JEDINI U EU

SOA dobiva nove ovlasti, nadzirat će tisuće tvrtki, stručnjaci zatečeni: ‘To će stvoriti problem‘

Hrvatska je jedina država EU u kojoj bi taj posao trebala obavljati tajna služba

Daniel Markić

 Goran Mehkek/Cropix

Sve je izvjesnije da će jedna od agencija koje čine tajnu službu u Hrvatskoj, Sigurnosno-obavještajna agencija (SOA), postati novi domaći regulator. Prema prijedlogu novog Zakona o kibernetičkoj sigurnosti, koji je u javnoj raspravi primio više od sto komentara, SOA bi nadzirala internetsku zaštitu kritične državne infrastrukture. Na prvu logično, dok se iz Zakona ne shvati da će pod "kritičnu infrastrukturu" država popisati i obvezati i veći broj privatnih tvrtki.

Marko Rakar, IT stručnjak i najglasniji kritičar te ideje, kaže da se tako SOA pozicionira ne samo kao tijelo koje će provoditi nadzor, nego i kao regulator.

- Čak i ako ignoriramo činjenicu da mandat koji im ovaj Zakon daje nije u skladu sa zakonskom ulogom SOA-e, puno veći problem je u tome što imamo obavještajnu agenciju koja se bavi stvarima koje bi po svojoj prirodi trebale biti riješene kroz javni i otvoreni proces - smatra Rakar.

Navodi da je kibernetička zaštita sličnija preventivnoj i primarnoj zdravstvenoj zaštiti ili, primjerice, sigurnosti u prometu nego pitanjima kriminala i obavještajne djelatnosti kojima se SOA inače bavi.

- Ovim Zakonom će se SOA, kao zatvorena i netransparentna organizacija, biti prisiljena baviti temama i razinom komunikacije s tisućama pravnih subjekata s kojima inače nema doticaja, i to na načine koji su u direktnoj suprotnosti s temeljima obavještajne djelatnosti - kaže Rakar.

Upravo na to upozoravaju i iz odvjetničkog društva Porobija & Špoljarić.

Sukob interesa

- Smatramo određivanjem SOA-e kao središnjeg državnog tijela za područje kibernetičke sigurnosti, odnosno, de facto, određivanjem SOA-e kao regulatornog tijela koje nadzire primjenu ovog Zakona te ujedno provodi neposredni nadzor nad adresatima nepogodnim, budući da bi se time potencijalno kompromitiralo opće djelovanje SOA-e kao središnjeg i ključnog obavještajnog tijela RH - komentira odvjetničko društvo.

Pojašnjavaju da bi SOA kao regulator mogla ući u situacije u kojima bi bila u sukobu interesa.

- Morala bi birati između interesa subjekata koje regulira i povjerljivosti informacija koje postanu dostupne prilikom provođenja regulatornih ovlasti s jedne strane i prikupljanja, analize i korištenja istih povjerljivih informacija ako bi takve informacije potencijalno predstavljale podatke koji bi se mogle koristiti u svrhu zaštite interesa RH ili čak zaštitu nacionalne sigurnosti - navodi društvo.

Otpor suradnji

Na to upozorava i Rakar. Oboje se slažu da bi tada zadaća SOA-e morala biti da prije svega štiti interese RH, ali to će stvoriti problem u suradnji s tvrtkama kao i s regulatorima EU. Naime, novi Zakon dio je implementacije nove regulative EU o zaštiti kritične infrastrukture preko interneta, takozvanog NIS2, i Hrvatska će pritom morati surađivati s drugim tijelima EU i razmjenjivati informacije o napadima i ranjivostima svoje kritične infrastrukture. I Rakar i odvjetničko društvo pitaju se kako će se takva suradnja odvijati otvoreno i transparentno kad će jedino Hrvatska za regulatora kibernetičke sigurnosti postaviti svoju tajnu službu. Štoviše, vide i problem u suradnji s privatnim tvrtkama.

- Zbog očekivanog i razumljivog tajnovitog i netransparentnog djelovanja SOA-e, smatramo da postoji opasnost od korištenja regulatornih ovlasti u ostvarivanje svrha koje nisu primarno regulatorne prirode, a što bi se vrlo lako moglo shvatiti od strane reguliranih subjekata kao potencijalna zlouporaba regulatornih ovlasti na njihovu štetu te bi moglo rezultirati značajnim otporom suradnji s regulatorom - navode Porobija & Špoljarić.

Vlada, pak, navodi da je SOA najopremljenija za takvu zadaću te da se najveći broj kibernetičkih napada danas odnosi na državno-sponzorirane napade, poput onih koji dolaze iz Sjeverne Koreje, i djela organiziranog kriminala, poput napada koji dolaze iz Rusije.

- Hrvatska ima bolje opremljenih civilnih ustanova za takav zadatak, poput CARNetova CERT-a ili ZSIS-a - ističe Rakar i podsjeća da slične poslove u telekomima i bankama već rade Hakom i HNB.

Vlada procjenjuje kako će broj obveznika Zakona porasti tri puta, a Rakar tvrdi i znatno više. Privatnim tvrtkama prijete kazne i od 10 milijuna eura ili dva posto ukupnog prihoda na globalnoj razini.

- Osim svih državnih i javnih tvrtki, svih velikih i srednjih privatnih tvrtki, to će zahvatiti i nepoznat broj malih. To će biti nekoliko tisuća pravnih subjekata - zaključuje Rakar.

Potencijal za rast: Prema ulaganjima u zaštitu na začelju EU

I dok se koplja lome oko realizacije, i kritičari i zagovornici novog zakona slažu se da je on korak u dobrom smjeru. Upozoravaju da se nakon pandemije velik dio gospodarstva i države prebacio na internet te je zaštitu od kibernetičkih napada nužno shvatiti ozbiljnije, kako u državnom, tako i u privatnom sektoru.

Hrvatska je, prema podacima ENISA-e, na začelju EU prema ulaganjima u kibernetičku sigurnost. Rakar kaže kako se iz toga može zaključiti i da je Hrvatska vjerojatno među najslabije zaštićenim članicama Unije. Vidi i potencijal za rast dijela gospodarstva.

- Narast će potreba za stručnjacima za računalnu sigurnost pa će doći i do otvaranja novih radnih mjesta i stvaranja novih i jačanja postojećih specijaliziranih tvrtki koje će se baviti tim segmentom sigurnosti - kaže Rakar.

A1 HRVATSKA
Hakom već nadzire telekom operatore

Računalnu sigurnost u Hrvatskoj već reguliraju HNB za banke i Hakom za telekome.

- Predlažemo da se za telekome, koji su danas digitalne kompanije, centralizira regulatorna funkcija u jedno tijelo - Hakom, koji već danas provodi nadzor nad telekom operatorima u području kibernetičke sigurnosti - predlažu u A1.

LIJEČNICI I VODOVODI
Veliki izazov za obiteljske liječnike

Po novom Zakonu bi takoreći cijelo zdravstvo, ali i vodovodi postali kritična infrastruktura. - Ministarstvo zdravstva bi se trebalo obvezati da pruži podršku jer bi to moglo predstavljati veliki izazov za brojne ordinacije - upozoravaju obiteljski liječnici. Ivica Nuić, direktor Vodovoda iz Makarske, ističe da nisu svi vodovodi isti, da ne koriste iste tehnologije obrade vode, te bi to trebalo uzeti u obzir pri definiranju obveza.

Želite li dopuniti temu ili prijaviti pogrešku u tekstu?
Linker
13. studeni 2024 01:12