Piše: Goran Kunjadić, ekspert za sajber bezbednost, kriptografiju i upravljanje obradom podataka o ličnosti
Nakon donošenja GDPR (General Data Protection Regulation) direktive koja se prevashodno bavi zaštitom podataka o ličnosti 2016. godine, sa njenom primenom se počelo 2018. godine. Bilo je procenjeno da su dve godine neophodne za pripremu neophodne infrastrukture za primenu regulative.
Nakon toga je uočeno da ICT infrastruktura finansijskih institucija predstavlja jedan od vitalnih delova ekonomije, pogotovo imajući u vidu digitalizaciju svih oblasti ljudske delatnosti. S tim u vezi, 2020. godine donet je Zakon o operativnoj digitalnoj otpornosti – Digital Operational Resilience Act ili popularno – DORA.
Zakon u uvodnom delu pojašnjava pojam digitalnih finansija koje su uveliko zaživele, kao i rizike koje digitalizacija finansijskih sistema donosi. Istovremeno su pojašnjeni i postulati kripto valuta koje nezadrživo napreduju i zauzimaju sve veći deo finansijskog tržišta, kao i nesporna uloga FinTech kompanija. Bilo je neophodno uskladiti Zakon sa važećom regulativom, pre svega sa direktivama Networks and Information Systems (NIS) i European Critical Infrastructure (ECI) a imajući u vidu ulogu Evropske nadzorne vlasti – European Supervisory Authorities (ESA).
U narednom delu DORA razmatraju se zakonski osnovi za donošenje Zakona. Uzeti su u obzir zakonski osnovi same EU koje države članice moraju da primenjuju u svojim lokalnim zakonodavstvima.
Nakon toga su razmatrana načela upravljanja ICT rizicima u okviru koga su date osnovne organizacione postavke, a zatim su definisani protokoli i alati koji se mogu koristiti u ovu svrhu. Ipak, s obzirom na to da se informaciona tehnologija izuzetno brzo razvija te da su kako protokoli tako i alati podložni promenama – možda Zakon nije baš najbolje mesto za njihovo propisivanje. Posebna pažnja je posvećena identifikaciji, zatim zaštiti, prevenciji i odgovoru na sajber napade. Na kraju ovog poglavlja sagledane su mogućnosti sanacije eventualno nastale štete. Prilikom razmatranja sanacije štete definisane su politike i načini izrade rezervnih kopija koje se mogu upotrebiti u slučaju da dođe do oštećenja ili brisanja podataka. Prilikom neovlašćenog otuđenja podataka, na žalost, sanacija štete nije moguća.
Upravljanje ICT incidentima podrazumeva upravljanje, klasifikaciju i izveštavanje nadležnih institucija kao što je CERT (Computer Emergency Response Team) bilo da se radi o nacionalnom nivou ili nivou finansijskih institucija. Između ostalog funkcija CERT-a je distribucija informacija o sajber opasnostima zainteresovanim stranama kako bi se izbegli napadi koji su prethodno otkriveni u drugim entitetima.
Posebno poglavlje je posvećeno testiranju bezbednosti ICT sistema pre svega metodom Penetration Testig što je regulisano PTes standardom. Pen Test je već duže vreme uobičajen i propisan način provere otpornosti sistema na sajber napade.
Naročita pažnja je obraćena na odgovornost trećih strana koje učestvuju u radu ICT sistema, misli se pre svega na vendore i provajdere, i sagledan je njihov deo odgovornosti u slučaju napada na sistem. Definisana je i uloga nadzora kritičnih ICT partnera.
DORA je de facto ozvaničila procedure i principe koji se već koriste u cilju odbrane ICT sistema, što je svakako korak u dobrom smeru. Ipak, treba imati na umu da je inicijativa na strani napadača a da zvanični akti zapravo predstavljaju odgovor na već poznate napade. U tom smislu bi vredelo razmisliti o načinima sprovođenja ofanzivne bezbednosti kao i donošenju akata koji bi propisivali osnovne smernice delovanja u smislu promovisanja ofanzivnih načina odbrane ICT sistema.