Informaciona bezbednost između regulative i operacionalizacije

Usvajanjem novog Zakona o informacionoj bezbednosti Srbija je napravila važan korak ka usklađivanju sa evropskim propisima i standardima u ovoj oblasti. Ipak, pravi izazov počinje nakon  toga, kada je regulatorni okvir potrebno pretvoriti u funkcionalan i održiv sistem zaštite kritične infrastrukture u praksi.

Upravo tim pitanjem bavi se analiza na temu operacionalizacije Kancelarije za informacionu bezbednost na osnovu najboljih američkih praksi, zasnovana na uvidu u međunarodne  modele organizacije institucija zaduženih za informacionu bezbednost, ali potpuno prilagođena lokalnom kontekstu, ograničenjima i prilikama. Dokument predstavlja osvrt na moguće pristupe organizaciji i strukturiranju nove Kancelarije za informacionu bezbednost, koja bi trebalo da otpočne sa radom od 1. januara 2027. godine. Predloženi modeli i preporuke nisu zamišljeni kao gotova institucionalna rešenja, već kao doprinos stručnoj diskusiji o mogućim pravcima razvoja sistema u skladu sa domaćim kapacitetima i potrebama.

Pored pregleda međunarodnih praksi, analiza obuhvata i predloge mogućeg organizacionog modela Kancelarije, okvirne preporuke za razvoj kapaciteta, kao i razmatranje strukture i postepenog popunjavanja stručnih radnih mesta u narednim fazama razvoja institucije. Poseban fokus stavljen je na potrebu da se izgradnja sistema odvija postepeno i održivo, uz jasno definisane prioritete i racionalno korišćenje postojećih, ograničenih, resursa.

Kroz uporednu analizu modela iz Sjedinjenih Američkih Država i evropskih država, a posebno kroz iskustva i limite američke Agencije za sajber bezbednost i bezbednost infrastrukture (CISA), analiza ukazuje na značaj centralizovane koordinacije i jasno definisanih nadležnosti. Istaknuta je važnost saradnje između javnog i privatnog sektora, imajući u vidu da savremenasajber bezbednost sve više zavisi od međusobne razmene informacija, resursa i stručnih kapaciteta. Jedan od važnih zaključaka jeste da informaciona bezbednost ne počiva isključivo na internim kapacitetima države, već na pažljivo razvijenim mrežama saradnje sa akademskom zajednicom, privatnim kompanijama i stručnim organizacijama.

U tom kontekstu, analiza razmatra mogućnost razvoja centralizovanog, ali „hibridnog“ modela Kancelarija za informacionu bezbednost. Takav pristup podrazumevao bi da država zadrži koordinaciju, upravljanje incidentima,strateški nadzor, kao i koordinaciju nad svim nadležnostima pobrojanih u zakonu, dok se deo visokospecijalizovanih tehničkih aktivnosti, kao i jačanje kapaciteta može realizovati i  kroz saradnju sa eksternim partnerima, pod kontrolisanim uslovima. Ovakav pristup posebno dobija na značaju imajući u vidu globalni i domaći deficit stručnjaka u oblasti sajber bezbednosti, kao i potrebu za brzom adaptacijom na sve sofisticiranije globalne pretnje.

Istraživanje modernih okolnosti i prakse ukazuje na važnost razvoja sistema za razmenu informacija o pretnjama u realnom vremenu, unapređenja međuinstitucionalne saradnje i kontinuiranog ulaganja u ljudske kapacitete. Među preporukama se izdvajaju razvoj programa obuka, scenarija vežbi, mehanizama za očuvanje institucionalnog znanja i jačanje saradnje sa akademskom i IT zajednicom.

Informacionu bezbednost ne treba posmatrati isključivo kao tehničko pitanje, već kao sastavni deo šire društvene otpornosti, imajući u vidu rastuću zavisnost javnih usluga, privrede i građana od digitalne infrastrukture. U tom smislu, međunarodna iskustva mogu poslužiti kao koristan okvir za razmatranje mogućih modela razvoja domaćeg sistema, uz njihovo prilagođavanje lokalnim institucionalnim, regulatornim i tržišnim uslovima Republike Srbije.