Sve je izvjesnije da će jedna od agencija koje čine tajnu službu u Hrvatskoj, Sigurnosno-obavještajna agencija (SOA), postati novi domaći regulator. Prema prijedlogu novog Zakona o kibernetičkoj sigurnosti, koji je u javnoj raspravi primio više od sto komentara, SOA bi nadzirala internetsku zaštitu kritične državne infrastrukture. Na prvu logično, dok se iz Zakona ne shvati da će pod "kritičnu infrastrukturu" država popisati i obvezati i veći broj privatnih tvrtki.
Marko Rakar, IT stručnjak i najglasniji kritičar te ideje, kaže da se tako SOA pozicionira ne samo kao tijelo koje će provoditi nadzor, nego i kao regulator.
- Čak i ako ignoriramo činjenicu da mandat koji im ovaj Zakon daje nije u skladu sa zakonskom ulogom SOA-e, puno veći problem je u tome što imamo obavještajnu agenciju koja se bavi stvarima koje bi po svojoj prirodi trebale biti riješene kroz javni i otvoreni proces - smatra Rakar.
Navodi da je kibernetička zaštita sličnija preventivnoj i primarnoj zdravstvenoj zaštiti ili, primjerice, sigurnosti u prometu nego pitanjima kriminala i obavještajne djelatnosti kojima se SOA inače bavi.
- Ovim Zakonom će se SOA, kao zatvorena i netransparentna organizacija, biti prisiljena baviti temama i razinom komunikacije s tisućama pravnih subjekata s kojima inače nema doticaja, i to na načine koji su u direktnoj suprotnosti s temeljima obavještajne djelatnosti - kaže Rakar.
Upravo na to upozoravaju i iz odvjetničkog društva Porobija & Špoljarić.
Sukob interesa
- Smatramo određivanjem SOA-e kao središnjeg državnog tijela za područje kibernetičke sigurnosti, odnosno, de facto, određivanjem SOA-e kao regulatornog tijela koje nadzire primjenu ovog Zakona te ujedno provodi neposredni nadzor nad adresatima nepogodnim, budući da bi se time potencijalno kompromitiralo opće djelovanje SOA-e kao središnjeg i ključnog obavještajnog tijela RH - komentira odvjetničko društvo.
Pojašnjavaju da bi SOA kao regulator mogla ući u situacije u kojima bi bila u sukobu interesa.
- Morala bi birati između interesa subjekata koje regulira i povjerljivosti informacija koje postanu dostupne prilikom provođenja regulatornih ovlasti s jedne strane i prikupljanja, analize i korištenja istih povjerljivih informacija ako bi takve informacije potencijalno predstavljale podatke koji bi se mogle koristiti u svrhu zaštite interesa RH ili čak zaštitu nacionalne sigurnosti - navodi društvo.
Otpor suradnji
Na to upozorava i Rakar. Oboje se slažu da bi tada zadaća SOA-e morala biti da prije svega štiti interese RH, ali to će stvoriti problem u suradnji s tvrtkama kao i s regulatorima EU. Naime, novi Zakon dio je implementacije nove regulative EU o zaštiti kritične infrastrukture preko interneta, takozvanog NIS2, i Hrvatska će pritom morati surađivati s drugim tijelima EU i razmjenjivati informacije o napadima i ranjivostima svoje kritične infrastrukture. I Rakar i odvjetničko društvo pitaju se kako će se takva suradnja odvijati otvoreno i transparentno kad će jedino Hrvatska za regulatora kibernetičke sigurnosti postaviti svoju tajnu službu. Štoviše, vide i problem u suradnji s privatnim tvrtkama.
- Zbog očekivanog i razumljivog tajnovitog i netransparentnog djelovanja SOA-e, smatramo da postoji opasnost od korištenja regulatornih ovlasti u ostvarivanje svrha koje nisu primarno regulatorne prirode, a što bi se vrlo lako moglo shvatiti od strane reguliranih subjekata kao potencijalna zlouporaba regulatornih ovlasti na njihovu štetu te bi moglo rezultirati značajnim otporom suradnji s regulatorom - navode Porobija & Špoljarić.
Vlada, pak, navodi da je SOA najopremljenija za takvu zadaću te da se najveći broj kibernetičkih napada danas odnosi na državno-sponzorirane napade, poput onih koji dolaze iz Sjeverne Koreje, i djela organiziranog kriminala, poput napada koji dolaze iz Rusije.
- Hrvatska ima bolje opremljenih civilnih ustanova za takav zadatak, poput CARNetova CERT-a ili ZSIS-a - ističe Rakar i podsjeća da slične poslove u telekomima i bankama već rade Hakom i HNB.
Vlada procjenjuje kako će broj obveznika Zakona porasti tri puta, a Rakar tvrdi i znatno više. Privatnim tvrtkama prijete kazne i od 10 milijuna eura ili dva posto ukupnog prihoda na globalnoj razini.
- Osim svih državnih i javnih tvrtki, svih velikih i srednjih privatnih tvrtki, to će zahvatiti i nepoznat broj malih. To će biti nekoliko tisuća pravnih subjekata - zaključuje Rakar.