Новите чекори за поголема сајбер-безбедност во Македонија носат и нови обврски

Македонија конечно започна крупни чекори кон зголемување на сајбер-безбедноста и едукацијата за важноста на споделувањето информации за сајбер-напади. Во периодот на брз технолошки развој и широкораспространета дигитализација, ризиците за хакирање се зголемуваат, а самите сајбер-напади стануваат реалност. Никој не е имун на напади во интернет-просторот. Прашањето е само колку ќе посветиме внимание и ресурси за да ја зголемиме безбедноста на највисоко можно ниво.

Новиот закон за безбедност на мрежни и информациски системи, усвоен во јули годинава, претставува прва сеопфатна правна рамка во Македонија за уредување на сајбер-безбедноста. Законот е усогласен со европската директива NIS2 и има цел да воспостави висок и заеднички степен на заштита на мрежните и информациските системи, како во јавниот така и во приватниот сектор.

Министерството за дигитална трансформација и Националниот центар за одговор на компјутерски инциденти (MKD-CIRT) при Агенцијата за електронски комуникации се одговорни за мониторинг, координација и реагирање на сајбер-безбедносни инциденти. 

Новиот закон ќе почне да се применува од почетокот на идната година и нема да важи само за криптоинфраструктурата, како што требаше да биде, туку сега се проширува на операторите на суштински услуги и давателите на услуги, но ги вклучува и јавните институции и приватните компании што имаат важни ИТТ-системи.

Обврски се воведуваат за сите институции и правни субјекти што обезбедуваат критични услуги, вклучувајќи енергетика, транспорт, здравство, ИКТ, вода, храна и друго, кои се должни да воспостават технички и организациски мерки за заштита, да назначат лице за сајбер-безбедност и да пријавуваат инциденти.

„Законот ја формализира поделбата на ‘суштински’ и ‘важни’ субјекти според критичноста на нивната улога во општеството и ги става под засилен регулаторен надзор. Воспоставена е и единствена национална точка за контакт со партнери од ЕУ и НАТО, особено за справување со прекугранични инциденти. Покрај техничките аспекти, законот предвидува и развој на јавна свест и едукација преку програми во училиштата и медиумски кампањи, со цел јакнење на сајбер-хигиената и отпорноста на општеството кон дигитални закани“, објаснува директорот на Националниот центар за одговор на компјутерски инциденти, Севдали Селмани.

Севдали Селмани, директор на Националниот центар за одговор на компјутерски инциденти  Приватна архива

 

Рокот за имплементација на новите законски обврски за институциите е утврден до крајот на 2027 година, додека за компаниите – суштински и важни субјекти – рокот за усогласување со Законот за безбедност на мрежни и информациски системи е до крајот на 2026 година.

„Законот опфаќа компании што обезбедуваат критични услуги во сектори како енергетика, транспорт, здравство, вода, храна, ИКТ, финансии и производство. Овие субјекти се класифицираат како ‘суштински’, доколку нивната дејност е од суштинско значење за националната безбедност и функционирањето на општеството, и ‘важни’, кога имаат значително влијание, но во помал обем. Обврските за овие субјекти вклучуваат воспоставување технички и организациски мерки за сајбер-безбедност, именување офицер за сајбер-безбедност, редовно пријавување на инциденти и соработка со надлежните органи. Подетални критериуми за класификацијата и конкретните обврски ќе бидат пропишани со подзаконски акти од страна на Министерството за дигитална трансформација“, вели Селмани во одговор за „Блумберг Адрија“.

Законот предвидува високи прекршочни казни за суштинските и важните субјекти што не ги исполнуваат обврските – до два отсто од годишниот приход за суштинските субјекти и до 1,4 отсто за важните субјекти, како и фиксни глоби до 10.000 евра за други прекршоци. Дополнително, може да се изречат забрани за вршење дејност или професија во траење од три месеци до две години.

Законот за безбедност на мрежи и информациски системи предвидува прекршочни казни за субјектите што не ги исполнуваат законските обврски, како и надзор над примената на одредбите од страна на надлежните органи.

Клучни предизвици за имплементирање на законот

„Имплементацијата на Законот за безбедност на мрежи и информациски системи се соочува со неколку суштински предизвици. Најпрво, потребни се точна идентификација и категоризација на ‘суштинските’ и ‘важните’ субјекти, што бара координиран институционален пристап. Второ, многу субјекти, особено од јавниот сектор, се соочуваат со ограничени технички и кадровски капацитети за воспоставување соодветни мерки за сајбер-безбедност“, посочува Селмани и додава дека ограничената правна и оперативна подготвеност за известување, управување со инциденти и спроведување ризични процени претставува реален ризик за навремено усогласување со законските барања. „Конечно, потребни се ефикасен надзорен механизам и јасни постапки за прекршочна одговорност, за да се обезбеди доследна примена на законот во предвидените рокови“, вели тој.

Законот предвидува и дополнителен финансиски стимул за стручните лица, со цел да се задржат професионалците во државниот сектор. Иако се споменуваат дури 40 проценти додатоци на платите, и натаму е неизвесно дали тоа може да придонесе за подобрување на состојбата со недостигот од вакви стручни кадри во јавните институции, имајќи го предвид фактот дека во приватниот сектор платите се многу повисоки.

„Состојбата со стручниот кадар во областа на сајбер-безбедност во јавниот сектор е ограничена и нерамномерна. И покрај тоа што постои висок интерес за темата, институциите се соочуваат со сериозен недостиг од квалификуван ИКТ-кадар, особено во области како што се управување со ризици, инцидентно реагирање и примена на безбедносни стандарди. Законот за безбедност на мрежи и информациски системи експлицитно предвидува мерки за задржување и мотивирање на стручниот кадар преку зголемување на платите и други форми на финансиска и кариерна поддршка. Сепак, без систематско кадровско зајакнување и оперативна примена на овие мерки, постои ризик од недоволна институционална подготвеност за имплементација на законските обврски“, заклучува директорот Селмани.

Во однос на Законот за безбедност на мрежи и информациски системи, министерот за дигитална трансформација Стефан Андоновски во интервју за телевизијата „Сител“ на крајот на мај истакна дека е исклучително важен, затоа што за првпат државата добива закон за сајбер-безбедност, иако требало да го има многу порано. 

„Ова е усогласување со директивата НИС 2, што значи дека одиме на најновите можни трендови што ги следи Европската Унија. Тоа не значи дека ќе бараме веднаш сите институции и компании да се усогласат, но имаме многу прецизни рокови во законот, кои до 2027 година ќе треба целосно да го усогласат однесувањето на институциите. Формиран е сектор за сајбер-безбедност во рамките на Министерството за дигитална трансформација, кој треба да претставува точка за пријавување инциденти на владино ниво. Во законот за првпат се препознаваат и сајбер-професионалци, за нив е предвиден додаток на плата од 40 проценти. Целта е да ги мотивираме да останат во јавната администрација и да може да сметаме на нив во справувањето со инциденти, затоа што не може да размислуваме за дигитализација без сајбер-безбедност”, рече министерот Андоновски.

Depositphotos

Експертите се надеваат дека новиот закон за сајбер-безбедност, кој е донесен неодамна, ќе ги помести работите во позитивна насока, а за тоа би требало да се погрижи и националната Стратегија за сајбер-безбедност 2025–2028 година.

„Се надевам дека новиот закон за сајбер-безбедност ќе ги развие малку работите, односно ќе нѐ крене на малку повисоко ниво во однос на спречувањето на сајбер-нападите и во однос на самата комуникација за сајбер-безбедноста во нашата држава. Се надевам дека со ова ќе добиеме некаква легислатива и некаква контрола врз основните податоци затоа што и ние како компанија што работи во сајбер-безбедноста не сме сигурни каде ги оставаме нашите податоци, кој ни ги чува и на кој начин“, изјави Филип Симеонов, основач и извршен директор на „ЦПП услуги“ (Cyber protection and privacy services), во неговото гостување утрово на телевизијата „Блумберг Адрија“.

Национална стратегија за сајбер-безбедност 2025-2028

Во рамките на процесот на дигитална трансформација на државата, безбедноста на информациските системи (сајбер-безбедноста) претставува клучен национален приоритет за заштита на дигиталната инфраструктура и услуги што ги користат граѓаните, државните и јавните институции и економијата, пишува во Стратегијата за сајбер-безбедност 2025-2028, во која се посочува дека динамичниот развој на информациско-комуникациските технологии и нерамномерната дигитализација на процесите на различни нивоа во општеството го зголемуваат ризикот од сајбер-напади и сајбер-инциденти.

„Безбедна, отпорна и доверлива дигитална трансформација на процесите, и на општеството во целина, може да се постигне само доколку е поставена на солидни основи, во сигурен и отпорен сајбер-екосистем“, пишува во стратегијата, каде што се потенцира дека клучно е да се подобрат механизмите за одговор на инциденти, да се спроведат јавни кампањи за подигнување на свеста за сајбер-хигиена, како и за поттикнување на меѓународната соработка за навремена размена на корисни информации за закани, ризици и инциденти. 

Водечката премиса на Стратегијата за сајбер-безбедност е овозможување услови за координиран национален одговор на предизвиците во поглед на сајбер-безбедноста, како и превенција од сајбер-инциденти и напади преку изградба на отпорна дигитална инфраструктура и човечки капацитети. Преку остварувањето на стратешките цели од Стратегијата за сајбер-безбедност, би требало да се овозможат заштита и промоција на македонските национални интереси во и преку сајбер-просторот, поголем економски раст и просперитет на граѓаните.   

Основни начела на кои се темели Стратегијата за сајбер-безбедност 2025-2028 се: • Сајбер-безбедноста е одговорност на сите;  • Координација, соработка и поддршка на национално и на меѓународно ниво;  • Сајбер-безбедност по дизајн;  • Сајбер-безбедност заснована на процена на ризици;  • Холистички пристап кон сајбер-безбедноста како двигател на развојот на општеството.

Стратегијата ќе се имплементира во текот на четири години, од 2025 до 2028 година, а дел од резултатите што се очекуваат се зајакната соработка меѓу јавниот и приватниот сектор и менаџирање со квалитет на стручниот кадар во оваа област на национално ниво. Во рамките на Акцискиот план, за секоја активност е предвиден индикативен буџет за имплементација, а средствата за имплементација и следење на Стратегијата за сајбер-безбедност ќе бидат обезбедени во рамките на буџетот на институцијата Носител на активноста, но онаму каде што тоа е дозволено и со користење донаторски средства за поддршка.

Имплементацијата на Стратегијата за сајбер-безбедност, нејзиното следење и мониторирање се во надлежност на Министерството за дигитална трансформација.

Во Македонија има голем број хакерски напади, ама не се пријавуваат

Новитетите во законот се однесуваат и на тоа што сега секоја институција и компанија ќе има обврска да прави анализа и процена на ризик, да ги проверува состојбите и на кој начин се чуваат податоците, дали безбедно се чуваат, и да прави тестирање на своите системи и апликации дали имаат некаква слабост.

„И тоа што е најважно за нас, и јас го поддржувам, има обврска да се пријавуваат инциденти во рок од 24 часа до надлежниот орган. Тоа е најважно бидејќи само така ќе се воведе она ширење на информацијата и побрзо доаѓање на информацијата до различните компании, кои ќе знаат понатаму како да се заштитат и како да превенираат во однос на некој напад што се случил можеби кај соседната или конкурентската компанија. Дополнително, секоја компанија ќе има контакт-точка со надлежниот орган преку која ќе комуницира во однос на обуки, информации, пријава на инциденти, затоа што центарот има информации, но нема каде да ги споделува, зашто компаниите велат дека тоа не е задолжително и не мора да ги споделуваат информациите“, вели Симеонов.

Општо е познато дека во Македонија има голем број хакерски напади, кои што не се пријавуваат за да не се наруши репутацијата или довербата во самите компании. Но најголемата заштита за секоја компанија е да се споделуваат информациите и знаењата за навремено да се превенира.

Што значи споделувањето информации?

Доколку една компанија биде хакирана и таа сподели со Националниот центар за одговор на компјутерски инциденти, се одредува кои се слабите точки што биле искористени од компанијата, која хакерска група дејствува (хакерските групи дејствуваат на региони и на бизниси, на пример, има одредена хакерска група што цели на банкарство, друга на јавни институции, трета на енергетика итн.) и веднаш се знае дека одредена хакерска група е моментално активна во регионот и напаѓа. Автоматски сите тие компании или оператори ќе се заштитат врз база на тоа што навремено ќе ја добијат информацијата дека одредена компанија е нападната и дека и тие се под ризик да бидат нападнати, објаснува Симеонов, посочувајќи дека затоа е тука Националниот центар за сајбер-безбедност, за да ги сподели и спои сите тие информации, да направи некаква конвергенција на информациите и потоа да воведе мерки, да ја крева свеста на компаниите, но и да им помага во справувањето со такви инцидентни.

Depositphotos

 

„Мислам дека свеста е доста зголемена во последно време, но институционалната поддршка е доста тешка, има голем недостиг од кадар. Имаме случаи кога ние треба да работиме со одредена институција, но од таа страна немаме ИТ-лице што ќе ни овозможи некаков пристап за ние да воспоставиме сајбер-безбедност и да продолжиме со негово управување. Тоа е голем проблем и не знам како ќе се надмине. Во секој случај, тоа не е нешто што може да се реши инстант, туку е процес што трае долго и треба упорност и финансии, а најголем проблем знаеме дека се инвестициите за сите овие активности“, вели Симеонов.

Вложувањето во сајбер-безбедноста е инвестиција, а не трошок

„Голем камен што може да нѐ сопне се инвестициите во сајбер-безбедност“, вели Симеонов, посочувајќи дека многу години зборуваме дека тоа треба да се смета како инвестиција, а не како трошок, но сѐ уште се смета за трошок. „Имаме ситуации кога по некој хакерски напад одредени компании или институции се одлучуваат да инвестираат во сајбер-заштита. Тогаш е веќе доцна и инвестицијата е многу поголема“, вели Симеонов. 

Според него, треба да се воспостави одбрана во длабочина, што значи дека треба да се покријат сите нивоа на безбедност, почнувајќи од луѓето, па  до технолошките нивоа и сѐ што излегува на интернет. 

„Наједноставно е да се воспостави видливост на активностите во една мрежа или во една компанија, а сѐ со цел доколку се случи некој хакерски напад (тоа е процес што трае во просек од пет до седум дена) во одреден компјутер, истиот тој да биде локализиран и нападот да остане само на тој компјутер“, вели Симеонов, потенцирајќи дека буквално никој не е имун на хакерски напад.

Актуелна состојба на сајбер-безбедноста во Македонија 

Македонија се соочува со зголемен број сајбер-напади, насочени кон критични сектори, какви што се енергетика, финансии, водоснабдување и здравство. Високопрофилните инциденти, како нападот врз Министерството за земјоделство, шумарство и водостопанство во 2022 година, нападот врз Фондот за здравствено осигурување од 2023 година и нападот врз МЕПСО годинава, предизвикаа значителни нарушувања во јавните услуги, што ги изнесе на површина и ги направи видливи ранливостите на овие сектори.

Luke MacGregor/Bloomberg

 

Државниот завод за ревизија во извештајот за лани констатира значајни недостатоци во мерките за заштита на критичните информациски системи. Ревизијата утврди дека институциите немаат соодветни законски рамки за да обезбедат целосна сајбер-безбедност бидејќи националното законодавство сѐ уште не беше усогласено со директивите на Европската Унија што поставуваат минимални стандарди за сајбер-безбедност.

Во извештајот се посочува и на недоволната активност на Националниот совет за сајбер-безбедност, формиран во 2019 година, за кој се утврди дека во повеќе од пет години се состанал само еднаш. Исто така, ревизијата покажа дека институциите немаат доволно технички и административни капацитети за заштита од сајбер-инциденти.

„Недостигот од обучен кадар и тимови за одговор на инциденти, како и отсуството на процена на ризици, ги зголемува ранливостите на критичните системи. И покрај порастот на финансирањето за сајбер-безбедност, институциите сè уште не успеваат да ги спроведат потребните мерки за целосна заштита, а бројот на пријавени инциденти останува низок“, се посочува во ревизорскиот извештај.                       

Стратешки недостатоци и можности Клучни недостатоци:  Недостиг од стручна работна сила: Македонија нема доволно обучени сајбер-безбедносни професионалци. Дополнително, има недостиг од формални и професионални стручни едукативни програми за создавање таков кадар.   Проблеми со координацијата на национално ниво и кај голем дел од секторите со висока критичност: Слабата координација помеѓу владиниот и приватниот сектор и меѓународните организации претставува критичен предизвик.   Недоволни правни одредби: Постојната законска рамка треба да се надгради и да се ажурира, за да ги покрие современите сајбер безбедносни предизвици и да осигури нивно спроведување. Можности: Изградба на капацитети: Преку координиран внатрешен пристап и преку соработка со меѓународни партнери какви што се НАТО и ЕУ да се воспостават програми за обука за развој на квалификувана работна сила.    Јавно-приватни партнерства: Зајакнување на соработката меѓу јавниот и приватниот сектор може значително да помогне и да ја подобри националната сајбер-безбедност.    Подобрување на законската рамка: Со модерна законска рамка што ќе се заснова, пред сè, на директивите на ЕУ, вклучувајќи ја и NIS2, и преку посветеност на нејзино спроведување, државата ќе може да ги изгради и континуирано да ги подобрува сајбер-безбедноста и заштитата на критичната инфраструктура.

И националните сајбер-безбедносни вежби открија значителни недостатоци во капацитетите за откривање и одговор на сајбер-инциденти. Координацијата помеѓу секторите останува критичен аспект за подобрување, како и недостигот од ресурси и тимови за брз, стручен и квалитетен одговор по случен сајбер-инцидент или при сајбер-напади. Иако националната и секторските законски рамки за сајбер-безбедност се развиваат во насока на усогласување со директивите на ЕУ, недостига нивно спроведување и ажурирање поврзани со заштита на критичната инфраструктура, дигиталните услуги и сајбер-безбедноста во јавниот сектор.

Токму на тие слабости би требало да се дејствува преку имплементирање на стратегијата, а особено на новиот закон за сајбер-безбедност.

„Успешната имплементација на Стратегијата за сајбер-безбедност, како и на Акцискиот план, ќе има позитивно влијание на зголемена сајбер-безбедност и на тој начин дополнително ќе придонесе и на зголемување на целокупната безбедност во државата, со крајна цел Македонија да биде безбедна и доверлива дигитална средина за онлајн дејствување и работа“, пишува во заклучокот од националната стратегија за сајбер-безбедност.