VOJNOTEHNIČKI GLASNIK/MILITARY TECHNICAL COURIER, 2012., Vol. LX, No. 4
STRATEGIJA RAZVOJA INFORMACIONOG DRUŠTVA U REPUBLICI SRBIJI DO 2020. GODINE: BEZBEDNOST INFORMACIJA I KRITIČNA INFRASTRUKTURA
Danjela D. Protić,
Generalštab Vojske Srbje, Uprava za telekomunikacje i informatiu (J-6), Centar za primenjenu matematiku i elektroniku, Beograd
DOI: 10.5937/vojtehg1204082P
OBLAST: informacione tehnologje VRSTA ČLANKA: originalni naučni članak
Sažetak:
Napredak tehnologje uslovio je razvoj svetske ekonomje i promenu političkih trendova. Države članice Evropske unje, ali i mnoge savremene države koje to nisu, primenjuju strategje razvoja informacionog društva što, pored ostalog, ukjučuje i podizanje nivoa informacione bezbednosti. Vlada Repubiike Srbje donela je Strateg'ju razvoja informacionog društva u Republici Srbji do 2020. godine, u okviru koje su definisani izazovi razvoja savremenog srpskog informacionog društva. U raduje prikazan osvrt na ovu strategju, što se posebno odnosi na otvorena pitanja o bezbednosti informacja, kritičnoj infrastrukturi i njenoj zaštiti. Na osnovu javno do-stupnih podataka opisana je domaća kritična infrastruktura i prikazana mogućnost zaštite informacja koja je zasnovana na primeni modularnog, objedinjenog informacionog sistema.
Kjučne reči: bezbednost informacja, kritična intrafstuktura, strategja razvoja.
Uvod
Savremeno informaciono društvo, koje je rezultat razvoja informa ciono-komunikacionih tehnologja (IKT), utiče na promene u svim oblastima života. Nivo informatičke pismenosti raste, što je primetno kako kod pojedinaca, tako i u radu organizacja različitih interesnih sfera. Generisanje, procesuiranje i razmena informacja je efikasna i brza, što omogućava kvalitetno poslovanje, smanjenje papirne dokumentacje, b-olju komunikacju sa zaposlenima, korisnicima usluga i poslovnim partn-
erima, i sl. Internet je omogućio razvoj elektronskog poslovanja (e-business), elektronsko bankarstvo (e-banking), on-line kupovinu (e-shoping), učenje na dajinu (e-learning), marketing kroz elektronske medje (e-marketing), itd. Dostupnost internetu uticao je i na razvoj sajtova za socjalno umrežavanje tipa Facebook, MySpace, LinkedIn, Twitter, što je dodatno uticalo na porast razmene podataka različitog sadržaja, u globalnom ok-ruženju. Istovremeno, sve prednosti koje nudi razvoj IKT izvor su potenc-jalnih napada na poverjive informacje koje mogu postati dostupne nea-utorizovanim osobama, ili biti izmenjene i uništene. Zbog toga je zaštita informacja u žiži javnosti - nastaju nove poslovne politike, a razvjeni su i standardi za zaštitu podataka i odgovarajuće pravne norme.
Nagli razvoj tehnologje doveo je i do pojave kompleksnih organiza-cionih sistema. Kao rezultat ovog usložnjavanja nastale su strategje odr-živog razvoja u različitim oblastima, pa i u oblasti razvoja informacionog društva. U opštem slučaju, okvire strategja predstavjaju zadaci koje je potrebno realizovati, zahtevani vremenski period za realizacju, nadležna tela, način izveštavanja o postignutim rezultatima, budžet, itd. Nje redak slučaj da realizacju strategje nadziru nadležna državna ministarstva ili agencje, u zavisnosti od kompleksnosti zadataka koje je potrebno izvrša-vati. Pojedinačno su, za svaku strategju, precizno definisane oblast delo-vanja, razlog zbog kojeg je utvrđena izabrana strateška politika, očekiva-ni rezultati i mogućnost njihove primene u praksi.
Kao važan faktor za razvoj informacionog društva Evropska unja (EU) uvrstila je IKT u grupu faktora koji utiču na ekonomski rast i razvoj. Prateći trendove u EU, Vlada Republike Srbje (Vlada) odredila je najbitnje faktore koji će uticati na razvoj informacionog društva u Republici Srbji do 2020. godine. Vladini prioriteti su pravni i institucionalni okviri za informaci-onu bezbednost (IB), borba protiv visokotehnološkog kriminala, naučno-is-traživački rad i zaštita kritične infrastrukture. Međutim, kritična infrastruktu-ra u Republici Srbji (Srbja) nje popisana, što nje slučaj u EU, Kanadi, Sjedinjenim Američkim Državama (SAD), Australji i određenom broju evropskih zemaja koje nisu članice Eu. U Srbji postoje pojedinačni poku-šaji da neke infrastrukture budu „proglašene" kritičnim, ali sveobuhvatnih aktivnosti na ovom poju nema. Jedno od rešenja ovog problema može da obezbedi formiranje nacionalnog, objedinjenog informacionog sistema kri-tičnih infrastruktura koji bi omogućio interoperabilnost kritičnih infrastruktu-ra na državnom nivou, i lakšu saradnju sa državama iz okruženja. Razme-na podataka u ovakvom sistemu bi bila ne samo brža i kvalitetnja nego bi i IB dobila predefinisanu formu, što može biti obezbeđeno infrastrukturom sa javnim kjučevima koju karakterišu centralni autoritet u vidu sertifikacio-nog tela koje izdaje digitalne elektronske sertifikate za zaštićenu komuni-kacju korisnika ove infrastrukture. Svaka od kritičnih infrastruktura imala bi svoje sertifikaciono telo podređeno glavnom sertifikacionom telu objedinje-
($>
Protić, D., Strategija razvoja informacionog društva u Repubici Srbji do 2020. godine: bezebednost informacija i kritična infrastruktura, pp. 82-101
VOJNOTEHNIČKI GLASNIK/MILITARY TECHNICAL COURIER, 2012., Vol. LX, No. 4
nog informacionog sistema, što bi omogućilo zaštićenu komunikacju i pro-cesuiranje podataka u okviru jedne kritične infrastrukture, između različitih kritičnih infrastruktura, i svake od njih sa centralom, u zavisnosti od karak-teristika i potreba kako pojedinih kritičnih infrastruktura, tako i celog objedi-njenog informacionog sistema.
Rad je organizovan na sledeći način: poglavje koje sledi je prikaz Strategje razvoja informacionog društva u Republici Srbji do 2020. godi-ne (Strategja). U trećem poglavlju razmatrana su otvorena pitanja u okviru Strategje, i to prvenstveno o kritičnoj infrastrukturi i zaštiti kritične infrastrukture. Poseban osvrt dat je na otvorena pitanja iz Strategje o za-štiti kritične infrastrukture sa stanovišta IB. Predložen je objedinjeni infor-macioni sistem kao moguće rešenje problema sa stanovišta IB i interope-rabilnosti između kritičnih infrastruktura. Poslednje poglavje u članku je zakjučak rada.
Strategija razvoja informacionog društva u Republici Srbiji do 2020. godine
U okviru EU IKT su prepoznate kao glavni faktor uticaja na ekonomski rast i inovativnost [1]. Između sedam inicjativa ekonomske strategje Evro-pa 2020 [2], u Digitalnoj agendi za Evropu, takođe je ukazano na značaj IKT. U skladu s evropskim trendovima, na osnovu člana 45. stav 1. Zako-na o Vladi („Službeni glasnik RS" br. 55/05, 71/05 - ispravka, 101/07 i 65/8), Vlada je 8. jula 2010. godine donela Strategju razvoja informacionog društva u Republici Srbiji do 2020. godine [3]. Strategija je posledica razvoja IKT i njihovog uticaja na transformacju načina interakcje judi, preduzeća i javnih institucja u Srbiji.
Strategija
Strategjom su određene aktivnosti kojima je potrebno razvijati infor-maciono društvo u Srbji, koje treba da budu odgovor na izazove razvoja IKT (novi aspekti bezbednosti, ugrožavanje privatnosti, tehnološka zavi-snost, nedovojna interoperabilnost institucija, otvorena pitanja zaštite in-telektualne svojine). Strategjom je utvrđeno da će u Srbiji do 2020. godi-ne biti uređeni svi navedeni aspekti. U oblasti informacionog društva Vlada definiše Strategiju kroz institucionalni i pravni okvir, pri čemu instituci-onalni okvir čine Ministarstvo za telekomunikacje i informaciono društvo i drugi državni organi zaduženi za razvoj i implementaciju informacionih sistema za poslove iz svog delokruga, dok pravni okvir određuju zakoni i propisi koji prate promene u skladu sa Strategjom.
Prioritetne oblasti Strategje podejene su u šest grupa:
- elektronske komunikacje,
- elektronska uprava, zdravstvo i pravosuđe (e-uprava, e-zdravstvo i e-pravosuđe),
- IKT u obrazovanju, nauci i kulturi,
- elektronska trgovina (e-trgovina),
- IKT u poslovnom sektoru, i
- IB.
Informaciona bezbednost kao element Strategje
Kako je definisano Strategjom, IB podrazumeva zaštitu sistema, poda-taka i infrastrukture radi očuvanja poverjivosti, integriteta i raspoloživosti in-formacja. Odgovarajući stepen IB u svim oblicima primene IKT jedan je od preduslova stvaranja održivog informacionog društva. Razvojem IB Vlada želi da postigne poverenje korisnika u bezbedno funkcionisanje informacio-nih sistema i poverenje građana u zaštićenost podataka o ličnosti u informa-cionim sistemima, širenje svesti o neophodnosti sprovođenja mera IB, zašti-tu podataka, zaštitu informacionih i telekomunikacionih sistema, bezbednost elektronskih transakcja, efikasne mehanizme zaštite i ostvarivanje prava u procesima elektronskog poslovanja i elektronske razmene podataka.
Unapređivanje pravnog i institucionalnog okvira za IB Vlada je regulisa-la Zakonom o tajnosti podataka [4], Zakonom o zaštiti podataka o ličnosti [5], Zakonom o elektronskom potpisu [6], Zakonom o organizacji i nadležno-sti državnih organa za borbu protiv visokotehnološkog kriminala [7], Zakonom o Vojnobezbednosnoj agencji i Vojnoobaveštajnoj agencji [8] i Krivič-nim zakonikom [9]. U širem kontekstu, pravni okvir čine Zakon o telekomuni-kacjama [10] i Zakon o odbrani [11]. Naglašeno je da je potrebno doneti propise iz oblasti IB kojima će dodatno biti uređeni standardi IB, kao i nadle-žnosti i zadaci pojedinih institucja u ovoj oblasti. Takođe, potrebno je formi-rati institucju koja u oblasti IB obavja poslove verifikacje i sertifikacje meto-da, softverskih aplikacja, uređaja i sistema, kao i istraživanje i razvoj. Ova institucja treba da nadzire i primenu standarda IB u državnim organima.
Sa stanovišta zaštite kritične infrastrukture potrebno je razvjati i una-pređivati zaštitu od napada primenom informacionih tehnologja (IT) i u vezi s tim potrebno je dodatno urediti kriterjume za utvrđivanje kritične infrastrukture, kriterjume za karakterizacju napada primenom IT na takve infrastrukture u odnosu na klasične oblike napada, kao i uslove zaštite u ovoj oblasti.
Zakonom o organizaciji i nadležnosti organa za borbu protiv visoko-tehnološkog kriminala, koji je stupio na snagu 2005. godine, prvi put je u domaćem zakonodavstvu definisan pojam visokotehnološkog kriminala, kao „vršenje krivičnih dela kod kojih se kao objekat ili sredstvo izvršenja krivičnih dela javjaju računari, računarske mreže, računarski podaci, kao i
Protić, D., Strategija razvoja informacionog društva u Repubici Srbiji do 2020. godine: bezebednost informacija i kritična infrastruktura, pp. 82-101
VOJNOTEHNIČKI GLASNIK/MILITARY TECHNICAL COURIER, 2012., Vol. LX, No. 4
njihovi proizvodi u materjalnom ili elektronskom obliku”. Organi za borbu protiv visokotehnološkog kriminala obrazovani su 2007. godine, kada su izvršene i odgovarajuće izmene u drugim propisima. Razvoj novih pravila i propisa treba da prati razvoj informacionog društva do 2020. godine.
Značaj naučnoistraživačkog rada proizilazi iz dinamičnih promena vezanih za izazove u oblasti IB, što zahteva kontinuitet u uvođenju novih metoda i mera zaštite u ovoj oblasti i praćenje svetskih dostignuća kroz međunarodnu saradnju.
Otvorena pitanja o informacionoj bezbednosti u okviru Strategije
U procesu razvoja informacionog društva Vlada je procenila da su, između ostalog, izazovi razvoja informacionog društva i novi aspekti IB. Delovi Strategje koji se odnose na pravnu regulativu ukazuju da postoje organizacje i važeći zakoni koji mogu da podrže razvoj informacionog društva. Međutim, oni ukazuju i na nedovojnu interoperabilnost instituci-ja, razvoj novih aspekata IB koje je teško pratiti, nedostatak podataka za analizu razvoja informacionog društva u Srbiji, neadekvatan naučno-is-traživački rad, itd. Zato, između ostalog, u Strategji postoje otvorena pitanja o mogućnosti razvoja zaštite IB, kriterjumima za utvrđivanje kritič-nih infrastruktura u Srbiji, i mogućnostima zaštite IB u utvrđenim kritičnim infrastrukturama. Odgovori na ova pitanja slede u tekstu.
Kritična infrastruktura
U svakom promenjivom sistemu postoji kritična tačka u kojoj on još uvek funkcioniše - kada je pređe njegove funkcje se ili menjaju ili presta-ju. Granica pravilnog rada koja je određena ovim promenama predstavja okvir kritične infrastrukture. Veliki broj država odredio je njima bitne (kri-tične) infrastrukture. U SAD je Predsednička komisja za zaštitu kritične infrastrukture 1997. godine odredila osnovne kritične infrastrukture - tele-komunikacje, elektroenergetski sistem, skladištenje i transport nafte i ga-sa, bankarstvo i finansje, prevoz, sistem snabdevanja vodom, hitne slu-žbe i kontinuitet vlasti, i dala preporuke za njihovu zaštitu. Komisja je de-finisala kritičnu infrastrukturu kao onu koja je toliko vitalna da bi njeno onesposobjavanje ili uništenje imalo efekat oslabjivanja odbrambene i ekonomske sigurnosti SAD. U grupu kritičnih infrastruktura dodatno je uvrštena oblast informacija i komunikacija (računarska i telekomunikacio-na oprema, softver, procesi i judi koji podržavaju procesuiranje, skladi-štenje i prenos podataka i informacija). U maju 1998. godine predsednik
SAD je odobrio predloge Predsedničke komisje i njegovom odlukom utvrđena je nacionalna politika za zaštitu kritičnih infrastruktura [12]. U okviru EU kritičnu infrastrukturu čine delatnosti, mreže, usluge, materjal-na dobra i IT, čji bi kvar ili uništenje znatno uticao na zdravje, sigurnost i ekonomski prosperitet građana ili na ekonomiju vlada država članica. In-dikativno je da različite države na različite načine određuju kritičnu infrastrukturu. Na primer, u okviru informacja i komunikacja kritične infra-strukture u Velikoj Britanji, Švedskoj, Holandji i Švajcarskoj su telekomu-nikacje, u Kanadi i Australji su telekomunikacje i masovni elektronski medji, u Nemačkoj telekomunikacije i komunikaciona infrastruktura, itd. Zanimjivo je i da se, iako svetska ekonomja preživjava finansjsku krizu, u područje javne i nacionalne bezbednosti, sa stanovišta kritične infra-strukture, ulažu velika sredstva. Po Kjajiću, Mandžuki i Škorputu (2010), Evropa, Australja, Kanada i SAD imaju šest istovetnih kritičnih infrastruktura: elektroenergetske sisteme, komunikacje, transport, zdravstvo, bez-bednost i organe vlasti. Opciono kritične infrastrukture su i vodosnabde-vanje, proizvodnja, skladištenje i prenos nafte i otrovnih materja, od-brambena industrja i pravosuđe [13].
Zaštita kritične infrastrukture
Definicje zaštite kritične infrastrukture razlikuju se zbog razlika u de-finicjama kritične infrastrukture. Jedna od njih je: „Zaštita kritične infrastrukture je strategja politike i spremnost koja je neophodna da bi se sprečio napad, odnosno pružio odgovor u slučaju da dođe do napada na kritične infrastrukture”. [14]. Sa stanovišta IB zaštita kritične infrastrukture predstavja programe i aktivnosti koje realizuju vlasnici, korisnici, operate-ri, naučnoistraživačke institucje, vlada i regulatorna tela, radi održavanja performansi kritičnih infrastruktura u slučaju otkaza, napada ili incidenata, i minimizacje posledica i vremena oporavka. Evropska unja je 2009. go-dine usvojila akcioni plan zaštite koji je zasnovan na prevencji i sprem-nosti za pojavu incidenata koji mogu da naruše bezbednost kritične infrastrukture, detekcji i odgovoru na narušavanje bezbednosti, oporavku od nežejenih događaja, međunarodnoj saradnji i Kriterjumima za kritične evropske infrastrukture iz oblasti IKT [15]. Jedan od elemenata Evrop-skog programa za zaštitu kritičnih infrastruktura je i Direktiva o identifika-cji i označavanju evropske kritične infrastrukture [16] po kojoj je IKT sek-tor deo kritičnih infrastruktura kojem treba posvetiti naročitu pažnju [17]. U Ruskoj Federaciji na nacionalnom nivou postoji strategja zaštite kritič-ne infrastrukture, koja je definisana kroz Nacionalni koncept bezbednosti, aktivnosti Ministarstva informacionih tehnologja i komunikacija, i postoja-nje tima za reakcju na incidente [18]. U SAD je za svaku kritičnu infrastrukturu formirana posebna agencija koja izrađuje planove zaštite za da-
Cs7>
Protić, D., Strategija razvoja informacionog društva u Repubici Srbiji do 2020. godine: bezebednost informacija i kritična infrastruktura, pp. 82-101
VOJNOTEHNIČKI GLASNIK/MILITARY TECHNICAL COURIER, 2012., Vol. LX, No. 4
tu oblast [19]. Problemima zaštite kritičnih infrastruktura bave se i Organi-zacjja ujedinjenih nacja (OUN), Organizacja za evropsku bezbednost i saradnju (OEBS), G-8 i Severnoatlanski savez NATO [20], kao i Svetska banka, Forum za reagovanje na incidente, Savet Evrope i drugi [21].
Srbja ne prati tempo okruženja, što je posebno simptomatično u od-nosu na države članice EU (Mađarska, Rumunja, Bugarska). Naime, ove države su formirale timove za reakcju na incidente u kritičnim infrastruk-turama - CERT (Computer Emergency Response Team, engl.) koji imaju i savetodavnu funkciju, u smislu prevencje i mera zaštite od incidenata u kritičnim infrastrukturama. Problemi sa kojima se Srbja suočava, a koje u skladu sa Strategjom mora da reši, su nepostojanje CERT-a, tehnička neopremjenost, malo stručnog kadra i neadekvatna međuinstitucionalna saradnja.
Kritična infrastruktura u Republici Srbiji
Odrediti kritične infrastrukture u Srbiji znači prvo proceniti da li neke infrastrukture odgovaraju navedenim grupama kritičnih infrastruktura (elektroenergetski sistemi, komunikacje, transport, organi vlasti), a odrediti kriterjume njihove bezbednosti znači primeniti unapred definisana pravila koja je odredila neka autorizovana institucja. Sa stanovišta IB, kriterjumi zaštite mogu da budu uređeni i primenom standarda, kao što su npr. ISO/IEC 27001-2 [22], [23].
U Srbiji ne postoji zvanična politika kojom bi bile utvrđene smernice za popisivanje domaćih kritičnih infrastruktura. Nacionalni Konvent o Evropskoj unji (www.eukonvent.org), koji zastupa Evropski pokret u Srbiji (www.emins.org), definiše infrastrukturne oblasti za saobraćaj, enerrgetiku i telekomunikacje, i ukazuje na činjenicu da je stanje ovih infrastruktura poražavajuće, pogotovo sa stanovišta fizičke infrastrukture. Na svom prvom zasedanju ukazuju da jedino u domenu energetike postoje ugo-ovorom definisane obaveze. Takođe, ukazano je na činjenicu da ne postoje relevantni podaci koji su neophodan preduslov za komparativne analize. Na drugom zasedanju Nacionalnog konventa formirana je radna grupa Infrastruktura, koja bi trebala da reši ove probleme, ali rezultati, ukoliko ih ima, još nisu dostupni javnosti. Pored aktivnosti Konventa, na XXVIII Simpozju PosTel 2010. godine ukazano je na probleme upravjanja krit-ičnom infrastrukturom u okviru poštanske infrastrukture. U okviru navede-nog ukazano je da su poslovi zaštite sve aktivnosti vlasnika/operatera, proizvođača, korisnika i regulatornih organa koje imaju za cij očuvanje performansi kritičnih infrastruktura u slučaju nemogućnosti pružanja de-finisanog minimuma nivoa usluga, odnosno aktivnosti minimiziranja šteta i skraćenja vremena oporavka. Transportni i komunikacioni sistemi takođe predstavjaju kritične infrastrukturne sisteme, a osnoovni elementi upravja-
<шГ>
nja kritičnom infrastrukturom u poštanskom sektoru su procena i upravjanje rizičnim situacjama koje mogu da ugroze upravjanje infrastrukturnih objekata [24]. Upravjanje rizikom predviđa mogućnosti prevencje rizičnih situacja, što ukazuje na preduzimanje adekvatnih mera za smanjivanje, ublažavanje ili eliminacju rizika, i sanacju posledica koje izazivaju zausta-vjanje rada kritičnih infrastrukturnih sistema [25]. Pored navedenog, pojo-privredna proizvodnja koja zadovojava potrebe države za sirovinama i proizvodima je, takođe, kritična infrastruktura sa stanovišta nacionalne bezbednosti, pogotovo ukoliko postoji mogućnost da ona bude element bioterorističkog napada [26]. Međutim, u Srbji se teme vezane za kritičnu infrastrukturu sreću u okviru aktivnosti samo dva ministarstva: Ministarstva za infrastrukturu i energetiku (www.mie.gov.rs) i Ministarstva ekonomje i regionalnog razvoja (www.merr.gov.rs).
Ministarstvo za infrastrukturu i energetiku:
„Ministarstvo za infrastrukturu i energetiku obavja poslove državne uprave u oblasti železničkog, drumskog, vodnog i vazdušnog saobraćaja, koji se odnose na: uređenje i obezbeđenje saobraćajnog sistema; reali-zacju projekata izgradnje saobraćajne infrastrukture; unutrašnji i među-narodni prevoz i intermodalni transport; uređenje i bezbednost tehničko-tehnološkog sistema saobraćaja; obligacione i svojinsko pravne odnose; inspekcjski nadzor; strategju razvoja saobraćaja, planove razvoja i pla-nove vezane za organizacju saobraćajnog sistema i organizacju prevo-za; izdavanje upotrebne dozvole za saobraćajni objekat i infrastrukturu; homologacju vozila, opreme i delova; organizovanje finansjske i tehnič-ke kontrole; međunarodne poslove u oblasti saobraćaja; stvaranje uslova za pristup i realizaciju projekata iz delokruga tog ministarstva koji se fi-nansiraju iz pretpristupnih fondova EU, donacja i drugih oblika razvojne pomoći; mere za podsticanje istraživanja i razvoja u oblasti saobraćaja, kao i druge poslove određene zakonom. Ministarstvo za infrastrukturu i energetiku obavja poslove državne uprave koji se odnose i na: energetiku, energetski bilans Republike Srbje, naftnu i gasnu privredu, bezbedan cevovodni transport gasovitih i tečnih ugjovodonika, nuklearna postroje-nja čija je namena proizvodnja električne, odnosno toplotne energje, pro-izvodnju, korišćenje i odlaganje radioaktivnih materjala; preduzimanje mera radi obezbeđivanja uslova za funkcionisanje javnih preduzeća u oblastima za koje je ministarstvo obrazovano; nadzor u oblastima iz delokruga ministarstva, kao i druge poslove određene zakonom”.
Pored toga što radi pod nadzorom Vlade, Ministarstvo za infrastrukturu i energetiku nadležno je za javna preduzeća (JP Srbjagas, Naftna industrja Srbje (NIS), Elektroprivreda Srbje (EPS), Elektromreža Srbje (EMS), Zeleznice Srbje, Putevi Srbje, Jat Airways, Aerodrom „Nikola Tesla”) i agencje (za bezbednost saobraćaja, energetiku, energetsku efika-snost, kontrolu letenja Srbje i Crne Gore, Direktorat civilnog vazduho-
Protić, D., Strategija razvoja informacionog društva u Repubici Srbji do 2020. godine: bezebednost informacija i kritična infrastruktura, pp. 82-101
VOJNOTEHNIČKI GLASNIK/MILITARY TECHNICAL COURIER, 2012., Vol. LX, No. 4
plovstva, Uprava za utvrđivanje sposobnosti brodova za plovidbu) koje obavjaju delatnosti iz odgovarajućih oblasti. Međutim, na osnovu javno dostupnih informacja, samo nekoliko preduzeća ima odejenja, razvjene strategje ili planove vezane za kritične infrastrukture:
- Železnice Srbje imaju odejenje za razvoj infrastrukture,
- EPS je definisala: (1) strateško planiranje u vezi sa proizvodnjom električne i toplotne energje i energje iz obnovljivih izvora, distribucju, snabdevanje, i javno snabdevanje električnom energjom; (2) IT, što ukjučuje infrastrukturu, sistemski softver i specjalizovani softver za baze podataka; (3) telekomunikacje, što ukjučuje saradnju sa elektroenerget-skim sistemima u okruženju, razmenu podataka prilikom upravjanja elek-troenergetskim sistemima i vezu domaće telekomunikacione mreže sa mrežama susednih zemaja; (4) distributivne sisteme za izgradnju, revita-lizacju, unapređenje i modernizacju opreme, sistema upravjanja potro-šnjom, sistema telekomunikacija, sistema naplate električne energise, itd.
- JP Srbijagas, čje su funkcje transport i distribucja prirodnog gasa i upravjanje sistemima za transport i distribucju; strateški cijevi su inten-ziviranje razvoja gasovodne infrastrukture Srbje i povezivanje sa zemja-ma u okruženju, i revitalizacja postojećeg, proširenje i pobojšanje sistema nadzora i upravjanja gasovodnim sistemom.
- EMS ima Sektor za informatiku i telekomunikacje koji obavja po-slove u oblasti poslovne i upravjačke informatike i telekomunikacja, vrši sistemsku IT podršku i obezbeđuje funkcije telekomunikacionog sistema za potrebe upravjanja i prenosa u EMS.
Ministarstvo ekonomije i regionalnog razvoja:
Po Strategji regionalnog razvoja Republike Srbje za period od 2007. do 2012. godine, ovog Ministarstva: "Saobraćajna infrastruktura je bitan faktor efikasnosti celokupnog saobraćajnog sistema, ali i kjučni preduslov za ostvarivanje održivog privrednog i društvenog razvoja Republike Srbje i njenog integrisanja u EU". Nisu tačno definisane karakte-ristike saobraćajnog sistema, način ulaganja sredstava za rekonstrukcju i razvoj, itd., osim što je konstatovano da je potrebno obratiti pažnju na saobraćajnu infrastrukturu.
Na osnovu prethodno navedenog, u Srbiji je moguće izdvojiti slede-će kritične infrastrukture, u skladu sa kritičnim infrastrukturama drugih dr-žava:
- saobraćaj, transport i komunikacje (putnički, poštanski, železnički, vazdušni, plovni, vodovodi, cevovodi, itd.),
- elektroenergetika (proizvodnja i distribucja električne i toplotne energje, naftna i gasna privreda i distribucja nafte i gasa, proizvodnja, korišćenje i odlaganje radioaktivnih materjala, itd.),
- telekomunikacje i IT.
Postoje infrastrukture koje neke organizacje ili institucje smatraju kritičnim za svoje poslovanje, za koje su one odredile načine održavanja, proširenja i razvoja. Međutim, rešenja na državnom nivou nema. U tom smislu, potrebno je odrediti raspoložive judske, materjalne, finansjske i druge resurse kako bi bili postignuti cijevi u zadatim vremenskim rokovi-ma, po dozvojenom budžetu i uz zadovojenje interesa svih strana uče-snika u realizacji ovakvog projekta [27]. Treba imati u vidu da, u realiza-cji Strategje, treba da postoje dva pravca delovanja, jedan fokusiran na državni, a drugi na privatni sektor. Trenutno je kooperacja na nivou pri-vatni sektor - država na dobrovojnoj osnovi (i slaba), ali bi postojanje agencje za zaštitu kritične infrastrukture i CERT-a omogućilo Vladi da asistira u procesima razvoja kritičnih infrastruktura privatnog sektora [28]. Uticaj ovakvog „ponašanja" Vlade posebno je bitan kod onih grana pri-vrede u kojima je izvršena privatizacja društvenog kapitala.
Informaciona bezbednost i zaštita kritične infrastrukture u Republici Srbiji
Komunikacje, izvori energje, transport, vodosnabdevanje, javne institucije i druge kritične infrastrukture u velikoj meri zavise od računarskih mreža čje su funkcje generisanja, obrade, skladištenja i prenosa podataka ranjive. Istraživanja pokazuju da onesposobjavanje računarskih mreža koje održa-vaju funkcje kritičnih infrastruktura može negativno da utiče na kvalitet živo-ta, destabilizuje ekonomju, ugrozi nacionalnu bezbednost i slično [29]. Na koji način onda zaštititi kritičnu infrastrukturu sa stanovišta IB?
Jedno od mogućih rešenja je modularni, objedinjeni informacioni si-stem (OIS) za kritične infrastrukture (OlS-u mogu da budu dodavane no-ve kritične infrastrukture1, a svaka nova infrastruktura je novi modul). Objedinjeni informacioni sistem sadrži tri komponente: hardver, softver i personal, a njegovu funkcju određuju i podaci sa terena. Hardver čine raču-nari (PC, laptop), prateća oprema (monitori, štampači) i oprema za priku-pljanje podataka (GPS, radne stanice). Softver je delom autohton, a de-lom integrisan. Integrisanost obezbeđuje interoperabilnost različitih infrastruktura, u smislu prikupljanja, obrade i razmene podataka. Personal podrazumeva edukovane osobe čji su zadaci nadzor, upravjanje i obra-da podataka bitnih za funkcionisanje OIS-a. Osnova OIS-a je softver (na serveru) koji služi za prikupjanje i integracju podataka u jedinstvenu ba-zu, i njihov prenos putem računarskih mreža. Drugi deo softvera OIS-a je softver za rad pojedinih resursa (desktop računar, laptop, resursi za uda-jenu komunikaciju) koji služi za pristup lokalnim bazama podataka i za obradu, analizu, uređivanje i administracju tih podataka. Komunikacija
1 Predlog rešenja daje autorka, na osnovu javno dostupnih komercjalnih rešenja u svetu.
Protić, D., Strategija razvoja informacionog društva u Repubici Srbiji do 2020. godine: bezebednost informacija i kritična infrastruktura, pp. 82-101
VOJNOTEHNIČKI GLASNIK/MILITARY TECHNICAL COURIER, 2012., Vol. LX, No. 4
unutar OIS-a može i ne mora da bude zaštićena, u zavisnosti od stepena tajnosti podataka određene kritične infrastrukture. Svaka kritična infra-struktura može da ima različit, sopstveni korisnički interfejs. Neophodan je 24/7 monitoring svih funkcja i infrastrukture, a posebno je bitno da personal bude dobro obučen i po potrebi doobučavan. Krajevina Norveška donirala je Srbji web-baziran geografski informacioni sistem (Web GIS), user-friendly aplikacju koja dozvojava prostorno planiranje i analizu podataka dobjenih na osnovu karata različitih domena, kao što su: komuni-kacije (putevi, pruge, nadvožnjaci, tuneli), elektroenergetski sistemi (hidro i termo elektrane, dalekovodi, trafo-stanice), granice naseja i administrativ-nih oblasti, privredni objekti, turistički sadržaji, rejef, itd. (www.mem.gov.rs). Primenom aplikacja sličnih Web GIS aplikacji moguće je urediti okvir za jedan interoperabilni OIS. Zaštitu informacja u OIS-u moguće je ob-ezbediti primenom infrastrukture sa javnim kjučevima (PKI2), koja je de-finisana standardom ITU-T X.509. PKI čine hardver, softver, polise i procedure koje su neophodne za upravjanje, generisanje, skladištenje i distribucju kriptografskih kjučeva i digitalnih sertifikata, kroz sertifikacion-o (CA3) i registraciono telo (RA4). Sertifikaciono telo je izdavalac sertifikata, strana od poverenja koja je za sve učesnike u komunikacji ce-ntralni autoritet, a RA je entitet odgovoran za identifikacju učesnika u komunikacji, i kreator zahteva za dodelu sertifikata. Sertifikat je, uslovno, dozvola za razmenu podataka na zaštićen način između korisnika, koji mogu biti pravna ili fizička lica. Spisak digitalnih sertifikata je javan poda-tak, može se nalaziti na web sajtu agencje za dodelu sertifikata ili biti dostupan na drugi način. U opštem slučaju, učesnici u komunikacji nemaju uspostavjen lanac poverenja kako bi zaštićeno komunicirali. Zbog toga se oni odlučuju da veruju sertifikacionom telu. Na drugoj stra-ni, pre nego što izda digitalni sertifikat, CA proverava podatke korisnika koji je podneo zahtev za izdavanje sertifikata, a proveru njihove tačnosti vrši posredstvom RA, odnosno, da bi korisnik uopšte mogao da dobije digitalni sertifikat, potrebna je prvo provera podataka, nakon čega sledi proces registracije. Posle uspešne provere, CA izdaje digitalni sertifikat, koji javno objavjuje i koji garantuje identitet korisnika. U slučaju da je korisnik institucja, digitalni sertifikat izdaje se korisničkim serverima, zbog čega postoji faza predregistracje u kojoj institucja dostavja podatke i o osobama koje će biti ovlašćene da podnose zahteve za sertifikat za potrebe te institucje. Nivo provere identiteta zavisi od tipa sertifikata, što je uslovjeno stepenom poverjivosti podataka, a definisano dokumentom koji predstavja politiku sertifikacje [30]. Digitalni sertifikat ima određeni rok trajanja, ali može biti privremeno ili trajno ukinut u slu-
2 PKI - Public Key Infrastructure, engl.
3 CA - Certification Authority, engl.
4 RA - Registration Authority, engl.
čajevima kao što su kompromitacja podataka, na zahtev korisnika, i slič-no. IB u PKI zasnovana je na poverjivosti, integritetu i dostupnosti podataka, dok bezbedna komunikacja podrazumeva i autentikacju, integritet, tajnost i neporecivost. Autentikacja je proces identifikacje učesnika u komunikacji, integritet garantuje da nje došlo do izmene podataka na putu od izvora do odredišta, tajnost garantuje da su podaci dostupni samo onima kojima su namenjeni, a neporecivost obezbeđuje da korisnik koji je učestvovao u procesuiranju podataka ne može da porekne takvu aktivnost. Na koji način će u određenoj PKI korisnici tražiti, dobjati i koristiti svoje digitalne sertifikate zavisi od njegove potrebe da zaštite svoje podatke ili komunikacju jednom od navedenih metoda. Na slici 1. prikazan je primer realizacje jedne PKI.
Root_CA
RA
С Л К11 CA KI 2 CA KI 3
Korisnik 1 Korisnik 2
Sitka 1 - Infrastruktura sa javnim kjučevima Figure 1 - Public Key Infrastructure
Glavno sertifikaciono telo Root_CA u ovoj infrastrukturi izdaje digitalne sertifikate za komunikacju između tri kritične infrastrukture: CA_KI_1, CA_KI_2 i CA_KI_3, tako da sve kritične infrastrukture mogu zaštićeno da razmenjuju podatke. Međutim, CA_KI_1 takođe može da izda sertifikate svojim potčinjenim korisnicima (Korisnik_1 i Korisnik_2), na osno-vu sertifikata koji je dodelio Root_CA. Na primer, CA_KI_1 može biti glavni server neke organizacje, a korisnici fizička lica kojima su dodejeni sertifikati za pristup industrjskim tajnama, ulazak u prostorje posebnih namena, upravjanje automatizovanim proizvodnim procesima, i slično.
Posmatrano sa stanovišta OIS-a, problemi vezani za integracju kritič-nih infrastruktura u direktnoj su vezi sa zaštićenom komunikacjom. Malo je organizacja i institucja u Srbji koje su registrovale svoja sertifikaciona tela
($>
Protić, D., Strategija razvoja informacionog društva u Repubici Srbji do 2020. godine: bezebednost informacija i kritična infrastruktura, pp. 82-101
VOJNOTEHNIČKI GLASNIK/MILITARY TECHNICAL COURIER, 2012., Vol. LX, No. 4
[31]. U ovom trenutku postoje tri registrovana CA javnih institucja u Srbiji: Ministarstva unutrašnjih poslova Republike Srbje (MUP), javnog preduze-ća PTT saobraćaja „Srbja" (Pošta) i Privredne komore Srbje (PKS), i jed-no sertifikaciono telo akcionarskog društva Halcom a.d. Na sajtovima ovih institucja postoje obrasci zahteva za izdavanje digitalnih sertifikata. Na 35 lokacja u Srbiji dostupni su kvalifikovani elektronski sertifikati Sertifikacio-nog tela Pošte. Digitalni sertifikati ovog tela namenjeni su svim učesnicima e-poslovanja u Srbji, kako fizičkim, tako i pravnim licima (državna uprava, lokalna samouprava, javne službe, preduzeća, banke, osiguravajuća dru-štva, organizacje, instituc[je). Primena CA Pošte počela je 2008. godine, i to je najstarje CA telo u državi [32]. Sertifikaciono telo PKS (PKS CA) us-postavjeno je 2009. godine. Ono je pravno lice čji su elektronski sertifikati, u skladu sa odredbama Zakona o elektronskom potpisu, namenjeni svim učesnicima u e-poslovanju u Srbiji [33]. Od 2010. mUp primenjuje Ugovor o izdavanju i korišćenju kvalifikovanih elektronskih sertifikata na ličnoj karti sa čipom, na osnovu Zakona o elektronskom poslovanju, Uredbe o određi-vanju MUP-a za izdavanje kvalifikovanih elektronskih sertifikata i Odredbe o upisu podataka u obrazac lične karte. Sertifikaciono telo je obeleženo kao MUP CA, a u ugovoru koji potpisuje korisnik definisana su prava i oba-veze obe strane [34]. Od 2010. godine Halcom a.d. deluje na poju e-ban-kinga, elektronskih obrazaca sa digitalnim potpisom, arhiviranju digitalno potpisanih dokumenata, klirinških sistema i upotrebe PKI tehnologje za zaštitu podataka [35].
Po standardu ITU-T X.509, registrovana CA formiraju javno dostu-pan dokument Pravila rada sertifikacionog tela koji mora, između ostalog, da sadrži podatke o učesnicima u PKI, načinu autentikacije i identifikacje korisnika, operativnim zahtevima u vezi životnih ciklusa i validnosti sertifikata, načinu upravne, operativne i bezbednosne kontrole, itd. U okviru ovog dokumenta nalaze se i imena odgovornih lica, identifikacione ozna-ke politike sertifikacje, identifikacione oznake institucje koja izdaje Pravi-lo o radu sertifikacionog tela, itd.
U slučaju OIS-a, bilo bi potrebno je registrovati glavno sertifikaciono telo Root_CA, koje bi izdavao digitalne sertifikate svakoj kritičnoj infra-strukturi. Zaštićena komunikacja u okviru OIS-u bi na ovaj način bila omogućena pomoću digitalnih sertifikata u okviru definisanog PKI. Ro-ot_CA trebao bi da bude uvršćen u republički spisak sertifikacionih tela.
Zaključak
Rastući problem IB je posledica razvoja sistema za procesuiranje in-formacja, pomoću kojih je moguće veliki broj podataka generisati, obra-diti, skladištiti ili prenositi elektronskim putem. U zavisnosti od stepena poverljivosti, informacije je potrebno zaštititi tako da ne postanu dostupne
osobama s malicioznim namerama, pa je IB postala gorući problem za organizacje i institucje različitih delatnosti. Savremene države prihvataju zajednički model „ponašanja”, kako bi obezbedile zaštitu svojih (kritičnih) infrastruktura. Formirana su nacionalna tela za reagovanje u kriznim situ-acjama, donesene strategje razvoja na različitim nivoima društva, prime-njeni standardi za IB, itd. Dok države iz okruženja primenjuju metodologi-ju EU za zaštitu kritičnih infrastruktura, Srbja u ovoj oblasti kasni. Postoje pojedinačni pokušaji da organizacije ili institucje zaštite svoje infrastruk-ture koje smatraju kritičnim, što je posebno uočjivo kod saobraćaja, transporta, elektroenergetskih sistema, u domenu telekomunikacija i primeni IKT. Ipak, globalni plan na republičkom nivou ne postoji.
Jedno je od mogućih rešenja problema zaštite u kritičnim infrastruktu-rama je OIS Republike Srbje. Objedinjavanjem informacionih sistema raz-ličitih, prethodno popisanih kritičnih infrastruktura, moguće je pratiti rad svake od njih i obezbediti interoperabilnost. Moguća je i razmena informa-cja sa državama iz okruženja. Podaci i razmena podataka u okviru OIS-a mogu da budu zaštićeni primenom PKI. S obzirom na to da je OIS organi-zovan tako da je informacioni sistem svake kritične infrastrukture „podre-đen” OIS-u, IB može biti obezbeđena infrastrukturom sa javnim kjučevima, u kojoj bi postojali zajedničko sertifikaciono telo Root_CA, a svaka kritična infrastruktura ponaosob imala bi svoje sertifikaciono telo CA_KI.
U Srbiji je u Registar sertifikacionih tela upisano samo četiri organi-zacje, pa je očito da postoje problemi oko registracje CA. Ipak, ukoliko na osnovu Strategje budu postojale aktivnosti za popis i primenu IB u kri-tičnim infrastrukturama, upis novog sertifikacionog tela ne bi trebao da predstavja problem. Međutim, neophodno je prvo popisati kritične infrastrukture, potom formirati CERT, zatim tehnički i organizaciono podržati OIS i uskladiti informacione sisteme pojedinih kritičnih infrastruktura, ot-kloniti nedostatke koji mogu da budu uočeni tokom probnog rada, i pod-neti zahtev za upis CA u Registar. Operativna upotreba OIS-a bi, u krat-kom periodu, obezbedila relevantne podatke za naučno-istraživački rad i razmenu podataka sa drugim državama, što bi ubrzalo razvoj drugih pra-vaca delovanja koji su prioriteti Strategje.
Literatura
[1] Commission of the European Communities, Commission staff working Document, Accompanying document to the communication from the commission to The European Parliament, The Council, The European Economic and Social committee and The Committee of the Regions, i 2010 - Annual Information Society Report 2007 {COM(2007) 146 final} Brussels, 30. 3. 2007, SEC(2007) 395, Volume 3, Dostupno na http://ec.europa.eu/information_society/eeurope/i2010/docs/annual_report/2007/sec_2 007_395_en_documentdetravail3_p.pdf.
Protić, D., Strategija razvoja informacionog društva u Repubici Srbiji do 2020. godine: bezebednost informacija i kritična infrastruktura, pp. 82-101
VOJNOTEHNIČKI GLASNIK/MILITARY TECHNICAL COURIER, 2012., Vol. LX, No. 4
[2] European Commission, Communication from the Commission Europe 2020, A Strategy for smart, sustainable and inclusive growth, COM (2010) 2020, Brussels, 3. 3. 2010. Dostupno na
http://eunec.vlor.be/detail_bestanden/doc014%20Europe%202020.pdf.
[3] Strategija razvoja informacionog društva u Republici Srbiji do 2020. go-dine, 2010, Službeni Glasnik Republike Srbije br. 5/2010, Dostupno na http://paragraf.rs/propisi/strategija_razvoja_informacionog_drustva_u_republici_srbiji.htm.
[4] Zakon o tajnosti podataka - Ukaz o proglašenju, 2009, Službeni glasnik Republike Srbije, br. 104/2009, Dostupno na
www.yucom.org.rs/upload/vestgalerija_77_4/1263380892_GS0_Zakon_o_tajnos
ti_podataka.pdf.
[5] Zakon o zaštiti podataka o ličnosti, 2008., Službeniglasnik Republike Srbije, br. 97/08, Dostupno na
www.poverenik.org.rs/index.php/yu/doc/zakoni/52-zakon-o-zastiti-podataka-o-licnosti.
[6] Zakon o elektronskom potpisu, 14. 07. 2009., Službeniglasnik Republike Srbje, br. 51/2009, Dostupno na
http://ca.mup.gov.rs/zakon%20o%20elektronskom%20potpisu.pdf.
[7] Zakon o organizacji i nadležnosti državnih organa za borbu protiv viso-kotehnološkog kriminala, 2009., Službeni glasnik Republike Srbije br. 61/2005, 104/2009, Dostupno na
http://zakon.co.rs/zakon-o-organizacji-i-nadleznosti-drzavnih-organa-za-borbu-
protiv-visokotehnoloskog-kriminala.html.
[8] Zakon o Vojnobezbednosnoj agencji i Vojnoobaveštajnoj agencji, 2009., Službeniglasnik Republike Srbije br. 88/2009, Dostupno na http://paragraf.rs/propisi/zakon_o_vojnobezbednosnoj_agenciji_i_vojnoobavesta jnoj_agenciji.html.
[9] Krivični zakonik, 2009., Službeni glasnik Republike Srbije, br. 85/2005, 88/2005 - ispr., 107/2005 - ispr., 72/2009 i 111/2009, Dostupno na http://paragraf.rs/propisi/krivicni_zakonik.html.
[10] Zakon o telekomunikacjama, 2006., Službeni glasnik Republike Srbije br. 44/2003 i 36/2006, Dostupno na
www.mtid.gov.rs/wp_content/uploads/Dokumenti/Zakoni/Zakon_o_telekomunika
cjama.pdf.
[11] Zakon o odbrani, 2009., Službeni glasnik Repubiike Srbje br. 116/2007, 88/2009, 88/2009 - dr. zakon i 104/2009 - dr. zakon, Dostupno na http://paragraf.rs/propisi/zakon_o_odbrani.html.
[12] O'Neil M. J., J. X. Dempsey, 1999/2000., Critical infrastructure protection: Threats to privcay and other civil liberties and concerns with government mandares or industry, Depaul Business Law Journal, Vol 12, pp. 97.
[13] Kjajić, Z., Mandžuka, S., Škorput, P., 2010., Primjena ICT-a u upra-vjanju kritičnom infrastrukturom u tranzicjskom zemjama, 18. Telekomunikacio-ni forum TELFOR 2010. Srbija, pp. 75-78.
[14] Lewis, G., 2006., Critical Infrastructure Protection in Homeland Security - Defending a Networked Nation, John Wiley & Sons Inc., Hoboken, New Jersey (USA).
<ж>
[15] Critical information infrastructure protection, 29. 06. 2011. Dostupno na http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/index_en.htm.
[16] CIIP Action Plan in its Communication on Critical Information Infrastructure Protection - 'Protecting Europe from large scale cyber-attacked cyberdisruptions: enhancing, preparedness, security and resilience' - COM (2009) 149, 2009. Dostupno na
http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2009:0149:FIN:EN:PDF.
[17] Council Directive on the identification and designation of European Critical Infrastructures and the assessment of the need to improve their protection, EN Official Journal of the European Union L 345/75, 23. 12. 2008. Dostupno na http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=0J:L:2008:345:0075:0082: EN:PDF.
[18] Bruner, E., Suter, M., International CIIP Handbook 2008/2009. Center for Security Studies, ETH Zurich.
[19] Homeland Security Presidential Directive 7: Critical Infrastructure Identification, Prioritization and Protection, 17. 12. 2003. Dostupno na http://www.dhs.gov/xabout/laws/gc_1214597989952.shtm.
[20] Vuletić, D., 2011., Zaštita kritičnih informacionih infrastruktura, Zbornik radova Konferencje o bezbednosti informacja 2011, pp. 55-60.
[21] Buckland, B. S., Schreier, F., Winkler, T. H., 2010., Democratic Governance Challenges of Cyber Security. Annex 2, DCAF, Geneva, Switzerland.
[22] ISO/IEC 27001:2005., 2005., Information technology - Security techniques - Information security management systems.
[23] ISO/IEC 27002:2005., 2007., Information technology - Security techniques - Code of practice for information security management.
[24] Bojović, N., Knežević, N., Macura, D., Milenković, M., 14-15. 12. 2010., Model upravjaja kritičnom infrastrukturom za održivi razvoj poštanskog srktora, XXVII Simpozijum o no vim tehnologjama u poštanskom i telekomunikacionom saobraćaju - PosTel.
[25] Karović, M. S., Komazec, N. M., 2010., Upravjanje rizicima kao predu-slov integrisanog menadžment sistema u organizacji, Vojnotehnički glasnik/Mili-tary Technical Courier, Vol. 58, No. 3, pp.146-161.
[26] Radosavjević, V., Stojković, K., Anđelković, R., Andrejić, M., 2010., Agroterorizam kao akuelni izazov, Vojnosanitetskipregled, Volumen 67, Broj 11, pp. 933-940.
[27] Andrejić, D. M., Đorović, D. B., Pamučar, D. D., 2011., Upravjanje pro-jektima po pristupu projekt menadžmenta, Vojnotehnički glasnik/Military Technical Courier, Vol. 59, No. 2, pp.142-157.
[28] O'Neil, M. J., Dempsey, J. X., 1999/2000., Critical infrastructure protection: Thereats to privacy and other civil liberties and concerns with government mandates on industry, Depaul Business Law Journal, Vol 12, p. 97.
[29] Gellman, V., october 2002., U. S. Friends Clues to Potential Cyber-attack, The Mercury News (June 27, 2002), First Monday, Volume 7, Number 10, Dostupno na
http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/998/919
Сэ7>
Protić, D., Strategja razvoja informacionog društva u Repubici Srbji do 2020. godine: bezebednost informacija i kritična infrastruktura, pp. 82-101
VOJNOTEHNIČKI GLASNIK/MILITARY TECHNICAL COURIER, 2012., Vol. LX, No. 4
[30] Kovinić, M., 2010., Uvod u kriptografju i infrastrukturu javnih k|jučeva, Akademska mreža Srbije, pp. 4-10.
[31] Registar sertifikacionih tela za izdavanje kvalifikovanih elektronskih sertifikata, januar 2012. Dostupno na
http://www.digitalnaagenda.gov.rs/aktivnosti/euprava/elektronski-potpis/registar-
sertifikacionih-tela/.
[32] PKI i Sertifikaciono telo pošte, januar 2012. Dostupno na www.ca.posta.rs.
[33] PKS, Izdavanje kvalifikovanih elektronskih sertifikata, 2012. Dostupno na http://217.24.23.93/Usluge.aspx?IDUsluge=4.
[34] Opšti postupak izdavanja kvalifikovanog elektronskog sertifikata MUP (na ličnoj karti), januar 2012. Dostupno na
http://www.euprava.gov.rs/eusluge/opis_usluge?generatedServiceId=558.
[35] Halkom BG CA, 2012. Dostupno na http://www.halcom.rs/index.php?section=4#Q.
THE STRATEGY FOR THE DEVELOPMENT OF INFORMATION SOCIETY IN SERBIA BY 2020: INFORMATION SECURITY AND CRITICAL INFRASTRUCTURE
FIELD: IT
ARTICLE TYPE: Original Scientific Paper Summary:
The development of technology has changed the world economy and induced new political trends. The European Union (EU) and many non-EU member states apply the strategies of information society development that raise the level of information security (IS). The Serbian Government (Government) has adopted the Strategy for Information Society in Serbia by 2020 (Strategy), and pointed to the challenges for the development of a modern Serbian information society. This paper presents an overview of the open-ended questions about IS, critical infrastructures and protection of critical infrastructures. Based on publicly available data, some critical national infrastructures are listed. As a possible solution to the problem of IS, the Public Key Infrastructure (PKI)-based Information security integrated information system (ISIIS) is presented. The ISIIS provides modularity and interoperability of critical infrastructures both in Serbia and neighboring countries.
Introduction
The development of information society that is the result of the information and communication technologies (ICTs) development influenced changes in all aspects of life. Businesses are more effective, paper documentation is reduced, communication with customers and business partners is faster and easier, etc. At the same time, confidential information can be modified, destroyed or become available to unauthorized people. That is why the information protection is in the focus of the public eye. It caused a new way of business planning, standardization and changes in the law. The rapid technology development has led to the occurrence of complex
systems, and induced the occurrence of strategies for the sustainable development. In general, strategy frameworks are comprised of tasks that must be carried out, time for the realization of those tasks, budget, etc.
According to the EU trends for the development of the information society, ICTs are one of the factors that influence economic growth and development. Following the trends, Government has determined essential factors that would affect development of the information society in Serbia by 2020 - one of these is information security. Government's priorities are legal and institutional frameworks for IS, fight against cyber crime, scientific research, and critical infrastructure protection. However, critical infrastructures in Serbia have not been listed yet, so it is impossible to control them and monitor their work.
In this paper, Serbian infrastructures which are considered to be critical are listed and compared to the known world's critical infrastructures. The IS of critical infrastructures is achieved by ISIIS that is also presented in this paper. ISIIS provides IS, modularity and interoperability amongst different organizations and institutions.
The Strategy for the development of the information society in Serbia by 2020
The strategy should follow the challenges of ICTs (new aspects of security, technological dependence, lack of interoperability, open questions of intellectual property protection, etc.). Government has authorized the Ministry of Telecommunications and Information Society, and other government authorities for the development and implementation of information systems activities within its jurisdiction. Strategy priority areas are: e-communication, e-government, health and justice, ICT in education, science and culture, e-commerce, ICT in business, and IS. IS means to protect the information system, data and infrastructure in order to preserve confidentiality, integrity and availability of information. Government's goal is to achieve the trust of information system users. To improve the legal framework Government improved legal procedures, but did not make additional regulations to determine standards for IS. It is necessary to promote the protection of critical infrastructure against attacks using information technology (IT). It is also necessary to determine critical infrastructures according to the IS and the data protection measures, as well as to examine possible attacks to critical infrastructures.
Open issues on information security within the Strategy
New aspects of IS are the challenges of information society development. The parts of the Strategy related to the regulations indicate that there are existing laws and organizations that support the development of the information society, but insufficient interoperability between institutions has been noticed as well as lack of data for the analysis of the information society development, etc. That is why there are some open questions about the possibility of protection against attacks on IS. One of the issues relates to the unknown number of critical infrastructures in Serbia in terms of critical infrastructure information protection.
A number of states determine their critical infrastructures in different ways. For the U.S. these are telecommunications, power systems, storage and transport of oil and gas, banking and finance, transporta-
C99>
Protić, D., Strategija razvoja informacionog društva u Repubici Srbiji do 2020. godine: bezebednost informacija i kritična infrastruktura, pp. 82-101
VOJNOTEHNIČKI GLASNIK/MILITARY TECHNICAL COURIER, 2012., Vol. LX, No. 4
tion, water supply, emergency services, information and communication. The U.S. critical infrastructure is defined as one that is so vital that its disabling or destruction would weaken the defense and economic security. The EU critical infrastructure consists of services, networks, IT and material goods, whose damage or destruction could have a considerable impact on health, safety and economic prosperity of the citizens or the economy of member state governments, etc.
Data protection relates to the activities implemented by owners, users, operators, research institutions, government and regulatory authorities, in order to maintain the performance of critical infrastructure in case of incidents or attacks on the IS, by minimizing the effects of such events and reducing recovery time. The EU has adopted an action plan for IS based on the activities of prevention and preparedness for the occurrence of incidents that can harm information systems, detection and response to it, mitigation and recovery from unwanted events, international cooperation, etc. The Russian Federation also has a strategy for critical infrastructure protection that is determined by the National Security Concept. In the U.S., separate agencies for each critical infrastructure have been established by the government. The United Nations, OSCE, G-8, NATO, World Bank, Council of Europe, and many other organizations are also interesred in critical infrastructues and IS.
Serbia does not follow the region. Countries which are EU-mem-bers have established emergency teams - CERTs (Computer Emergency Response Teams), which also provide educational help about the prevention and protection against IS accidents. Problems that Serbia faces with are the absence of CERT, inadequate technical equipment, lack of professionals and inefficient cooperation among institutions.
There is no official policy in Serbia about critical infrastructure protection. The National Convent on the EU founds transport, energy and telecommunications devastating. The PosTel Symposium 2010 pointed to the critical management problems of postal infrastructure. Transportation and communication systems are also recognized as critical infrastructures, etc. The infrastructures in Serbia are responsibility of the Ministry of Infrastructure and Energy and the Ministry of Economy and Regional Development. The Ministry of Infrastructure and Energy performs activities of transport, oil and gas industry, transfer of toxic materials, supervision of the power systems, etc. The Ministry of Economy and Regional Development drew attention to transport in Serbia and nothing else. Based on the above, there are the following critical infrastructures in Serbia: transportation, communications, electrical power systems, IT and telecommunications.
A possible solution to the problem of IS in Serbia's critical infrastructures is ISIIS, which consists of hardware, software and well-educated personnel. Its function is also determined by collected data. Hardware consists of computer networks, supporting equipment and devices for remote access. Software for integration of different information systems ensures interoperability (collecting, processing and exchanging information amongst critical infrastructures). A part of software is used for accessing the databases
and for performing data processing. The complexity of hardware and software is the main reason why personnel have to be properly trained. Also, 24/7 monitoring of all I SI IS functions and infrastructure is needed. Norway has donated Serbia Web GIS application for regional planning and analysis of data obtained at the basis of maps in different domains such as communications, border settlements, electrical power systems, relief, etc. It is possible to develop ISIIS using applications that are similar to the Web GIS.
The IS at OIS is based ob PKI that provides authentication of the participants as well as integrity, confidentiality and non-repudiation of data. PKI includes hardware, software, policies and procedures, which are necessary for managing, generating, storing and distribution of cryptographic keys and digital certificates. The Certification Authority (CA) generate certificate. The Registration Authority (RA) is the creator of certificate, but it is not authorized to generate it. The CAs in Serbia are assigned to Halcom, police, post office and Serbian Chamber of Commerce (SCC). The register of CAs is available on the website www.digitalnaagenda.gov.rs. To implement OIS, it is necessary to register root_CA, which generates CA_KI. In that way, secure communications will be granted only to authorized persons.
Conclusion
Depending on confidentiality, information has to be protected and become unavailable to people with malicious intentions. Modern countries accept the common model of "behavior" to protect theirs critical infrastructures. CERT's work, development strategies are evolved, standards applied, etc. The countries in the region implement this methodology, but Serbia is lagging behind. There is no national plan about critical infrastructures, although there are some attempts of organizations and institutions to number them. The solution to the problem of IS offers OIS that monitors all critical infrastructures, and provides modularity and interoperability. The exchange of Information is protected by a PKI system. Since OIS is organized so that each critical infrastructure subordinates to a central information system, its IS is enabled by PKI, root_CA and CA_KI.
Only four organizations from Serbia are registered in the Serbian Register of CAs. Obviously there are some problems with the registration. However, by the Strategy, the registration of a new CA should not be a problem anymore. Still, the necessity is to make a list of critical infrastructures, establish CERT, do technical and organizational support to OIS, and coordinate critical infrastructure information systems to registrate a CA. OIS's everyday operation will ensure data for further research in a short time. The positive result will also be the development of other Strategy topics.
Key words: information security, critical infrastructure, development strategy.
Datum prijema članka/Paper received on: 29. 12. 2011.
Datum dostavjanja ispravki rukopisa/Manuscript corrections submitted on: 15. 02. 2012. Datum konačnog prihvatanja članka za objavjivanje/ Paper accepted for publishing on: 17. 02. 2012.
Protić, D., Strategja razvoja informacionog društva u Repubici Srbji do 2020. godine: bezebednost informacja i kritična infrastruktura, pp. 82-101