Urad vlade RS za informacijsko varnost (URSIV) je v petek, 16. februarja 2024, dal v javno obravnavo osnutek novega Zakona o informacijski varnosti. Slovenija mora namreč v svoj pravni red prenesti Direktivo (EU) 2022/2555 Evropskega parlamenta in Sveta z dne 14. decembra 2022 (krajše imenovano: direktiva NIS2), ki prinaša bistvene spremembe na tem področju. Nacionalne CSIRT skupine (kot je SI-CERT) dobivajo nove zadolžitve. V ta namen je seveda pričakovati krepitev kapacitet na SI-CERT, saj med drugim tudi člen 11 direktive določa »Zahteve, tehnične zmogljivosti in naloge skupin CSIRT«, med katerimi bo treba v tem in naslednjem letu poskrbeti za:
- zadostno število osebja za zagotavljanje neprekinjene razpoložljivosti storitev, pri čemer se zagotovi, da je to osebje ustrezno usposobljeno;
- zagotavljanje potrebnih tehničnih zmogljivosti za izvajanje nalog, kot tudi zadostna sredstva za zagotavljanje ustreznega števila osebja, ki omogoča razvoj tehničnih zmogljivosti;
- pripravo rešitev za opravljanje proaktivnega pregleda omrežnih in informacijskih sistemov zadevnega subjekta, da se odkrijejo ranljivosti, ki bi lahko imele pomemben vpliv;
- prevzem vloge koordinatorja za namene postopka usklajenega razkrivanja ranljivosti.
URSIV poziva vso zainteresirano javnost, da do 18. 3. 2024 poda komentarje in pripombe na osnutek zakona. Spodaj se lahko seznanite z našimi.
Splošne pripombe
Naloge CSIRT skupin
Trenutno veljavni ZInfV (sprejet leta 2018) opredeli naloge in zadolžitve obeh CSIRT skupin v ločenih členih (28. člen določa naloge nacionalne CSIRT skupine, SI-CERT, 29. člen pa naloge CSIRT skupine organov državne uprave, SIGOV-CERT). To omogoči zavezancem jasen pregled nad tem, kaj lahko od pristojne (svoje) CSIRT skupine pričakujejo. Osnutek novega zakona po našem mnenju to preglednost izgubi, zato predlagamo, da se opredeli naloge obeh CSIRT skupin podobno, kot je to določeno v trenutno veljavnem ZInfV.
Program ozaveščanja
Veljavni ZInfV določa, da SI-CERT izvaja nacionalni program ozaveščanja (gre za program Varni na internetu). V nekaj več kot desetletju je bil program ozaveščanja deležen številnih nagrad doma in v tujini. Ozaveščanje se v novem zakonu nahaja v 8. členu osnutka, ki opredeljuje strategijo kibernetske varnosti in v 9. odstavku 14. člena, ki pravi, da CSIRT skupine “lahko izvajajo programe ozaveščanja”. Ne glede na to, da je smiselno ozaveščanje uvrstiti v strategijo, predlagamo tudi, da se to v ZInfV-1 opredeli podobno, kot v ZInfV (kot nalogo nacionalne CSIRT skupine), sicer se lahko pojavi pravna negotovost pri financiranju izredno uspešnega (in po našem mnenju tudi zelo stroškovno učinkovitega) programa, ki je za zgled tudi bolj naprednim članicam EU.
Opozorili bi tudi, da je Strategija kibernetske varnosti RS bila sprejeta leta 2016 in od tedaj še ni bila posodobljena. Ozaveščanje ta strategija omenja zelo splošno in na načelni ravni (razdelka 7.3 in 8 omenjene strategije). Tudi zato je nujno, da se program ozaveščanja izrecno opredeli kot naloga nacionalne CSIRT skupine, SI-CERT.
Mehanizem za samoregistracijo
7. člen osnutka navaja mehanizem za samoregistracijo za zavezance, 28. člen pa: “Do vzpostavitve samoregistracijskega mehanizma se informacije posredujejo v digitalni obliki na elektronski naslov pristojnega nacionalnega organa.” Pri načrtovanju sistema ali platforme za registracijo in vodenje evidence o zavezancih naj se že ob zasnovi načrtuje oddaljen dostop do sistema z ustreznim API mehanizmom, ki bo omogočal integracijo z orodji CSIRT skupin pri preverjanju aktualnih podatkov o zavezancih (kontaktni naslovi, številke avtonomnih sistemov in IP bloki), ali pa da ima vsaj možnost strukturiranega izvoza podatkov (recimo v ustrezno JSON obliko v skladu z definirano podatkovno shemo).
Delovanje v izrednih razmerah
V primeru obravnave bolj pomembnih incidentov zaposleni pristojnih CSIRT skupin delujejo izven okvirov, ki jih določa delovna zakonodaja, saj gre za pogosto izredne razmere, kjer se mora obvladovati in zamejiti posledice incidenta, ki imajo vpliv na delovanje družbe in države. Razumljivo je, da se tedaj v nekem časovnem obdobju dela zelo intenzivno, zato je nujno, da se opredeli pravna podlaga za takšno delovanje v tem zakonu.
Pripombe k posameznim členom
5. člen (pomen izrazov)
Odstavek 46 omenja “semaforski protokol”, ne navaja pa bolj natančne razlage in reference na definicijo, za katero skrbi združenje FIRST: https://www.first.org/tlp/. Predlagamo, da se referenca doda v zakon, ali pa da se kot referenco navede Načrt odzivanja na kibernetske incidente (NOKI), kjer je standard že povzet. S tem bo jasno določeno, za kateri protokol gre. Manjša podrobnost: pojem “semaforski protokol” se uporabi že pred samo definicijo (na koncu 4. člena).
12. člen (skupine za odzivanje na incidente na področju računalniške varnosti (skupine CSIRT)
Prva alineja prvega odstavka naj se spremeni v: “nacionalna CSIRT skupina je SI-CERT pri javnem zavodu Akademska in raziskovalna mreža Slovenije.” SI-CERT je uradno ime, navedeno v obstoječem Zakonu o informacijski varnosti, Zakonu o elektronskih komunikacijah (ZEKom-2), Strategiji kibernetske varnosti Republike Slovenije in v strategiji Digitalna Slovenija 2030. Pod tem imenom je SI-CERT registriran kot nacionalna CSIRT skupina v združenju FIRST, pri akreditacijski shemi Trusted Introducer in v Mreži CSIRT po direktivi NIS. Poimenovanje “CSIRT SI-CERT” je prvič uporabljeno v pričujočem delovnem osnutku ZInfV-1, brez da bi bilo jasno, zakaj naj bi ta sprememba bila potrebna. Povsod drugod v osnutku naj se ta izraz zamenja z “nacionalni CSIRT” ali preprosto “SI-CERT”. To je še posebej skladno z 9. in 10. odstavkom, ki omenja “nacionalne skupine” (mišljeno kot nacionalne CSIRT skupine) tretjih držav, zato velja seveda ekvivalentno poimenovanje tudi za SI-CERT.
Dodatno opozarjamo, da sta pojma CSIRT (Computer Security Incident Response Team) in CERT (Computer Emergency Response Team) pravzaprav sopomenki (direktiva NIS iz leta 2017 zato v uvodni določbi 34 pravi: “dobro delujoče skupine CSIRT, znane tudi kot skupine za odzivanje na računalniške grožnje (v nadaljnjem besedilu: skupine CERT)”). Poimenovanje CSIRT SI-CERT je torej preprosto podvajanje pojma.
13. člen (zahteve in tehnične zmogljivosti skupin CSIRT)
Zahteve, ki jih opredeljuje ta člen in izhajajo neposredno iz direktive NIS2, imajo za SI-CERT neposredne (in pomembne) finančne posledice, ki jih bo potrebno jasno opredeliti pred sprejemom ZInfV-1. Opozarjamo na potrebo po stabilnem in ustreznem financiranju, kot ga opredeljuje NIS2.
16. člen (usklajeno razkrivanje ranljivosti in evropska podatkovna zbirka ranljivosti)
Predlog opredeljuje SI-CERT kot koordinatorja za usklajeno razkrivanje ranljivosti. To se nam zdi ustrezna rešitev, saj smo to nalogo opravljali tudi do sedaj (do sprejema direktive NIS2 se je sicer uporabljal pojem odgovorno razkrivanje ranljivosti). Odstavki 1, 2 in 3 16. člena predstavljajo prepis določil iz člena 12 direktive NIS2, 4. odstavek pa seveda povzame sodelovanje z agencijo ENISA. Nadaljnji odstavki 16. člena predloga ZInfV pa po našem mnenju pravzaprav opredeljujejo dodatne zahteve, ki niso prisotne v direktivi NIS2: tedensko poročanje SI-CERT URSIV, neposredno obveščanje ob zaznani ranljivosti pri zavezancu, vzpostavitev podatkovne zbirke, do katere imajo dostop URSIV in vsi zavezanci. V primeru, da se SI-CERT naloži te dodatne naloge, ima to za posledico dodatno vzpostavljanje in zaščito ustrezne infrastrukture, oblikovanje pravilnikov in postopkov, kar ima dodatne neposredne finančne (ter kadrovske) posledice za SI-CERT.
17. člen (sodelovanje na nacionalni ravni)
Vsebina tega člena ne definira natančno, kdo opravlja vlogo v sodelovanju z drugimi regulatornimi organi. Postavlja se lahko namreč vprašanje, ali bo to vlogo prevzel pristojni nacionalni organ, ali bo to naloga CSIRT skupin (vsaka od teh rešitev ima logično utemeljitev, kadar gre recimo za operativno-tehnično sodelovanje, so to lahko CSIRT skupine, na strateškem nivoju je to nedvomno PNO). Že do sedaj so se regulatorji posameznih sektorjev obračali na SI-CERT glede podatkov o incidentih v sektorju, ki ga pokrivajo in ni bilo vedno jasno, ali te podatke zagotavlja na podlagi rednih poročil PNO ali pristojni CSIRT. Menimo, da mora sodelovanje na nacionalni ravni upoštevati vse regulatorne organe za sektorje, opredeljene v NIS2, ki pa niso vsi našteti v tem členu (recimo tudi Agencija za energijo, Uprava RS za jedrsko varnost, Ministrstvo za zdravje, itn.).
20. člen (ukrepi za obvladovanje tveganj za kibernetsko varnost bistvenih in pomembnih subjektov)
Direktiva NIS2 v 21. členu, ki ima naslov “Ukrepi za obvladovanje tveganj za kibernetsko varnost” pravi, da je naloga držav članic, da: “zagotovijo, da bistveni in pomembni subjekti sprejmejo ustrezne in sorazmerne tehnične, operativne in organizacijske ukrepe za obvladovanje tveganj za varnost omrežnih in informacijskih sistemov, ki jih ti subjekti uporabljajo za njihovo delovanje ali opravljanje storitev ter za preprečevanje ali zmanjšanje vpliva incidentov na prejemnike svojih storitev in druge storitve.” Vprašanje je, ali je ustrezno, da se zaveza, ki jo EU direktiva nalaga državi članici, preprosto prepiše, da je to pravzaprav naloga zavezancev. Nedvomno bi bilo ustrezno, da se zavezance usmeri na ustrezne prakse in aktivnosti, ki bodo lahko zagotovile zahteve te direktive, ne pa da se država iz te enačbe izloči in jo enostavno prenese naprej na zavezance. Čeprav ta člen ne zadeva neposredno SI-CERT, vseeno predlagamo, da URSIV sprejme ustrezne predpise in navodila, ki bodo v pomoč zavezancem, da izpolnijo to nalogo.
26. člen (postopek priglasitve pomembnih incidentov)
V 3. odstavku ta člen navaja: “Skupina CSIRT na zahtevo zadevnega subjekta zagotovi dodatno tehnično podporo.” Pojem “tehnične podpore” se lahko razume zelo široko, med drugim recimo tudi z nadomeščanjem izpadle infrastrukture zaradi napada, za kar CSIRT skupina nikakor ne more imeti razpoložljivih kapacitet (11. člen NIS2 zato omenja le “pomoč”, brez podrobnejše opredelitve). Predlagamo, da se ta pojem nadomesti z “metodološko podporo pri preiskovanju incidenta,” kot je zapisano v trenutno veljavnem ZInfV.
6. odstavek pravi: “Kadar je ozaveščenost javnosti potrebna za preprečitev pomembnega incidenta ali obravnavo pomembnega incidenta, ki je v teku, ali kadar je razkritje pomembnega incidenta kako drugače v javnem interesu, pristojni nacionalni organ po posvetovanju z zadevnim zavezancem obvesti javnost o pomembnem incidentu ali zahteva, da to stori zavezanec,” medtem ko direktiva NIS2 določa: “Kadar je ozaveščenost javnosti potrebna za preprečitev pomembnega incidenta ali obravnavo pomembnega incidenta, ki je v teku, ali kadar je razkritje pomembnega incidenta kako drugače v javnem interesu, lahko skupina CSIRT ali po potrebi pristojni organ države članice in, kadar je ustrezno, skupine CSIRT ali pristojni organi drugih zadevnih držav članic po posvetovanju z zadevnim subjektom obvestijo javnost o pomembnem incidentu ali zahtevajo, da to stori subjekt.” Predlagamo, da se ohrani dikcija iz direktive, saj se mnogokrat pokaže potreba po hitrem reagiranju in obveščanju s strani pristojne CSIRT skupine, zato so te navedene v direktivi kot prvi mehanizem. Dodatno poudarjamo, da je CSIRT v neposredni komunikaciji z zaveznacem, mu nudi pomoč, zato je zmožen hitro oceniti situacijo glede razsežnosti incidenta in potrebe obveščanja javnosti.
32. člen (vrednotenje incidenta in ukrepanje)
Ta člen navaja stopnjevanje incidentov, kot ga trenutno opredeljuje Načrt odzivanja na kibernetske incidente (NOKI) in temelji na matriki za triažno opredelitev stopenj, ki se uporablja na SI-CERT in je bila povzeta po britanskem modelu, ki je v uporabi na NCSC-UK in ga povzemajo tudi nekatere druge nacionalne CSIRT skupine v EU. Menimo, da operativna razdelitev po stopnjah (C6-C1) ni primerna za sam zakon, ampak da je to bolj smiselno urediti v podzakonskem aktu, kot je omenjeni NOKI. Za potrebe zakona se lahko uporabi opisne stopnje glede na ukrepe, ki se ob posamezni stopnji lahko sprožijo, nato pa NOKI poveže operativno stopnjevanje z zakonsko določenim (kot je recimo urejeno sedaj). Ob spremembah sistema vrednotenja je namreč nujno sprejeti hitre odločitve (kar sprememba NOKI omogoča), saj sprememba zakona prinese s seboj celoten postopek, ki se konča šele s potrditvijo v Državnem zboru. Predlagamo, da se v tem členu navede, da se vrednotenje incidentov opravlja v skladu z NOKI, ki določa stopnjevanje in taksonomijo incidentov. Do sedaj se je v praksi izkazalo, da so prilagoditve postopkov z razvojem področja potrebne.
36. člen (sodelovanje na področju kibernetske obrambe)
Ta člen uvaja pojem prostovoljca, ki mu PNO ponudi: “sklenitev pogodbenega razmerja, v katerem se uredi status, medsebojne pravice in dolžnosti ter nagrado prostovoljca.” Iz zakona ni jasno, kdaj se izkorišča potreba po prostovoljcih, kakšna usposabljanja in vaje so jim na voljo, še posebej v razmerju do organov, ki sicer v državi zagotavljamo kibernetsko varnost. Vprašanje je, ali so v načrtu kakšni normativi in meje, ki bi določali nagrade in stroške usposabljanja, ki bi se izkazali kot izrazito nesorazmerni s tistimi, ki so na voljo v drugih organih. Ali bo zaposleni v CSIRT skupini ali pa drugem državnem organu recimo imel zagotovljeno vsaj enake možnosti za usposabljanje in nagrado, kot “prostovoljec”? Dodatno vprašanje je, ali je takšna opredelitev “prostovoljca” v skladu z zakonodajo, ki ureja delovna razmerja, ali pa ima zgornji opis preprosto vse znake običajnega delovnega razmerja, z vsem, kar to prinaša. Ali bo zavezanec lahko zavrnil sodelovanje s prostovoljcem zaradi konflikta interesov (kadar je ta recimo zaposlen v konkurenčnem podjetju)?
O SI-CERT
Nacionalni odzivni center za kibernetsko varnost SI-CERT (Slovenian Computer Emergency Response Team) opravlja koordinacijo razreševanja incidentov, tehnično svetovanje ob vdorih, računalniških okužbah in drugih zlorabah ter izdaja opozorila za upravitelje omrežij in širšo javnost o trenutnih grožnjah na elektronskih omrežjih. SI-CERT izvaja tudi nacionalni program ozaveščanja Varni na internetu. Delovanje centra SI-CERT je opredeljeno v 28. členu Zakona o informacijski varnosti. SI-CERT delovanje pokriva vsa področja, določena v FIRST CSIRT Services Framework.
SI-CERT je deloval od samega začetka leta 1995 kot nacionalna CSIRT skupina, kar je že takoj na začetku takrat pristojno ministrstvo implicitno prepoznalo z dovoljenjem za uporabo oznak države v imenu skupine (SI-CERT pa je tudi registrirana blagovna znamka v lasti javnega zavoda Arnes, katerega del je odzivni center). Kasneje je bil ta status potrjen v Zakonu o elektronskih komunikacijah (81. člen ZEKom-1, Uradni list l RS št. 109/2012), pri sprejetju Strategije informacijske družbe 2020 leta 2016, v Strategiji kibernetske varnosti Republike Slovenije (2016), kot tudi v Sporazumu o sodelovanju na področju obravnave varnostnih incidentov na področju obravnave varnostnih incidentov v sistemih javne uprave (SIGOV-CERT) med Ministrstvom za javno upravo in javnim zavodom Arnes, ki je bil v veljavi od maja 2010 do izteka leta 2015. SI-CERT je član združenja FIRST, akreditiran po programu Trusted Introducer, ocenjen po modelu SIM3, član FI-ISAC (Financial Institutions ISAC) in združenja Global Cyber Alliance. Od leta 2011 dalje je mentor CSIRT skupinam v državah Zahodnega Balkana, kjer smo pomagali vzpostaviti CSIRT skupine v vseh državah regije.