Budući da sam uočio kako se u medijima oko slučajeva koji se tiču otkrivanja službene tajne vrlo često pojavljuju netočne, neprecizne ili nesuvisle informacije, dozvolite mi kratki osvrt na cjelokupnu situaciju.

1. Kazneni zakon kao i cjelokupno hrvatsko zakonodavstvo tretira “službenu tajnu” na vrlo “elastičan” način, tako da je posve nejasno da li se službena tajna odnosi isključivo na službene osobe, ili pak službenu tajnu može odati i osoba koja nije trenutačno ili nije bila službena osoba koju bi čuvanje službene tajne obvezivalo. Ovu činjenicu može se laički komentirati na razne načine, no sudovi su u pravilu također u vrlo velikoj dilemi po pitanju čuvanja službene tajne jer moraju tumačiti zakon koji im ne daje točne smjernice u vezi toga tko je obvezatan čuvati službenu tajnu, te stoga zasigurno njihov posao po ovom pitanju nije jednostavan niti rutinski.

2. Činjenica iz točke 1. dovodi do pitanja - da li je Registar branitelja kao zbirka podataka označen oznakom službene ili vojne tajne? Ukoliko jeste, a Registru branitelja pristup imaju mnogi (npr. skrbnik Fonda hrvatskih branitelja, ali kažu i - strane države, pošto navodno neke države koje imaju vizni režim s RH znaju vojnu povijest svakog hrvatskog državljana), da li po svojoj prirodi može biti tajna nešto što se ne štiti a nalazi se u raznim oblicima na više lokacija uključujući državna tijela stranih država? Radi li se o nećemu što se može smatrati jedinstvenom zbirkom podataka?

3. Nastavno, pozivam Vas da proučite Uredbu o mjerama informacijske sigurnosti od 18.04.2008. godine. Prema njoj, obveznici su sva državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave, te pravne osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane podatke, dakle, koje općenito koriste podatke u svom radu! Savjetnik za informacijsku sigurnost trebao bi, u najširem smislu, biti zaposlen ili imenovan praktično u SVAKOJ općini u Republici Hrvatskoj, počevši od one najmanje, te sva državna tijela uključujući ona najviše razine! Iako je Uredba zamišljena vrlo ambiciozno i naslanja se na ISO 27001 standard, bilo bi zanimljivo vidjeti provode li se mjere koje su njom vrlo detaljno određene, postoje li savjetnici/rukovoditelji informacijskom sigurnošću u državnoj upravi i, općenito, da li je moguće, ukoliko se ova Odredba ne provodi, uopće sustavno regulirati informacijsku sigurnost u državnim tijelima RH, ili se pak ona provodi ad hoc, nesustavno, od slučaja do slučaja? Tko su savjetnici za informacijsku sigurnost za hrvatske općine i sva državna tijela? Ukoliko ih nema, zašto se ne poštuju zakonske odredbe, zašto se sustavno ne provode mjere informacijske sigurnosti i tko je za to odgovoran?

SLIČNE TEME

4. Prema Zakonu o zaštiti osobnih podataka, svako tijelo koje obrađuje osobne podatke mora Agenciji za zaštitu osobnih podataka podnijeti obavijest o namjeri uspostavljanja zbirke osobnih podataka, te o namjeri obrade, i to prije nego što se s istom započelo. Moguću štetu snosi ona organizacija koja podatke obrađuje u slučaju nesukladnosti a kazne su do 40.000 Kn! Da li su takve obavijesti poslane Agenciji za sve postojeće instance (kopije) Registra branitelja?

5. Sve navedeno dovodi do činjenice koja u medijima uopće nije bila obrađivana, a to je nepobitno stanje stvari da je informacijska sigurnost u državnim tijelima RH na vrlo niskoj razini, u korporativnoj sferi je situacija nešto bolja (osobito kod većih poduzeća te onih koje se bave high-techom) a najbolja u sektoru koji je pod nadzorom HNB-a (financijski sektor). Nadalje, u konkretnom slučaju, ne samo da se nisu primjenjivale osnovne mjere informacijske sigurnosti nad konkretnim podacima, nego nisu bili štićeni niti komunikacijski kanali jer je očito kako su se izrađivale razne parcijalne baze koje su voluntaristički tretirane prema nečijim potrebama. Opet, radi li se uopće kod Registra branitelja o jednoj, jedinstvenoj zbirci podataka?

6. Moje osobno mišljenje je da je policija RH vrlo osposobljena za inicijalnu pretragu računalne opreme a istražni suci također dobro informirani o osnovnoj metodologiji koja prethodi računalnoj forenzici i nužnim tehničkim postupcima. Bez ulaženja u konkretan slučaj, što mi nalaže profesionalna etika, htio bih reći da je vrlo vjerojatno osumnjičenom oduzeta računalna oprema za koju se sumnja da je možda korištena u počinjenju kaznenog (?) djela. Već u toj točki može biti angažiran sudski vještak, ali je više vjerojatno da će inicijalnu pretragu vršiti policijski djelatnici (inspektori). Nakon toga, moguće je da istražni sudac naloži vještaku informatičke struke vještačenje koje se obavezno čini u skladu sa zadatkom vještačenja. U toj točki, vještak izuzima dokazni materijal identificiran po policijskim istražiteljima, zadužuje ga i ako se radi o tvrdim diskovima, vrši njihovo kloniranje i analizu kopija te daje svoje mišljenje. aDSL router se oduzima između ostalog zato što se putem njega mogu dokazati korisničko ime i lozinka koji su korišteni za pristup na Internet, osobito ako je u router a ne bridge modu gdje bi se takvi tragovi mogli naći na poveznici za spajanje na računalu. Vještak mora u roku (obično 30 dana) odgovoriti na zadatak vješačenja, ukoliko se radi o vrlo kompleksnom slučaju, može surađivati i s policijom, i s vanjskim institucijama (npr. fakulteti) ili drugim stručnjacima, no o tome mora obavijestiti suca koji je naložio vještačenje i o svakom koraku se dogovoriti s njim.

7. Pitanje je da li u RH kod nadležnih tijela postoji svijest o tome da je posljednja linija obrane države u današnje doba postao **informacijski suverenitet**, a to najbolje iz prakse zna korporativni sektor kod kojega se može “u nulama” izraziti korist od čuvanja vlastitih informacija.

Jasno je kako je ovo pitanje primarno političko, no sa stajališta struke, radi se vjerojatno o krajnjem nemaru po pitanju temeljnih pravila informacijske sigurnosti koji svoje korijene vuče u biti od prvog dana kada je takva zbirka oformljena, odnosno od dana kada su se na nju počeli (ne!) primjenjivati zakonski propisi koji se odnose na područje informacijske sigurnosti.

Izvor: vjestak-informatika.com

Dodajte ovu stranicu na Vašu socijalnu mrežu

| Više...