Izvješće o provedenom savjetovanju - Savjetovanje sa zainteresiranom javnošću o Nacrtu prijedloga nacionalne strategije kibernetičke sigurnosti i akcijskog plana za njezinu provedbu

Korisnik
Područje
Komentar
Status odgovora
Odgovor
Gordan Akrap NACRT PRIJEDLOGA Zašto ne treba prihvatiti navedeni Nacrt prijedloga nacionalne strategije kibernetičke sigurnosti Iako je za svaku pohvalu incijativa donošenja ovakve strategije, ipak smatram potrebnim navesti razloge zbog kojih ona, u ovakvom obliku ne bi trebala biti prihvaćena (za razliku od predloženog Akcijskog plana). Ujedno predlažem novi Nacrt prijedloga za kojeg držim da bolje predstavlja ono što Strategija treba biti. 1. U nazivu strategije ukazuje se samo na jednu, moguću negativnu, posljedicu korištenja cyber prostora. Budući da korištenje cyber prostora ima i može imati, brojne pozitivne ishode, mišljenja sam da Strategija u svom nazivu treba i tu mogućnost uzeti u obzir; 2. U navedenom Nacrtu prijedlogu, u znatnoj mjeri, ponavljaju se dijelovi teksta koji su navedeni u Akcijskom planu. Njih ne treba ponavljati jer su i Strategija i Akcijski plan za njeno provođenje, dio iste cijeline; 3. U navedenom Nacrtu prijedlogu ponavljaju se i uvodni dijelovi kod pojedinih poglavlja iz čega se uviđa da su poglavlja napisana od strane više različitih autora, ali da nisu objedinjena na način kako bi to trebalo biti; 4. U Uvodu se skoro pola teksta odnosi na objašnjenje zašto se koristi naziv „kibernetička sigurnost“. Tom objašnjenju nije mjesto u uvodu. Štoviše, argumenti koje autor koristi u prilog svojoj tezi upravo su argumenti koji govore u prilog tezi da je prijevod „kibernetički prostor“, a time i s njim povezani drugi pojmovi, netočan prijevod engleskog pojma cyberspace. a. Pojam cyberspace u engleskom jeziku vremenom se razvijao do današnje definicije (koja će se daljnjim razvojem informacijsko-komunikacijskih tehnologija sasvim sigurno mijenjati). Naziv cyberspace obuhvaća globalni višedimenzionalni prostor umreženih digitalnih informacijsko-komunikacijskih sustava: fizičku dimenziju koja se očituje u fizičkom bivstvu sustava te dijelova koji na lokalnoj, regionalnoj i globalnoj razini povezuju digitalne informacijsko-komunikacijske sustave u jednu cijelinu; u logičkoj dimenziji temeljenoj na digitalnim sustavima koji koriste fizički dio sustava te ljudskoj dimenziji (pravne i fizičke osobe, stvarne i virtualne) koje koriste, ali i postoje, u digitalnom informacijsko-komunikacijskom prostoru. Naziv kibernetički izvedenica je naziva kibernetika, odnosno robotika. Stoga se naziv kibernetički , iako ga neki autori koriste, ne može i ne smije koristiti za prevođenje naziva cyber jer cyber i cybernethics nemaju isto značenje. Stoga, u prevođenju s hrvatskog na engleski jezik može doći do ozbiljnih zabuna. Isto tako kao što u elektronici postoji razlika između naziva električni i elektronički, potrebno je uvesti razliku u prijevodu i u ovom slučaju. b. Osobno sam sklon traženju savjeta za odgovarajući prijevod na hrvatski književni jezik naziva cyber od strane stručnih jezikoslovaca. Neki od mogućih prijevoda naziva „cyberspace“ na hrvatski književni jezik su „Digitalni podatkovni prostor“ ili „Digitalni informacijsko-komunikacijski prostor“.. U njemačkom jeziku se za cyberspace, pored prijevoda „kybernetischer Raum“ i „Kyberraum“, koristi i prijevod „Datenraum“, odnosno prostor u kojem egzistiraju digitalni podaci. Dok se ne dobije odgovarajući naziv, predlažem da se koristi neki od mogućih prijevoda (kibernetski) ili pak nastavimo koristiti prefiks cyber kao što ga koristi velika većina stranih jezika. Stoga bi u Strategiji koristili naziv ili Cyber sigurnost ili Kibernetska sigurnost. Podršku ovom nazivlju daje sve veći broj stručnjaka. 5. Stoga sam slobodan predložiti novi Nacrt prijedloga Nacionalne cyber (kibernetske) strategije koju bi trebao usvojiti Hrvatski sabor. Napominjem da je Nacrt koji predlažem, usklađen s većinom navoda iz predloženog Akcijskog plana. Stoga bi isti trebao biti tek neznatno dorađen u skladu s ostvarenjem ciljeva iz predloženog Nacrta. dr.sc. Gordan Akrap U Zagrebu, 25. svibnja 2015. Odbijen 1. Strategija se bavi područjem kibernetičke sigurnosti koje je jasno definirano u uvodu i definicijama dokumenta. Neki drugi strateški dokumenti bave se drugim pitanjima kibernetičkog prostora (npr. e-Hrvatska, digitalni rast, pametna specijalizacija). 2. Posebni ciljevi područja kibernetičke sigurnosti i njihovih poveznica, kao i opisi tih ciljeva, definirani su dokumentom Strategije. Dokumentom Akcijskog plana razrađuju se konkretne mjere usmjerene na ostvarivanje posebnih ciljeva iz dokumenta Strategije. Stoga je nužno svih 35 ciljeva navesti i u dokumentu Akcijskog plana. 3. Dokument Strategije obuhvaća širok spektar vrlo različitih područja, stoga je svakom pojedinom području bilo potrebno pristupiti na način primjeren specifičnostima svakog od njih (od stupnja razvoja do specifične terminologije). 4. Razlozi korištenja pojma kibernetičke sigurnosti i drugih izvedenica su, upravo zbog čestog prijepora oko korištenja ovog pojma u široj javnosti, pojašnjeni u samom tekstu Strategije (poglavlje "Uvod", 4. stranica, odlomak 1. i 2.). 5. Vidjeti odgovor na sljedeći komentar ovog korisnika.
Gordan Akrap NACRT PRIJEDLOGA , NACRT PRIJEDLOGANACIONALNE STRATEGIJE KIBERNETIČKE SIGURNOSTI Nacrt prijedloga Nacionalne cyber (kibernetske) strategije Uvod Brzim razvojem digitalnih informacijsko-komunikacijskih tehnologija, razvija se i lokalni, nacionalni, regionalni i globalni digitalni informacijsko-komunikacijski prostor, odnosno cyber prostor, sa svim svojim prednostima i nedostacima. Iako već sad zbivanja u cyber prostoru bitno utječu na život ljudi, u budućnosti će taj utjecaj biti sve veći i veći, zbog čega ga se opravdano smatra dijelom globalne i nacionalne kritične infrastrukture. Stoga je potrebno utvrditi prednosti i nedostatke korištenja tog prostora kako bi se njegove prednosti još bolje koristile, a nedostaci kao i mogući izvori nesigurnosti i nestabilnosti, učinkovito sprječavali, odnosno uklanjali. Cyber prostor već jest, a u budućnosti će biti još i više, poprište sukoba brojnih različitih interesa i strategija, kao i pokušaja ugroze nacionalnih vrijednosti, identiteta i pripadajućih korpusa znanja s ciljem nametanja volje informacijskog napadača. Ova strategija treba biti sastavni dio Nacionalne informacijske strategije, zbog čega potičemo njenu izradu. Ciljevi Strategije Ovom Strategijom utvrđuju se ciljevi kojih se izvršenje mora razraditi u pripadajućem Akcijskom planu: 1. Usklađivanje postojećih zakonskih rješenja i djelovanja s ciljem zaštita nacionalnog i međunarodnog cyber prostora, i javno dostupnog i štićenog, kao jednog od ključnih čimbenika na kojima se treba temeljiti pozitivan i učinkovit sveukupni razvoj društva i države, 2. Stvaranje jedinstvene štićene državne digitalne informacijsko-komunikacijske mreže s ciljem zaštite njene cjelovitosti, dostupnosti, pouzdanosti i sigurnosti te neometanog kretanja, obrade i pohrane podataka koji se nalaze u različitim bazama podataka državnih tijela i institucija, 3. Zaštita informacijskog sadržaja koji se u javnom cyber prostoru kreće, koristi i u njemu pohranjuje kao i cjelovitost, dostupnost, izvornost i tajnost tog sadržaja, 4. Poticanje na sustavno djelovanje u cyber prostoru s ciljem korištenja njegovih prednosti te obrane tih prednosti od strane cyber napada temeljenih na različitim motivima, 5. Jačanje svijesti kod svih korisnika cyber prostora o njegovim prednostima i nedostacima, 6. Objedinjavanje i usmjeravanje djelovanja institucionalnih i privatnih, nacionalnih, bilateralnih i multilateralnih sustava, institucija i tvrtki s ciljem potpune zaštite cyber prostora i njegovog sadržaja te 7. Poticanje sustavnog organiziranja obrazovnih procesa koji će omogućiti razvoj novih tehnologija namijenjenih korištenju u, te štićenju, cyber prostora, odnosno snaženja hrvatskog gospodarstva s ciljem izvršavanja postavljenih zadaća. Prednosti korištenja cyber prostora Nastanak i razvoj cyber prostora doveo je i do bitnih novina u stvaranju i otvaranju radnih mjesta koja donedavno nisu bila zamisliva. Također je došlo i do potrebe prilagođavanja obrazovnih procesa na svim razinama kako bi se nacionalna gospodarstva mogla učinkovito uključiti u iskorištavanje svih prednosti koje nam pruža cyber prostor: - Nepostojanje fizičkih granica koje su nekad onemogućavale/sprječavale/usporavale komunikaciju s obzirom na postojanje globalne digitalne informacijsko-komuniakcijske mreže, - Mogućnost organiziranog, brzog, kvalitetnog, učinkovitog i korisnog pružanja brojnih usluga neovisno o fizičkoj udaljenosti (npr. razmjena znanja, obrazovnih, financijskih, trgovačkih, zdravstvenih, kulturnih....), - Organizirana pohrana, i s time povezana dostupnost i korištenje brojnih, donedavno teško dostupnih znanja, - Razvoj novih tehnologija za kvalitetno, učinkovito i pouzdano korištenje cyber prostora - Razvoj novih tehnologija za učinkovitu zaštitu i prostora i posebnih tehnologija, kao i proaktivnu obranu cyber prostora od strane mogućih cyber/informacijskih napadača, - Stvaranje novih radnih mjesta posebno za mladu populaciju. Rizici korištenja cyber prostora Prijetnje sigurnom korištenju cyber prostora mogu se svesti u četiri tematska područja koja su često i međusobno povezana i u svom pojavnom obliku isprepletena: 1. Cyber kriminal, 2. Cyber terorizam, 3. Cyber špijunaža, 4. Cyber ratovanje. Napade treba razlikovati i s obzirom na cilj napada: 1. Napad na informacijski sadržaj i/ili 2. Napad na komunikacijsku infrastrukturu. Cyber prostor svakodnevno je izložen brojnim napadima koji pokušavaju narušiti njegovu cjelovitost, dostupnost, pouzdanost i sigurnost. Cyber napadači mogu biti pojedinci, grupe, ali i države. Cilj cyber napadača može biti nanošenje štete pojedincu, tvrtki, sustavu, državi i međunarodnoj organizaciji, bilo djelomično, bilo potpuno. Budući da je cyber prostor postao ključna digitalna informacijsko-komunikacijska infrastruktura na kojoj se temelji i učinkovitost i uspješnost djelovanja brojnih drugih nacionalnih i međunarodnih kritičnih infrastruktura, ni njegova obrana ne može se rješavati jedino i isključivo unutar nacionalnog obrabenog sustava. Stoga su učinkovita, potpuna i stručna unutar-nacionalna kao i međunarodna suradnja, temeljni uvjeti na kojima treba počivati sigurnost cyber prostora. Strategija potiče i zahtjeva suradnju svih bitnih dijelova društva i države (državni sustav, akademska zajednica, privatne tvrtke, građani) s ciljem kvalitetnog i učinkovitog, i korištenja i obrane, cyber prostora i sadržaja koji se njim kreće i u njemu pohranjuje. Oživotvorenje Strategije Za provedbu ove Strategije, izradit će se Akcijski plan kojim će se podrobno razraditi provođenje utvrđenih ciljeva s pripadajućim nositeljima aktivnosti i rokovima njihovog izvršenja. Središnja tijela za suočavanje s izazovima u cyber prostoru S ciljem sustavnog praćenja provođenja ove Strategije i pripadajućeg Akcijskog plana, njihove usklađenosti s novim procesima i izazovima te strateške koordinacije djelovanja u kriznim situacijama, Vlada RH osnovat će Nacionalno vijeće za cyber sigurnost (Vijeće). Sastav Vijeća, kojim će rukovoditi predstojnik Ureda Vijeća za nacionalnu sigurnost (UVNS), kao i podrobnije utvrđivanje njegovog djelokruga, ciljeva i zadaća, bit će utvrđeno posebnim dokumentom. Sastav Vijeća činit će čelne osobe tijela državne uprave, institucija, ustanova i tvrtki koje su uključene u provedbu Akcijskog plana. U okviru UVNS ustrojit će se posebna ustrojbena jedinica s ciljem: - operacionalizacije ciljeva i zadaća utvrđenih ovom Strategijom, Akcijskim planom i dokumentima Vijeća te - operativne koordinacije svih institucija, dijelova sustava i tvrtki uključenih u aktivnosti povezanih s korištenjem i zaštitom cyber prostora. Ta će ustrojbena jedinica služiti i kao svekolika potpora radu navedenog Vijeća. Zaključak Republika Hrvatska će zbog potreba razvoja vlastitog društva i države, te kao odgovorni član međunarodne zajednice, uložiti napore na omogućavanju sigurnosti korištenja cyber prostora samostalnim radom, ali i suradnjom s drugim nacionalnim i međunarodnim sustavima i institucijama s istim i/ili sličnim nadležnostima. U tom smislu potičemo odgovornu i koordiniranu, nacionalnu i međunarodnu, suradnju pojedinih državnih tijela, institucija, ustanova kao i privatnih tvrtki u skladu s nacionalnim i međunarodnim pravilima i procedurama. Republika Hrvatska će, u skladu s Akcijskim planom, aktivno raditi na izvršavanju postavljenih ciljeva koji će, kao i sama Strategija i Akcijski plan, prolaziti redovne procese procjene i prilagodbe novim mogućnostima i izazovima. Republika Hrvatska poticat će, ali i svim raspoloživim sredstvima braniti, slobodno i neometano korištenje cyber prostora, u skladu s važećim nacionalnim i međunarodnim zakonodavstvom. U tom smislu, Vlada računa na, i potiče, punu pomoć i suradnju javnog i privatnog, znanstvenog i profesionalnog sektora te svih zainteresiranih građana. Odbijen Dokument Akcijskog plana izrađen je na temelju prethodno razrađenog dokumenta Strategije i zajedno ova dva dokumenta predstavljaju nedjeljivu cjelinu, s tim da je dokument Akcijskog plana pomoćni alat za provedbu dokumenta Strategije. Cilj izrade strategije u predloženom obliku bio je dobiti skup operativnih dokumenata, dovoljno detaljnih i spremnih za provedbu u uvjetima u kojima se RH trenutno nalazi (stupanj liberalizacije javnih elektroničkih komunikacija, razvoj usluga e-uprave, preuzimanje novog koncepta kritične infrastrukture, financijski aspekt provedbe i dr.), a ne deklarativni dokument koji bi bio podložan različitim tumačenjima i nedovoljno operativan za provedbu.
Tina Dadić NACRT PRIJEDLOGANACIONALNE STRATEGIJE KIBERNETIČKE SIGURNOSTI, 3. OPĆI CILJEVI STRATEGIJE 3. OPĆI CILJEVI STRATEGIJE; točka 6: predlažem otvaranje mogućnosti e-praćenja nastave u osnovnoj školi. Npr: zbog izbjegavanje zaostatka učenik bi mogao pratiti nastavu u slučaju izostanka. Omogućiti praćenje, odrađenog sadržaja, kojeg bi unosio nastavnik. Djeca zbog bolesti ili drugog razloga, možda preseljenja u drugu državu mogu pratiti nacionalni program. Odbijen Komentar ne ulazi u opseg ove Strategije. Preporuča se pratiti tijek donošenja Strategije e-Hrvatska 2020 koja treba adresirati ovakve i slične usluge.
Tina Dadić NACRT PRIJEDLOGANACIONALNE STRATEGIJE KIBERNETIČKE SIGURNOSTI, 3. OPĆI CILJEVI STRATEGIJE 3. OPĆI CILJEVI STRATEGIJE; točka 7: horizontalno usklađivanje, razmjena podataka: npr. ordinacija-škola, ispričnice. Zdravstvo -sudovi uvid u dokumentaciju. Odbijen Komentar ne ulazi u opseg ove Strategije. Preporuča se pratiti tijek donošenja Strategije e-Hrvatska 2020 koja treba adresirati ovakve i slične usluge.
Krunoslav Šimatović 6. POVEZNICE PODRUČJA KIBERNETIČKE SIGURNOSTI, 6.4 Obrazovanje, istraživanje, razvoj i jačanje svijesti o sigurnosti u kibernetičkom prostoru (I) Potrebno je ujednačiti razinu pristupa pisanja Strategije. Primjerice, u većem dijelu strategije se navode generalni principi, dok se ovdje navode detalji poput "jačanja svijesti na satovima razredne zajednice" ?!? Istovremeno, ako se već bavimo detaljima, zašto se nigdje u Strategiji ne navodi vrlo bitna potreba da se primjerice izuzetno bitni podaci poput baza podataka banaka i financijskih institucija nužno moraju držati na teritoriju RH, bar u jednoj aktivnoj i radnoj verziji - za razliku od tendencija i stvarnog ponašanja ponašanja pojedinih, čak i najvećih banaka, koje de facto pod krinkom "ušteda" u troškovima vrlo važne podatke o financijskim transakcijama velikog broja pravnih i fizičkih osoba u RH drže i procesiraju u svojim matičnim zemljama izvan dohvata bilo koje institucije RH? Odbijen Dokument Strategije obuhvaća širok spektar vrlo različitih područja, stoga je svakom pojedinom području bilo potrebno pristupiti na način primjeren specifičnostima svakog od njih (od stupnja razvoja do specifične terminologije). Strateški prioriteti definirani su uvažavajući nacionalne potrebe i sposobnosti, uz poštivanje svih obveza koje za RH proizlaze iz članstva u EU, kao što su one vezane uz npr. zajedničko tržište.
Krunoslav Šimatović NACRT PRIJEDLOGANACIONALNE STRATEGIJE KIBERNETIČKE SIGURNOSTI, 7. PROVEDBA STRATEGIJE Nepotrebno kompliciranje, toliko puta viđeno u organizaciji naše javne uprave. Čemu 2 tijela koja se bave istim poslom, od kojih je "iz aviona" vidljivo da će Operativno-tehnička koordinacija" morati stvarno nešto i raditi, za razliku od Vijeća koje će nadzirati? Ovo se može daleko jednostavnije organizirati da postoji samo jedno tijelo, koje odgovara Vladi. Odbijen Formiranjem dva međuresorna tijela razdvajaju se nadležnosti planiranja i praćenja provedbe od same operativne provedbe, naročito u dijelu upravljanja u krizama. Također, postoje bitne razlike u vrsti i dinamici aktivnosti te sastavu tih tijela (različita razina zastupljenih dužnosti i različiti stručni profili).
Krunoslav Šimatović Cilj A.2  Neposredna tehnička koordinacija regulatornog tijela za područje elektroničkih komunikacija s nacionalnim i međunarodnim tijelima odgovornim za  područje informacijske sigurnosti., Mjera A.2.1   Bazično nerazumijevanje organizacijskih principa na djelu. Nositelj neke aktivnosti ne može biti 7 tijela - nositelj koji može efikasno organizirati proces može biti jedan, ostali mogu sudjelovati. Inače nema odgovornosti. Gdje je tu Nacionalno vijeće za kibernetičku sigurnost? Odbijen Mjera zahtjeva angažman svakog od navedenih tijelu u području (sektoru) svoje nadležnosti kako na nacionalnom nivou međusobno, tako i na međunarodnom prema odgovarajućim tijelima iste ili slične nadležnosti. Stoga postoji i neposredna odgovornost svakog pojedinog tijela, u okviru koje postoji obveza izvješćivanja Nacionalnog vijeće za kibernetičku sigurnost o provedbi mjere.
Krunoslav Šimatović Cilj B.1  Poticati povezivanje informacijskih sustava tijela javnog sektora međusobno i na javni Internet kroz državnu informacijsku i komunikacijsku infrastrukturu., Mjera B.1.1 Pokazatelj provedbe je broj izrađenih analiza? Ovo je šala? Odbijen Proces prelaska na državnu informacijsku infrastrukturu predstavlja organizacijski i financijski izazov za tijela javnog sektora. Stoga se Strategijom predlaže dodatno poticati ovo povezivanje, a Akcijskim planom predviđa mjera koja bi trebala rezultirati analizom potreba i mogućnosti za svako tijelo te potom i preporukama za provedbu tog procesa. Na taj način očekuje se sustavnija provedba ovih aktivnosti, ovisno o svim relevantnim pokazateljima koji mogu proizaći jedino iz analize stanja u različitim tijelima.
Krunoslav Šimatović Cilj E.5 Poticanje i stalni razvoj suradnje s gospodarskim sektorom., Mjera E.5.1   Da li je MUP adekvatan nositelj suradnje sa gospodarskim sektorom? može li to biti tijelo koje po svojem habitusu ima prirodniji kontakt sa gospodarskim sektorom? Odbijen Mjera proizlazi iz područja suzbijanja kibernetičkog kriminaliteta, te će se razvoj suradnje s gospodarskim sektorom u ovoj mjeri odvijati u tu svrhu, putem MUP-a kao zakonski nadležnog nositelja za područje kriminaliteta.
Krunoslav Šimatović Cilj I.1 Razvoj ljudskih potencijala u području sigurnosti komunikacijsko-informacijskih tehnologija., Mjera I.1.6 Nije li navedeni pokazatelj provedbe ipak pretjeran? Tko će u realnom životu prikupljati ove podatke i kakav će efekt imati broj od 100 ili 147? Čemu to služi? nije li ovo nepotrebno administriranje bez ikakve koristi? Odbijen Prikupljanje statističkih pokazatelja utvrđuje se pokazateljem provedbe u ovoj, kao i u nizu povezanih mjera, s ciljem njihova korištenja pri usmjeravanju i poticanju daljnjih aktivnosti (npr. mali broj polaznika ukazuje na potrebu poticanja interesa za obrazovanjem u ovom području).