Здравствениот сектор во Македонија е најранлив на сајбер-напади: Еве зошто

Кина, Јужна Кореја и Виетнам се земји што во последните три месеци се соочија со сериозни хакерски напади, некаде на државни институции, некаде на приватни фирми, а целта иста – кражба на лични податоци. Загрозени беа милиони луѓе. Тоа јасно укажува дека никој не е безбеден ниту целосно заштитен во интернет-просторот. Ранливоста е сеприсутна, но што се презема за да се минимизираат ризикот и изложеноста во видокругот на хакерите?

Европската Унија дејствува доста активно во тој дел, па се очекува Македонија како земја кандидат за членство да ги следи насоките и легислативата од ЕУ.

 

За потсетување, директивата НИС 1 (NIS 1) беше првото сеопфатно законодавство на ЕУ насочено кон зајакнување на сајбер-безбедноста на мрежните и информациските системи за заштита на виталните услуги за економијата и општеството на ЕУ. Во декември 2020 година Комисијата предложи ревидирање на НИС 1, што резултираше со усвојување на НИС 2 (NIS 2), која стапи во сила во јануари 2023 година. Земјите членки имаа рок до 17 октомври 2024 година да ја пренесат директивата НИС 2 во националните законодавства, со што НИС 2 практично ја укина директивата НИС 1 на 18 октомври 2024 година.

Што предвидува НИС 2?

Директивата НИС 2 воспоставува унифицирана правна рамка за одржување на сајбер-безбедноста во 18 критични сектори низ ЕУ. Исто така, ги повикува земјите членки да дефинираат национални стратегии за сајбер-безбедност и да соработуваат со ЕУ за прекугранична реакција и спроведување.

За да одговори на зголемената изложеност на Европа на сајбер-закани, директивата НИС 2 го зголеми заедничкото ниво на амбиција на ЕУ за сајбер-безбедност преку поширок опсег, појасни правила и посилни алатки за надзор. Таа бара од земјите членки да ги подобрат своите капацитети за сајбер-безбедност, воведувајќи мерки за управување со ризици и барања за известување за субјекти од повеќе сектори и поставувајќи правила за соработка, споделување информации, надзор и спроведување на мерките за сајбер-безбедност.

Директивата наложува секоја членка на ЕУ да усвои национална стратегија за сајбер-безбедност, која вклучува политики за безбедност на синџирот на снабдување, управување со ранливости и едукација и свест за сајбер-безбедност. 

Покрај веќе опфатените сектори со НИС 1 (енергетика, транспорт, здравствена заштита, финансии, управување со води и дигитална инфраструктура), новите правила важат и за давателите на јавни електронски комуникации, повеќе дигитални услуги (вклучувајќи ги и социјалните платформи), управување со отпад и отпадни води, производство на критични производи, поштенски и курирски услуги и јавна администрација на централно и регионално ниво, како и за вселенскиот сектор. 

Како по правило, средните и големите субјекти во овие критични сектори ќе мора да преземат соодветни мерки за управување со ризиците од сајбер-безбедноста и да ги известат надлежните национални власти за значајни инциденти. Тоа се инциденти што би можеле да предизвикаат значителни нарушувања или штети.

До каде е Македонија?

Македонија годинава ја усвои Националната стратегија за сајбер-безбедност и соработува со ЕУ за прекугранична реакција и спроведување на директивата. „Блумберг Адрија“ веќе пишуваше за тоа какви обврски носи новиот Закон за сајбер-безбедност, кој стапи на сила од првиот ден годинава, а институциите и компаниите ќе имаат рок за приспособување до 2027 година или ќе се соочат со казни.

Depositphotos

 

Директорот на Националниот центар за одговор на компјутерски инциденти (MKD-CIRT) оценува дека земјава солидно напредува.

По усвојувањето на Националната стратегија за сајбер-безбедност, вели тој, Македонија направи конкретен исчекор од стратешко кон оперативно ниво. Најпрво, воспоставена е целосна законска рамка за сајбер-безбедност усогласена со НИС 2 (Законот за безбедност на мрежни и информациски системи), а подзаконските акти се изработени и се во фаза на објавување, со што се дефинираат практичните обврски за управување со ризици, известување за инциденти и надзор. 

„MKD-CIRT е јасно позициониран како национален CSIRT и централна точка за координација, прием и обработка на пријави, техничка поддршка и прекугранична размена на информации. Паралелно, воспоставен е владин CSIRT, кој оперативно ги покрива државните институции и обезбедува централизирано пријавување и реакција во јавниот сектор, со ескалација кон MKD-CIRT кога е потребно. Дополнително, поставени се јасни процеси за соработка и известување, започнати се активности за градење капацитети, обуки и секторска подготовка и се создадени предуслови за систематска примена на НИС 2 во критичните сектори. Државата ја постави правната, институционалната и оперативната основа, фокусот сега е на целосна примена и подигнување на зрелоста на субјектите на терен“, вели Севдали Селмани, директор на Националниот центар за одговор на компјутерски инциденти.

Севдали Селмани, директор на Националниот центар за одговор на компјутерски инциденти. Приватна архива

 

Тој вели дека операторите на основни услуги делумно ги исполнуваат барањата на директивата, но не е за занемарување и делот на компании што сè уште се недоволно посветени. 

„Некои од нив веќе имаат воспоставено основни мерки за сајбер-безбедност и процедури за управување со ризици, особено во порегулираните сектори, додека кај други постојат значајни празнини – главно во формализацијата на процесите, редовното тестирање, известувањето за инциденти и вклученоста на раководството. Целосното усогласување се очекува со практичната примена на законската и подзаконската рамка“, вели Селмани.

Секој сектор своја приказна

Не случајно со директивите се издвоени критични сектори бидејќи инцидентите кај нив би можеле да предизвикаат значителни нарушувања или штети.

„По сектори, состојбата е нерамномерна. Во енергетиката, компаниите генерално се меѓу најподготвените – постојат формални политики, јасна сегментација меѓу ИТ и ОТ, резервни копии и повисоко ниво на организациска свест, но слабост остануваат OT-безбедноста, застарените индустриски системи и ограничениот мониторинг во реално време, поради што фокусот треба да биде на интегрирано управување со ИТ/ОТ ризиците и редовни тестирања“, посочува Селмани. 

Тој ги издвојува телекомуникацискиот и финансискиот сектор, кои може да се каже и дека очекувано имаат највисоко ниво на усогласеност – применуваат меѓународни стандарди, располагаат со SOC-функции, воспоставени процедури за инциденти и редовни аудити; ризикот е релативно понизок, но постои постојана потреба од унапредување, особено во делот на ризиците поврзани со синџирот на снабдување и напредните, целни напади. 

„Здравствениот сектор е меѓу најранливите: иако некои од поголемите установи имаат основни мерки, често недостигаат системско управување со ризици, редовно ажурирање на системите и соодветна мрежна сегментација, а инцидентите тука имаат директно влијание врз граѓаните, што наметнува приоритет за минимални задолжителни безбедносни стандарди, централна техничка поддршка и редовни проверки“, вели Селмани. 

За потсетување, не многу одамна се случи голем хакерски напад во здравствениот сектор, во февруари 2023 година, кога цел на нападот беше Фондот за здравство и иако тогашното раководство тврдеше дека личните податоци на осигурениците се безбедни, сепак нападот резултираше со проблеми во тековното работење на фондот од речиси две недели.

Depositphotos

 

Кај водоснабдувањето, транспортот и локалните јавни претпријатија тој оценува дека мерките најчесто се ад хок и реактивни.

„Сајбер-безбедноста зависи од надворешни ИТ-доставувачи без јасно дефинирана одговорност и без формални процени на ризик, што ги прави овие субјекти јасни ‘слаби алки’, каде што инцидент може да предизвика сериозни прекини на услугите. Генерално, клучни слабости се недоволната вклученост на раководството, недостигот од квалификуван кадар, слабото или нерегуларно пријавување на инциденти, застарената инфраструктура и ограничената свест кај вработените, па затоа најголемо внимание треба да се посвети на формализирано управување со ризици (а не само на технички мерки), јасна одговорност на раководството и воспоставување минимални задолжителни стандарди по сектори“, вели Селмани.

Се бара одговорност од врвното раководство

Директивата исто така воведува одговорност на врвното раководство за непочитување на мерките за управување со ризиците од сајбер-безбедноста.

„Во практика тоа значи дека врвното раководство има директна одговорност за воспоставување, одобрување и надзор на мерките за управување со сајбер-ризиците и не може да ја префрли одговорноста исклучиво на ИТ-службите. Раководството мора да обезбеди соодветни политики, ресурси и организациска поставеност, а пропустите може да резултираат со санкции“, вели нашиот соговорник.

Depositphotos

 

Кај нас ова прашање е регулирано во законската рамка усогласена со НИС 2, каде што е предвидена одговорност на одговорните лица во правните субјекти и институциите за непочитување на обврските за сајбер-безбедност, вклучувајќи и преку прекршочни санкции. Со практичната примена на законот и подзаконските акти, оваа одговорност ќе се операционализира и во реални надзорни постапки.

Недоволно човечки капацитет

Тимовите за одговор на инциденти поврзани со компјутерска безбедност се клучни за одржување на свеста за ситуацијата и нудење помош. Ваквите тимови се формално воспоставени, но капацитетите не се доволни за целосно и континуирано покривање на сите потреби, оценува Селмани. 

„MKD-CIRT обезбедува функционалност – прием на пријави, координација и првична поддршка – и им нуди услуги на своите конституенти, но се соочува со недостиг од висококвалификуван стручен кадар и ограничени човечки ресурси. Потребните експерти постојат делумно, но не во обем што овозможува тотална оперативна подготвеност, поради што надворешна експертска поддршка останува неопходна, особено при сложени инциденти и во процесот на понатамошно јакнење на националните капацитети“, заклучува директорот Селмани.