o borbi protiv sajber-kriminala Saveta Evrope i saradnje kroz Interpol, još uvek često nailazi na prepreke usled politike, birokratije i nedostatka kapaciteta na nacionalnom nivou. 2. Zaštita kritične infrastrukture: Kontroleri i serveri kritične infrastrukture koji su povezani na mrežu su podložni napadima koji mogu voditi izbacivanju iz stroja ili daljinskom preuzimanju kontrole. Efekti napada mogu imati ozbiljne posledice po društvo i naciju, a troškovi i težina posledica rastu kroz vreme u koliko ne postoji sistem za brze odgovore. 3. Sajber-incidenti, sajber-konflikti i sajber-terorizam: Sajber-napadi će biti sve više korišćeni u savremenom hibridnom ratovanju i konfliktima, što potvrđuje i izveštaj sa međunarodne bezbednosne konferencije 2015. godine iz Minhena. Istovremeno, neophodna znanja i resursi koje napadači ulažu su minimalni, učinci su veliki, a rizik je uglavnom vrlo mali. 8
4. Upravljanje Internetom i sajber-diplomatija: Usled geo-strateškog značaja Interneta, nova važna pitanja uvrštena su na diplomatsku agendu, poput sinhronizacije digitalnih politika na nacionalnom, regionalnom i globalnom nivou, upravljanja kritičnim resursima i standardima, očuvanja bezbednosti ali i otvorenosti Interneta, očuvanja javnih interesa i interesa građana, zaštite podataka o ličnosti i od nacionalnog značaja, ljudskih prava i sloboda, prava i bezbednosti dece i marginalizovanih grupa, saradnje među akterima kroz sveobuhvatni višepartnerski model, izgradnje institucionalnih kapaciteta, i drugo. Rizici i pretnje Napadi ili incidenti u sajber-prostoru nastaju kao posledica propusta u softveru koje potom zloupotrebljavaju maligni softverski kodovi poput virusa, tojanaca i crva, propusta u Internet protokolima poput DNS protokola (eng. Domain Name System) za prevođenje Internet domena u kao IP adrese, ali pre svega propusta u svesti i ponašanju samih korisnika, što dovodi do brojnih napada - "pecanja" i prevara - koji koriste metode društvenog inžinjeringa.
Korisnici kao najslabija karika: društveni inžinjering 9
Mreže kompjutera zaraženih virusom koji ih čini automatskim daljinski kontrolisanim robotima - bot-mreže (eng. botnets) - su najkomplikovanije distribuirano sajber-oružje koriščeno za dalje inficiranje računara po Internetu, distribuirane prevare, širenje neželjene pošte (tzv. spam) i moćne napade distribuiranim onemogućavanjem pristupa servisu - DDoS napade (eng. Distributed Denial of Service). Većina sajber-oružja nastaje u kriminalnom miljeu ali se potom koriste i za aktivizam, špijunažu, terorizam, ratovanje i drugo.
Bot-mreže: zaraženi računari koji se na daljinu koriste za napade i kriminal i bez znanja vlasnika Sajber-pretnje se, prema motivu delovanja, mogu podeliti na: 1. sajber-aktivizam, koji uključuje vandalizam i "haktivizam" odnosno hakerske napade motivisane političkim idejama; 2. kriminal, koji godišnje košta globalno preko 500 milijardi dolara; 3. špijunažu, za koju se često koriste vrlo napredni pristupi nazvani APT (eng. Advanced Persistent Threat) sa nizom koraka i kompleksnih aktivnosti i tehnologija; špijunaža može biti vojna i politička ali je sve više i ekonomska; 4. terorizam, u kome se Internet koristi i za regrutovanje i za izvođenje napada (pogotovo pomoću društvenih mreža kroz koje se lako regrutuju novi aktivisti ali i širi efekat zlodela i strah deljenjem snimaka), zbog malih rizika i investicija;
10
5. ratovanje, imajući u vidu da su vojne doktrine nekih vodećih zemalja i formalno uvrstile sajber-prostor kao petu dimenziju pored kopna, mora, vazduha i kosmosa. Nivo kompetencija potrebnih za napade raste linearno sa značajem napada. Na primer, za sajber-kriminal potrebno je vrlo malo znanja i resursa, dok su u napade na nacionalnu strukturu uglavnom uključeni vrhunski profesionalci. Meta napada može biti - i jeste - svako: vojska, političke i civilne institucije, kritična infrastruktura, kontrolni sistemi u postrojenjima, korporativni i industrijski sektor i građani. Sredstva napada su servisi (poput društvenih mreža) i oprema (zaražene USB memorije su vrlo čest alat, kao i neobezbeđene bežične konekcije, ali se sve više koriste i neobezbeđene napredne tehnologije poput "pametnih uređaja"). Odgovor Današnje okruženje donosi nepredvidljive promene pa je potrebna strateška agilnost i slojevita bezbednost infrastrukture, tehnologije, procesa, podataka i ljudi. U cilju održavanja bezbednosti sajber-prostora neophodan je jak i fleksibilan zakonski i institucionalni okvir, ali je jednako važna i saradnja bazirana na poverenju kao i deljenje zajedničkih resursa bez čega ni zakonski i institucionalni okvir nema smisla. Tradicionalno, glavna odogornost za bezbednost društva je na državi. Specifičnosti sajber-prostora, međutim, nalažu neophodnost pune saradnje svih segmenata društva - jer svi oni mogu biti i jesu stalne mete sajber-napada, i bez obezbeđivanja svih segmenata nema ni bezbednosti društva u sajber-prostoru. Na primer, veoma je značajno zaštititi i najslabije karike u sistemu, a to su često mala i srednja preduzeća koja zbog nedostataka kapaciteta, finansija i svesti te nedovoljno obezbeđenih sistema mogu služiti za širenje infekcija ali i za upade u kompleksnije sisteme sa kojima poslovno sarađuju. Sa druge strane, mnogi nevladini akteri imaju više resursa za sajber-odbranu nego država: dominanti resursi (svesti, ljudstva, znanja, opreme, Internet infrastrukture) su u rukama privatnog sektora - telekom kompanija i provajdera, proizvođača opreme i softvera, provajdera onlajn servisa, operatora kritične infrastrukture, finansijskog sektor i većih preduzeća. Takođe, nevladine i akademske zajednice često poseduju specifično znanje, analitičke i istraživačke kapacitete i međunarodne kontakte u ovoj oblasti, kao i potencijal da upozore na moguća kršenja ljudskih prava. Stoga je od izuzetne važnosti aktivno i u potpunosti uključiti i privatni, nevladin i akademski sektor u strateške i operativne aktivnosti na državnom nivou, i ostvariti višepartnersku saradnju sazdanu na međusobnom poverenju. Brojna međunarodna iskustva pokazuju da je praktična i operativna platforma za saradnju, poput Centra za brze odgovore na sajber-incidente - CERT (eng. Computer Emergency Response Team) ili CSIRT (eng. Computer Security Incident Response Team)1 - važna kao čvorište za kolaborativni višepartnerski model. Informacije o rizicima, propustima i incidentima širom sveta su distribuirane i dostupne u mnogim globalnim analitičkim izvorima i dele se među nacionalnim CERT-ovima; i za Srbiju je od izuzetnog značaja da što pre oformi ovakvo nacionalno operativno telo koje bi bilo u mogućnosti da pristupi mrežama CERT timova, razmenjuje informacije o rizicima, obrađuje informacije o dojavljenim i identifikovanim incidentima u Srbiji, te priprema izveštaje o stanju sajber-prostrora u Srbiji i redovno dela na otklanjanju incidenata u zemlji. U međunarodnim dokumentima koriste se oba termina - i CERT i CSIRT. U ovom dokumentu uglavnom ćemo koristiti termin CERT, ostavljajući odluku o budućoj skraćenici za Centar u Srbiji za dalju diskusiju.
1
11
PREDLOŽENE POČETNE SMERNICE 1. Sveobuhvatni višepartnerski model: obezbediti i najslabije karike Da bi se postigao visok nivo bezbednosti sajber-prostora potrebno je obezbediti sve potencijalne slabe karike, u koje spadaju vojni i civilni domen, državne institucije, kritična infrastruktura, organizacije, mala i srednja preduzeća, pa i sami krajnji korisnici. Za to je neophodno aktivno uključiti sve sektore društva kao partnere u nacionalni okvir za sajber-bezbednost i iskoristiti sve postojeće resurse u tim sektorima. Sveobuhvatna bezbednost bazira se na zaštiti vitalnih funkcija društva kroz saradnju između nadležnih institucija, korporativnog, nevladinog i akademskog sektora i građana. Višepartnerski model je neophodan za prikupljanje distribuiranih informacija o bezbednosnim rizicima, koordiniranu prevenciju i odgovor na incidente, izgradnju svesti i institucionalnih kapaciteta i korišćenje mreža međunarodnih kontakata za saradnju i podršku. Ovakav model, a pre svega javno-privatno partnerstvo, bazira se na poverenju i saradnji, zajedničkim interesima i potrebama, a u okviru zakonski uređenog sistema i postojećih nadležnosti državnih organa.
12
13
PREDLOŽENE POČETNE SMERNICE 2. Svestran pristup: razumeti sajber-prostor i uskladiti digitalne politike Digitalne politike utiču na blagostanje, napredak i bezbednost nacije. Pored infrastrukturnih, pravnih, ekonomskih i društvenih aspekata sajber-bezbednost je veoma važan segment. Mere na polju sajberbezbednosti mogu imati posledice na druge segmente društva, pre svega na ekonomiju, investicije, otvorenost Interneta, građanske slobode i privatnost, stoga je potrebno svestrano sagledavanje efekata novih mera. Posebno je važno uskladiti mere za sajber-bezbednost sa merama zaštite ljudskih prava i sloboda; u tom smeru treba iskoristiti činjenicu da mnogi elementi, poput digitalne higijene i digitalne pismenosti, u isto vreme podržavaju i bezbednost i ljudska prava. Multidisciplinarnost oblasti digitalnih politika (pravni, tehnički, ekonomski, društveni i politički aspekti) zahteva dodatne profesionalne edukacije i izgradnju kapaciteta institucija. Takođe, specifične profesionalne kulture (način razmišljanja i delovanja) i "strukovni žargon" (npr. pravni i inžinjerski termini) mogu otežati razumevanje celokupne slike, pa je potrebno pojačati komunikaciju i deljenje znanja među profesionalnim kulturama.
14
15
PREDLOŽENE POČETNE SMERNICE 3. Međunarodna saradnja: kreirati nacionalnu tačku za kontakt Internet je globalna mreža i problemi i incidenti imaju korene širom sveta. Međunarodna saradnja neophodna je u strateškim planovima, primeni zakona, prevenciji i odgovorima na incidente. Kreiranjem nacionalne tačke za kontakt - najčešće nacionalnog Centra za brze odgovore na sajberincidente, CERT - olakšava se komunikacija sa sličnim centrima po svetu i operativno delovanje u slučaju incidenata. Jednako važno, time se otvara i put ka članstvu u međunarodnim udruženjima koja dele informacije o pretnjama i incidentima, znanje i međusobnu pomoć.
16
17
PREDLOŽENE POČETNE SMERNICE 4. Operativni mehanizam: što pre kreirati efikasno telo za odgovor na sajber-incidente 'Drum' je pun opasnih rupa koje treba pokrpiti pre nego što neko nastrada. (Gorazd Božič, Direktor, CERT Slovenija) Napadi i incidenti se dešavaju svakodnevno. Informacije i znanja se dele između mnogih učesnika. Koordinacija među mnogim državama već postoji. Potrebno je uključiti se u razmenu podataka i saradnju sa drugim zemljama i institucijama i razviti mehanizam za praćenje rizika i brz odgovor na sajber-incidente. Neophodno je čim pre kreirati efikasan i stručan operativni mehanizam, nacionalni Centar za odgovore na sjaber-incidente, CERT. Zadatak CERT bi bio da prikuplja, obrađuje i razmenjuje informacije o pretnjama, pomaže institucijama, kompanijama i organizacijama da zaustave napad, minimizuju štetu i ubrzaju oporavak. U ovom procesu formiranja nacionalnog centra je važno iskoristiti postojeće kapacitete, znanja i kanale saradnje. Efikasnost Centra bazira se na angažovanju stručnjaka, lišenosti birokratije, punoj saradnji sa partnerima institucijama, organizacijama i kompanijama u zemlji i van nje, kao i fleskibilnom zakonskom okviru koji omogućava izgradnju poverenja među partnerima i prilagodljivost operativnog okvira okolnostima i trendovima rizika i tehnologija.
18
19
PREDLOŽENE POČETNE SMERNICE 5. Strateški i pravni okvir: započeti višefazni, višeslojni, višetematski proces Izgradnja strateškog i pravnog okvira za sajber-bezbednost će biti dugotrajan proces. Ovakav okvir predstavlja osnovu a ne operativno rešenje. Strategija bi trebalo da prepozna značaj višepartnerskog modela i javno-privatnog partnerstva, i da stimuliše transparentan proces i dobru komunikaciju među akterima. Pored bezbednosti društva i građana, strateški okvir trebalo bi da pokrije i oblasti zaštite kritične infrastrukture, značaj obrazovanja na svim nivoima, ali i da ima za cilj razvoj i privredu. Proces izgradnje operativnog i pravnog okvira za sajber-bezbednost ne završava se ni osnivanjem CERT-a ni donošenjem zakona i strategije. To je zapravo tek samo početak i dobar temelj za bezbedan nacionalni sajber-prostor.
20
21
OPERATIVNI OKVIR O CERT-u Zadatak CERT-a je operativno reagovanje na incidenate bez obzira o kojoj vrsti napada se radi. Da bi izvršavao svoje obaveze CERT mora biti operativan i efikasan. Takođe treba da bude nezavisan i ekspertski, zaštićen od birokratije. CERT treba da ima jasnu poziciju i procedure, svoju ciljnu grupu i identifikovane partnere, i treba da preuzima odgovornost za odgovor na incidente. Ciljevi CERT-a su visokostručni tim, pristup i prikupljanje operativnih podataka, međusektorska i međunarodna saradnja, prenos znanja, širenje svesti i uspostavljanje višepartnerske mreže. Informacije o rizicima i incidentima CERT prikuplja kroz: 1. dojave partnera u zemlji (operatera, banaka,kompanija, organizacija i institucija); 2. dojave korisnika (kroz centar za pozive ili preko Internet provajdera); 3. globalne javne resurse: javni servisi poput ShadowServer sajta i "ćupova sa medom" (eng. honeypots) za privlačenje i analizu napada, posebni međunarodni dogovori i projekati saradnje kao što su Microsoft Security Response Center, drugi izvori informacija o napadima poput "levaka" (eng. sinkhole) i "pročišćivača" (eng. clearinghouse); 4. programe saradnje CERT udruženja, poput Team Cymru CSIRT Assistance Programme, FIRST i TF-CSIRT, i posebno zatvorenih grupa koje zahtevaju poverenje i preporuke za učlanjenje poput ops-trust grupe; 5. druge CERT timove direktno, pogotovo partnerske CERT-ove u zemlji kao i one u regionu.
Prikupljanje informacija o incidentima: sajber-napadi ugrožavaju sve segmente društva 22
Uloga nacionalnog CERT-a Nacionalni CERT je tačka kontakta za saradnju unutar zemlje sa partnerima i organizacijama koje su ili umešane u incident ili pogođene incidentom, i saradnju sa međunarodnim partnerima i CERT-ovima drugih zemalja. Evropski parlament, u predlogu direktive o merama da se osigura zajednički visok nivo mrežne i informacione bezbednosti u Evropskoj Uniji2, u Aneksu 1 definiše zahteve i zadatke Nacionalnog CERT-a, uključujući i monitoring incidenata na nacionalnom nivou, izdavanje ranih upozorenja, uzbuna, najava i delje informacija sa relevantnim partnerima o rizicima i incidentima, odgovori na incidente, izrada procena rizika i analiza incidenata kao i preseka stanja nacije u sajber-prostoru, izgradnja svesti šire javnosti o rizicima vezanim za onlajn aktivnosti, i organizovanje kampanja u svrhu bolje mrežne i informacione bezbednosti. Generalno govoreći, CERT može imati preventivnu ulogu kao i jasno definisanu ulogu u slučaju incidenata. Preventiva uloga podrazumeva uspostavljanje i održavanje mreže partnera. Da bi ovu ulogu adekvatno izvršavao CERT treba redovno da obrađuje ranjivosti i dojave kao i da prikuplja informacije o incidentima, priprema izveštaje, podatke, pravi presek stanja. U okviru preventivne uloge CERT informiše i edukuje javnosti putem web-a, organizuje ili učestvuje u edukativnim događajima, plaćenim kampanjama i kampanjama na društvenim mrežama i na tradicionalnim medijima, porukama sa redovnim vestima (eng. newsletter), obaveštavanjem partnera, i u direktnoj komunikaciji sa svim zainteresovanim stranama. CERT se može baviti i predlaganjem standarda i procedura. Posebno značajnu ulogu može imati u pomoći kompanijama i organizacijama u preventivi u vidu preporučenih procedura i polisa, edukacije i asistencije. Uloga CETR-a u incidentima je na nivou nacionalne koordinacije i na nivou kontakt tačke za prikupljanje informacija i izveštavanje, kao i tima za intervencije kako bi se napad zaustavio i napadnuti sistem povratio. CERT izdaje upozorenja i saopštenja za javnost, obrađuje i adekvatno odgovara na incidenate, i analizira identifikovane štetne programske kodove. Po potrebi, CERT sarađuje sa policijom, tužilaštvom i pravosuđem, poverenikom za zaštitu podataka, kao i sa državnim strukturama nadležnim za sajber-bezbednost. Pripremu za odgovor na incidente sprovodi tim stručnjaka putem postavljanja prepreka, međusobnim obaveštavanjem institucija i organizacija, i postavljanjem alarma. Prema nekim međunarodnim iskustvima, poput preporuka američkog Nacionalnog instituta za standarde i tehnologiju (dokument NIST 800-61 Rev.2), ciklus odgovora na incidente obuhvata faze pripreme, detekcija (dojava), procene, klasifikacije i trijaže (odbijanje, redirekcija nekome, ili obrada), reakcije, suzbijanja, uklanjanja i oporavka (asistencija, istraga, prikupljanje podataka, preporuke za reakciju), i aktivnosti nakon incidenta i finalne klasifikacije. Pored neophodnog nacionalnog CERT-a, moguće je (i čest je slučaj) i postojanje drugih specijalizovanih CERT timova, poput CERT-a za Vladine i državne institucije, vojnog CERT-a, CERT-a nacionalnog domena, akademskog CERT-a, te privrednih CERT timova pogotovo pri telekom i Internet operaterima i finansijskim sektorom. Nacionalni CERT u tom slučaju igra ulogu koordinatora i glavne tačke za kontakt, saradnju i razmenu informacija na nacionalnom nivou.
² Dokument je dostupan na: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52013PC0048
23
Ciklus odgovora na sajber-incidente (preuzeto iz dokumenta "Computer Security Incident Handling Guide", NIST, dostupno na http://dx.doi.org/10.6028/NIST.SP.800-61r2)
Pozicija i resursi CERT-a Na osnovu iskustava iz drugih zemalja CERT može biti u okviru akademske mreže, regulatorne agencije, registara nacionalnog domena, može biti nezavisni državni organ, sastavljen od više institucija zajedno, ili kao koncept privremenog CERT-a (eng. CERT of last resort) kao privremena kontakt tačka. U CERT-u je potrebno formirati ekspertski tim inžinjera sa tehničkim znanjima na visokom nivou i dobrim komunikacionim sposobnostima na maternjem i na engleskom jeziku; uz ovaj tim neophodan je i kvalitetan i visoko-stručan koordinator kao i pravna i administrativna podrška. Investicije za rad CERT-a obuhvataju pre svega plate zaposlenih, opremu, softver, prostor i troškove, administrativnu podršku, česte stručne obuke i putovanja na međunarodne skupove. Da bi se zadržali kvalitetni stručnjaci potrebno je da plate budu na adekvatnom nivou. Takođe, iskustva su da je bolje da CERT ne bude direktno državna institucija već nezavisna agencija ili telo (samostalna ili pri nekoj postojećoj instituciji), kako bi bilo moguće brzo angažovati kvalitetne kadrove prema potrebi. Potrebno je i praćenje i koordinacija raspoloživih resursa postojećih institucija, kompanija i organizacija i usmeravanje i korišćenje tih resursa u radu CERT-a. Studenti se mogu angažovati na praksi da obavljaju administrativne poslove u čemu akademska zajednica može da pomogne. Partneri i odnosi Izuzetno je važno da CERT bude prihvaćen i ocenjen kao kredibilan i efikasan među domaćim partnerima i CERTovima drugih zemalja, jer samo na taj način može biti prihvaćen i dobijati podršku kao i informacije o incidentima. Za efikasan rad CERT saradnju sa partnerima, a pogotovo privatnim sektorom, treba da bazira na poverenju i međusobnim interesima.
24
U radu CERT-a je veoma važna i saradnja sa medijima kao i edukacija medija koja omogućava da se izbegne širenje panike i dezinformacija usled neznanja. Kontakt sa Poverenikom za zaštitu podataka je od velikog značaja posebno u pomoći oko tumačenja vezanih za privatnost podataka. CERT može ponuditi pomoć u profesionalnoj edukaciji u oblasti sajber-bezbednosti stručnih lica državnih organa, službi za sprovođenje zakona, kompanijama i organizacijama. Pravni okvir Da bi CERT što pre počeo sa radom nije neophodno čekati na pravni okvir, već je preporuka da se operativni i pravni okvir usklađuju. U nekolikim slučajevima u zemljama Evrope CERT timovi su nastali pre zakonskog okvira, usled potreba za povećanom bezbednosti i operativnim delovanjem u slučaju incidenata, a potom je kroz saradnju državnih institucija, CERT-a i partnera donet i efikasan zakonski okvir u kojem je definisano postojanje nacionalnog CERT-a i autoritet po kome CERT može da sprovodi dodatne mere po potrebi. U Srbiji, određeni podzakonski akt - odluka Vlade ili uredba, uz sporazum o razumevanju sa nadležnim ministarstvom - mogu biti dovoljan osnov za osnivanje nacionalnog ili privremenog CERT-a. Pravni okvir svakako treba da bude dovoljno fleksibilan da bi omogućio dinamičnost struktuiranja i operativnosti CERT-a koji bi pratili i izuzetnu dinamičnost sajber-okruženja. Za rad CERT-a je potrebno definisati saradnju sa tužilaštvom i policijom, poverenikom, kao i službama bezbednosti. Preporuka je da ova saradnja ne bude previše obavezujuća za CERT da ne bi ugrozila poverenje koje CERT gradi sa partnerima, ali da bude dovoljno jaka da bi sprovođenje prava i nacionalna bezbednost imali podršku u CERT a time i poverenje institucija u CERT.
25
STRATEŠKI OKVIR Strategija ima za cilja da omogući napretke u znanju (škole, univerziteti, istraživanje i razvoj, institucije, donosioci odluka, privatni sektor), analizi i preseku stanja, definisanju i procenama ranjivosti kritične infrastrukture i prepoznavanju značaja javno-privatnog partnerstva. S obzirom da je sajber-bezbednost tema od nacionalnog značaja, pre izrade strategije bi trebalo sagledati postojeće strateške dokumente i status njihove implementacije; u Srbiji postoji veliki broj strateških dokumenata koje na neki način dotiču i sajber-bezbednost. Strateški okvir sadrži: 1. Strategiju: uvod, vizija, nacionalni pristup, strateške smernice, itd.; 2. Memorandum: o sajber-domenu, pretnjama, principima, zaštiti vitalnih funkcija, regulativi, implementaciji, itd., kao i neformalni prateći tekst smernica koji je koristan da se da širi kontekst i razumevanje; 3. Plan implementacije (akcioni plan, zadaci, itd.). Vizija treba da jasno definiše bezbednost vitalnih funkcija države od sajber-pretnji, bezbednu upotreba sajberprostora, spremnost na sajber-pretnje, zaštitu kritičnih sistema, zaštitu građana od sajber-napada, bezbednost i prilike. Jedan predlog vizije dobijen tokom ekspertskog skupa glasi: "Obezbediti bezbedan, dinamičan, otvoren, prilagodljiv, otporan sajber-prostor, u cilju ostvarenja velikog ekonomskog i društvenog prosperiteta, očuvanja nacionalne bezbednosti, vladavine prava, zaštite ljudskih prava , podsticanja preduzetništva i privlačenja stranih investicija" Ciljevi strategije mogu biti: 1. pouzdano, otvoreno i slobodno digitalno društvo; 2. pouzdano i bezbedno poslovno okruženje; 3. obezbeđene vitalnih funkcija društva; 4. bezbednost građana, razvoj i privreda, kritična infrastruktura, borba sa kriminalom, odbrana; 5. dobrobit nacije i blagostanje; 6. stvaranje sigurnog okruženja po institucije, privredu i građane; 7. podsticanje preduzetništva i privlačenje stranih investicija; 8. veća zastupljenost modernih tehnologija; 9. podizanje svesti.
26
Resursi obuhvataju državnu upravu, provajdere i industriju, nosioce kritične infrastrukture, finansijski sektor, medije, ne-vladin sektor i civilno društvo, sistem obrazovanja i tehničku zajednicu. Načini za sprovođenje nacionalnog okvira podrazumevaju donošenje neophodne zakonske regulative, po prekoj potrebi formiranje novih institucija ali prvenstveno korišćenje postojećih (kako bi se smanjili troškovi i izbegli eventualni politički i lični interesi koji mogu da zakoče proces), koordinaciju između ključnih aktera i saradnju sa ključnim međunarodnim partnerima, sveobuhvatnu edukacija kao i uvođenje opštih načela u obrazovni proces. Strateške smernice uključuju model saradnje između aktera, analizu i presek stanja, spremnost i kontinuitet, kapacitete policije i pravosuđa, sajber-odbranu, široku međunarodnu saradnju, obrazovanje i znanje, pravni okvir i zadatke, zahteve i model servisa. Strategija treba da obuhvati i upravljanje, evaluaciju i kontrolu rizika, deljenje informacija o rizicima među partnerima, podizanje svesti i obrazovanje, kooperaciju akademskih ustanova, regrutaciju dobrih studenata i hakerske zajednice. Strategija treba da bude pravljena na bazi višepartnerskog odnosa, uz transparentan proces i dobru komunikacija sa drugim akterima, kako bi i drugi akteri mogli da učestvuju u njenoj implementaciji. Akcioni plan može uključiti i sledeće korake: 1. Centar za sajber-bezbednost; 2. sistem 24/7; 3. integracija bezbednih informacionih sistema državne uprave; 4. istraživanje i treninzi; 5. podizanje kapaciteta policije i pravosuđa; 6. pravna unapređenja vezano za prikupljanje obaveštajnih podataka. Predlog za proces strategije proistekao iz ekspertske diskusije u Srbiji je da se napravi procena impakta (eng. impact assessment) odnosno informisana procena posledica po Srbiju u slučaju da se ne formira strateški okvir, i uticaja svake od eventualno predlozenih strateških opcija uključujući i finansijske aspekte. Ovakva studija mogla bi imati efekta i na podizanje svesti na najvišem državnom nivou o hitnosti donošenja okvira za sajber-bezbednost, kako bi se izbeglo "učenje na greškama" nakon velikih sajber-napada kakve su već doživele Estonija, Holandija i neke druge zemlje. Među institucijama, organizacijama i akademskim sektorom u Srbiji postoji kapacitet da se ovakva studija uradi, a moguće je pronaći i finansije iz međunarodnih krugova. Svakako bi u slučaju takve studije bilo od izuzetne važnosti uključiti sve zainteresovane strane (organe javne uprave, velike kompanije, osiguravajuće kuće, akademsku zajednicu, organizacije, tehničku zajednicu i druge).
27
STANJE U SRBIJI Kroz diskusije predstavnika institucija, organizacija i kompanija tokom ekspertskog skupa u Petnici i onlajn konsultacija, organizatori su identifikovali niz komentara - kako pozitivnih tako i negativnih - na trenutno stanje u Srbiji. Prateći metodologiju snaga, slabosti, prilika i pretnji (eng. SWOT) ovi komentari su inicijalno struktuirani u te četiri kategorije, kako bi se vizuelno bolje predstavili. Važno je, međutim, jasno napomenuti da analiza koja sledi nije SWOT analiza, već samo struktuiranje dobijenih komentara prateći taj model. Ova analiza nema ambiciju da bude konačna već samo pomoćno sredstvo za vizualizaciju stanja i mogućih pravaca delovanja, i moguć pokretač ideje da se puna analiza napravi u nekom od sledećih koraka. Šta je SWOT? SWOT analiza predstavlja veoma korišćenu analitičku metodu kojom se definišu kritični faktori koji imaju najveći uticaj na određeni proces. SWOT analiza služi za razumevanje trenutnog stanja i definisanje strategije koju treba primeniti da bi se postigao željeni ishod i ostvarili ciljevi. Ona se obavlja kroz mapiranje pojava i činjenica koje se svrstavaju u 4 polja: S – Strengths (snage), W – Weaknesses (slabosti), O – Opportunities (prilike/šanse/mogućnosti), T – Threats (opasnosti/pretnje). Snage predstavljaju pozitivne, a slabosti negativne unutrašnje faktore. Šanse predstavljaju pozitivne, a pretnje negativne spoljašnje faktore. SWOT se može koristiti za planiranje tako što se u predlogu strategije delovanja nađu načini za maksimalno korišćenje snaga i prilika, uz minimiziranje uticaja slabosti i izbegavanja pretnji.
28
Komentari struktuirani prema SWOT parametrima: snage, slabosti, prilike i pretnje
Snage (pozitivni unutrašnji faktori)
Slabosti (negativni unutrašnji faktori)
• Ključne državne institucije (poput MUP, Ministarstva odbrane i Vojske Srbije, UZZPRO), Akademska mreža, RNIDS i telekom kompanije imaju kapacitete da reaguju na redovne incidente manjeg obima u svojim sistemima. • Između institucija postoje neformalni operativni kanali komunikacija na temu sajber-incidenata bazirani na ličnim poznanstvima. • Postoji entuzijazam i specifični ekspertski kapaciteti za brzo reagovanje u različitim entitetima privatnog i javnog sektora. • UZZPRO trenutno najčešće funkcioniše kao direktan "broj za poziv" u slučaju incidenata u mreži državnih organa, dok AMRES tu ulogu ima za akademsku mrežu. • MUP kreira interni tim za odgovore na sajber-incidente, a RNIDS je u procesu kreiranja CSIRT tima za .rs domene. • Postoji obaveza operatera da izveštavaju RATEL o incidentima (mada se ne realizuje redovno), i obaveza RNIDS da održi funkcionalnost .rs domena (realizuje se i iznad zahtevanog standarda). • U toku je izrada zakona o informacionoj bezbednosti. Javna rasprava (po proceduri) će dati šansu da se čuje i glas privatnog sektora, akademske zajednice, NVO i svih zainteresovanih strana. • Postoje neki oblici javno-privatnog partnerstva u oblasti bezbednosnih sertifikacija kompanija u Srbiji.
• Jako je niska svest o značaju sajber-bezbednosti kako u javnom, tako i u privatnom sektoru i među građanima. Ne postoji svest o razmeru opasnosti na ličnom, organizacionom i opšte-društvenom nivou. Manjka svesti i o finansijskim gubicima i o rizicima po razvoj privrede. • Reagovanje na incidente je ad-hoc i bazira se na privatnim operativnim kontaktima i na entuzijazmu, znanju i dostupnosti pojedinaca. Ne postoji centralna tačka za kontakt i koordinaciju reagovanja na sajber-incidente među institucijama, niti operativni 24/7 tim. • Ne postoje formalne strukture niti procedure za deljenje informacija o incidentima između različitih institucija, institucija sa privatnim sektorom, a često ni u okviru samih institucija (a time ni korelacija incidenata niti mogućnost sklapanja preseka stanja sajber-rizika u Srbiji). • Konsekventno, ne postoji planiranje razvoja kapaciteta za reagovanje na sajber-incidente, niti politika prevencije. • Srbija nema jedinstvenu kontakt tačku za saradnju sa institucijama drugih zemalja u oblasti sajber-bezbednosti. • Ne postoji sistemska višepartnerska saradnja (državnih institucija, korporativnog i nevladinog sektora) po operativnim niti strateškim pitanjima. Ne postoji u dovoljnoj meri razumevanje distinkcije između klasične i sajberbezbednosti i implikacija za odnos s privatnim sektorom koje iz toga proizilaze. • Državni organi koji se bave sprečavanjem i borbom protiv sajber-kriminala se suočavaju sa nedostatkom kapaciteta za procesuiranje slučajeva iz ove oblasti. • Obuke državnih službenika na temu sajber-bezbednosti nisu ni u čijoj nadležnosti. Iako postoji obaveza operatera da izveštavaju RATEL o incidentima, to u praksi retko funkcioniše. • Ne postoji jasna definicija/saglasnost šta je kritična infrastruktura (razne institucije imaju svoja viđenja shodno svom delovanju). 29
Komentari struktuirani prema SWOT parametrima: snage, slabosti, prilike i pretnje
Prilike (pozitivni spoljašni faktori)
Pretnje (negativni spoljašni faktori)
• U toku je izrada zakona o informacionoj bezbednosti - postoji mogućnost postavljanja dobrih sistemskih rešenja od temelja. • Proces EU integracija postavlja jasne rokove za donošenje sistemskih rešenja, ali i nudi mogućnost korišćenja značajnih EU fondova za izgradnju kapaciteta i institucija. Samoj EU je sajber-bezbednost jedan od bezbednosnih prioriteta u periodu 2015-2020, i ostaće u fokusu procenjivanja zemlje kandidata i pružanja pomoći. • Predsedavanje Srbije OEBS-u predstavlja politički potencijal da se postojeći set Mera za izgradnju poverenja implementira u Srbiji, i utiče na kreiranje i implementaciju sledećeg seta Mera. • Institucije sektora bezbednosti već imaju platforme (procedure, sporazume, praksu) za razmenu informacija po raznim bezbednosnim pitanjima, uključujući i sajberbezbednost, kako interno među institucijama u Srbiji, tako i međunarodno (INTERPOL, EUROPOL, PCC SEE itd). • Telekom operateri imaju redovnu komunikaciju sa RATEL, RNIDS i SOX (Serbian Open Exchange) po drugim osnovama a RS-NOG (Network Operator Group) je u formiranju od strane RNIDS. • Privatni sektor ima značajne resurse koje je voljan da upotrebi za ukupno poboljšanje sajber-bezbednosti u Srbiji. Na primer, Telenor grupa ima kapaciteta i resurse da pomaže svojim tržištima, a Telenor Srbija ima tim za krizne situacije za sajber-incidente; postoje globalni Microsoft programi podrške u oblasti sajber-bezbednosti; telekom operateri i RNIDS imaju direktan kontakt i komunikaciju sa korisnicima (uključujući i preduzeća) po raznim pitanjima. • Kancelarija Poverenika za slobodan pristup informacijama od javnog značaja i zaštitu podataka o ličnosti ima kapaciteta da pomogne rešavanje nedoumica oko privatnosti. • Nevladin i akademski sektor poseduje (domaću i stranu) ekspertizu u oblasti digitalnih politika i sajber-bezbednosti. Na primer, Diplo i DCAF prganizuju programe izgradnje kapaciteta i obuke, dok FON nudi edukacije na polju e-forenzike.
• Mreža je pod stalnim i sve većim napadima, a nivo bebzednoznih rizika u sajber-prostoru je u porastu. Strateške procene EUROPOL-a govore da je ovo trend koji će biti dominantan narednih godina, i koji će rasti s povećanjem korišćenja servisa baziranih na Internetu. • Ljudski faktor neće brzo prestati da bude kritičan, s obzirom na nedovoljnu digitalnu pismenost i vreme i napor potrebne da se to promeni. Mogućnost unutrašnjih (tj. insajderskih) pretnji po sajber-bezbednost motivisanih dodatnom zaradom takođe ostaje visoka s obzirom na niski standard i projektovani minimalni rast nacionalne ekonomije. • Postoji mogućnost da se procedura donošenja zakona o informacionoj bezbednosti ponovo zakoči, ili da ne uvaži stavove svih zainteresovanih strana u meri koja može da utiče na sprovođenje održivih, efektivnih i efikasnih rešenja. • Nepoverenje među akterima se može pojaviti u slučaju utrkivanja ko bi mogao imati monopol nad radom CERT-a ako ono ne bude autonomno ekspertsko telo. • Nemogućnost koordinacije svih zainteresovanih strana u procesima aplikacije za EU fondove (uz kašnjenja u donošenju propisa, odnosno donošenje manjkavih propisa) mogu rezultirati izostankom dodeljivanja sredstava EU/donatora. • Nedostatak komunikacije između privatnog i javnog sektora u oblasti kreiranja i sporvođenja zakona i politika vezano za sajber-bezbednost može iste učiniti potpuno neprimenjivim. • Uvoz sve sofisticiranije IKT opreme pojačava rizike, sve je teža kontrola bezbednosti opreme i distributera opreme. Bezbednosne kontrole za rešenja, proizvode i sertifikaciju takođe mogu biti problem: potreban je sistem kontrole, ali takav da je dovoljno fleksibilan da ne uspori razvoj i primenu novih tehnologija. • Tvrda regulacija telekomunikacionog sektora u nekim aspektima sprečava privatne inicijative koje mogu pomoći
30
Prilike (pozitivni spoljašni faktori)
Pretnje (negativni spoljašni faktorii)
• Postoji interes partnerskih zemalja da njihovi CERT timovi podrže naš potencijalni tim u pridruživanju svetskim mrežama i bazama informacija o incidentima, što je važan korak za efikasan rad nacionalnog CERT-a. • Postoje pojedinci i državni organi koji mogu stručno da iznesu proces strateškog planiranja u oblasti sajberbezbednosti. Na primer, Biro za strateško planiranje MUP ima ljudstvo obučeno u EIPA za impact assesment, oformljen je Republički sekretarijat za javnu politiku, i sl.
(na primer po pitanju pravljenja disaster site mehanizma u drugoj državi, što može biti neophodno u nekim slučajevima).
31
MOGUĆI OKVIR ZA SAJBER-BEZBEDNOST U SRBIJI Mogući model okvira za Srbiju predložen je na bazi diskusije o stanju i potrebama u Srbiji, međunarodnih iskustava i predloga EU direktive za mrežnu i informacionu bezbednost (NIS). Obuhvata tri nivoa delovanja: politički, strateško-taktički i operativni Na najvišem političkom nivou se predlaže nadležnost postojećeg Saveta za nacionalnu bezbednost. Na strateško-taktičkom nivou se predlaže formiranje stručnog višepartnerskog Saveta za sajber-bezbednost kao kompetentnog autoriteta na nacionalnom nivou. Osnovne strateške nadležnosti Saveta bile bi: - priprema izveštaja i analiza stanja sajber-bezbednosti u Srbiji ("stanje nacije u sajber-prostoru") za politički nivo; - pripreme predloga strateških planova (rizici, presek stanja, resursi) i savetovanje političkog nivoa; - praćenje primene direktiva EU iz oblasti sajber-bezbednosti; - saradnja sa nacionalnim kompetentnim autoritetima drugih zemalja; - obezbeđivanje resursa i pružanje pomoći Nacionalnom CERT-u u slučaju potrebe; - saradnja sa službama za policijom, tužilaštvom i sudstvom, kao i Poverenikom za zaštitu podataka o ličnosti i drugim relevantnim agencijama - praćenje i analiza rada kompetentnih autoriteta za informacionu bezbednost. U sastavu Saveta za sajber-bezbednost trebalo bi da budu stručna lica koja su dovoljno visoko u hijerarhiji da imaju uticaj u instituciji iz koje dolaze i mandat odlučivanja po potrebi. Moguće je struktuirati Savet u tri nivoa: 1) najuži nivo činili bi predstavnici ključnih ministarstava i agencija, poput ministarstva nadležnog za informaciono društvo (MTTT), Ministarstva odbrane, MUP, MSP, Ministarstva pravde, BIA, Kancelarije saveta za nacionalnu bezbednost, Generalnog sekretarijata Vlade Srbije, Uprave za zajedničke poslove republičkih organa, RATEL i RNIDS, kao i predstavnig nacionalnog CERT a; 2) širi nivo činili bi i operatori kritične infrastrukture, telekom i Internet operateri, eksperti, drugi CERT-ovi; 3) najširi krug činili bi predstavnici korporativnog sektora, nevladine i akademske zajednice, onlajn i tradicionalnih medija, kako bi se uspostavili dobri mehanizmi koji bi štitili građanska prava, uključujući i kroz zaštitu medija koji su češto meta sajber-napada.
32
Na taktičkom nivou Savet za sajber-bezbednost ima zadatak da u ozbiljnijim operativnim situacijama - poput većih sajber-incidenata - odlučuje o taktičkim potezima zajedno sa ekspertima iz CERT-a, a u slučaju potrebe donosi odluku da se alarmira viši nivo. U slučaju da se ukaže potreba za regularnijim taktičkim delovanjem, moguće je pri Savetu (ili oko CERT-a) oformiti Centar za sajber-bezbednost koji bi se sastojao od operativnih predstavnika ključnih institucija i službi bezbednosti i kritične infrastrukture. U tom slučaju operativni eksperti Centra i CERT-a bi se sastajali redovno ili po potrebi u slučaju vanrednih incidenata koji mogu da predstavljaju veću pretnju. Centar bi u tom slučaju mogao da redovno priprema izveštaje i presek stanja za strateški nivo Saveta. Operativni nivo podrazumeva formiranje nacionalnog CERT-a (N-CERT). Inicijalni CERT je potrebno što pre operativno oformiti kroz saradnju postojećih institucija- u minimalnom slučaju kao "privremeni CERT" - kako bi se omogućila saradnja sa CERT-ovima drugih zemalja, prikupljanje postojećih podataka o rizicima i početno delovanje po redovnim incidentima. Po potrebi, formiranje privremenog CERT-a može se formalizovati i odlukom Vlade. Formalno definisanje detalja mandata i okvira rada nacionalnog CERT-a može se definisati podzakonskim aktima, dok bi se Zakonom o informacionoj bezbednosti definisalo postojanje nacionalnog CERT-a. Nacionalni CERT bi činili eksperti, koordinator, pravna i administrativna služba. Zadatak CERT-a je, pre svega, da prikuplja, deli i obrađuje operativne statistike i procene od drugih kontakata iz mreže saradnje i međunarodnih partnera, objavljuje rane uzbune i upozorenja, reaguje na incidente i rizike, izveštava strateški nivo o stanju sajberprostora u Srbiji, i pokreće akcije za širenje svesti o rizicima među partnerima i u javnosti. Redovno operativno delovanje na dnevnoj bazi je prvenstvena obaveza CERT-a. CERT po potrebi ima taktičko savetovanje sa strateško-taktičkim nivoom i zajednički donose odluke. CERT treba da ima obavezu da deluje u slučaju da nema povratne odluke sa višeg taktičkog ili političkog nivoa, kako operativni odgovor na incidente ne bi prestao da funkcioniše. Kako bi se osigurala efikasnost na operativnom nivou, važno je omogućiti autonomiju i nezavisnost CERT-a i izbeći eventualni monopol bilo kog aktera nad CERT-om. S obzirom da se efikasnost rada CERT-a u velikoj meri bazira na poverenju drugih institucija, kompanija i organizacija u njegov rad, transparentnost rada CERT-a, nepristrasno delovanje i fokus na operativne aspekte je od izuzetne važnosti. Poželjan vremenski okvir bio bi da se do kraja 2015. godine oformi nacionalni CERT (ili privremeni CERT) i uvede u međunarodna udruženja CERT-ova kako bi počeo sa operativnim delovanjem, donese Zakon o informacionoj bezbednosti kojim bi se institucionalni okvir definisao, i započne sa procesom izrade nacionalne strategije za sajber-bezbednost. Tokom 2016. godine bilo bi potom moguće raditi na osnaživanju kapaciteta i resursa nacionalnog CERT-a i mreže kontakata, i uspostavljanju jasnih pravila komunikacija i saradnje sa drugim institucijama. Do polovine 2016. godine bilo bi moguće i kreiranje višepartnerskog Saveta za nacionalnu bezbednost kao nacionalnog kompetentnog autoriteta prema predlogu direktive Evropske Unije.
33
Moguća operativna ťema
34
Moguća strateška šema
35
O PROJEKTU Diplo Centar i Misija OEBS-a u Srbiji pokrenuli su projekat kojim je inicirana višepartnerska platforma za razvoj nacionalnog okvira za sajber-bezbednost. Projekat ima za cilj da, kroz nekoliko faza od marta do jula 2015. godine, okupi predstavnike relevantnih nacionalnih institucija i eksperte kako bi dogovorili osnovne principe i preporuke za formiranje strateškog okvira, a pre svega Nacionalnog Centra za odgovor na sajber-incidente i nacionalnog višepartnerskog tela za sajber-bezbednost. Projekat predstavlja podršku državnim institucijama Republike Srbije za aktivno uključivanje u delovanje OEBS-a tokom predsedavanja Srbije u smeru jačanja Mera za izgradnju poverenja u sajber-prostoru (odluka br.1106 Stalnog Saveta), kao i za pregovore o pridruživanju Evropskoj uniji. Ovim projektom pomaže se uspostavljanje efikasnog višepartnerskog nacionalnog okvira kao odgovor na rizike koje donosi sveopšta digitalizacija društva. Iskustva uspešnih modela iz drugih zemalja (poput Finske i Slovenije) biće uneta kroz učešće stranih eksperata i omogućiti kreiranje preporuka za Srbiju baziranih na međunarodnim iskustvima i domaćim potrebama. S obzirom da u Srbiji odavno postoji generalna saglasnost stručne zajednice da je neophodno formirati operativni okvir za odgovore na sajber-incidente na nacionalnom nivou (nacionalni CERT) kao i strateški okvir za sajber-bezbednost, projekat je osmišljen tako da: 1. ubrza razmenu znanja i iskustava među institucijama, a time i mapiranje koje institucije i organizacije već delaju na tom polju i kako, koji su postojeći kapaciteti a gde su slabosti; 2. pomogne da se čuju iskustva drugih zemalja - pre svega Finske koja ima jednu od najčistijih mreža na svetu, i Slovenije koja ima pozitivna iskustva operativnim mehanizmom za odgovor na sajber-incidente već dvadeset godina; 3. doprinese izjednačavanju nivoa razumevanja oblasti sajber-bezbednosti (rizika, strateškog pristupa i osnovnih principa) među ekspertima iz ključnih institucija; 4. inicira uspostavljanje višepartnerskog modela saradnje baziranog na saradnji državnog, privatnog, nevladinog, tehničkog i akademskog sektora, i formulisanje sopstvenih principa i daljih koraka za strateški i operativni okvir shodno okolnostima u Srbiji; 5. pomogne realizaciju diskutovanih ideja i planova kroz analizu šireg političkog okvira i konteksta pod kojim bi se mogla dobiti politička podrška za dalji rad. Realizacija projekta sprovodi se u tri faze tokom 2015. godine. 1) Ekspertski skup Od 10.-12. maja u Istraživačkoj stanici "Petnica" pored Valjeva održan je trodnevni skup uz učešće predstavnika ključnih državnih institucija i privatnog sektora, kao i eksperata iz Finske i Slovenije. U skupu su učestvovali zvanično delegirani predstavnici Ministarstva trgovine, turizma i telekomunikacija, Ministarstva unutrašnjih poslova, Ministarstva odbrane, Ministarstva spoljnjihposlova, Bezbednosno-informativne agencije, Ministarstva državne uprave i lokalne samouprave, Ministarstva kulture i informisanja, Uprave za zajedničke poslove republičkih organa, Generalnog Sekretarijata Vlade, Kancelarije za nacionalnu bezbednost i zaštitu tajnih podataka, Tužilaštva za visoko-tehnološki kriminal, Poverenika za informacije od javnog značaja i zaštitu podataka, Regulatorne agencija za elektronske komunikacije (RATEL), Registra nacionalnog Internet domena Srbije (RNIDS), Akademske mreže Srbije, Telenor, Microsoft, SAGA, i kancelarije Ženevskog centra za demokratsku kontrolu oružanih snaga (DCAF) u Beogradu, kao i predstavnici Misije OEBS-a u Beogradu, Diplo Centra i Istraživačke stanice "Petnica".
36
Tokom skupa, učesnici su prodiskutovali trenutnu situaciju u Srbiji po pitanju sajber-bezbednosti, razmenili informacije o tome šta koje postojeće institucije i organizacije već rade po pitanju sajber-bezbednosti i koji su postojeći operativni i strateški kanali komunikacija među njima, i analizirali snage, slabosti, prilike i pretnje vezane za trenutno stanje. Eksperti iz Diplo, Ženevskog centra za bezbednosne politike (GCSP) i CERT Centra za odgovore na sajber-incidente Slovenije predstavili su strateške aspekte sajber-bezbednosti na globalnom i nacionalnom nivou, kao i iskustva uspešnog i međunarodno priznatog sveobuhvatnog okvira za sajber-bezbednost u Finskoj i efikasnog operativnog CERT-a u Sloveniji. Kroz niz moderiranih i struktuiranih diskusija i simulacija, učesnici su analizirali i postojeća znanja i kompetencije, kapacitete za pripremu preseka stanja nacije u sajber-prostoru i modele javno-privatnog partnerstva na političkom, vojnom, ekonomskom i tehnološkom planu, a potom i razmotrili moguće sistemske modele za strateško planiranje na polju sajber-bezbednosti kao i za redovno operativno delovanje u slučaju sajberbezbednosti. Poseban akcenat stavljen je na diskusiju o mogućnostima za formiranje nacionalnog Centra za odgovore na sajberincidente u Srbiji baziranog na postojećim kapacitetima i kontaktima, i neophodnih osnova za dobre relacije takvog Centra sa drugim institucijama i organizacijama. Radi otvorenijih i efikasnijih diskusija, vođene su po pravilima koja ne dozvoljavaju atribuciju komentara i stavova pojedinim učesnicima (engl. Chattamhouse Rules).
37
HRONOLOŠKI KONTEKST PROJEKTA
38
39
2) Konsultacije Tokom maja i juna učesnici ekspertskog skupa su, kroz niz međusobnih konsultacija i konsultacija sa drugim domaćim i stranim ekspertima, ponudili komentare na osnovne principe i smernice za dalji razvoj operativnog i strateškog okvira za sajberbezbednost u Srbiji. Koristeći interaktivnu onlajn platformu Diplo Centra koja omogućava stalnu komunikaciju i fokusirane diskusije kroz slojeve komentara na beleške sa skupa i incijalne smernice, grupa je bila u prilici da dodatno unapredi tekst smernica i predloge strateških i operativnih modela. Po potrebi, organizovani su i onlajn vebinari sa gostovanjem inostranih eksperata kako bi pomogli da se razreše neke nedoumice ili ponuditi strana iskustva i pozitivne prakse. Finalne smernice pripremljene su početkom juna na osnovu ovih konsultacija ali kao viđenje organizatora projekta; detaljnija razrada mogućih strateških i operativnih planova i dodatna onlajn diskusia biće nastavljena po potrebi.
40
3) Skup na visokom nivou Smernice će biti predstavljeni na visokom nivou predstavnicima Ministarstava, Vlade, Parlamenta i ključnih institucija, korporacija i organizacija 19. juna u Beogradu, kako bi se omogućila politička podrška za dalju realizaciju i višepartnerski model iniciran radom ovom ekspertskom grupom. Tom prilikom gosti na visokom nivou iz inostranstva će ponuditi i međunarodna iskustva, a biće omogućena i detaljnija diskusija među svim učesnicima na temu daljih koraka po pitanju sajber-bezbednosti. Celokupan projekat usklađen je sa drugim aktivnostima na polju sajber-bezbednosti, poput aktivnosti Srbije tokom predsedavanja OEBS-om u 2015. godini, javnim Parlamentarnim slušanjem na temu sajber-bezbednosti koje DCAF i Parlament Srbije organizuju u septembru 2015. godine, i drugim aktivnostima koje sprovode zvanične institucije i poslovni, akademski i nevladin sektor. Ideja je da projekat posluži kao inicijacija dužeg i održivog procesa podizanja kapaciteta i inicijacije višepartnerske platforme i strateških i operativnih okvira za sajber-bezbednost u Srbiji.
Učesnici u projektu U ekspertskom skupu projekta "Ka nacionalnom okviru za sajber-bezbednost u Srbiji: izgradnja višepartnerske platforme" učestvovali su zvanično delegirani predstavnici sledećih institucija: Ministarstva trgovine, turizma i telekomunikacija, Ministarstva unutrašnjih poslova, Ministarstva odbrane, Ministarstva spoljnjih poslova, Bezbednosno-informativne agencije, Ministarstva državne uprave i lokalne samouprave, Ministarstva kulture i informisanja, Uprave za zajedničke poslove republičkih organa, Generalnog Sekretarijata Vlade, Kancelarije za nacionalnu bezbednost i zaštitu tajnih podataka, Tužilaštva za visoko-tehnološki kriminal, Poverenika za informacije od javnog značaja i zaštitu podataka, Regulatorne agencija za elektronske komunikacije (RATEL), Registra nacionalnog Internet domena Srbije (RNIDS), Akademske mreže Srbije, Telenor, Microsoft, SAGA, i kancelarije Ženevskog centra za demokratsku kontrolu oružanih snaga (DCAF) u Beogradu, kao i predstavnici Misije OEBS-a u Beogradu, Diplo Centra i Istraživačke stanice "Petnica". U fazi onlajn diskusije, učestvovali su takođe i predstavnici sledećih institucija: Apcom, Share Foundation, Fakulteta organizacionih nauka, Policijske akademije i Beogradskog centra za bezbednosnu politiku. U skupu na visokom nivou, učestvovali su i predstavnici drugih državnih institucija, korporativnog sektora, akademske zajednice i civilnog društva, kao i mediji.
41
DODATAK: ŠTA JE CERT (ODNOSNO CSIRT)? Bezbednosni rizici u sajber-prostoru su distribuirani: napadači koriste sajber-alate koji se, posistemu „najslabije karike“, baziraju na propustima u kompjuterskim sustemima korisnika i institucija širom sveta, mimo znanja njihovih vlasnika. Stoga se bezbednost u sajber-prostoru ne može postići obezbeđivanjem samo jednog segmenta društva već je neophodno obezbediti što veći broj kompjuterskih sistema – državne uprave, kritične infrastrukture, komercijalnog i korporativnog sektora, organizacija i malih i srednjih preduzeća, pa u najvećoj mogućoj meri čak i pojedinaca – da ne bude podložan zloupotrebama u svrhu kriminala, terorizma ili ratovanja. Odgovor na distribuirane rizike je, dakle, distribuirana bezbednost bazirana na višepartnerskom pristupu: punoj međusobnoj saradnji državnih organa, korporativnog sektora, akademske i tehničke zajednice i ne-vladinog sektora. Nivo efikasnosti u reagovanju na sajber-incidente obrnuto je proporcionalan posledicama (finansijskim i društvenim): u slučaju dužeg trajanja incidenta poput distribuiranog napada (DDoS) na neki kompjuterski sistem, troškovi pada sistema rastu gotovo eksponencijalno kroz vreme. Stoga operativni okvir za reagovanje na incidente – CSIRT (ili CERT)3 timovi – mora da omogući efikasnost i flesksibilnost rada, a da bude baziran na stručnosti i jasnoj strukturi komunikacija, saradnje i komandi u slučaju incidenata. Kako se dnevno javlja hiljade potencijalnih incidenata, uspostavljanje CSIRT timova uključujući i nacionalni CSIRT je od izuzetne važnosti za sajber-bezbednost ali i generalnu bezbednost države i svih njenih segmenata. U ovom tekstu priređen je uvod u glavni segment operativnog okvira delovanja u oblasti sajber-bezbednosti – CSIRT, a na osnovu osnovu izveštaja radne grupe o najboljim primerima u oblasti uspostavljanja CSIRT globalnog Foruma o upravljanju Internetom (IGF).4 Iako je ovaj tekst fokusiran na CSIRT, on daje i neke osnovne principe šireg sistema sajber-bezbednosti. Šta je CSIRT? CSIRT je tim eksperata koji reaguju na kompjuterske incidente, koordiniranju rešenjima, obaveštavaju korisnike, razmenjuju informacije sa drugima i pomažu korisnicima u ublažavnju posledica incidenata. CSIRT može u svoj rad uključiti preventivne mere poput monitoringa i uzbunjivanja, kao i obrazovanje svojih korisnika da proaktivno spreče incidente. CSIRT može postojati u raznim organizacijama, preduzećima, u javnom i u privatnom sektoru, u okviru Vlade, sa različitim mandatima, autoritetima i čak imenima. Postoje organizacije koje samo rade za sebe ili za sigurnost sopstvenih proizvoda (PSIRT) kao i organizacije koje pomažu svojim klijentima – poput onih pri bankama. Postoje ³ CSIRT (Computer Security Incident Response Team) i CERT (Computer Emergency Response Team) su dva naziva za isti pojam. U izveštaju radne grupe Foruma o upravljanju Internetom iz 2014. godine eksperti su se odlučili za termin CSIRT, obrazlažući to suštinom posla tog tela koje se svakodnevno bavi analizom i reagovanjem na incidente, pre nego sporadičnim vanrednim okolnostima; takođe, termin CERT je zaštićen autorskim pravima od strane univerziteta u Americi gde je prvi put nastao. 4 Izveštaj “BPF 2014 - Outcome Document - Establishing and Supporting Computer Security Incident Response Teams (CSIRT) for Internet Security” dostupan je na adresi: http://www.intgovforum.org/cms/documents/establishing-and-supporting-computer-emergency-response-teams-certs-for-internet-security
42
CSIRT-ovi koji imaju zadatak od nacionalne važnosti da osiguraju saradnju između svih zainteresovanih strana koje su umešane u incident i/ili koji su tu da zaštite vitalnu/kritičnu infrastrukturu. CSIRT može biti nacionalna tačka kontakta (POC) unutar zemlje, koja koordinira saradnju unutar zemlje sa organizacijama koje su ili umešane (najčešće nesvesno) u incident ili pogođene incidentom. Svaki CSIRT je samostalan, ima svoje korisnike prema opisanim ciljevima i uslugama. Na nacionalnom nivou najčešće postoji jedan „nacionalni CSIRT“ koji obavlja ulogu centralne tačke za razmenu podataka o incidentima, i službe za reagovanje na incidente u okviru ključnih institucija od nacionalnog značaja; nacionalni CSIRT je takođe i glavna tačka za kontakt i saradnju sa CSIRT-ovima drugih država. Postoji mnogo različitih CSIRT modela koji se koriste širom sveta, i koji imaju sopstvene prednosti i mane. Za slučaj nacionalnog CSIRT-a razlike mogu biti u vezi sa načinom funkcionisanja, ko je domaćin ili kakve usluge treba da pruži, kao i druga pitanja kao što je finansiranje, struktura upravljanja lokalnog Interneta i kulturološka pitanja. Sve su ovo faktori koji utiču na odluku osnivanja CSIRT-a. Na osnovu iskustva, svaka zemlja mora da identifikuje šta je najbolje za njen slučaj. Primeri pokazuju da ima mnogo drugačijih vrsta nacionalnog CSIRT-a, sa različitom podrškom, od onih kojima upravlja samo Vlada, zatim samostalne agencije pa sve do organizacija koje vode volonteri5. Takođe postoje primeri da je u nekim zemljama CSIRT integrisan u ccTLDs (domeni najvišeg nivoa zemlje) registre ili su u bliskoj vezi sa njima. Ono što je najbitnije je da CSIRT radi u kooperaciji sa svim zaiteresovanim stranama i da obezbedi Internet stabilnijim i sigurnijim. Kako je uloga CSIRT da prikuplja informacije o incidentima, prati rizike i reaguje intervencijama, od velike je važnosti obezbeđivanje poverenja u CSIRT od strane ključnih partnera – iz redova državne uprave, operatora kritične infrastrukture, značajnog korporativnog sektora i važnijih institucija i organizacija, ali i drugih CSIRT-ova – da takve informacije kojima sami raspolažu stave na raspolaganje. Ovo poverenje se uspostavlja vremenom kroz kredibilitet koji CSIRT tim pravi efikasnim delovanjem i poštovanjem dogovorenih procedura o korišćenju i daljem deljenju ovih informacija. Iskustva govore da je jedini način da nacionalni CSIRT uspešno zaživi kada postoji poverenje u tim kao operativnu instituciju i kada je saradnja bazirana na dobrovoljnoj saradnji; saradnja nametnuta samo zakonom ili državnimorganima najčešće je kontraproduktivna po istinsku saradnju i poverenje, i takav CSIRT model ima male šanse za uspeh. Preporučeni koraci koje CSIRT mora da pređe kako bi postao ozbiljan i verodostojan partner drugim CSIRT-ovima su, između ostalih: a) Definisanje kakva je uloga CSIRT-a u zajednici; b) Definisanje koje usluge/servise CSIRT nudi; c) CSIRT mora da ubedi svoje kolege da je b) izvodljiv; d) CSIRT mora da isporuči a) i b); e) CSIRT mora doći do podataka koje čine isporuku lakšom; f) Isporukom d) CSIRT dobija više poverenja, i dobija više podataka od svojih kolega i nastavlja pozitivan uspeh u saradnji, poverenju i efikasnosti; g) Proces sticanja poverenja može biti dugotrajan, i ima nekoliko prečica do aktivnog rada i partnerstva sa ostalima da bi dostigao ovu tačku. 5
Potpuna lista može biti pronađena ovde: http://cert.org/incident-management/national-csirts/national-csirts.cfm
43
USLUGE KOJE NUDI CSIRT Usluge koje pruža CSIRT su direktno zavisne od njihovih korisnika i zadataka koji su im dati. S obzirom na to, tri glavne kategorije usluga mogu biti identifikovane: 1. Reaktivne usluge. Ove usluge aktivira neki događaj ili zahtev, kao što je izveštaj o kompromitovanom glavnom računaru, rasprostranjenom štetnom virusu, ranjivosti softvera ili o nečemu što je identifikovano otkrivanjem upada ili evidentiranjem sistema. Reaktivne usluge su srž rada CSIRT-a. 2. Usluge prevencije. Ove usluge pružaju pomoć i informacije kako bi se pripremili, zaštitili i osigurali sistemi klijenata u očekivanju napada, problema ili događaja. Izvršavanja tih usluga će direktno smanjiti broj incidenata u budućnosti. Za nacionalni CSIRT sve je važnija i mogućnost prikupljanja informacija o incidentima na sistemima u zemlji i inostranstvu, i sposobnost brze analize velikog broja uzbuna o mogućim incidentima, što otvara put ka kreiranju svesti o trenutnoj situaciji u svakom momentu, kao i o stanju nacije u sajber-prostoru čime se podiže i poverenje partnera u rad CSIRT. Aktivnosti vezane za širenje svesti o načinima prevencije takođe spadaju u portfolio mnogih CSIRT timova. 3. Usluge upravljanja sigurnosti kvaliteta. Ove usluge pružaju podršku i to su dobro utvrđene usluge koje su samostalne u rešavanju incidenata i pomažu odgovornim delovima orgaizacije kao što je IT sektor, revizori ili odeljenja za treninge. Ukoliko CSIRT pruža ili pomaže kod ovakvih usluga, njegova stručnosti može da pomogne u poboljšanju ukupne sigurnosti organizacije kao i da identifikuje rizike, pretnje i slabosti sistema. Takođe, CSIRT može da stimuliše uspostavljanje visokih standarda u institucijama Ove usluge su generalno preventivne, ali indirektno doprinose smanjivanju broja incidenata.6 U okviru svake od usluga, informacije o incidentu mogu biti podeljene ili sačuvane, i neophodno je da svaki CSIRT ima svoje procese, procedure i tehnike kojima može da osigura da se deljenje i čuvanje podataka odvija na siguran način. Postoji mnogo različitih modela u upotrebi širom sveta. Na primer, CSIRT može biti odgovoran za kompletnu sigurnost velikog broja korisnika na proaktivne i reaktivne načine, uključujući svest i obrazovanje. U radu CSIRT-a se često razmenjuju poverljivi podaci što zahteva rad na izgradnji visokog nivoa poverenja između organizacija i pojedinaca. Poverenje je osnova saradnje. Poverenje se gradi tokom sastanaka, kroz verodostojne odgovore na incidente, kroz rad, treniranje i razvoj ideja i rešenja. Takođe da bi bio uspešan, CSIRT mora pažljivo da zaštiti poverljive informacije koje razmenjuje i da razvije i održi poverenje. Nivo zaštite takođe utiče na poverenje koje CSIRT gradi. Privatnost podataka Pravila privatnosti treba da zaštite individualna prava pojedinaca. CSIRT može na mnoge načine doprineti privatnosti, tako što osigurava da se na incident i upade u podatke propisno odgovori. CSIRT može svojim klijentima ponuditi edukaciju o tome kako da zaštite podatke. Posao CSIRT-a je delikatan i uključuje rad sa osetljivim podacima. Često, sajber-incident ne može biti ublažen bez deljenja privatno osetljivih podataka (npr. IP adrese) sa drugim CSIRT-ovima i/ili klijentima CSIRT-a kako bi se zaštitili
6 Ovaj sažetak kategorija usluga CSIRT-a od strane CERT/CC je praćen širokom listom usluga kao što objavio CERT/CC, deo Karnegi Melon Univerziteta. Videti: http://www.cert.org/incident-management/services.cfm
44
sistemi i pojedinci koji su uključeni u incident i koji stoje iza ICT sistema. O deljenju privatno osetljivih podataka je potrebno diskutovati sa odgovarajućim zainteresovanim stranama kao što su CSIRT, Vlada i regulator i pronaći rešenja. Takođe je potrebno utvrditi na koje načine zakoni o privatnosti utiču na rad CSIRT-a. Zaključak Kao zaključak, nekoliko je ključnih uvida do kojih se došlo kao rezultat iskustava mnogobrojnih CSIRT-ova širom sveta: 1. Postoje jaki razlozi da se koristi termin CSIRT u odnosu na CERT. Ovo je razlog zbog koga se skraćenica CSIRT koristi u ovom dokumentu. Ostaje otvoreno pitanje kako bi glasio standardizovan naziv (ili prevod) za CSIRT na srpskom jeziku. 2. Postoje različiti CSIRT-vi unutar različitih organizacija. Njihovi ciljevi, klijentela i usluge se mogu razlikovati. Međutim, svi oni su uključeni u ublažavanje incidenata u sajber-prostoru ili hitnih slučajeva u korist svojih klijenata. Ovi klijenti mogu biti unutar njihove organizacije i/ili izvan organizacije. 3. Najvažniji faktor je da su svi CSIRT-ovi u mogućnosti da rade zajedno, prihvate informacije jedni od drugih i dobrovoljno isporuče ono što se od njih očekuje. Višeakterski pristup je od izuzetnog značaja za uspeh rada CSIRT-a. 4. Prilikom saradnje, sve se svodi na poverenje. Ne postoji zakon koji može dati poverenje jednoj organizaciji. Ono se gradi tokom vremena, i nanovo, tako što se isporučuje ono što je potrebno i obećano, blagovremeno, i pružajući sigurnost i pridržavajući se osetljivosti koja je potrebna za saradnju. Po pitanju nacionalnog CSIRT-a pravni okvir je svakako važan, ali nije ključni element za uspeh rada CSIRT-a. 5. Uspeh ili neuspeh CSIRT-a ima veze sa tačnim određivanjem rezultata rada, odmah nakon percepcije drugih aktera. Ponekad, uspeh nije jasno definisan, što doprinosi konfuziji oko toga šta su rezultati CSIRT rada a šta ne. 6. Način na koji CSIRT sarađuje na globalnom, regionalnom ili nacionalnom nivou – što se tiče deljenja znanja i informacija, omogućavanja treninga i aktivnog rada na poverenju –doveo je do dokumenata koji su slobodni da se dele i dostupni svima. Ti dokumenti se često opisuju kao mogući način da se postignu određeni ciljevi, umesto definisanja zajedničke prakse. 7. Mnogi CSIRT-ovi u svetu ublažavaju incidente i odgovaraju na hitne slučajeve svakodnevno i uspešni su u svom poslu. Oni to čine u saradnji sa različitim partnerima. Ima nekoliko formalnih i neformalnih mreža koje su se dokazale kao uspešne. Međutim, te mreže nisu lako dostupne svima, zbog regionalnih razlika u budžetima i postavkama prioriteta. 8. Postoji očigledna potreba za “privremenim CSIRT-om“ (eng. CSIRT of last resort) u zemlji. Manje je važno ko vrši funkciju CSIRT-a, sve dok je njegova funkcija jasna svima i dok može da odgovara na zahteve za pomoć od trećih strana. U mnogim zemljama ovo će biti nacioanalni CSIRT, najčešće formalno-pravno pod okriljem Vlade, ali, kako primeri pokazuju, to takođe može biti CSIRT kojim upravljaju drugi akteri. Najvažnija stvar je da je CSIRT sposoban da upravlja bilo kojim incidentom na nacionalnom nivou, kada nijedna druga umešana strana nije u mogućnosti da preuzme tu ulogu. Ove zaključke treba imati na umu tokom diskusije o modelu nacionalnog i drugih CSIRT-ova u zemlji. Šta više, ovi principi važni su i za uspostavljanje šireg okvira za sajber-bezbednost. 45
46
Diplo Centar
Udruženje građana "Diplo Centar" je nestranačka, nevladina i neprofitna organizacija, osnovana 2001. godine. Osnovna misija organizacije je unapređenje institucionalnih kapaciteta malih zemalja i zemalja u razvoju - a pre svega Srbije - da se aktivno i efikasno uključe u savremene globalne političke procese, pregovore i diplomatiju. Diplo Centar implementira obrazovne aktivnosti i aktivnosti za izgradnju kapaciteta institucija i organizacija vezane za savremene teme u diplomatiji, a pre svega u oblasti digitalnih politika i upravljanja Internetom, sajber-bezbednosti, digitalne i e-diplomatije. Sarađujući sa Diplo Fondacijom, neprofitnom međunarodnom obrazovnom institucijom osnovanom od strane Vlada Švajcarske i Malte 2002. godine, Diplo Centar ima 14 godina iskustva u savremenoj diplomatiji, a pre svega vezano za globalno upravljanje i IKT, upravljanje Internetom i digitalne politike, sajber-bezbednost i ljudska prava, kao i za teme vezane za klimatske promene. Organizuje različite obrazovne aktivnosti i aktivnosti za izgradnju kapaciteta institucija i organizacija, poput treninga, akreditovanih akademskih i profesionalnih kurseva (onlajn i uživo), i trening programa prilagođenih potrebama donosioca odluka i prodesionalnih zajednica. Do 2014. godine, preko 1500 profesionalaca iz 140 zemalja uspešno je završilo edukativne programe i većina je još uvek aktivna u diskusijama unutar profesionalnih vođenih onlajn platformi. Neke od aktivnosti uključuju: - sprovođenje programa za razvoj institucionalinih kapaciteta - poput treninga i onlajn edukacija - u oblastima poput upravl janja Internetom, digitalnih politika i sajber-bezbednosti; - korišćenje i razvoj alata za učešće putem Interneta (e-učešće) u procesima globalnog upravljanja, uključujući i učešće na daljinu u međunarodnim skupovima i upotrebu društvenih mreža tokom globalnih pregovora; - trening zvaničnika i stručnjaka iz malih zemalja i zemalja u razvoju; - analiza i savetovanje vezano za upotrebe IKT u diplomatiji; - pojačavanje učešća nevladinog sektora - uključujući i akademske institucije i organizacije civilnog društva - u međunarodnim odnosima i međunarodnim političkim procesima; - podrška stvaranju stručnih zajednica i mreža u zemljama u razvoju koje se bave novim i kompleksnim politikama, poput upravljanja Internetom, klimatskih promena i e-diplomatije. Od 2010. godine, Diplo Centar se fokusirao na lokalne i regionalne programe, koristeći postojeće ekspertske resurse i znanje. Danas Diplo Centar uspešno uvezuje institucije, profesionalnce i zvaničnike kroz sprovođenje obrazovnih i trening programa i diskusija na temu digitalnih politika u Srbiji, Centralnoj i Jugo-istočnoj Evropi. Projekti Diplo Centra finansirani su od strane različitih donatora, poput Diplo Fondacije, OEBS, Švajcarske agencije za razvoj SDC, Ženevskog centra za demokratsku kontrolu oružanih snaga (DCAF), Centralno-evropske inicijative (CEI) i drugih.
47
50
Diplo Centar Gavrila Principa 44a/33 11000 Beograd, Srbija www.diplomacy.edu