Informaciona bezbednost je osnova digitalizacije društva

Portal eUprave Republike Srbije, koji građanima i privredi pruža mogućnost da elektronski završe administrativne procedure, nema dobro podešenu sigurnu vezu na sajtu kada mu se pristupa direktno na adresi euprava.gov.rs. To znači da su podaci o ličnosti građana i lozinke za pristup koji se unose na portalu potencijalno izloženi opasnosti da ih nepoznata lica preuzmu. Sa druge strane, kada preko Gugla tražite eUpravu, dobijate link koji počinje sa “https”, što znači da je implementiran bezbednosni sertifikat i da su uneti podaci sigurni.

Loše implementiran bezbednosni protokol (TLS) stavlja korisnike portala u podjednako lošu situaciju kao da ga uopšte nema, pre svega zato što korisnicima daje lažan osećaj sigurnosti. Uvođenje usluga eUprave i drugih elemenata digitalizacije društva mora da bude fokusirano na informacionu bezbednost, jer proces digitalizacije bez adekvatne bezbednosti nas dovodi u rizike koje ne možemo predvideti i kojima ne možemo upravljati.

Propust sa bezbednosnim sertifikatom portala eUprave, kao i svaki u oblasti informacione bezbednosti do sada, ukazuje na činjenicu da država ne sprovodi informacionu bezbednost na suštinskom nivou. U prethodnom periodu je donet niz strategija, zakona i podzakonskih akata, ali je iste neophodno implementirati u praksi kako ne bi ostali mrtvo slovo na papiru. Država očigledno ne može da parira privatnom sektoru u pogledu privlačenja i zadržavanja kvalitetnih IT kadrova, ali postoje načini da se to promeni, recimo kroz javna-privatnih partnerstva kakva već postoje u drugim zemljama, na primer u Holandiji. Smatramo i da jedan od prioriteta treba da bude zapošljavanje više inspektora za informacionu bezbednost u Ministarstvu trgovine, turizma i telekomunikacija (MTTT) kako bi na adekvatan način mogla da se prati implementacija propisa iz oblasti informacione bezbednosti.

Kada se ovakva situacija dogodi, građani gube poverenje u državu, koja je dužna da zaštiti njihove podatke i stara se o primeni i poštovanju zakona, ali i u elektronske servise uopšte. Zastareo Zakon o zaštiti podataka o ličnosti i višegodišnje kašnjenje u donošenju novog zakona dodatno otežavaju situaciju. Pitanje koje treba postaviti jeste zbog čega se problemi ove vrste, koji se mogu rešiti brzo i efikasno preusmeravanjem na sajt sa “https” vezom, komplikuju upućivanjem građana na Gugl pretragu, čime se oni primoravaju da bez ikakve potrebe ostavljaju svoje podatke privatnim firmama, što je takođe intruzivno po njihovu privatnost. Fizički pristup data centrima u kojima se čuvaju podaci građana je samo jedan sloj zaštite, koji ne znači ništa ako postoje tačke ranjivosti u hardveru ili softveru.

U ovom trenutku nije moguće znati da li svi zakonom obavezani državni organi imaju akt o informacionoj bezbednosti, pre svega zbog kadrovskih ograničenja Ministarstva i velikog broja sistema koji su definisani kao sistemi od posebnog značaja. Prema Zakonu o informacionoj bezbednosti, operatori IKT sistema od posebnog značaja su dužni da donesu akt o bezbednosti, kojim se uređuju mere zaštite, principi, način i procedure postizanja i održavanja adekvatnog nivoa bezbednosti sistema, kao i ovlašćenja i odgovornosti u vezi sa bezbednošću i resursima IKT sistema. U IKT sisteme od posebnog značaja spadaju sistemi koji se koriste za potrebe organa javne vlasti, obradu naročito osetljivih podataka o ličnosti i obavljanje delatnosti od opšteg interesa, kao što su elektronske komunikacije, poslovi finansijskih institucija, zdravstvena zaštita, itd. Zato ćemo tražiti akt o informacionoj bezbednosti Kancelarije Vlade za informacione tehnologije i eUpravu i objašnjenje šta je predviđeno prema aktu o bezbednosti u ovoj situaciji.