ishod projektnog zadatka 1.1. - ecesm · 2015. 12. 2. · internacionalna organizacija za...

544088‐TEMPUS‐1‐2013‐1‐SI‐TEMPUS‐JPHES

Ishod projektnog zadatka 1.1.Izvještaj o postojećoj praksi zemalja EU

u domenu sajber bezbjednosti

TempusprojekatpodpokroviteljstvomEvropskekomisije:544088‐TEMPUS‐1‐2013‐1‐SI‐TEMPUS‐JPHESOvajprojekatjefinansijskipodržalaEvropskakomisija.Uovomsuizdanjuiznijetaisključivogledištaautora,stogaseKomisijanemožesmatratiodgovornomzakorišćenjebilokojegpodatkasadržanogutekstu.


Sadržaj1. Uvod......................................................................................................................................................................4

1.1 Kontekst.....................................................................................................................................................4 1.1.2 Sajber prostor................................................................................................................................6

1.2 Dimenzije sajber bezbjednosti...........................................................................................................9 2 Važne organizacije i institucije................................................................................................................12

2.1 Međunarodni institucionalni odgovor na sajber prijetnje...................................................16 2.2 Međudržavne organizacije...............................................................................................................18 2.3 Državne organizacije..........................................................................................................................21

3 Standardi i okviri sajber bezbjednosti..................................................................................................22 3.1 Međunarodni standard ISO/IEC 27001........................................................................................23 3.2 Okvir sajber bezbjednosti.................................................................................................................26

3.2.1 Upravljanje rizikom i Okvir sajber bezbjednosti.............................................................27 3.2.2 Prostor za poboljšanje Okvira sajber bezbjednosti.......................................................28

3.3 Sajber bezbjednost i praksa upravljanja informacionom bezbjednošću.........................29 4 Međunarodne strategije sajber bezbjednosti, primjeri dobre prakse, okviri........................30

4.1 Internacionalna telekomunikaciona unija (ITU).......................................................................30 4.1.1 ITU Agenda globalne sajber bezbjednosti........................................................................30 4.1.2 ITU Vodič za nacionalnu strategiju......................................................................................32

4.2 Na nivou Evropske unije (EU)..........................................................................................................37 4.3 Ostale strategije sajber bezbjednosti na međunarodnom nivou, dobra praksa, okviri42

5 Praksa EU zemalja po pitanju sajber bezbjednosti.............Error!Bookmarknotdefined. 5.1 Austrija....................................................................................................................................................46 5.2 Estonija....................................................................................................................................................49 5.3 Finska.......................................................................................................................................................50 5.4 Francuska................................................................................................................................................53


5.5 Njemačka...................................................................................Error!Bookmarknotdefined. 5.6 Italija........................................................................................................................................................59 5.7 Slovenija.................................................................................................................................................62 5.8 Španija........................................................................................Error!Bookmarknotdefined. 5.9 Švedska......................................................................................Error!Bookmarknotdefined. 5.10 Velika Britanija........................................................................Error!Bookmarknotdefined.

6 Ostale zemlje – njihove strategije i primjeri dobre prakse o sajber bezbjednosti.......Error!Bookmarknotdefined.

6.1 Australija................................................................................................................................................71 6.2 Kanada.....................................................................................................................................................74 6.3 Japan........................................................................................................................................................76 6.4 SAD...........................................................................................................................................................78

7 Zaključak..........................................................................................................................................................81


1. Uvod

Internet, sa informaciono‐komunikacionom tehnologijom (IKT) koja stoji iza njega, je ključannacionalni resurs za jednudržavu, vitalni dio nacionalne infrastrukture, i ključni pokretač socio‐ekonomskograstairazvoja.Uzadnjihčetrdesetgodina,anaročitodo2000.godine,javnaupravaiprivatnapreduzećasuprihvatiliInternetipotencijalIKT‐akakobiostvariliprihodistvaralinovaradnamjesta,omogućilipristupposlovima i informacijama,pružilimogućnostpohađanjanastaveprekoe‐platforme(tzv.e‐učenje),iolakšalidržavneaktivnosti.Unekimzemljama,učešćeInternetaubrutodruštvenomproizvodu(BDP)jedo8%,doksučlaniceEvropskeunije(EU)iG20sudonijelemjere za povećanje učešće Interneta u BDP‐u. Ova vrijednost i potencijal sajber okruženja jepotpomognuta investicijama iz privatnog i javnog sektora u vidu uspostavljanja veoma brzihvisokopojasnih mreža i pojednostavljenom pristupu mobilnom Internetu koji se danas možepriuštiti, zatim probojem inovacija kada je riječ o veoma brzoj obradi podataka i povećanjemkapaciteta kompjutera, pametnih električnih mreža, cloud računarstvom, industrijskihautomatizovanihmreža, inteligentnih transportnih sistema, elektronskogbankarstva imobilne e‐trgovine.Ovajdokumentdajepregledianalizutrenutnihpraksiudomenusajberbezbjednostiinadržavnominainstitucionalnomnivou.Analizadajepotrebnuosnovuzarazumijevanjepostojećihobrazovnihokvira za sajberbezbjednost (koja ćebiti obrađenau Ishodu1.2.) i daljeprezentujeokvir sajberbezbjednosti i dalje upute za stvaranje, procjenu, akreditaciju i vođenje studijskih programa zasajberbezbjednostnaraznimnivoima,odneformalnog,visokogidoživotnogobrazovanja;uputstvazavođenjeprojekataipružanječvrsteistabilneinfrastrukturezasajberbezbjednost.AnalizaseuglavnomfokusiranapraksuEUosajberbezbjednosti,alipružaiuviduovakvepraksenadrugimmjestimausvijetu.Onaistražuje:

principezasajberbezbjednostkojiproizilazeizinicijativaiprojekatavažnihevropskihasocijacija,

razvojnestrategijeiproceseprocjene,iskustvaiprimjeredobrepraksekojesuusvojilirelevantnidržavniorganiiinstitucije.

1.1 Kontekst

Informaciono‐komunikacione tehnologije (IKT) su postale nezamjenljive za moderan stil života.Zavisimo od informacione i komunikacione infrastrukture u vođenju našeg društva, poslovaiizražavanju naših građanskih prava i sloboda. Na taj način, građani su postali zavisni odinformaciono‐komunikacione infrastrukture tako da prijetnje po njenu dostupnost, integritet ipovjerljivostmoguda,uvelikojmjeri,utičunafunkcionisanjenašegdruštva.


Bezbjednostonlajnokruženjajednenacijezavisiodizvjesnogbrojastejkholderasarazličitimulogamaipotrebama.OdkorisnikaservisajavnihkomunikacijadoInternetprovajderakojisnabdijevainfrastrukturuisvakodnevnosebavifukncionisanjemservisa,dosubjekatakojičuvajuunutrašnjeispoljnebezbjedonosneinteresejednedržave,svakikorisnikinformacionogsistemautičenanivootporanacionalneinformacionestrukturenasajberprijetnje.Uspješnenacionalnestrategijesajberbezbjednostimorajuuzetiuobzirsvezainteresovanestrane,svijestonjihovojodgovornostiipotrebudaimsepružesvapotrebnastredstvakakobiizvršavalizadatke.Takođe,nacionalnasajberbezbjednostnemasamosektorskuodgovornost:njojjepotrebankoordinisaninaporsvihstejkholdera.Stoga,saradnjajezajedničkanitkojaprolazikrozvećinutrenutnodostupnihstrategijaipolitikazasajberbezbjednost.Osimtoga,raznenacionalnesajberstrategijepredstavljajujošjednozajedničkostanovište:dokjenacionalnapolitikaograničenagranicamanacionalnogsuvereniteta,oneupućujunaokruženjekojesebaziranainfrastrukturuifukncionalnulogikukojanepoznajenacionalnegranice.Sajberbezbjednostjemeđunarodniizazov,kojizahtjijevameđunarodnusaradnjukakobiuspješnodostiglaprihvatljivinivobezbjednostinaglobalnomnivou.Nacionalniinteresitežekatomedaimajuprioritetnadzajedničkiminteresimaitojepristupkojijemožda teškopromijeniti, akomu jeuopštepotrebnapromjena. Svedokmožemonaći zajedničkuosnovu i otvoreno razgovarati oproblemima,nacionalni interesi ne smijudakočemeđunarodnusaradnju.Zadatakdasepripreminacionalnastrategijasajberbezbjednostijesložen.Poredpromjenljivogpejzažaraznihprijetnjiiupletenihigrača,mjerekojeotkrivajusajberprijetnje,dolazeiznekolikorazličitihoblasti.Onemogu,poprirodi,bitipolitičke,tehnološke,pravne,ekonomske,upravljačkeivojne,ilimoguuključitidisciplinekojeodgovarajuodređenimrizicima.Sveovesposobnostimorajudaseudružekakobireagovanjemjačalebezbjednostiodbijaleprijetnje,anedasetakmičemeđusobomzaistaknutijuuloguilizaresurse.Istotako,bilokojapredviđenabezbjedonosnamjerastalnomoradasebalansiraizmeđuosnovnihpravaislobodaimoraseuzetiuobzirnjihovefekatnaekonomskookruženje.Nakraju,važnojeshvatitidasajberbezbjednostnijeizolovancilj,većjetosistemmjerazaštitaiodgovornostikojiomogućavafunkcionisanjeotvorenogimodernogdruštva.1.1.1 Srodni koncepti U principu, bezbjednost je zaštita ljudi i imovine, i skup mjera koje se mogu primijeniti protivprijetnji i opasnosti. Kroz prizmu informacionih tehnologija, bezbjednost se definiše kao zaštitasredstavainformacionetehnologijeiinfrastrukture,odoštećenjaigubitka.Institutzabezbjednostiotvorene metodologije1 (engl. ISECOM) definiše bezbjednost kao “oblik zaštite gdje postojidemarkaciona linija između sredstava i prijetnje”. Uopšteno, sredstva su zgrade, kompjuterskisistemi iuređaji, fiskalnasredstva, informacije ipodaci. Sdrugestrane, izvorioštećenja i gubitkamogu biti prirodne nepogode poput zemljotresa i oluja, tehnološki kvarovi kao što su kvar naopremiikompromitovaneinformacije.1http://www.isecom.org/


Opštikonceptbezbjednostisemožepodijelitinarazličitegranebezbjednostikaoštosu: fizička; kompjuterska; komunikacijska; informaciona; ljudska; državna.

Nacionalna bezbjednost je zaštita ili sigurnost države i njenih građana. Ona zahtijeva korišćenjeekonomske, diplomatske i političke moći. Nacionalna bezbjednost pokriva ekonomsku, javnu,energetsku, ekološku bezbjednost, itd. Da bi se osigurala nacionalna bezbjednost, neke semjeremorajupreduzeti:

Podržavatikompetentnuvojsku; Ujedinitisaveznikeiizolovatiprijetnjeputemdiplomatskihodnosa; Organizovatiekonomskeresursetakoštoćepromovisatisaradnju; Stvaratinapredneaplikacijezavanrednuopreznosticivilnuodbranu; Garantovatizaliheifleksibilnostvažneinfrastrukture; Koristitiobavještajne ikontraobavještajne servisezaotkrivanje i sprečavanjebilokakvog

unutrašnjegilispoljašnjegobaranjailikompromitovanjeinformacija.

1.1.2 Sajber prostor

Termin “sajberprostor” senajboljemožeobuhvatitimetaforomkojaseodnosinavirtuelni svijetinformacionih sistema.Termin “prostor”u sajber prostorunajbolje jepomatrati kaonešto što jesrodnijeapstraktnommatematičkomznačenjuterminanegofizičkomterenu.Sajberprostornemastandardnu definiciju. Uglavnom, termin se koristi da opiše ne‐fizički prostor koga činekompjuterski i informacioni sistemi kojima se može pristupiti sa kompjuterske mreže. Usavremenoj terminologiji, termin “sajber prostor” se odnosi na globalnu mrežu komjuterskihsistema.Sajberprostorjemedijkojisesastojiodmnogoučesnikasasposobnošćudautičujedninadruge,ito je domen koga karakteriše korišćenje elektronike i elektromagnetskog spektra za čuvanje,modifikovanjeirazmjenupodatakaputemumreženihsistemaizdruženihfizičkihinstrastruktura.SajberprostorjevišeodInterneta,podrazumijevanesamohardver,softveriinformacionesisteme,već i ljude i društvenu interakciju u okviru ovihmreža. ITU (Internacionalna telekomunikacionaunija)koristiovaj termindaopiše “sisteme iuslugepovezanedirektno ili indirektnona Internet,telekomunikacije i kompjuterske sisteme”. Internacionalna organizacija za standardizaciju (ISO)koristimalodrugačijitermin,idefinišesajberkao“kompleksnookruženjekojenastajekaorezultatinterakcijeimeđuljudi,softveraiusluganaInternetuputemtehnološkihsredstavaimrežakojesuna njega povezani, a koje ne postoji ni u jednom fizičkom obliku”. Pored ovoga, države daju


definicijuštapodrazumijevajupodpojmom“sajberprostor”unjihovimnacionalnimstrategijamasajberbezbjednosti(NSSB).Globalnemreže,zajednosasvojimprednostima,takođesuizloženesigurnosnomrizikukaoštojesajberkriminal.Sajberkriminalsedefinišekaoprestupilinelegalnaaktivnostpočinjenananekojmodernoj telekomunikacionojmreži kao što je Internet. Sajber kriminalpokriva široki dijapazonkriminalneaktivnosti,alise,uosnovi,možepodijelitinatriglavnekategorije:

Sajber kriminal počinjen nad jednom osobom: bilo koja lična zloupotreba prilikomkorišćenjakompjutera;razmjenainformacijailidistribucijaneprikladnogsadržaja.

Sajber kriminal počinjen nad svim oblicima svojine: distribucija malicionoznog softvera,uništavanjesvojinepojedinaca,

Sajber kriminal počinjen nad državom: ova radnja se smatra sajber terorizmom poduslovomdaseizvoditakoštovršiupadudržavniilivojnikompjuterskisistem.

SavjetEvrope(SE)jeusvojioKonvencijuosajberkriminaluujulu2004,itojeprvameđunarodnakonvencijakojomseupućujenaovajproblem.Njomsepropisujerelativnovisokistandardpokomebisemogloostvaritimeđunarodnasaradnjaradiistrageivođenjesudskihpostupakaprotivsajberkriminala. Savjet Evrope je svjestan da kriminalci koriste nedostatak međusudske saradnje ikoordinacije među državama. I druge organizacije imaju slični pristup u svojim okvirnimstrategijamaiplanovima.Ujulu2006.,RegionalniforumzemaljaASEAN‐a(ARF)jeizjaviodanjenečlanice trebaju da implementiraju zakone o sajber bezbjednosti i sajber kriminalu “u sladu sanjihovim nacionalnim uslovima i trebaju da sarađuju u identifikovanju kriminalne i terorističkezloupotrebe Interneta”. Ovo obaveza je kasnije pretočena u sporazum iz 2009. godine u okviruŠangajske kooperativne organizacije (ASEAN‐kineski okvirni sporazum, engl. ASEAN‐ChineseFrameworkAgreement)oinformacionojbezbjednosti.Grafikon1prikazujeodnosizmeđusajberbezbjednostiiostalihdomenabezbjednosti,preuzetosaISO/IEC 27032:2012: ,,Informaciona tehnologija – Sigurnosne tehinke – Uputstva za sajberbezbjednost”.


Grafikon1:Odnosizmeđusajberbezbjednostiiostalihdomenabezbjednosti

Informacionabezbjednost“sebavizaštitompovjerljivosti,integritetaidostpnostiinformacijauopšte,kakobizadovoljilapotrebekorisnikaodređeneinformacije”.(ibid.)‘Bezbjednost mreže “podrazumijeva nacrt, primjenu i rad mreža radi postizanja ciljevainformacione bezbjednosti u okvriru organizacija, između organizacija, i između organizacija ikorisnika”.(ibid.).Internetbezbjednost“sebavizaštitomservisakojiseodnosenainternetiIKTsistemeimreže,ipredstavlja dodatak bezbjednosti mreže u organizacijama i kod kuće, kako bi se postiglabezbjednost. Internet bezbjednost obezbjeđuje dostupnost i pouzdanost Internet servisa”. (ibid.,11.).Zaštitakritične informacione infrastrukture (engl.CIIP) “se bavi zaštitom sistemakoji koriste ivode provajderi kritične infrastrukture, kao što su resor energetike, telekomunikacija ivodosnabdijevanja. CIIP omogućava zaštitu i otpornost tih sistema i mreža u odnosu na ostaleinformacione,mrežneisajberrizikeposigurnostibezbjednost.”(ibid.).Sajberkriminalsedefinišekao“kriminalnaaktivnostgdjeseservisiiaplikacijeizsajberprostorakoriste ili su meta kriminalnog čina, ili gdje je sajber prostor izvor, sredstvo, meta ili mjestozločina”.(ibid.,4.).Sajbersigurnostsedefinišekao“stanjezaštićenostiodfizičkih,društvenih,duhovnih,finansijskih,političkih, emocionalnih, profesionalnih, psiholoških, obrazovnih ili drugih oblika ili posledicakvarova, grešaka, nezgoda, šteta ili bilo kojeg drugog događaja u sajber prostoru koji se možesmatratinepoželjnim.”(ibid.).Sajber bezbjednost, ili Bezbjednost sajber prostora se definiše kao “ očuvanje povjerljivosti,integriteta i dostupnosti informacije u sajberprostoru” (ibid.).Međutim, smatra seda se i drugasvojstvapoputautentičnosti,odgovornosti,validnostiipouzdanostitrebajuuključitiupojamsajberbezbjednosti. Termin “sajber bezbjednost” je naširoko prihvaćen 2000.godine sa brisanjem“milenijumske bube”. Kada se koristi termin “sajber bezbjednost”, on se često proširuje i nainformacionubezbjednostinaIKTbezbjednost.ISOdefinišesajberbezbjednostkao“očuvanjepovjerljivosti,integritetaidostupnostiinformacijeusajberprostoru”.ITUdaješirudefinicijupojmasajberbezbjednosti:“Skup sredstava, strategija, sigurnosnih koncepata, sigurnosne zaštite, uputstava, pristupaupravljanjarizika,radnji,obuke,najboljeprakse,garancija i tehnologija,kojesemogukoristitizazaštitu sajber okruženja i svojine korisnika i organizacija. Svojina korisnika i organizacijapodrazumijeva priključene kompjuterke uređaje, kadar, infrastrukturu, aplikacije, servise,telekomunikacionesisteme, izbirprenešenih i/ilisačuvanih informacijausajberokruženju.Sajberbezbjednosttežipostizanjuiodržavanjusigurnosnihosobinasvojinekorisnikaiorganizacijaprotiv


važnihsigurnosnihrizikausajberokruženju.Opšticiljevibezbjednostisemogusažeti iobuhvatajusljedeće:dostupnost,integritet,autentičnost,validnostipovjerljivost”.

Mnoge zemlje daju definiciju onoga što podrazumijevaju pod sajber bezbjednošću u odnosu nanjihova nacionalna strateška dokumenta. Više od 50 zemalja je izdalo neki dokument o sajberstrategiji u kome definišu šta bezbjednost znači za njihove buduće nacionalne i ekonomskebezbjedonosnepoduhvateiinicijativenaovompolju.

1.2 Dimenzije sajber bezbjednosti

Bilo koji pristup nekoj nacionalnoj sajber strategiji treba da uzme u obzir sljedeće dimenzijeaktivnosti:

Grafikon2:Odnosizmeđusajberbezbjednostiiostalihdomenabezbjednosti

DržavnaUokvirusamedržave,nijeneobičnodasemeđudvanaestraznihresoraiorganatražiodgovornostza nacionalnu sajber bezbjednost u različitim oblicima, uključujući vojne, zakonodavne, sudske,trgovinske, infrastrukturne,unutrašnje,obavještajne telekomunikacijske, iostaledržavneorgane.Ovo je shvatljivo ako se uzme u obzir širina i dubina onoga što čini NSB, ali vodi ka značajnojpoteškoći kada treba proizvesti koherentnu akciju. Zato je glavni izazov za sve strategije NSBpoboljšanjekoordinacijeizmeđuovihdržavnihčinilaca.Ovaj“svedržavni”naporsemožepostićisanekolikometoda, na primjer, tako što će se odrediti vodeći organ ili resor za poboljšanjemeđu‐


resorskogprocesa.Zbogezoteričneprirodesajberbezbjednosti,vjerovatnoćebitipotrebnouložitivećinaporzaovu“svedržavnu”sinergijunegozabilokojidrugisigurnosniizazov.MeđunarodnaSkorodanemadokumentaoNSBkojisenepozivanameđunarodnudimenzijusameproblematike.SamabazaInternetajepotpunoglobalizovana,danespominjemomnoštvokompanijaiorganizacijakojegaefektivnokonsituišu.Dabibilokojadržava ili interesnagrupamogladaunaprijedi svojeinterese,potrebnajesaradnjasavelikimbrojemmeđunarodnihpartnera.Ovovažizasvakinivo:odmeđunarodno obavezujućih ugovora (npr. Konvencija o sajber kriminalu Savjeta Evrope), dopolitičkiobavezujućihsporazuma(npr.kojesetičumjerazarazvojpovjerenjausajberprostor),donevladinih sporazuma među tehnički sertifikovanih tijela (npr.članstvo u FIRST‐u i sličnimorganima).Dostaslučajevameđunarodnesaradnjećeseodigrati izvanodređenedržave.Zapravo,poželjnojedaseradisanevladinimčiniocimavanzemlje.Stoga,naglasaksemorastavitinaodnosesasvimvažnimčiniocimauokviruodređenihsistema(naročitouoblasti“upravljanjaInternetom”,aliinesamotu).Zatosvesistemskipristupstavljanaglasaknapotrebudržavezajednimvodećimčiniocem(kojisemoženalazitiivansamedržave),omogućavadačinilacbudedovoljnofleksibilandauključiširokspektarčinilacanaglobalnomnivou.NacionalnaSaradnja sa preduzimačima koji pružaju usluge obezbjeđenja i nabavke sigurnosne opreme ikompanijama koje obezbjeđuju kritičnu infrastrukturu, je uvijek bila bitna za nacionalnubezbjednost.Stalnopovećanjebrojaučesnika jevažnozanacionalnusajberbezbjednostbilokojedržave,a toznačidasunekedržaveodlučiledanapravesopstvenusveobuhvatnustrategiju,kojauključuje cijelo društvo, ili cijelu naciju. Pokušaj je da se svedržavnim pristupom prevaziđuograničenja koja postoje kod pravno definisanih veza sa malim brojem pojedinih preduzimača.Često se njime ohrabruje veliki broj nevladinih činilaca (naročito privatne kompanije, ali iistraživačke ustanove i civilno društvo) da sarađuju sa državom u vezi problema sa sajberbezbjednošću.Dokmnogedržaveradenaproširenjunjihovihpravnihkapaciteta,opštiprincipjedajeodređena“saradnja”potrebnasavelikimbrojemnevladinihčinilaca,takodabisamizakonodavnipristup ,u velikoj mjeri, bio nepodesan u većem broju demokratskih država. Da bi pospješiosaradnju, svedržavni pristup često podrazumijeva razne inicijative kako bi direktno podržalibezbjednostovihpreduzeća,aindirektnomoguimatiiodređeneprednosti(npr.utrgovini).Kadasegovorioopštemkontekstunacionalnesajberbezbjednosti,važno je imatinaumudaovonije jedinstvenaoblast.Zapravo,problemNSB‐amožesepodijelitinapetrazličitihperspektiva ili“nadležnosti”,asvakimožebitiupućenrazličitimdržavnimorganima.Ovapodjelanijeidealna,alije realna, s obzirom na složenost i dubinu prodiranja sajber bezbjednosti uopšte. Svaka od ovihnadležnosti jeizgradilasvojeciljevekojimatežeimjerekojetrebapreduzetiprilikomosvarivanjaistih,pačak i sopstveni leksikon,uprkosčinjenicidasveovosamopredstavlja različito lice istogproblema.Nažalost,čestonedostajekoordinacijeidolazidopreplitanjanadležnostiiovlašćenja,aliovaj nedostatak je možda jedan od najozbiljnijih organizacionih izazova u domenu nacionalnesajberbezbjednosti.


VojnasajberdimenzijaMnogedržaveradenaizgradnjipotrebnihkapacitetadavodesajberrat,doknekiNATOizvještajitvrdedaoko120zemaljarazvijavojnesajberkapacitete.Ovikapacitetisetumačejednostavnokaojoš jedno ratno sredstvo, slično vazdušnim snagama, koji bi se koristili samo u okviru jasnodefinisane taktičke vojne misije (na primjer, za gašenje sistema vazdušne odbrane). Zato, vojnesajberaktivnostiobuhvatajučetirirazličitazadatka:pružajuzaštitusopstveneodbrambenemreže,pružajukapacitetezamrežnoratovanjeusajberprostoru(engl.NetworkCentricWarfare–NCW),bojnopoljeitaktičkosajberratovanjeistrateškosajberratovanje.Kontra‐kriminalnesajberaktivnostiiradnjeSajber kriminalne aktivnosti podrazmijevaju široki spektar aktivnosti kojeutičunapojedinačnoggrađaninadirektno(npr.krađaidentiteta)inakorporacije(npr.krađaintelektualnesvojine).Ipak,nanacionalnomnivoubezbjednosti,značajnajesposobnostlogističkepodrškekojusajberkriminalmožeponuditibilokojojzainteresovanojstranikojasprovodisajbernapade.Ovovažiikadasajberkriminalvršiinterakcijunesamosavojnimsajberaktivnostima,većisasajberterorizmom.Svejevećibrojkriminalnihradnji iaktivnosti,uključujućipokušajemasovnogometanjakomunikacija,aovonamsamogovoridaćesajberterorizambitivelikiproblemubudućnosti.ObavještajnaikontraobavještajnaslužbaPokušaj da se razdvoji sajber špijunaža od sajber kriminala i vojnih sajber aktinovnosti jekontroverzno.Zapravo,obijemisijezaviseodsličnihpravacanapadaisličnetehnologije.Upraksi,međutim, ozbiljni slučajevi špijunaže (koji se odnose na intelektualnu svojinu kao i na državnetajne) su klasa za sebe, dok s druge strane može biti jako teško utvrditi sa sigurnošću da li jenapadač država ili kriminalna grupa koja djeluje u ime države ili zaista radi za sebe. Ko god dazapravostoji izanapada,sajberšpijunažavjerovatnopredstavljanajrazornijidiosajberkriminala(akojeuključenaukategoriju).ZaštitakritičneinfrastruktureiupravljanjekriznimsituacijamananacionalnomnivouZaštita kritične infrastrukture ‐ZKI (engl.Critical infrastructureprotection ‐CIP) je sveobuhvatnitermin koji teži uključivanju provajdera osnovnih servisa jedne zemlje u okviru nacionalnebezbijednosti.Sobziromdavećinaservisnihprovajderapripadajuprivatnomsektoru(poputjavnihusluga, finansijskih institucija i telekomunikacija), potrebno je donekle proširiti podršku državekakobiimpomogladazaštiteosnovneuslugekojepružajuodmodernihprijetnji.Dokjeprvobitnifokusovihprogramanakon11.septembra2001.seodnosionafizičkubezbjednost,danassevećibroj aktivnosti ZKI direktno povezuje sa sajber djelovanjem, često sajber kriminalom i sajberšpijunažom.Uovomkontekstu,upravljanjekrizomnanacionalnomnivoumoradaseproširinaovudodatnusajberkomponentu.,,Sajberdiplomatija”iupravljanjeInternetom


Akojediplomatija,usvojojbiti,načinnakojidržaverazmjenjuju,tretiraju,sakupljaju,pristupaju,prezentuju i predstavljaju informaciju, onda je sajber diplomatija ,,kako se diplomatija adaptiraprema novom globalnom informacionom poretku”. U ovom kontekstu, promocija ciljeva poput,,normi i standarda za sajber ponašanje” (koja je ranije obrađena od strane UN‐a) i namjera zapromovisanjem ,,mjera za izgradnju povjerenja među nacijama u sajber prostoru” trebaju da seshvate kao aktivnosti na bilateralnoj osnovi. Za razliku od sajber diplomatije, upravljanjeInternetom je u velikoj mjeri multilateralna (ili čak multi‐stejkholderska) aktivnost, i od svihnadležnosti, najviše usmjerena kameđunarodnomnivou. Upravljanje Internetom se definiše kaoproces putem koga određeni broj državnih i nevladinih činilaca uzajamo djeluju kako bi mogliupravljationimštosezoveprogramskislojInterneta.Navedena segmentacija je samo pokušaj da se omogući strukturiranija diskusija u oblastinacionalne sajber bezbjednosti. Zapravo, različite nadležnosti se bave različitim organizacionimgrupama,nesamouokvirudržave,većiuokvirunevladinogsektora.Kadasegovorionormama,sve ove nadležnosti trebaju da se holistički upotrijebe i ukomponuju u cjelinu, ako se razvijasveobuhvatnastrategijaNSB‐a.

2 Važne organizacije i institucije

Ranijih godina, uprocesu razvijanja Interneta, bezbjednostnijebila uspostavljenaniti održavanaputem formalnog ili planiranog institucionalnog okvira.Umjesto toga, važnuuloguu otkrivanju ismanjivanju broja prijetnji imao je privatni sektor. Od kompanija se očekivalo da rukovodebezbjednošću sopstvenih proizvoda, a korisnici su prihvatali neke naslijeđene rizike i obaveze.Međutim,ovajpristupnikadanijemogaoda izađenakraj sa rastućimbrojemranjivosti sistema.Pojedinimkompanijamanedostajalo jepodsticajadapodijele informacije, išto je jošvažnije,nisuimalepravniokvirdabiseborilesanovonastalimnacionalnimprijetnjamailidabikrivičnogonilekriminalne mreže. Rezultat toga su odgovori na sajber incidente koji bi ostajali u tajnosti i bilinekoordinisanisaprivatnimsubjektimakojisupoprimalireaktivnistav.Posmatrajućiovusituaciju,nekolikoneprofitnihorganizacijajepokušalodapopuniorganizacionuprazninu tako što su dale volonterske reakcijske timove, mreže za dijeljenje informacija isigurnosnauputstva. Fokusirajući senaproblemekoji suprevazilazili korporativnubarijeru, oveneprofitne organizacije su osnovale fondaciju za koordinisanu reakciju zajednice protiv sajberprijetnji. Ipak, iako su čestobileuspješneu smanjivanju lokalizovanihbezbjedonosnihproblema,neprofitneorganizacijenisu imalepotrebnaovlašćenja iresursezaefikasniodogovornakrizunaglobalnomilidržavnomnivou.Dobrim dijelom poslednjih deset godina, sadejstvo četiri zasebna ali povezana trenda stvorili supotrebu za formalnim intervencijama, koje uključujudržavnu imeđunarodnukoordinaciju. Prvo,brojkorisnikaInternetasepovećavaozajednosaproširenjemoblikakorišćenjaistog.Drugo,mnogedržave su shvatileda je sajber ranjivostnastaviladaugrožavane samosigurnostnjihovihmrežavećimreženjihovihgrađanakojisugakoristilizaobičnesvakodnevneaktivnosti.Treće,postojaloje primjetno odsustvo koordinisane reakcije iz sektora ili težnji da se razviju kooperativnestrategije za suzbijanje prijetnji, stoga su uticali na nesumnjim propust u sistemu upravljanja. I


najzad, rastući dijapazon sajber incidenata, velikih i malih, dao je državama signal o mogućemuticajunjihovenesposobnostidasepozabavesanoviprijetnjama.Kaoreakcijanato,državesunarazličitenačine, iskoristilenacionalnei internacionalneresursezastvaranješirokogokvirasajberbezbjednosti; a to je rezultiralo institucijalnim odgovorom koji služi kao fokus ovog projektnogzadatka.Tabela1identifikujeorganizacijeitijelakojaseodnosenasajberbezbjednost.Letimičanpoglednaovu tabelu nagovješćuje da je sistem sajber bezbjednosti jedan složen niz nacionalnih,internacionalnihiprivatnihorganizacija.Uporedosaorganskimnačinomnakojisesajberprostorsamorazvijao,oveorganizaciječestonemajujasnenadležnostiiliimajupodudarajućesfereuticaja.Uovoj fazisamoželimoda istaknemoglavneorganizacije i,koliko je tomoguće,označimonjihovodnosipovezanost.Koristilismodvakriterijumaprilikomodabiraorganizacijazaovuanalizu.Prvo,fokusiralismosena organizacije koje pružaju javne informacije vezane za probleme sajber bezbjednosti.Drugo, uokviru svakog od naše tri sfere interesovanja (međunarodna, međudržavna i državna), odabralismo institucije sakoordinisanomodgovornošću ili formalnomnadležnošćukoja im jedodijeljenaodstranepriznatogmeđunarodnogilidržavnogorgana.Zanacionalninivo,kratkosmopredstaviliorganizaciju za sajber bezbjednost u Sjedinjenim Državama koja nam je poslužila kaoreprezentativni model. Detaljna analiza drugih nacionalnih nastojanja je prikazana u sljedećempoglavljuovogizvještaja.

Tabela1:Međunarodniinstitucionalnisistemsajberbezbjednosti

Institucija UlogaCERT‐oviAzijsko‐pacifičkitimzahitnoreagovanjenasajbernapade(eng.AsiaPacificComputerEmergencyResponseTeam‐AP‐CERT)

Azijskaregionalnakoordinacija

Timzahitanodgovornasajbernapade‐Koordinacionicentar(eng.ComputerEmergencyResponseTeam‐CoordinationCentre‐CERT‐CC)

KoordinacijasvjetskihCERT‐ova,naročitonacionalnih.

Forumzareagovanjenaincidenteitimovizabezbjednost(eng.ForumforIncidentResponseandSecurityTeams‐FIRST)

ForumidijeljenjeinformacijazaCERT‐ove

Saradnjatimovazahitnoreagovanjenabezbjednosneincidente

Evropskaregionalnakoordinacija


(eng.CollaborationofSecurityIncidentResponseTeams‐TF‐CSIRT)MeđunarodnatijelaKoordinacionicentarizvrsnostizasajberodbranu(eng.CooperativeCyberDefenceCentreofExcellence‐CCDCOE)

PovećanjekapacitetasajberodbraneNATOsnaga

Evropskaunija(eng.EuropeanUnion–EU)

Sponzorišeradnegrupe,akcioneplanove,smjernice

Evropskabezbjedonosnaagencijazamrežuiinformacije(eng.EuropeanNetworkandInformationSecurityAgency‐ENISA)

Podizanjesvijesti,saradnjaizmeđuprivatnogijavnogsektora,davanjesavjetaEvropskojunijioproblemimasajberbezbjednosti,prikupljanjepodataka

G8:Podgrupazavisokotehnološkikriminal(eng.G8:SubgrouponHighTechCrime)

SponzorisanjeINTERPOL‐oveotvorenemrežekojaradi24časasvih7danausedmici,raznihpravilnika

Međunarodnomultilateralnopartnerstvousmjerenoprotivsajberprijetnji(eng.InternationalMultilateralPartnershipAgainstCyberThreats‐IMPACT)

Centarzazaodgovornaglobalneprijetnje,analizapodataka,sistemzaranoupozorenjeustvarnomvremenu

Međunarodnaorganizacijakriminalističkepolicije(eng.InternationalCriminalPoliceOrganization‐INTERPOL)

Upravljaotvorenomlinijom24/7,obučavaorganezaprimjenuzakona,učestvujeuistragama

Međunarodnisaveztelekomunikacijskihprovajdera(eng.InternationalTelecommunicationsUnion‐ITU)

SponzorišeIMPACT.Organizujekonferencije,objavljujeuputstvaiprogramskealate,olakšavarazmjenuinformacijaisaradnju.

Sjevernoatlantskaalijansa(eng.NorthAtlanticTreatyOrganization‐NATO)

OdgovaranavojnenapadenačlaniceNATOsaveza

Organizacijazaekonomskusaradnjuirazvoj

Razvijapolitičkemogućnosti,organizujekonferencije,izdajeuputstvaiprimjere


(eng.OrganisationforEconomicCo‐operationandDevelopment‐OECD)

najboljeprakse.

KancelarijaUjedinjenihnacijazadroguikriminal(eng.UnitedNationsOfficeonDrugs&Crime‐UNODC)

Promocijazakona,programaobuke,svjesnosti,isprovođenja

Svjetskisamitoinformacionomdruštvu(eng.WorldSummitontheInformationSociety‐WSIS)

Svjetskisamitoinformacionomdruštvu;objavljujerezolucijeinadgledaprimjenusmjernicauzvelikozalaganjedaseoveaktivnostisprovedu.

NacionalnatijelaDržavnabezbjedonosnaagencija/Centralnabezbjedonosnaslužba(eng.TheNationalSecurityAgency/CentralSecurityService‐NSA/CSS)

NSA/CSSvodisektorkriptologijeuvladiSAD‐a:kriptologijukojaobuhvatasignalnoobavještavanje(eng.SIGINT)iinformacionusigurnost(eng.IA)proizvodaiusluga,iomogućavaradkompjuterskihmrežnihoperacija(eng.CNO)dabispriječilinapadenadržavuinjenesaveznikepodsvimokolnostima

Centralnaobavještajnaagencija(eng.CentralIntelligenceAgency‐CIA)

Odbranaobavještajnemreže,prikupljanjeinformacija

Upravadržavnebezbjednosti

(eng.DepartmentofHomelandSecurity‐DHS)

Zaštitafederalnecivilnemrežeikritičneinfrastrukture;dijeljenjeinformacijaipodizanjesvijesti;koordinisanafederalnareakcijaiupozorenja.

MinistarstvoodbraneSAD‐a(eng.DepartmentofDefence‐DoD)

Odbranavojnemreže,obezbjeđivanjekapacitetazasprovođenjeprotivnapada

MinistarstvopravosuđaSAD‐a(eng.USDepartmentofJustice‐DOJ)

Federalnotužilaštvo

Federalniistražnibiro(eng.FederalBureauofInvestigation‐FBI)

Federalna agencija za sprovođenje opsežnihistragaiistražnihradnji

Američkinacionalnitimzahitanodgovornasajbernapade(eng.UnitedStatesComputerEmergencyResponseTeam‐US‐CERT)

Odbranafederalnecivilnemreže(.gov),dijeljenjeinformacijaisaradnjasaprivatnimsektorom.


NacionalniCERT‐oviodnosnotimovizabrzoreagovanjenasajberprijetnje

(eng.NationalCERTs)

Nacionalnakoordinacija;nacionalnaodbranaiodgovor

2.1 Međunarodni institucionalni odgovor na sajber prijetnje

Prijesvega,uzećemourazmatranjedvasetameđunarodnihinstitucija,alikojenisumeđudržavne.Počećemo sa kratkim pregledom Timova za hitan odgovor na sajber napade (engl. ComputerEmergencyResponseTeams ‐CERTS),apotomćemoproučavatipodskuppartnerskihorganizacijakojekoordinišuiuređujupolitikuCERT‐a.PremadefinicijiKoordinacionogtimaCERT‐a(CERT/CC),ovitimoviorganizujuodgovorenahitneslučajeve po bezbjednost, promovišu korišćenje važeće bezbjedosne tehnologije, i omogućavajumrežnikontinuitetinesmetanirad.Uprincipu,ovoznačidaseCERT‐ovifokusirajunaidentifikacijuranjivosti sistema i podstiču komunikaciju između dobavljača bezbjednosne opreme, korisnika iprivatnihorganizacija. Iako jevećinaCERT‐ovaosnovanakaoneprofitnaorganizacija,posljednjihgodinamnogisuprešliunekioblikprivatno‐javnogpartnerstva.Ovajpovećaninivointegracijasadržavnim institucijamapredstavljapokušajda se iskoristiuspjehneprofitnihCERT‐ovapružajućinivostruktureiresursekojisuimdotadbilinedostupni.Trenutnopostoji200priznatihCERT‐ova,sarazličitimstepenomorganizacije,osnivanjaistručnosti.OčekujesedanajmanjetriishodarezultirajuizCERT‐ovihaktivnostiiinterakcija:1. smanjenjeneidentifikovanihbezbjedonosnihpropusta;2. boljeshvatanjeprirodeiučestalostisajberprijetnji;3. unaprijeđene metode komunikacije i izvještavanja o nastalim prijetnjama o čemu bi bile

obaviještenedrugibezbjedonosnitimoviijavnost.Grafikon 3 prikazuje podskup ovih strukturalnih odnosa na različitim nivoima prilikom analizestruktureoveorganizacije[1].


Grafikon3:MeđunarodniCERT‐ovi

Uglavnom, svi CERT‐ovi dijele zajedničku strukturu i suštinska obilježja. Većina CERT timova sedefinišupremasmjernicamakojejeobjavioCERT/CC,amnogikoristezajedničkeprogramskealatezaosnivanjesvojihorganizacija[2].Zarezultat,CERT‐oviseondarazlikujujedanoddrugognajvišeu sferi postavljenih prioriteta na čije ostvarenje se fokusiraju (akademski, privatni, nacionalni,regionalni), ili njihovoj stručnoj oblasti (phishing pošta, virusi, informaciona bezbjednost). Oveulogesuuglavnomsamodefinisanepremastepenuizdvajanjafinansijskihsredstavaizbudžeta(štomožemnogodavarira),tehničkojstručnostiiprisustvuprazninauokvirusaradničkemrežeCERT‐ova. Očekivao bi se napredak zbog fleksibilnosti koja leži u njihovoj osnovi, što u većoj mjeripoboljšavamogućnostkoordinacijeizmeđuCERT‐ova.Međutim,kakosesajberprostorširio,pokazalosedajejednaorganizacijanedovoljnadarukovodisvevećimobimombezbjedonosnihincidenata,takodajeCERT/CCbioprimorandaredefinišesvojeaktivnostiiprioritete.Umjestodadirektnoodgovarananastaleincidente,CERT/CCjeodabraodasprovedeupraksulekcijekojejenaučiokakobipružiosmjernice,koordinacijuistandardezadrugeCERT‐ove.Ustupajućioperativnukontrolukolaborativnojstrukturi,CERT/CCjepostaviotemeljzaosnivanje regionalno orijentisanih organizacija. Danas, CERT mreža se proširila van okvira ikontrole CERT/CC‐a, iako ova organizacija nastavlja da igra važnu ulogu u uspostavljanju


nacionalnih CERT‐ova u zemljama u razvoju i podsticanju komunikacije između CERT‐ovihudruženja.PoredCERT/CC,mnogiCERT‐ovisarađujusamrežamazaparalelnukoordinaciju,kaoštojeForumzaodgovorenaincidenteitimovizabezbjednost(eng.ForumofIncidentResponseandSecurityTeams–FIRST).Ovotijelojeosnovanoradipoboljšanjarazmjeneinformacijaizmeđurazličitihbezbjedonosnihgrupa.Poredtogaštogadanasčinipreko200organizacija,FIRSTjepoznatpouticajnimgodišnjimkonferencijama,međusovnojpovezanostiistepenuintegrisanostinacionalnih,akademskihiprivatnihCERT‐ovihtimova.Jasno je da kolaborativna struktura koju vode koordinacione agencije poput FIRST‐a i CERT/CCpomažeupovećanjuprotokainformacijaizmeđudvatimazabezbjednost.Međutim,akobiCERT‐ovibiliorganizovaninaovajnačin,ostalobinejasnokojeorganizacijeimajuregionalnunadležnostdakoordinišuakcijedrugihCERT‐ova;naprimjer,štobisedešavaloikojebisemjerepreduzimaleu slučaju državnog napada na civilnemreže. Ovaj problem je prevaziđen prenošenjem struktureCERT‐a na nacionalni nivo. Jedna značajna nuspojava ovog prelaza tj. prenošenje aktivnosti udržavnu nadležnost je omogućilo stvaranje privatno‐javnog partnerstva između CERT‐ova idržavnihorgana.Ipak,rješenjejednogproblemačestomožedaprouzrokujedrugi.Kadaseuzmeuobziršarolikostnacionalnihpolitičkihsistemaibirokratije, tranzicijakanacionalnimCERT‐ovimajeusložilaslikupravneizakonodavnerazličitosti.NacionalniCERTimauloguonogakojiprviodgovarananapadena civilnemreže, alimu nedostaje zakonodovano ovlašćenje da zatvori kriminalnemreže i gonikrivce. Stoga,nacionalniCERT‐ovi senajprije fokusirajunaodgovor iprevenciju tehničkih sajberprijetnji. Kako bi se efikasno bavili pravnim pitanjima, vrlo je važna jasna linija komunikacijeizmeđunacionalnihCERT‐ovaidržavnihorgana.IakojeovavezaformalizovanaunekimzemljamapoputSAD‐a,ostaledržaveidaljerazvijajupotrebnevezeipovezanostizmeđunacionalnihCERT‐ovaipravnogautoriteta.

2.2 Međudržavne organizacije

Iako CERT‐ovi igraju važnu ulogu i zauzimaju značajnomjesto umeđunarodnom sistemu sajberbezbjednosti, njihova osnovna sposobnost ili samoregulativna odgovornost ne može obuhvatatiizgradnju konsenzusa između različitih organa, donošenje odgovarajućeg zakonodavstva ilipodizanjesvijestioopasnostima.DokjeovajsetfunkcijanijebiotraženuprvimgodinamarazvojaInterneta,danasjeonobuhvaćenurazličitimmeđudržavnimorganizacijama.ZarazlikuodCERT‐ovakoji se zasnivajunakolaborativnim ihijerarhijskimprincipima,međudržavneorganizacije sesastoje od jednakih činilaca koji se po njihovom statusu definišu kao suvereni entiteti. Sve oveorganizacijevodese,prevashodno,svojimsopstvenimnadležnostimaiprioritetima.Akousmjerimopažnjunaorganizacijekoje,uprincipu,imajujasaninteresifokusnasajberprostor,možemo identifikovati glavne činioce injihovopolje aktivnosti ili interesa. Stogane čudi štoovodovodi do širenja mreže organizacija i velikom broju preklapanja veza. Radi orijentacije, ugrafikonu4prikazalismonekolikopoznatihmeđunarodnihorganizacija(poputUN‐a)inovihtijelafokusiranihnasajberprostorkojanemajustatus“organizacije”alićesigurnozadržatidugogodišnju


institucionalnu prisutnost u međunarodnoj areni (kao što je Svjetski samit o informacionomdruštvu).

Grafikon4:Ključnemeđudržavneinstitucije

Uključivanjemeđunarodnihorganizacijauproblemeinternetbezbjednostimožesepratitiodprvihsastanaka G8 Podgrupe za sofisticirani, visokotehnološki kriminal. Grupa G8, koju činenajrazvijenije ekonomije na svijetu, je 1997. godine u saradnji saMeđunarodnom organizacijomkriminalističkepolicije (INTERPOL)osnovala “mrežukontakata”koja je radilaneprekidnosedamdana u nedelji, kako bi pomogli nacionalnim vladama da “identifikuju izvore terorističkekomunikacije,istražujuprijetnjeisprečavajubudućenapade”[3].Uvećinislučajeva,međunarodneorganizacijeprepuštajudirektnuakcijudržavama,iumjestotoga,fokusirajusenaorganizacijukonferencijakojespajajustručnjakeizoblastibezbjednosti,profesoresauniverziteta,zakonodavneorganeipredstavnikedržava.Bijelaknjigakojuizdajuimajuključnuuloguugrađenjumeđunarodnogkonsenzusaistvaranjustandardneprakseismjernica.Ovajprocesje na više načina polazna tačka za sve veći odgovor na sajber prijetnje i istraživanje sajberbezbjednosti.Bliži osvrt na dvije konferencije‐ Radnu grupu za bezbjednost informacija i privatnost (eng. TheWorking Party on Information Security and Privacy ‐ WPISP) i Svjetski samit o informacionomdruštvu (eng. TheWorld Summit on the Information Society ‐WSIS) pomaže nam da objasnimoprirodumeđudržavnog sistema sajberbezbjednosti ilustrujući velike razlikeu institucionalnom istatutarnomstatusukojikarakterišesadašnjemeđudržavneinicijative.OECD je aktivno uključen u oblast Internet bezbjednosti od 2002. godinu [4]. Radna grupa zabezbjednost informacija i privatnost (eng.WPISP) je podržana od strane sekretarijata OECD‐a uokviruDirektoratazanauku,tehnologijuiindustriju.WPISPradinaanalizijavnepolitikeivisokom


stepenupreporukakakobipomogladržavama idrugimstejkholderimadaobezbijedesigurnost izaštituprivatnostitenatajnačinpospješujurazvojInternetekonomije.DelegatiWPISP‐adolazeizraznih državnih organa sa zanimanjem za ekonomski i socijalni aspekt informacione sigurnosti iprivatnosti.NedržavnistejkohlderiaktivnoučestvujuudijalogukrozSavjetodavniodborzabiznisiindustrijupriOECD‐u(eng.theBusinessandIndustryAdvisoryCommitte‐BIAC),Savjetodavniodborza civilno i informaciono društvo (eng. the Civil Society Information Society Advisory Council ‐CSISAC) i Savjetodavni odbor za internet tehnologije (eng. the Internet Technical AdvisoryCommittee – ITAC). WPISP je uspostavio saradnju sa drugim međunarodnim i regionalnimorganizacijamapoputSavjetaEvrope,Azijsko‐pacifičkeekonomskesaradnje,ENISA,Međunarodnekonferencije o zaštiti podataka i povjerenika za zaštitu privatnosti i Globalne mreže zauspostavljanjeprivatnosti.Svjetskisamitoinformacionomdruštvu(eng.TheWorldSummitontheInformationSociety‐WSIS),predstavljadrugi ekstrem iz iste oblasti. Fokusirannaproblemebezbjednosti već je održanpodpokroviteljstvomUjedinjenihNacija kaoprvi sveobuhvatni odgovornanovo “virtuelno” globalnodruštvoisajberprobleme.ZanimljivojedasuciljeviWSIS‐a,kojisuseticalisajberbezbjednosti,uvećijmjeribiliuskladusaciljevimaiorijentacijomWPSIP‐a.Zbograzlikeupokretačkomimpulsu,pravnom statusu i učešću, ovo usklađivanje interesa se može posmatrati kao još jedan primjerkonsenzusakojesegradiumeđunarodnojzajednici.SobziromdaseradioUN inicijativi,odlukeWSIS‐asudonešenenadržavnomnivouisamosusuverenedržaveimalepravodadonoseodluke.U većini slučajeva, prethodna stremljenja se posmatraju kao “samo‐pokrenuta” ili inicirana, gdjeprivatni ili državni organi doborovoljno prihvataju neku funkciju u domenu sajber bezbjednosti.Ipak, u skorije vrijeme, međunarodna zajednica je dodijelila operativne nadležnosti pojedinimorganizacijama.Internacionalnatelekomunikacionaunija(ITU)PrimarnaodgovornostITUjekoordinacijaaktivnostinasprovođenjuAkcionogplanaC5WSIS‐a[5].Koristećigrupuveomaobrazovanihstručnjaka,ITUpružamnoštvosredstavairesursakojisetičuzakonodavstva, podizanja svijesti, samoprocjene, botnetova i CERT‐ova [6]. Pored toga, ITUobjavljuje vodiče kako bi obrazovali države u razvoju o sajber kriminalu i promovisali primjeredobre prakse i pristupe sajber odbrani. Jedna od najznačajnijih misija ITU‐a je standardizacijatelekominikacione tehnologije i objavljivanje statistike koja se koristi za praćenje Internetpovezanostiusvijetu[7].Njenatežnjadapromovišesajberbezbjednostnastala jezbogsvevećegbrojaprijetnjinegoštojetobilopredviđenounjenojprvobitnojmisiji.Natajnačin,međunarodnazajednica je odlučila da je izgradi okvir na postojećim organizacijskim kapacitetima umjesto dastvaranovuinstituciju.Iako glavne nadležnosti ITU‐a se sastoje od specifičnih misija, u skorije vrijeme je direktnoučestvovalaukreiranjualatkikojećepomoćiuodgovorunameđunarodneprijetnje.Zamišljenkaoglobalnicentarzaodgovorekojijeusmjerenkaborbiprotivsajberterorizmaizaštitimrežakritičneinfrastrukture, Međunarodno multilateralno partnerstvo protiv sajber prijetnji (IMPACT) jeprivatno‐javnipoduhvatsasjedištemuMaleziji[8].Poredostalihusluga,IMPACTnudi191državičlanicimrežuzaupozorenjeurealnomvremenu,centrezaodgovore24/7,isoftverkojiomogućavabezbjednosnimagencijamaširomsvijetadaudružesredstvaikoordinišusvojeodbrambenenapore[9]. Takođe, IMPACT vodi istraživački sektor, priređuje edukativne radionice i rukovodi


bezbjedonosnimsastancimanavisokomnovousapredstavnicimazemaljačlanica.OvinaporiimajuzaciljdaučinedaIMPACTbude“glavniresursnicentarzasajberprijetnjenasvijetu”[10].NATOSlično IMPACT‐u, drugi po redu glavni oblik zaštite sajber prostora predstavlja NATO. OvameđudržavnaorganizacijajedonijelatehničkiprogramzaodgovornasajbernapadekaoposljedicukoordinisanihnapadanaEstoniju2007.Centarizvrsnostizakooperativnusajberodbranu(eng.theCooperativeCyberDefenceCentreofExcellence ‐CCDCOE) ima zadatakda obučava zemlje članiceNATO‐a, sprovodi vježbe napada i podržava NATO u slučajumeđunarodnog sajber napada [11].ZanimljivojedanisusveNATOčlanicepriključeneCCDCOEprogramu,jerjedostazemaljaodlučiloda seoslanjana sopstvene tradicionalnevojnemrežesajberodbrane.Nema jakogdokazada svezemlječlaniceNATO‐aželedaimajuzajedničkipristupuzajamnomproblemu,vjerovatnoizrazlogaštomnogezemljeradenarazvijanjusopstvenihstrategijazasajberratovanje.Sdrugestrane,CCDCpopunjava značajnu prazninu nekoliko evropskih zemalja, posebno onih koje još nisu izgradilekapacitetezasajberbezbjednost.ENISAIakojeEvropskaunijadonijelanekolikorezolucijaosajberkriminalu,aEUROPOLaktivnouključenuistrage,najznačajnijajeonaostvaranjuEvropskebezbjedonosneagencijezazaštitumrežaiinformacija(eng.theEuropeanNetworkandInformationSecurityAgency‐ENISA).MisijaoveagencijeježeljadabudeplatformakojaćeraditinadostizanjuefikasnogivisokogstepenabezbjednostimrežeiinformacijauokviruEvropskeunije.ZajednosainstitucijamaEUizemljamačlanicama,ENISArazvijakulturubezbjednostimrežeiinformacijezadobrobitsvihgrađana,potrošača,biznisaidržavnihorganizacijauEvropskojuniji.ENISApomažeEvropskojkomisiji,zemljamačlanicamaiposlovnojzajednicidauoče,odgovore,anaročitodaspriječeproblemebezbjednostimrežeiinformacija.

2.3 Državne organizacije

Sjedinjene Američke Države su predvodnici kada se radi o insitucionalnom odgovoru na noveizazove koji se dešavaju u sajber prostoru. One su vodeća svjetska sila, zemlja koja je prvobitnoohrabrivala i podržavala stvaranje sajber prostora, i koja i dalje ostaje poznata po svominovativnom duhu. Prema tome, Amerika je zamajac na liderskoj poziciji, i predstavljamodel zaodgovoredrugihdržavanasajberprijetnje,naročitouEvropiiAziji[1].Federalnavladanijeorganizovanatakodamožeefikasnodauočiovajrastućiproblem,nidanasniubudućnosti.Odgovornostiizoblastisajberbezbjednostidodijeljenesuraznimfederalnimupravamaiorganima,kodmnogihseoveodgovornosti ipreklapaju,alinijednanemadovoljnoautoritetadadoneseodlukuodirektnojakciji.


Grafikon5:PredloženaorganizacijasajberbezbjednostiuSAD‐u[1]

Detaljnije informacije o organizaciji sajber bezbjednosti u SAD‐u biće predstavljene u sljedećempoglavlju.

3 Standardi i okviri sajber bezbjednosti

Problem upravljanja rizicima u oblasti sajber bezbjednosti se mora rješavati saradnjom naglobalnom nivou i zajedničkom trudu kako bi se pronašli adekvatni pristupi za “prioritetne,fleksibilne, ponovljive, izvodljive i isplative akcije” sa ciljem da se pomogne organizacjama dauspješnoupravljajurizicimaposajberbezbjednost[12].Neočekujesedasedefinišekompleksanmodelkojićebitiprimjenljivusvakojorganizaciji ilidržavi,većdaseobezbijedimodelkojićedapokrije sve faze (npr. uspostavljanje, primjenu, djelovanje, nadgledanje, provjeru, održavanje iunapređenje),čijebiusvajanjetrebalobitistrateškaodlukazabilokojuorganizaciju[13].Opštimetodološki pristup koji se koristi jestemodel “Planirati –Uraditi – Provjeriti –Djelovati”(PUPD) (eng. Plan‐Do‐Check‐Act ‐ PDCA) [14], koji se uglavnom koristi u slučajevima kada seprimjenjujunovipristupi ikada supotrebnapoboljšanjapostojećihmodela.Četiri fazeumodeluPUPDsu:

Planirati:Identifikovatiianaliziratiproblem. Uraditi:Razvijatiitestiratimogućarješenja. Provjeriti: Izmjeriti koliko je probno rješenje bilo efikasno, i analizirati da li se može

poboljšatinabilokojinačin. Djelovati:Primijenitiupotpunostipoboljšanorješenje.


PrimjenaPUPDmodelajebitna,jerokvirsajberbezbjednostitrebadapodrži:(I)organizacijubezpostojećegprogramazaostvarivanjesajberbezbjednostidapomognekakobisestvorionovi,i(II)organizacije koje mogu da poboljšaju postojeće upravljanje rizikom sajber bezbjednosti. Svakaaktivnost u tom domenu treba da bude naučno utemeljena i povezana sa podskupom najčešćekorišćenihstandardaismjernica.Ovistandardipružajusavjetidajuuputstvakakoostvaritidobrupraksu ipodrškuaktivnostimaprilikompostavljanja iupravljanja,kao iu implementaciji sistemasajberbezbjednostiuskladusapostojećimreferencama2istandardima3.Ovajdiojepodijeljennatripodsekcije:podsekcija3.1predstavićeMeđunarodnistandardISO/IES27001napojmovnomnivouuspostavljanjai/ilipoboljšanjaSistemazaupravljanjeinformacionombezbjednošću (engl. InformationSecurityManagementSystem ‐ ISMS); podsekcija 3.2 predstavićeokvirza implementacijudefinisanihstandarda; inakraju,podsekcija3.3.ćepredstavitipraktičnauputstvazaadministratorekojisetrudedaosigurajusvojeinformacijeiservise.

3.1 Međunarodni standard ISO/IEC 27001

ISO (Međunarodna organizacija za standardizaciju – engl. the International Organization forStandardization) i IEC (Međunarodna elektrotehnička komisija‐ engl. the InternationalElectrotechnicalCommission)predstavljajuspecijalizovanisistemzastandardizacijunaglobalnomnivou.Napolju informacionetehnologije, ISOi IECsuosnovalizajedničkitehničkiodbor, ISO/IECJTC1.OsnovalisuMeđunarodnistandard[13]kojijepripremljendapružimodelzauspostavljanje,primjenu,djelovanje,nadgledanje,provjeru,održavanje ipoboljšavanje ISMS‐a.Usvjajanje ISMS‐atrebadabudestrateškaodlukaorganizacijetj.očekujesedaćeimplementacijaISMS‐abitidoziranauskladusapotrebamaorganizacije,npr.jednostavnasituacijazahtjijevajednostavnoISMSrješenje.UskladusaPUPDmodelom,ISMSprocesisuprikazaniugrafikonu6.

2ISO/IEC17799:2005Informacionatehnologija‐Bezbjedonosnetehnike‐Kodekspraksezaupravljanjeinformacionombezbjednošću,ažuriranuskorijevrijemeu:ISO/IEC27002:2005(http://www.iso.org/iso/catalogue_detail?csnumber=50297).3Akonekaoganizacijavećposjedujesistemupravljanjaoperativnimposlovnimprocesom(npr.uskladusaISO9001iliISO14001),uvećinislučajevasepreporučujedasezadovoljeuslovipropisaniMeđunarodnimstandardomISO/IEC27001uokvirupostojećegsistemaupravljanja.


Grafikon6:PUPDmodelprimijenjennaISMSprocese[13]

Međunarodnistandardpropisujespecifičnepodaktivnostikojese trebaju izvršitiuokvirusvakogplaniranog zadatka u ISMS procesima i kako provjeriti da li su zadati ciljevi ostvareni (tabela 2objedinjujesveaktivnosti) ipratisprovođenjeciljevaipropisujevrsturevizijekojatrebadapratisvak od ISMS procesa. Kontrole određene u ISO/IEC 27001:2005 (A.5 do A.15) nisu iscrpne iorganizacija može da donese odluku da su potrebni drugi kontrolni ciljevi i kontrola. Nadalje,ISO/IEC17799:2005[15]Klauzule5do15dajusavjetoprimjeni ismjernicezadobrupraksukojabaziranaovimkontrolnimelementima.Zbog prostornog ograničenja izvještaja, kontrolni ciljevi, primjena savjeta i uputstva, nisu ovdjepredstavljenidodetalja,jersudostupninaInternetu.

Tabela2:ISMSaktivnostiipodaktivnosti4Aktivnost Podaktivnosti

UspostavljanjeISMS‐a

a. definisatiopsegigraniceISMS‐ab. definisati politiku ISMS‐a u pogledu karakteristika

preduzeća, organizacije, njene lokacije, sredstava itehnologije

c. definisatipristupzaprocjenurizikaorganizacijed. identifikovatirizikee. analiziratiiocijenitirizikef. identifikovatiiocijenitiopcijezatretiranjerizikag. odreditikontrolneciljeveikontrolezatretiranjerizikah. dobitiodobrenjeodmenadžmentazapredložene rizike

kojetrebaotklonitii. dobiti ovlašćenje od menadžmenta za primjenu i

4DetaljniopisisvakeaktivnostidostupnisuuizvještajuISO/IEC27001[13]


djelovanjeISMS‐aj. pripremiti Saopštenje o primjenjivosti (dati pregled

odlukakojesetičutretiranjarizika)Primjenai

djelovanjeISMS‐a

a. formulisatiplanzatretmanrizikab. primjeniti plan za tretman rizika da bi se dostigli

identifikovanikontrolniciljevic. primijenitikontrolneciljeved. definisatikakoizmjeritiefikasnostodabranihkontrolai

odreditikakoćeseovamjerenjakoristitie. primijeniti programe obuke i podizanja svijesti o

mogućimrizicimaf. upravljanjeoperacijamaISMS‐ag. upravljanjeresursimaISMS‐ah. primjena procedura i drugih kontrola koje imaju

mogućnost da brzo detektuju sigurnosne propuste iodgovorenaincidente

NadzoriprovjeraISMS‐a

a. izvestinadzoriprovjeruproceduraidrugihkontrolab. sprovestistandardneprovjereefikasnostiISMS‐ac. izmjeriti efikasnostkontroladabi sedobilapotvrdada

susigurnosniuslovisprovedenid. provjeriti procjene rizika prema isplaniranim

intervalima iprovjeriti rezidualnerizike i identifikovatiprihvatljivenivoerizika

e. sprovoditi internu ISMS kontrolu prema planiranimintervalima

f. redovnosprovoditiprovjeruupravljanjaISMS‐ag. sprovoditisigurnosneplanoveh. bilježiti radnje idogađajekoji sumogli imatiuticajana

efikasnostradaISMS‐aMeđunarodni standardi stavljaju akcenat na potrebnu dokumentaciju i probleme upravljanja.Dokumentacija treba da sadrži evidenciju o odlukama menadžmenta, da prikaže da se svepreduzete aktivnosti mogu pronaći u odlukama i politici menadžmenta, i da su svi zabilježenirezultatiizvodljivi[13].Nadalje,odgovornostimenadžmentasupodijeljenenadvijekategorije:1. Zalaganje menadžmenta (pružiti dokaz za zalaganje menadžmenta za uspostavljanje,

implementaciju,djelovanje,nadgledanje,nadzor,održavanjeipoboljšavanjeISMS‐a);2. Upravljanje resursima (ima za cilj da se pribave potrebni resursi i da se staraju da kadrovi,

kojimasudodijeljeneodgovornostidefinisaneuISMS‐u,budukompetentnidaobavljajuzadatedužnosti).

Poredtoga,definisanisusljedećiusloviiodgovornosti:


1. InternaISMSkontrola(organizacijatrebadasprovedeinternuISMSkontrolupremaplaniranimintervalimanebi liustanovilada lisukontrolniciljevi,kontrole,procesi iprocedurenjihovogISMS‐aefikasnoprimijenjeni,usklađenipremazahtjevimaiizvedenipremaočekivanju);

2. MenadžmentprovjeraISMS‐a;3. Poboljšanje ISMS‐a (s ciljem da omogući konstantno poboljšanje, sprovode radnje za

eliminisanjeuzrokaneslaganjasaISMSzahtjevimaipreduzimanjepreventivnihakcija).

3.2 Okvir sajber bezbjednosti

Dok su standardi prihvaćeni kao najbolja praksa, okviri sumjere koje se uopšteno primjenjuju itrebadaserazvijuuskladusauspostavljenimstandardima.Kritičnainfrastrukturasedefinišekao“sistem i sredstva, bilo fizička ili virtuelna, toliko bitna po nesmetano odvijanje svakodnecnogživotadanesposobnost iliuništenje tih sistema i sredstavabi imaloštetanuticajnabezbjednost,bezbjednost nacionalne ekonomije, nacionalno javno zdravlje ili sigurnost, ili bilo koju sličnuoblast”[16].Ključnainfrastrukturajeključnifaktornacionalneiekonomskebezbjednosti.Dosada,okvirsajberbezbjednostiseoslanjaonapostojećestandarde,smjerniceiprimjeredobrepraksedabi se dostigli rezultati koji mogu pomoći organizacijama da upravljaju rizicima po sajberbezbjednost.Okvir sajber bezbjednosti (“Okvir”) (eng. The Cybersecurity Framework (“Framework”) [12] jeosnovan od strane NIST‐a (Nacionalni institut za standarde i tehnologiju SAD), a pokrenut jeIzvršnomodredbom13636(eng.ExecutiveOrder–EO),“Poboljšanjekritičneinfrastrukturesajberbezbjednosti” od 12. februara 2013. od strane perdsjednika Obame. Prije ove naredbe, u maju2009., predsjednik SAD‐a, BarakObama [16] je održao govoromeđunarodnojpolitici popitanjusajber prostora, u kome je istakao svoje uvjerenje da umrežene tehnologije imaju ogromanpotencijalzacijelunaciju,izasvijet.“Strategijasajberprostora”5[16]jeobjavljenaumaju2011.,idefinišeproblemenapretka,bezbjednosti iotvorenostiuumreženomsvijetukaostrateškiokvirnidokument. Okvir [12] je napravljen u saradnji sa privredom i pruža smjernice za organizacijuupravljanjarizicimaudomenusajberbezbjednosti,nanačinkojijesličankakosetoradiprilikomprocjene finansijskog, sigurnosnog i oprativnog rizika. Danas, Okvir daje zajednički jezik imehanizamorganizacijamada:1. Opišutrenutnostanjeuoblastisajberbezbjednosti;2. Opišunjihovociljnostanjezaoblastsajberbezbjednost;3. Identifikujuiodredeonoštosemožepoboljšatiukontekstuupravljanjarizikom;

5„Strategijasajberbezbjednosti“poznajesedamoblastidjelovanja,isvakazahtjijevasaradnjusadržavom,međunarodnimpartnerimaiprivatnimsektorom.Ovajstrateškiokvirvodiodređeneaktivnostiusljedećimoblastima:(I)Ekonomija:promocijameđunarodnihstandardaiinovativnih,otvorenihtržišta;(II)Zaštitamreža:povećanjebezbjednosti,pouzdanostiiotpornosti;(III)Sprovođenjezakona:proširenasaradnjaipravnipropisi;(IV)Vojska:pripremazabezbjedonosneizazove21.vijeka;(V)UpravljanjeInternetom:promocijaefikasnihiinkluzivnihstruktura;(VI)Međunarodnirazvoj:stvaranjekapaciteta,bezbjednostiiprosperiteta;(VII)Internetslobode:podrškafundamentalnimslobodamaiprivatnosti.


4. Procijenenapredakkaciljnomstanju;5. Pospješujukomunikacijumeđuinternimieksternimstejkholderima.Generalno, Okvir se može podijeliti na dva dijela: prvi dio predstavlja koncetpualni okvir zaupravljanjeproblemimarizikasaprikazanomimplementacijomusvojenihmjera,doksedrugidiofokusiranautvrđivanjepodručjazanapredakidaljirazvoj.

3.2.1 Upravljanje rizikom i Okvir sajber bezbjednosti

Strukturaokvira jekocipiranatakodapodržavapostojećeaspekteposlovnihoperacija, imožesekoristitikaoosnovzastvaranjenovogprogramazasajberbezbjednostunekojorganizacijikojajenema.I,Okviromsemoguidentifikovatinedostaciupostojećemprogramuzasajberbezbjednostiodreditiaktivnostizanjegovopoboljšanje.Okvirsestastojiiztridijela:

Sržokvira–predstavljastandardeiprimjeredobrepraksenanačinkojimseomogućavadasekomunikacijaiupravljanjerizicimaprenosikrozorganizacijuodvišihizvršnihnivoadooperativnognivo;

Stepeniimplementacijeokvira–predstavljaprimjenusržiokvira; Profil okvira – prenosi kako organizacija upravlja rizikom po sajber bezbjednost i

identifikujeodgovarajućeciljevezaorganizacijuilizasektorkritičneinfrastrukture,ikakonapravitiprogresspramdostizanjatihciljeva.

Metodološki, Okvir se fokusira na stvaranje Profila (grafikon 7) koji se koristi da opiše sadašnjestanje i poželjno ciljno stanje odeđene aktivnosti sajber bezbjednosti, i na taj način se otkrivajunedostaci koji se moraju otkloniti kako bi se dostigli ciljevi upravljanja rizikom po sajberbezbjednost.Otkrivanjenedostatakaizmeđusadašnjegprofilaiciljnogprofilaomogućavastvaranjeputokazakojegbiorganizacijetrebalodaslijedekakobismanjilirizikposajberbezbjednost.

Grafik7:Profilokvira[12]


Profil je zbir Funkcija, Kategorija i Podkategorija koje su u skladu sa poslovnim zahtjevima,tolerancijinarizikiresursimaorganizacije.FunkcijepružajunajvećinivostrukturezaorganizovanjebezbjedonosnihaktivnostizaKategorijeiPodkategorije.OveFunkcijesu:Identifikovati,Zaštititi,Otkriti,OdgovoritiiObnoviti.KategorijesupodvrstaFukncije,akojesekasnijedijelenagrupebezbjedonosnihaktivnosti,kojesutijesnopovezanesaprogramskimpotrebama.PrimjeriKategorijasu“Upravljanjeinfrastrukturnimsredstvima”,“Kontrolapristupa”i“Procesidetekcije”.PodkategorijenadaljedijeleKategorijunataktičneaktivnostivisokognivoakakobipružilepodrškutehničkojimplementaciji.Primjeripodkategorijasu“Inventaripraćenjefizičkihuređajaisistemauorganizaciji”, “ Zaštita mrežnog integriteta razdvajanjem mreža/primjenom enklava (gdje jemoguće)”,“Procjenauticajaotkrivenihincidenataradipokretanjaodgovoraiprocesaobnove”.Informativne reference su posebni djelovi standarda i praksi koji su česti u sektorima kritičneinfrastrukture i ilustrujumetod za obavljanje radnji u okviru svake Podkategorije. Podkategorijeproizilaze iz Informativnih referenci. Informativne reference koje su predstavljenje u Srži okviranisuiscrpne, takodaorganizacijemoguslobodnodaimplementirajudrugestandarde,smjerniceiprimjereprakse.ListasvihkategorijaireferencijedatauDodatku.Nakraju,primjenaprofila seodvijaodoperativnognivoadoposlovnog/procesnognivoa,gdjesevrši procjena uticaja. Rezultati procjene uticaja se dostavljaju izvšnom nivou menadžmentaorganizacijadabiseinformisalioprocesusveukupnogupravljanjarizikomdateorganizacije.

3.2.2 Prostor za poboljšanje Okvira sajber bezbjednosti

Saradnjasvihčinilacaudomenimaovihoblastiserazumjelapotrebazadaljimrazvojemnovih iliosmišljavanjem revidiranih standarda, njihovog usavršavanja i dorade. Osnovne oblasti zapoboljšanjesu:

Provjeraautentičnosti; Automatskiindikatordijeljenjapodataka; Ocjenjivanjeusaglašenosti; Analitikapodataka; Međunarodniaspekti,uticajiiusklađivanje; Privatnost; Lanacdobavljačaimeđuzavisnost.

Ovo nije detaljna lista, već smo samo stavili naglasak na važna područja na koja treba obratitipažnjuunarednimverzijamaOkvirnogplana.


3.3 Sajber bezbjednost i praksa upravljanja informacionom bezbjednošću

Postojevodičizarazvijanjepolitike,strategijeiprocedurazaračunarskubezbjednostiuglavnomseobjavljuju u obliku priručnika i praktičnih publikacija. RFC 2196 (Priručnik za obezbjeđivanjelokacije,prim.prev.)kojijeizdatodstraneMrežneradnegrupe1997.godine(eng.NetworkWorkingGroup)[17]dajepraktičnauputstvaadministratorimakojisetrudedaosigurajusvojeinformacijeisevise. Teme koje ovaj priručnik obuhvata su predstavljene u sadržaju, odakle se vidi da suobrađene mnoge teme o bezbjednosti tehničkih sistema i mreža i odgovor na incidente kojipredstavljajuprijetnjupravilnominesmetanomfunkcionisanjuovihsistema.Na prvom mjestu, priručnik navodi da postoji potreba da se ustanovi bezbjedonosna politikaodnosno strategijauvidu formalnogprikazapravilakoje ljudi, kojima jedatpristup tehnologiji iinformacionim sredstvima organizacije, moraju da poštuju. Jedan od najznačajnijih razloga zastvaranjepolitikeračunarskebezbjednostijedaseomogućidanapori,kojiseulažuubezbjednost,donoseisplativetj.vidljivebenefite.Uovojstrategijisudaticitiraniizvori,kojetrebakonsultovatiprilikom uspostavljanja i standarda i okvirne strategije, a potom priručnik uspostavlja tehničkeelementepotrebnedabiseovastrategijaprimijenila.Praktični problemi, koji su obuhvaćeni ovim priručnikom, nametnuli su potrebu da se prepoznaznačajuspostavljanjaodređeneprocedurezaračunarskubezbjednostzalokacijekojeimajusistemenaInternetu.Ovajvodičdajelistusljedećihproblemaifaktorakojenekalokacijamoradauzmeuobzirkadapostavljasopstvenupolitiku:1. Arhitekturuprostoraikapaciteta;2. Kofiguracija mreže i servisa (zaštita infrastrukture, zaštita servisa, naziv servera (DNS i NIS

(+)), Server zadokazivanje autentičnosti odnosnoverifikaciju/Proxy server, (SOCKS, FWTK),elektronskapošta,fajltransfer(FTP,TFTP),NFS,itd.);

3. Bezbjedonosniservisi iprocedure(autentikacija,povjerljivost, integritet,autorizacija,pristup,provjera,izradasigurnosnihkopija);

4. Upravljanje bezbjedonosnim incidentima (priprema i planiranje upravljanjem incidentima,notifikacija i tačka kontakta, identifikovanje incidenta, upravljanje incidentom, posljedicaincidenta,odgovornosti).

SličnopriručnikuRFC2196[17],razničiniocikojikoristesajberprostorpoputbankovnogsektora,finansija, vlade, itd., nameću stvaranje detaljnihpreporuka i zahtijevaju identifikovanje svih onihproblema koji su specifični za razne sfere primjene. Tabela 3 daje pregled postojećih praktičnihsmjernicaipriručnikazaprimjenu.

Tabela3:PostojećapraktičnauputstvaipriručniciizrazličitihsajberdomenaioblastiDomensajberprostora

PublikacijaBankarskiifinansijskisektor

[18][19]

Sistem http://www.igi‐global.com/book/handbook‐research‐advances‐health‐


zdravstva informatics/441

Klaudkompjuting(računarstvo)

http://www.cyber‐cloud.com/

Zakoniokompjuterskomkriminalu

http://digitalcommons.law.scu.edu/cgi/viewcontent.cgi?article=1258&context=chtlj

Web2.0,3.0 http://www.igi‐global.com/book/handbook‐research‐web/518&f=e‐book

4 Međunarodne strategije o sajber bezbjednostu, primjeri dobre prakse, okviri

4.1 ITU

Inernacionalnatelekomunikacionaunija(ITU)jespecijalizovanaagencijaUjedinjenihNacijakojajeodgovornazainformacioneikomunikacijsketehnologije.TemasajberbezbjednostjerazmartanaudokumentuC5naSvjetskomsamituo informacionomdruštvu(WSIS)6uSmjernicamaŽenevskogakcionog plana u kome je iznijet yahtjev za stvaranjem pouzdanosti i postizanjem bezbjednostiprilikomkorišćenjaIKT‐a.Takođe,ITUsebavi:prihvatanjemmeđunarodnihstandardakakobiseobezbjedila besprekorna komunikacija na globalnom nivou imeđusobno funkcionisanje budućihmreža;izgradnjompovjerenjaibezbjednostiprilikomkorišćenjaIKT‐a;hitnimkomunikacijamadokojihdolaziuslijedranogsistemauzbuneipristupomkomunikacijamatokominakonnezgoda,itd.Dalje u tekstu, ITU aktivnosti se grupišu u dva pododjeljka: Odjeljak 4.1.1. se bazira na prikazuholističkog okvira kojeg je ITU utemeljila, a cilj mu je koordinacija, razvoj i primjena globalnekultureosajberbezbjednosti, iOdjeljak4.1.2.dajepreporukeimetodološkarješenjakojadovodedo njihovog usvajanja i prihvatanja na nacionalnomnivou zbog heterogenosti i različitostimeđudržavama.

4.1.1 ITU Agenda globalne sajber bezbjednosti

U maju 2007. godine, ITU je objavila Agendu globalne sajber bezbjednosti (eng. ITU GlobalCybersecurity Agenda ‐ GCA) [20] kako bi pružila okvirni plan u kojem je precizirano kako semeđunarodnoreagovanjenasvevećeizazoveposajberbezbjednostmožekoordinisatiinakojisemože obratiti pažnja. GCA se zasniva na međunarodnoj saradnji i teži da uključi sve bitnestejkholderedazajedničkimnaporomizgradepovjerenje ibezbjednostu informacionomdruštvu.GCA je sagrađenanapet strateških stubova,poznatihkaooblasti rada, inapravljenaod sljedećihsedamglavnihstrateškihciljeva:

6http://www.itu.int/wsis/index.html


1. Pravnemjere–usvajanjeodgovarajućihzakonausvimdržavamaprotivzloupotrebeIKT‐aukriminalneilidrugesvrhe,uključujućiradnječijajenamjeradautičunanacionalnukritičnuinformatičku infrastrukturu, centralna je tačka za dostizanje sajber bezbjednosti naglobalnomnivou.

Uliteraturiozakonodavnimrješenjima,akojejeovaorganizacijaobjavilaosajberkriminalu,istučuse dva priručnika: jedan nosi naziv ,,ITU Alati za donošenje i sprovođenje zakona o sajberkriminalu”,adrugije ,,Razumijevanjesajberkriminala:Vodičzazemljeurazvoju”[21]kojeimajuza cilj da pomognu zemljamau razvojuda razumijunacionalne imeđunarodneposljedice sajberprijetnji, procijene potrebe postojećih nacinalnih, regionalnih i međunarodnih instrumenata, ipomognuzemljamadapostavedobruzakonodavnuosnovu.ITU smjernice za donošenje i sprovođenje zakona o sajber bezbjednosti [22] pruža zemljamaprimjere primjere zakona i žargonskog jezika odnosno terminologije koja se u njima koristi ipreporučeneliteraturenakojusemožepozivatiprilikomdonošenjazakona.Sveovomožepomoćiu uspostavljanju harmonizovanih zakona i proceduralnih pravila o sajber kriminalu. Alati supraktična sredstva koje države mogu da upotrijebe prilikom sastavljanja elaborata o pravnomokviruzasajberbezbjednostiostalezakonekojisetičuoveoblasti.

2. Tehničke iproceduralnemjere– IKT jebitanalatu informatičkimdruštvima.Glavniciljnapolju standaradizacije definiše se na sljedeći način: okuplja privatni sektor i države radikoordinisanog rada i promocije harmonizacije politike i standarda bezbjednosti nameđunarodnomnivou.

Organi za razvoj stardarda imajuvrlovažnuulogukada jeupitanjubezbjednost7,azbogstalnognapretkauIKT‐u,svistandardisesimultanomijenjaju.

3. Organizacione strukture –Pojedinci, organizacije i države su sveviše zavisniod globlanihmeđupovezanihmreža.Dabizaštitilimrežneinfrastruktureibaviliseprijetnjama,potrebnaje koordinisana nacionalna akcija radi prevencije, odgovora na incidente i ponovnoguspostavljanjasistema.Preporučujesedaseosnujunacionalnisajberbezbjedonosnicentrizaodgovor,kaoštosutimovizaodgovornasajbernapade(CIRT)[23],uznapomenudajeidalje nizak nivo pripremljenosti na sajber napade u većem broju zemalja, naročito uzemljamau razvoju, te da zbog izuzetnemeđupovezanosti IKTmreža tomože dovesti tonjihoveranjivosti,štomožedovestidotogadabudupogođenenapadomsamrežaizslabijepripremljenihzemalja.

4. Izgradnjakapaciteta‐Nekolikoregionalnihinicijativavećdajupreporukudazemlječlanicetrebaju da imaju nacionalne centre za odgovor, kao što su timovi za odgovor na sajbernapade(CIRT‐ovi),idatrebajudapozovučlanicedapromovišurazvojedukativnihitreningprogramakakobisepovećalasvijestkorisnikaorizicimakojevrebajuusajberprostoru.

7PoputmnogovažnihbezbjedonosnihPreporuka,ITUjenapravilaprikazsigurnosnihzahtjeva,bezbjedonosnihsmjernicazaautoreprotokola,bezbjedosnespecifikacijezasistemebaziranenaIPkojedefiniše(NGN,H.323,IPCableCom,itd.),uputstvokakoidentifikovatisajberprijetnjeikontramjerezasmanjenjerizika.ITUpružaimeđunarodnuplatformuzarazvojprotokolakojištitetrenutnemrežeimreženarednegeneracije(engl.Next‐GenerationNetworks–NGN).


Nadalje, ITU je napravio nekoliko alata koji mogu da pomognu zemljama članicama da izgradesopstvenesajberbezbjedonosneelemente,kaoštosu:

ITUnacionalnasajberbezbjednost/CIIPAlatza samoprocjenu [24]pomaže ITUzemljamačlanicamadarazvijunacionalnustrategijutakoštoćeproučavatipostojećekapacitetedalisu spremni da odgovore na postavljene izazove iz sajber bezbjednosti i po CIIP, a timenastojeda identifikujunjihovepotrebe idanačinenacrtnacionalnogplanazaodgovornasajbernapade.

ITUAlatzapromocijukulturesajberbezbjednosti[25]dajesmjernicekakopodićisvijestoproblemimasajberbezbjednostizamalaisrednjapreduzeća,potrošačeikrajnjekorisnikeuzemljamaurazvoju.

ITUsarađujesaekspertimanarazvijanjupraktičnogAlatazasmanjenjebotnetova8kakobipomogli,posebnozemljamaurazvoju,daseboresasvevećimproblemombotnetova.Alatkojisemožekoristitizasmanjenjebotnetovanamijenjenjevećembrojustejkholdera,kakobi pratili botnetove i ublažili njihov uticaj ali i posljedice, sa posebnim naglaskom naproblemekojisuspecifičnizanoveinternetprivrede.

5. Međunarodnasaradnja–SajberbezbjednostjeglobalnaidalekosežnakaoiInternet.Stoga,rješenja problema trebaju da budu harmonizovana svuda u svijetu. Pod ovim se naročitopodrazumijeva međunarodna saradnja, ne samo na državnom nivou, već i u okviru svihčinilacaizoveoblasti,nevladinihimeđunarodnihorganizacija.

4.1.2 ITU Vodič za nacionalnu strategiju

Nanacionalnomnivou,povećanjesajberbezbjednostiizaštitakritičneinformatičkeinfrastrukturejezajedničkaodgovornostkojapripadadržavnimorganima,privatnomsektoruigrađanima,ikojazahtijevakoordinisanuakcijuvezanozaprevenciju,pripremu,odgovoriobnovuodincidenata.Useptembru2011, ITU jeosnovao“ITUVodičzanacionalnustrategijusajberbezbjednosti” [26]koji se bavi problemima koje države trebaju da uzmu u obzir kada razrađuju ili preispitujustrategije sajber bezbjednosti. S obzirom da kapaciteti, potrebe i prijetnje variraju od države dodržave, preporučuju da nacionalne vrijednosti budu osnov za strategije koje proizilaze iz GCA.Metodološkigledano,ovajpristup jeukorijenjenustrateškommodelu“rezultati‐načini‐sredstva”9zbognjegovepopularnostikodonihkojistvarajunacionalnupolitiku.

8InformacijeoITUAlatuzasmanjenjebotnetovasudostupnenahttp://www.itu.int/ITU‐D/cyb/cybersecurity/projects/botnet.html9Modeljepoznatkao“rezultati,načini,sredstva”,gdjejeREZULTATI=NAČINI+SREDSTVA.rezultatisudefinisanikaoželjenistrateškiishodilikrajnjestranje.Načinisudefinisanikaometode,taktike,procedureistrategijekojimasedolazidorezultata.Sredstvasudefinisanakaoresursikojisupotrebnidasedođedokraja,kaoštosutrupe,oružanisistemi,novac,političkavoljaivrijeme.Modeljezaistajednakostkojastavljauravnotežuonoštaželišsaonimzaštoimašnamjeruilisiumogućnostidaplatišilionoštamožešdobitisaonimštasispremaniliumogućnostidaplatiš.


Cilj vodiča je da pomogne državama da razviju kapacitete da identifikuju ciljeve, ograničenja istejkholdere jednetakvenacionalnesajberstrategije.Grafičkiprikaznacionalnogmodela jedatugrafikonu8.U ovom kontekstu, termin “rezultati sajber bezbjednosti” označava ciljeve koje nacionalnastrategija sajber bezbjednosti želi da dostigne. Rezultati sajber bezbjednosti opisuju šta jednadržavamoradauradi ipostignedabiostvarilanacionalne intereseu sajberprostoru.Sobziromobičnotehničkiekspertipišustrategije,ITUpredlažedaonezemljetrebajudadodijelezavršecimasajberstrategijeistenazivekaoinacionalniminteresnimkategorijama,dabiseizbjegaobilokakavnesporazum. Isto tako,nesmijese izgubiti izvidakojesu tonacionalnevrijednostinakoje trebaobratitipažnju.

Grafikon8:Modelstrategijesajberbezbjednosti

Ovajmodel strategije sajberbezbjednostiodabrao jepetGCAstubovakaošablonepremakojimadržavemogudarazvijajusvojestrategijeizsajberbezbjednosti,aonisusljedeći:Stub1–PravnemjereOvaj stub bliže predstavlja strategiju za pisanje predloga zakona koji bi poslužili kao model zaglobalno primjenljive i međuoperativne zakone o sajber kriminalu. Krajnji cilj ovog stuba jerazvijanje savjetodavnih i međunarodno kompatibilnih procesa i utvrđenih procedura za borbuprotivkriminalapočinjenimnadIKT‐om.Stub2–TehničkeiproceduralnemjereOvajstubsebaziranamjeramakojesebavepropustimausoftverskimproizvodima.CIljovogstubajedaosmisleglobalnoprihvatljiveakreditovanešeme,protokoleistandarde.


Stub3–OrganizacionestruktureCilj ovog stuba je stvaranje organizacione strukture i strategije kako bi pomogli u prevenciji,detekcijiiodgovorunanapadenadkritičniminformacioniminfrastrukturama.Stub4–IzgradnjakapacitetaOvaj stub razrađuje strategije koje bi doprinjele uvećavanju znanja i stručnosti sa ciljem da sepoboljšalasajberbezbjednostpremautvrđenomprogramunacionalnepolitike.Stub5–MeđunarodnasaradnjaOvajstubsezasnivanastrategijamameđunarodnesaradnje,dijalogaikoordinacije.Takođe,GCAsadržidesetprogramskihelemenatasajberbezbjednosti.Atosu:1. Odgovornostvladezasajberbezbjednost;

Onikojevodevladusuodgovornizaosmišljavanjenacionalnestrategije ipodsticanje lokalne,nacionalneiglobalnemeđusektorskesaradnje.

2. Koordinatorzanacionalnusajberbezbjednost;Posebnotijeloiliosobanadzireaktivnostisaciljemodržavanjasajberbezbjednostiudržavi.

3. Centarnacionalnebjezbjednosti;

Tijelokojesesastojiodvišeagencija,ikojepredstavljacentarsvihaktivnostikojesetičuzaštitenacionalnesajberbezbjednostiprotivsvihvrstasajberprijetnji.

4. Pravnemjere;Državaobičnorevidirai,premapotrebi,predlaženovizakonokriminalu,procedureipolitikuzaodvraćanjeodsajberkriminala,odgovornananjegainačinevođenjasudskihprocesa.

5. Okvirnacionalnesajberbezbjednosti;Državeuglavnomusvajajuokvirkojidefinišeminimumiliobavezujućeuslovezauspostavljanjebezbjednost u sajber prostoru i bavi se problemima poput upravljanja rizikom i stepenomusklađenostisadrugimstrategijama.

6. Timzaodgovorenasajbernapade(CIRT);


Program vođen strategijom ima kapacitet za upravljanje incidentima sa nacionalnomodgovornošću.Njegovaulogajedaanaliziratrendovesajberprijetnji,dakooridnišeodgovoreiprenosiinformacijesvimvažnimstejkholderima.

7. Svijestosajberbezbjednostiiedukacija;Nacionalniprogramtrebadapostojidabiseradilonajačanjusvijestosajberprijetnjama.

8. PrivatnojavnopartnerstvouoblastisajberbezbjednostiDržavetrebadanapravedobropartnerstvosaprivatnimsektorom.

9. Vještineiprogramobukeuoblastisajberbezbjednosti;Programćepomoćidaseobučeneophodniprofilistručnjakauoblastisajberbezbjednosti.

10. Međunarodnasaradnja;Međunarodnasaradnjajevažnaimajućiuvidutransnacionalnuprirodusajberprijetnji.

U predloženommodelu, odnosno u dokumentu koji nosi naziv “Načini sajber bezbjednosti” sunavedene strateške aktivnosti koje pomažu zemljama da usmjeravaju elementima opisanim ustubovima.Upravljanjedefinišekakodržavemogukoristitiresursezapetostvarivanjestubovasaciljem da postignu rezultate koji se predviđaju na završetku. Kada imamo više stejkholdera udomenusajberbezbjednosti,načinidefinišukakodržavemogudarasporederesurse,koordinišuikontrolišuaktivnostisvihvažnihstejholdera.Jasne upravljačke strukture obezbjeđuju legitimitet stejkholderima uključujući i vladu. Važno jeistaćidanačinidefinišuočekivanjaodsvakeaktivnostiizatosuosnovzaprovjeruučinkovitosti.“Sredstva sajberbezbjednosti” proizilaze iz Načina. Sredstva su resursi kojima semogu postićipomenuteishode.Lokalniuslovitrebadaodredekojesuvrsteikojijeredosljedradnjipogodandaseprvoodaberusaliste.Naravno,jediniuslovjesenesmijeizgubitiizvidaGCAasocijaciju.Tabela 4 daje pregled prioriteta svih radnji za Sajber Ishode, Sajber Načine i Sajber Sredstva izakcionogplana.

Tabela4:PregledprioritetaiGCAciljeva

Prioritetni ishodiudomenu sajberbezbjednosti

Načini‐Prioriteti(5stubova) Sredstva‐radnje

Nacionalnabezbjednost

Pravnemjere‐ Strategijapravnihmjera‐ Državno‐pravnanadležnost‐ Procesparlamentarnesajberbezbjednosti

Pravneradnje‐ Strategijasapropisanim

zakonskimmjerama‐ Provjeraadekvatnosti

zakonodavstva


‐ Okvirupravljanjasprovođenjemzakona‐ Globalnaborbaprotivsajberkriminala

‐ Državno‐pravnanadležnost

Ekonomskadobrobit

Tehničkeiproceduralnemjere

(i) PROCEDURALNEMJERE

‐ Ciljevisajberbezbjednosti

‐ Okvirnacionalnesajberbezbjednosti

(ii) TEHNIČKEMJERE‐ Principistrategijemrežnezaštite‐ Globalnasaradnjanatehničkimmjerama

Tehničkeiproceduralneradnje

(i) PROCEDURALNEMJERE‐ Okvirnacionalnesajberbezbjednosti(Odgovornostsajberbezbjednosti,Upravljanjerizikom,Politikabezbjednosti,usklađenostizagarantovanost)(ii) TEHNIČKEMJERE

‐ Uvestitehničkarješenja‐ Osiguratiaplikacije‐ Osiguratidržavnu

infrastrukturu‐ Tehničkemjere‐radnje

(poslovniciljevi,sajberprijetnje,upravljanjerizikom,tehničkemjere,akreditacijaiodržavanje)

Promocijavijednosti

Organizacionestrukture‐ Državneorganizacionestrukture‐ Centralnatačkanacionalnesajberbezbjednosti‐ Nacionalnitimzaodgovornasajbernapade(CIRT)‐ Partnerstvouoblastisajberbezbjednosti‐ Nacionalnejediniceprotivsajberkriminala

Organizacionestrukture‐ Ulogadržave‐ Nacionalnacentralna

tačka‐ NacionalniCIRT

Povoljansvjetskiporedak(posmatranokaokategorijamakro‐nacionalnoginteresa)

Izgradnjakapaciteta‐ Vještineiobukeizoblastisajberbezbjednosti‐ Sudskikapacitet‐ Nacionalnakulturasajberbezbjednosti‐ Inovacijeuoblastisajberbezbjednosti

Izgradnjakapaciteta‐ Vještineiobukeizoblastisajberbezbjednosti(Pretpostavkeokvirasajberbezbjednosti,itd.)‐ Kulturasajberbezbjednosti(Nacionalniprogramzapodizanjesvijesti,kulturasajberbezbjednostiudržavniminstitucijama,sajberbezbjednostufirmama,djecaiosjetljivi


pojedinci)‐ Inovacijeuoblastisajberbezbjednosti

Upravljanje(tj.sagledavanjezavršetakasajberbezbjednosti:(i)UlogauIKT,(II)Stejkholderiiuloge–vodećeinstitucijezasvakisektor,(iii)Međunarodnasaradnja)

Međunarodnasaradnja Međunarodnasaradnja‐ Međunarodnastrategijasajberbezbjednosti

Na kraju, mjere za osiguranje i praćenje imaju za cilj da prate primjenu programa sajberbezbjednosti da bi bili sigurni da u skladu sa poslovnim zahtjevima. ITU strategija preporučujeponovno korišćenje ISO/IEC 27001 koji se bazira na PUPD modelu (planirati‐uraditi‐provjeriti‐djelovati), a koji smo opisali u Odjeljku II. Model pomaže u strukturiranju Sistema upravljanjainformacionombezbjednošću(eng.InformationSecurityManagementSystems‐ISMS).PUPDmodeltakođereflektujesmjerniceOECD‐azastvaranjekulturebezbjednosti[27].Zato,korišćenjePUPDmodelapodržavameđunarodnusaradnjuGCA.

4.2 Na nivou Evropske unije (EU)

Strategija sajber bezbjednosti Evropske unije, predložena od strane Komisije i VisokogpredstavnikaUnijezaspoljnupolitikuibezbjednost,predstavljavizijuEUipreduzimanjepotrebnihradnji, zasniva se na jakoj zaštiti i promociji prava građana kako bi onlajn prostor EU bionajsigurniji na svijetu. Ova vizija se može sprovesti kroz istinsko partnerstvo između mnogočinilacakojićepreuzetiodgovornostisuočitisesaizazovimakojiihočekuju.Ovastrategijapojašnjavasljedećeprincipekoji trebajudadaju smjerniceprilikomuspostavljanjapolitikeosajberbezbjednostiuEUiusvijetu[28]:

TemeljnevrijednostiEUprimjenjujusekakoudigitalnomtakoufizičkomsvijetu.Istizakoni inormekoji važezauostalimsferamanašeg svakodnevnog životavaže iu sajberprostoru.

Zaštita fundamentalnih prava, slobode izražavanja, ličnih podataka i privatnosti.Sajberbezbjednostmožebitiopravdanaiefikasnajedinoakosezasnivanafundamentalnimpravima i sloboda sadržanim u Povelji o fundamentalnim pravima Evropske unije itemeljnim vrijednostima EU. S druge strane, prava ličnosti ne mogu biti osigurana bezbezbjednih mreža i sistema. Bilo kakvo dijeljenje informacija zarad sajber bezbjednosti,kadasuupitanjuličnipodaci,trebadabudeuskladusazakonomEUozaštitipodatakaidaupotpunostiuzmeuobzirpravaličnostiuovojoblasti.


Pristup za svakoga. Ograničeni pristup ili nemogućnost pristupa Internetu i digitalnapismenost stvaraju prepreku za građane, uzevši u obzir koliko digitalni svijet prožimadruštveneaktivosti.TrebalobidasvakomožedapristupiInternetuinesmetanomprotokuinformacija.IntegritetibezbjednostInternetamorabitizagarantovanakakobiseomogućiosiguranpristupzasvakoga.

Demokratsko i efikasno upravljanje više stejkholdera. Digitalni svijet ne kontrolišesamojednotijelo.Trenutnopostojenekolikostejkholdera,odkojihsuvećinakomercijalnainevladina tijela, uključena u svakodnevno upravljanje Internet resursima, protokolima istandardima, i u njegov budući razvoj. EU ponovo potvrđuje značaj svih stejkholdera usadašnjem modelu upravljanja Internetom, i podržava pristup prema kome višestejkholderaupravljajunjime.

Podijeljena odgovornost radi garanciju bezbjednosti. Rastuća zavisnost odinformacionihikomunikacionihtehnologijausvimdomenimaljudskogživotadovelesudoranjivosti koje moraju da se definišu na pravi način, temeljno analiziraju, poprave iliusmanje. Svi bitni činioci, bilo javni sektor, privatni sektor ili pojedinci, moraju daprepoznaju da imaju svoj dio odgovornosti i shodno tome, preduzmu radnje kako bi ihzaštitili,ipopotrebi,pružilikoordinisaniodgovorradijačanjasajberbezbjednosti.

VizijaEU,predstavljenaustrategiji,jesažetaupetstrateškihprioriteta[29]:1. Postiznanjesajberotpornosti;2. Drastičnosmanjenjesajberkriminala;3. Razvijanje strategije sajber odbrane i sposobnosti koje se odnose na Zajedničku politiku za

bezbjednostiodbranu(eng.CommonSecurityandDefencePolicy‐CSDP);4. Razvijanjeindustrijskihitehnološkihresursazasajberbezbjednost;5. Uspostavljanje koherentne međunarodne politike za sajber bezbjednost za Evropsku uniju i

promovisanjetemeljnihvrijednostiEU.a)PostizanjesajberotpornostiDabi sepromovisala sajberotpornostuEU, i državniorgani i privatni sektormorajuda izgradekapaciteteiefikasnodasarađuju.Nadgradnjomnapozitivnimrezultatimakojisupostignutiputemaktivnosti koje su do danas sprovedene, dalje aktivnosti EUmogupomoći u borbi protiv sajberrizika i prijetnji koje imaju prekograničnu dimenziju, i da doprinesu koordinisanom odgovoru uhitnimsituacijama.NaovajnačinsedajevelikipodsticajdobromfunkcionisanjuunutrašnjegtržištaipovećavaunutrašnjabezbjednostuEU.Trebapreduzetisljedećekorake[29]:

Komisija će nastaviti sa svojim aktivnostima, koje će sprovoditi Zajednički istraživačkicentarubliskoj saradn

ishod projektnog zadatka 1.1. - ecesm · 2015. 12. 2. · internacionalna organizacija za...

Documents