isi1 Оваа трибина е дел од проектот „Иницијатива за информациска сигурност“. Предмет на дебатата беше моменталната состојба и можностите за идно подобрување на информациската сигурност како и дебата околу првиот нацрт на документо „Насоки за информациска сигурност“ кој се припрема исто така во склоп на овој проект. Тој рече дека функцијата на Фондацијата Метаморфозис е пред се да ја зачува приватноста на граѓаните, но бидејќи нивото на информациска сигурност во Република Македонија е на ниско ниво, еден од главните генератори на нарушување на приватноста беше токму информациската небезбедност.

Членовите на експертскиот тим Љупчо Трајковски, консултант за информациска сигурност во Трајковски и партнери, Сашо Мицков, надлежен за информациска безбедност во Стопанска Банка А.Д. – Скопје и Неда Здравева, асистент на Правниот факултет „Јустинијан Први“ и експерт за интелектуална сопственост го презентираа постојниот документ. Јован Петров, проектниот координатор на проектот „Иницијатива за информациска безбедност“ го претстави проектот и очекувањата од трибината.

По презентациите се отвори јавна дебата. Ги пренесуваме клучните точки и заклучоци:

Неопходно е да се посвети поголемо внимание во документот за анализа на сите аспекти на постигнување на континуитет во деловното работење (Business continuity) во нашата држава, особено имајќи ги во предвид локалните предизвици. Неопходно е да се наметне потребата за изградба на институционални политики за континуитет во деловното работење како дел од обезбедување на одржлива информациска безбедност и достапност, доверливост и интегритет на е-услугите и е-трансакциите кои ги нудат соодветните институции. Се истакна реалниот проблем за обезбедување на алтернативни редундантни понудувачи на електрична енергија и комуникациски услуги. Додека првиот проблем може да се реши со припремни дизел-генератори, вториот за повеќето компании сеуште е нерешлив, бидејќи иако има определена конкуренција на пазарот на електронските комуникации често пати и новите оператори ја изнајмуваат постојната пасивна мрежа на Македонски Телекомуникации, со што се доведува до прашање редундантноста на изворот на комуникациски услуги, а со тоа и гаранцијата за континуитет во деловното работење.

На трибината беше напоменато дека во моментов се припрема Закон за е-трговија, но исто така се припремаат и определени промени во платниот промет кои ќе донесат нови можности за е-трговија. Беше искажана загриженост за недостапноста на сигурносните сертификати кај граѓаните и бизнисите. Дел од дискутентите се фокусираа на потребата за подигнување на јавната свест, додека останатите имаа мислење дека цените на дигиталните потписи се сеуште високи и е потребно да се намалат цените. Беше искажано жалење заради нереализираниот проект од Националната стратегија за информатичко општество за изработка на е-Лични карти кој предвидуваше користење на смарт-картички со вграден чип и дигитален сертификат заедно со функционалноста на лична карта и здравствена легитимација. Нереализирањето на овој проект значително ја уназади состојбата со информациска сигурност, но и воопшто понудата на е-трансакции и е-услуги во Република Македонија.

Компјутерскиот криминал е уште еден генератор на нарушување на информациската сигурност и приватност. Директивите 185 за компјутерски криминал и 189 за спречување на ширење на ксенофобија и расизам преку интернет на Советот на Европа се основа за законските измени кои се вршат во овој момент поврзани со компјутерскиот криминал. Злоупотребата на кредитни картички е една од главните причини за лошиот рејтинг во меѓународните електронски трансакции.

Како еден од причинителите на нарушување на приватноста и финансискиот интегритет на граѓаните е фактот дека многу од нив не се информирани за предизвиците со користењето на новите технологии, особено кредитните картички. Институциите кои треба да бидат одговорни за оваков вид на подигнување на јавната свест пред се би биле банките, но и државните институции. Недоволната обученост може да генерира многу проблеми со информациската сигурност, а со тоа да се намали довербата во новите технологии.

Наредно прашање на трибината беше како да се менаџира сигурноста на неслободниот софтвер, имајќи во предвид дека изворниот код е недостапен а корисничкиот договор (EULA) вообичаено го оградува добавувачот од било каква штета причинета од користење на истиот. Исто така беше поставено прашањето како да се гарантира интегритетот на податоците и континуитетот на деловното работење доколку компанијата која го испорачала соодветниот софтвер веќе не постои. Беше наведено дека во определени земји, за софтверот кој нема отворен код постојат т.н. сефови за изворен код кои се отвораат во случај на недостапност / непостоење на фирмата која е автор на софтверот. Беше истакнато дека можеби е потребно да се иницира создавање на оваков систем во Македонија. Во тој случај сопственоста врз изворниот код се префрла кон самите корисници на истиот. Што се однесува за начинот на мерење на безбедноста на софтверот без разлика дали е комерцијален, нарачан или слободен, постојат методологии во склоп на меѓународните стандарди ISO 27001, Cobit и ITIL кои нудат можност за евалуација во склоп на деловната политика за безбедност. Дел од дискутантите препорачаа користење на слободен софтвер за надминување на овие проблеми, додека определени експерти препорачаа диверсификација на добавувачите и потпирање на повеќе столбови за да се намали севкупниот ризик.

На трибината беше предложено формирање на национален CERT тим кој ќе се грижи за националнит информациски интегритет и безебдност, во склоп на академската мрежа, по пример на останатите земји во Европа.

Иако постоеше подвоеност во пристапот дали е попаметно да се припреми пакет измени на постојни закони или да се создаде нов закон за информациска сигурност, сите се сложија дека единствен ефикасен начин за имплементирање на сигурносни политики на ниво на институциите и организациите е со создавање на законска одговорност за спроведување на определени стандарди но и одговорност за менаџерите на институциите која не може да се пренасочи врз друг член од управувачкиот тим по пример на повеќе други држави. Како пример беа земени локалните самоуправи, кои со процесот на децентрализација ќе имаат се поголем фонд на информации со чија злоупотреба може да се наруши приватноста. Градоначалниците, доколку не се обврзат законски, нема никогаш сериозно да се погрижат за информациската сигурност. Исто така се разви дебата дали е потребно во закон да се наведат конкретни стандарди како примерот во определени земји, или описно и соодветно на можностите да се пропишат општи стандарди за информациска сигурност. Доколку произлезе посебен закон за информациска сигурност, неопходно е да се постави јасна рамка на институцијата која ќе биде носител на процесот и одговорна за спроведување на законот. Постојат повеќе отворени прашања, помеѓу кои, како ќе се прави годишната контрола на информациска сигурност, кој ќе ја прави и како ќе се определи граѓанската одговорност на менаџерите на институциите кои се опфатени со законот (електронски трансакции, е-услуги, комуникациски и интернет услуги). Воедно беше напоменато дека во изработката на законот мора да се води грижа за заштита на приватноста на корисниците на овие услуги.

{mospagebreak title=Презентации и аудио записи} 

Љупчо Трајковски

Аудио запис: Real Audio

Сашо Мицков

Аудио запис: Real Audio

 

Неда Здравева

Аудио запис: Real Audio

 

Јован Петров

Аудио запис: Real Audio

Сподели: