Богдановски : Секоја надлежна институција мора да развива капацитети за сајбер безбедност, а државата да одвои повеќе средства за оваа област

Секоја од надлежните институции во државата во рамки на своите ингеренции мора да ги развива капацитетите согласно дефинираните приоритети во Националната стратегија за сајбер безбедност и акцискиот план, а државата мора да пронајде начин за зголемување на буџетот поврзан со зајакнување на капацитетите во делот на сајбер безбедноста, истакнува во интервју за МИА деканот на Воената академија „Генерал Михаило Апостолски”, полковник Митко Богдановски, кој е и експерт во областа на сајбер безбедноста.

Тој потенцира дека голем дел од активностите планирани во Стратегијата и акцискиот план за сајбер безбедност 2018 – 2022, вклучително и оние кои се издвоени како најприоритетни, не се во целост спроведени.

Деканот, во интервјуто за МИА, осврнувајќи се на најприоритетните чекори што мора да се преземат со цел зголемување на сајбер безедноста во земјава, нагласува дека е потребно да се фомира тело со оперативни капацитети кое ќе биде лесно препознаено од целото општество како институција задолжена за справување со предизвиците во сајбер просторот. Според него, тоа мора да биде институција чија единствена цел ќе биде нудење услуги од областа на сајбер безбедноста.

Како што оценува Богдановски, приоритетно е да се усвои и законска рамка поврзана со сајбер безбедноста. Додава дека веднаш по усвојувањето на Стратегијата, напишан е таков закон и дека истиот осамнал на платформата ЕНЕР, но сè уште не е усвоен.

Според деканот на Воена академија, потребно е дефинирање на критичната информациска инфраструктура. Богдановски нагласува дека дигитализацијата и сè поголемата примена на новите технологии можат дополнително да ја зголемат ранливоста на државата, особено ако не се преземат соодветни мерки за заштита. Вели не сите институции имаат ист капацитет за справување со сајбер напади.

 

 

 

Интервјуто го пренесуваме во целост:

Беа изготвени Национална стратегија и Акциски план за сајбер безбедност на Република Северна Македонија 2018 – 2022, односно за до крајот на оваа година. Дали во целост се спроведени?

– Како еден од авторите на Националната стратегија за сајбер безбедност и како декан на Воената академија „Генерал Михаило Апостолски”, задолжена со оваа стратегија да развие Национален институт за сајбер безбедност и дигитална форензика, сметам дека спроведувањето на Стратегијата е клучно за заштита на безбедноста на сајбер просторот за секоја индивидуа, компанија, институција и целата држава.

Како што веќе споменавте, првата Национална стратегија и Акциски план беа усвоени во 2018 година и бевме една од последните држави во регионот која усвојува ваков важен документ за безбедноста на информациските системи, критичната информациска инфраструктура, институциите, но и од огромно значење за севкупната национална безбедност во државата. Тоа што бевме последни во усвојување на ваков документ не е поради немањето доволна експертиза или немањето свест за важноста на овие документи, туку пред сè заради неусогласеност на ставови на претходни работни групи кои работеле на усвојувањето овој документ и честата промена на експертите вклучени во овие работни групи од разни причини.

Во 2018 година се формира нова работна група првично предводена од Министерството за одбрана, Министерството за внатрешни работи и Министерството за информатичко општество и администрација, која подоцна беше проширена со уште неколку релевантни институции од државата, а за време на изработката беа побарани мислења и од странски експерти, како и од ЕУ и НАТО. Можам слободно да кажам дека беше сработена солидна Стратегија, посебно ако се земе предвид дека стануваше збор за прва Национална стратегија за сајбер безбедност, па немаше можност да се увидат недостатоците на некој претходен документ поврзан со ваквата Стратегија. Секако дека забелешки секогаш може да има и сето тоа треба да се прифати во најпозитивна смисла, затоа што само на тој начин може да се подобруваат процесите во овој домен. Не случајно многу држави прават промени многу често, надвор од периодот кој го покрива самата стратегија. Причината за ова е да се вметнат евентуални непредвидени процеси за време на изготвувањето и усвојувањето, но и да се приспособи стратегијата согласно најновите трендови и предизвици кои едноставно не можеле да се предвидат кога се работело на стратегијата.

И сега доаѓаме до главниот дел од прашањето, а тоа е дали во целост се спроведени активностите предвидени во стратегијата и пред сè акцискиот план. Би кажал дека во полето на имплементација не се разликуваме многу од државите во Западен Балкан и Југоисточна Европа, па и од дел од многу поразвиени држави. Иако спроведувањето на активностите зависи од тоа во чија надлежност е самата активност, затоа што не сите институции имаат исти капацитети и способности за да се спроведе конкретна активност, сепак можам да кажам дека сме далеку од она што била основна замисла при пишувањето и усвојувањето на Стратегијата. Голем дел од активностите кои се планирани во Стратегијата и акцискиот план, вклучително и оние кои се издвоени како најприоритетни, не се во целост спроведени. Секако дека постојат разни работни тела и во соработка со нашите стратешки партнери се работи на отстранување на овие недостатоци, пред сè зборувам за најкритичните, меѓутоа сметам дека овие активности требаше да бидат во целост спроведени многу порано.

Постојат многу фактори за неспроведување на дел од активностите, вклучително честите промени на одговорните лица кои треба да работат на развој на тие капацитети, но и на оние кои се задолжени да ги носат одлуките, како и постојаното дефокусирање и менување на приоритетите зависно од конкретните предизвици со кои се соочуваат институциите и државата.

 

По оваа Национална стратегија и Акциски план, што се предвидува за во иднина во однос на сајбер безбедноста? Според вас, што е клучно што треба РСМ да го спроведе во најкус можен рок со цел да се подигне нивото на сајбер безбедноста?

– Во моментов се работи на нова Национална стратегија за сајбер безбедност и групата којашто работи на оваа стратегија е во напредна фаза. Се надевам дека истата ќе биде наскоро усвоена и нема да има празен простор помеѓу постоечката, која истекува на крајот на оваа година, и новата стратегија. Сигурен сум дека работната група ќе изработи квалитетна стратегија кога ќе ги земе предвид сите увидени недостатоци. Големо олеснување во текот на изработката на новата стратегија е тоа што работната група може да ги извлече позитивните и негативните страни од изработката и имплементацијата на постоечката, што не беше случај кога се изработуваше првата Национална стратегија за сајбер безбедност.

Сметам дека приоритетните активности на кои треба да се фокусира државата со цел превенција и соодветен и брз одговор на евентуални инциденти се веќе добро утврдени во моменталната Стратегија за сајбер безбедност.

Прво, формирање на тело со оперативни капацитети кое ќе биде лесно препознаено од целото општество како институција задолжена за справување со предизвиците во сајбер просторот. Мое мислење е дека ова мора да биде институција чија единствена цел ќе биде нудење услуги од областа на сајбер безбедноста. Доколку се стави во рамки на некоја друга организација која има и други одговорности, голема е веројатноста таа институција зависно од моменталната ситуација да стави приоритети на други активности во нејзина надлежност и повторно да се запостави сајбер безбедноста. Иако воспоставувањето на ова тело е предвидено со моменталната Стратегија за сајбер безбедност, до денес не е формирано. Истото, освен што би било одговорно за координација на активностите во делот на сајбер безбедноста, тоа би требало да развие капацитети со цел да помогне на институциите во државата во случај на евентуална загрозеност на нивниот сајбер простор, да развие политики и постапки, да контролира колку тие политики и постапки се спроведуваат од страна на институциите, како и да врши контрола и да дава насоки при набавка на хардверски и софтверски решенија од трети страни.

Второ, усвојување законска рамка поврзана со сајбер безбедноста. Иако веднаш по усвојувањето на стратегијата беше напишан ваков Закон, истиот осамна на платформата ЕНЕР и сè уште не е усвоен.

Трето, дефинирање на критичната информациска инфраструктура. Ние сме една од ретките држави во регионот која го нема направено истото. Во моментот постои работна група, предводена од Министерството за одбрана, која работи на дефинирање на критичната инфраструктура и сметам дека критичната информациска инфраструктура, како нејзин сегмент, ќе го најде местото во тој документ. Ова не е едноставна работа затоа што дефинирањето на критична инфраструктура подразбира прво да се направи квалитетна проценка на ризици и секако дека тоа одзема доста време. Согласно информациите со кои располагам, групата е во напредна фаза во донесувањето на документ кој ќе ја дефинира критичната инфраструктура на национално ниво. Истовремено, со поддршка на нашите партнери и проекти спонзорирани од нивна страна се работи во сегментот на дефинирање на критична информациска инфраструктура.

Меѓутоа, мора да истакнам дека секоја од надлежните институции во државата во рамките на своите ингеренции мора да ги развива капацитетите согласно дефинираните приоритети во Националната стратегија за сајбер безбедност и акцискиот план, како и нивните институционални стратегии и политики.

Не би требало да се изостави важноста на соработката помеѓу јавниот и приватниот сектор во целиот процес на справување со сајбер закани (рано предупредување, детекција, реакција и справување со кризи). Приватниот сектор има значителна експертиза во овој сегмент. Градењето заедничка база од експерти која може да понуди различна експертиза согласно конкретните предизвици и потреби е од големо значење за безбедноста на сајбер просторот и брза реакција во случај на сајбер напади од помасовни размери со кои би можела да се соочиме. Секако дека приватниот сектор има свои секојдневни предизвици со кои мора да се справува, но во случај на поголема сајбер криза секој граѓанин и секоја компанија би помогнала во процесот на справување со ваков тип напади од поголеми размери кој може да има влијание на секој сектор, па дури и на националната безбедност.

На крај, еднакво важен аспект е и соработката со академската заедница со цел размена на искуства, образование и обука на персоналот вработен во релевантните институции во државата.

 

Постојано се работи на дигитализација во сите сфери, но дигитализацијата и сајбер безбедноста одат „рака под рака”. Колку едниот процес го следи другиот?

– Новите информациско – комуникациски технологии, апликациите и системи за вештачка интелигенција (посебно во однос на машинското учење, длабокото учење и роботиката), нанотехнологијата, вселенската технологија, биотехнологијата, квантните компјутери итн., ја поттикнуваат тековната дигитална трансформација. Овој процес влијае на начинот на кој поединците и групите живеат, работат и комуницираат во општеството. Политичкото раководство, академската заедница и експертите во различни области и дисциплини се залагаат за нови принципи, протоколи, правила и политики за да се забрзаат позитивните и инклузивни влијанија на овие технологии, а истовремено да се ублажат нивните негативни влијанија. За жал, не само нашата држава, туку и другите држави во Западен Балкан, но и многу од членките на ЕУ и сојузници во НАТО, се многу зад сегашните трендови во дигиталната трансформација.

Сметам дека наместо да бидеме пасивни набљудувачи и да ги трпиме негативните влијанија на нарушувачката природа на дигиталните технологии, треба да преземеме иницијатива да се сфатат овие технологии како клучен двигател на економскиот раст и подобрувањето на целокупниот општествен живот.

Од друга страна државните и недржавните актери веќе ги искористија модерните технологии во нетрадиционален контекст за постигнување стратешки цели. Способноста за глобален досег на многу нови технологии и нанесување штета без одговорност, последователно се рефлектираа на приоритетите на националната безбедност.

Исто така, во неколку наврати, воените лидери на НАТО заклучија дека модерните технологии (поточно вештачката интелигенција) суштински ќе го променат војувањето и користењето на војската како инструмент на националната моќ за постигнување стратешки цели.

Во услови на дигитализација на институциите и општеството, релевантните институции, секоја во рамките на својот домен, преземаат мерки за заштита на сајбер просторот и спречување на несакани последици од загрозување на овој простор. Секако, не можам да кажам дека сме целосно безбедни, но со таков статус не може да се пофали ниту една земја во светот. Не постои држава, институција или индивидуа која во целост ги отстранила ризиците од сајбер напади, но сметам дека за сега успеавме да се справиме со предизвиците. Меѓутоа, мора да се потенцира и тоа дека за наша среќа државата до сега не се соочила со некој сајбер напад од поголеми размери, каде главна цел би биле наши државни институции или критичната информациска инфраструктура. Сепак, тоа не значи дека ова нема никогаш да се случи и дека не треба да градиме капацитети за превенција, но и одговор во случај на сајбер напади од вакви размери. Дигитализацијата и сè поголемата примена на новите технологии можат дополнително да ја зголемат ранливоста на државата, институциите и граѓаните, посебно ако не се спроведуваат на соодветен начин и ако не се преземат соодветни мерки за заштита. Затоа овој процес треба внимателно да се следи, да се вклучат сите сектори, како и да се послушаат советите на експертите во државата и да се земе предвид секоја забелешка дадена од нив, затоа што евентуални безбедносни пропусти во имплементацијата на новите технологии можат подоцна да доведат до големи ризици и уште поголеми финансиски загуби, прво предизвикани од реализирани криминални активности во сајбер просторот, а второ од аспект на отстранување на овие пропусти и интервенирање во веќе спроведените технолошки решенија.

 

Со оглед на дигиталните процеси, преку кои се внесуваат и документи со заштитени податоци, колку се усовршени системите за заштита на истите?

– Може да се каже дека државата има механизми за контрола на нивото на заштита на податоците од страна на институциите. Имено, доколку зборуваме за заштита на личните податоци, тука главна институција е Агенцијата за заштита на лични податоци, која има овластувања за контрола на имплементацијата на донесените регулативи и политики за заштита на податоците од страна на институциите. Доколку пак зборуваме за заштита на класифицирани податоци, тогаш најодговорна институција е Дирекцијата за безбедност на класифицирани информации, која исто така има надлежност за контрола на системите во кои се складираат вакви информации и се надлежни за сертифицирање на комуникациско-информациските системи.

Секако дека покрај ова, секоја институција засебно мора да воспостави политики за заштита на податоците и можам да кажам дека дел од институциите во целост и со најголема професионалност ги спроведуваат сите мерки за заштита на податоците, но дека има и такви институции кои заради недостаток на персонал и експертиза ги немаат спроведено ваквите мерки согласно пропишаните политики и постапки. Тука морам да потенцирам дека најчесто протекувањето на информации е предизвикано од човечки фактор и неспроведени политики и постапки, како и неажурирани системи, а не од тоа колку системите се усовршени. Затоа сметам дека доколку сакаме да ги заштитиме податоците треба да посветиме поголемо внимание на обука на персоналот во контекст на сајбер хигиената, во однос на правилно спроведување на политиките и постапките за заштита на податоците, како и за начинот на користење на системите во кои има складирано вакви податоци.

Колкав е ризикот од сајбер криминал во нашата земја? Според досегашното искуство, колку е сајбер криминалот присутен кај нас и колку се работи на минимизирање на штетите од истиот? Во ова „дигитално” време колку нашата држава е подготвена да се заштити од сајбер криминал?

– Исто толку висок колку и за секоја друга држава. Сајбер криминалците, за разлика од државно спонзорираните актери, единствено се заинтересирани за профит и не им е важно од каде ќе профитираат. Таргетираат одреден сектор/институција/компанија и доколку увидат дека истата има добри одбранбени политики и механизми, нема да продолжат со таа институција, туку ќе се пренасочат кон други, сè додека не најдат безбедносен пропуст во некоја од таргетираните институции и не ја искористат оваа ранливост за да стигнат до финансиска корист. Како што знаеме, сајбер просторот нема граници, па нормално е да се очекува дека сајбер криминалците не ги напаѓаат само системите и податоците кои се во нивна близина и не се фокусираат само на една држава, туку бараат начин да стигнат до сè поголема придобивка, без разлика од каде доаѓа истата.

И тука би посочил дека не сите институции имаат ист капацитет за справување со вакви напади. Ако земеме предвид дека сајбер криминалците во голема мера го таргетираат банкарскиот сектор можам да кажам дека овој сектор и најмногу вложува во делот на сајбер безбедноста и има најстроги безбедносни политики и постапки, а во континуитет вработува и обучува кадри за оваа намена. Не би сакал да кажам дека овој сектор е недопирлив за сајбер криминалците, но споредено со другите сектори има повисока безбедносна култура, сајбер хигиена, а и многу поголеми инвестирања во делот на обука и набавка на современи безбедносни механизми.

Секако дека и другите институции преземаат мерки за заштита од криминални дејствија во нивниот сајбер простор, но не секоја од нив има развиено исти способности за справување со овие предизвици. Мислам дека со целосно спроведување на Стратегијата за сајбер безбедност голем дел од постоечките недостатоци во институциите ќе бидат отстранети.

 

Колку Министерството за внатрешни работи ги следи модерните текови, односно го надградува знаењето за заштита од сајбер криминал? Колку лица кои се дел од МВР, според вас, се стручни во таа област?

Тука би сакал да бидам малку попрецизен, затоа што многу често има недоразбирање кога се дефинираат надлежностите на МВР во делот на сајбер безбедноста и пред сè секако во делот на сајбер криминалот. Многу често, дел од граѓаните, па и одредени институции, очекуваат од надлежните сектори при МВР да спречат одредени криминални активности во сајбер просторот кои се случуваат во државата. Би сакал да напоменам дека одговорноста за заштита од вакви напади не е во надлежност на МВР, туку на институцијата која е компромитирана од страна на криминалците. Надлежноста на МВР е откако ќе се случи ваков инцидент да помогне на таа институција, по нејзино барање, во откривање на сторителите, што впрочем не се разликува од надлежноста на МВР кога ќе се случи кое било друго кривично дело. Доколку ја оставиме ширум отворена вратата во нашиот дом не доаѓаат вработени од МВР за да ја затворат, туку ќе дојдат откако некој ќе го искористи нашето неодговорно однесување и откако ќе пријавиме. И секако, во тој случај врз основ на оставените траги МВР ќе се обиде да пронајде кој влегол во нашиот дом кој не бил заштитен поради наша вина.

Во однос на стручноста на лицата распоредени во МВР, би потенцирал дека од мое лично искуство со вработените во Секторот за компјутерски криминал со кој сум реализирал многу заеднички активности, овој сектор располага со одлични кадри кои поминале многу обуки и имаат капацитет, вклучително и современи системи, ефикасно да се справат со секој предизвик поврзан со нивната секојдневна работа. На неколку пати овој Сектор е наградуван од меѓународни организации за професионалноста која е препознаена преку заеднички истраги и акции. Вработените во овој сектор постојано ги надоградуваат своите знаења преку разни обуки од највисок ранг. Исто така, Секторот е вклучен речиси во сите инциденти со кои се соочиле институциите од државата и можам да кажам дека најпрофесионално одговорил на сите побарувања.

Дали државата одвојува доволно средства за системи и обуки за сајбер безбедност?

– Факт е дека колку и да се вложува во областа на сајбер безбедноста тие инвестиции никогаш нема да ги задоволат потребите за воспоставување на идеален сајбер безбеден еко систем. Но, исто така, факт е дека доколку не се инвестира во креирање на еден систем кој ефикасно ќе одговори на заканите во сајбер просторот на секое ниво, државата таа грешка ќе ја плати неколкукратно поскапо. Без разлика дали напаѓачите се здобиле со финансиска придобивка, украле важни податоци од системите, оневозможиле критични услуги за граѓаните или институциите или во најлош случај физички уништиле дел од критичната инфраструктура, ваква злонамерна активност со сигурност ќе нанесе многу поголема штета за државата.

Генерално, безбедноста и одбраната не се евтина инвестиција, но свесни сме дека нема ништо повредно од безбедноста на граѓаните. Сајбер просторот како нова димензија на војување и реализирање на криминални, па и терористички активности, претставува закана која им овозможува на злонамерните корисници да спроведат вакви активности од каде било, во кое и да е време и притоа имаат можност да одрекуваат дека тие се сторители на тоа злонамерно дело. Ова значи дека надлежните институции се повикани да се справат со закани предизвикани од добро обучен, невидлив непријател кој може да го негира делото, кое освен што е тешко да се истражи е и тешко докажливо.

Заради овие причини, државата мора да пронајде начин за зголемување на буџетот поврзан со зајакнување на капацитетите и способностите во делот на сајбер безбедноста.

Државата преку својот Буџет, но и преку разни проекти спонзорирани од НАТО, ЕУ, Стејт департментот на САД, како и други меѓународни организации секако дека инвестира во сегментот на сајбер безбедноста. Сепак, земајќи ги предвид дигитализацијата, секојдневната интерконекција со нови уреди и технологии, можностите на напаѓачите за неовластен пристап и загрозување на сајбер просторот многукратно се зголемува, што е причина државата во процесот на планирање и буџетирање точно да ги дефинира трошоците за спроведување на активностите предвидени со Стратегијата и да проектира буџет согласно реалните потреби искажани во Акцискиот план.

 

Во однос на обуките, познато е дека не сите компании и институции нудат исти услови за вработените за обука во оваа област. Дел од институциите ставаат голем фокус на обучување на својот персонал, нудејќи обуки на различни нивоа, вклучително и обука за раководството и за сите вработени во институцијата. Но има и институции каде обуките поврзани со сајбер безбедноста ретко се изведуваат или речиси и да не се постојат. Потребно е раководството во овие институции да ја разбере потребата од планирање на вакви обуки и во иднина да дадат поголем приоритет на обученоста на својот персонал во областа на сајбер безбедноста. Сметам дека треба да се размислува и во насока на задолжување на институциите за спроведување основна обука за сајбер безбедност со сите вработени и нивно сертифицирање, затоа што напаѓачите прво удираат по најслабата алка, а тоа се вработените кои не се свесни за ранливоста и последиците од можните сајбер закани.

Во државата постојат повеќе институции кои согласно своите законски обврски спроведуваат образовни и обучни активности од аспект на сајбер безбедноста.

На пример МОН има свои одговорности за спроведување на разни програми на сите нивоа на школување. Националниот МКД-ЦИРТ освен што постојано информира за најновите предизвици и трендови во областа на сајбер безбедноста, често организира обуки и кампањи за запознавање на институциите и граѓаните за начинот на справување со најчестите сајбер напади со кои се соочуваме.

Со тековната стратегија се предвидува формирање на Национален институт/центар за сајбер безбедност и дигитална форензика во Воената академија, кој освен образовна функција ќе има и задача да организира разни обуки поврзани со оваа проблематика со сите релевантни институции во државата, и пошироко во регионот. Воената академија повеќе од 10 години организира и поддржува разни активности во оваа област во регионот, но и пошироко, а многу често се вклучува и како организатор или поддржувач на активности спонзорирани од НАТО, ЕУ, Стејт Департментот на САД, итн. Има спроведено повеќе основни и напредни обуки во државата, регионот и пошироко во областа на сајбер безбедноста, самостојно и во соработка со видни странски експерти, институции и меѓународни организации. Секако во овој процес Воената академија соработува и уште поинтензивно ќе соработува со сите високообразовни институции и центри за обука во државата, но и експерти од оперативни единици, кои имаат персонал кој може да понуди соодветна експертиза и да помогне во образование и обука во различни сегменти на сајбер безбедноста и дигиталната форензика.

Back to top button
Close