Javna rasprava - Prijedlog Pravilnika o izmjenama i dopunama Pravilnika o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga
HAKOM objavljuje Prijedlog Pravilnika o izmjenama i dopunama Pravilnika o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga, u svrhu provedbe postupka javne rasprave.
Datum otvaranja rasprave: 18. travnja 2019.
Datum zatvaranja rasprave: 20. svibnja 2019.
Napomena:HAKOM ne preuzima odgovornost za sadržaj ili neprimjerenost sadržaja komentara javne rasprave. Stajališta izražena u komentarima ne odražavaju službena stajališta HAKOM-a i za njih je odgovoran autor. Komentare možete slati i pismenim putem na adresu sjedišta HAKOM-a.
HRVATSKA REGULATORNA AGENCIJA ZA MREŽNE DJELATNOSTI
NACRT PRIJEDLOGA
Pravilnika o izmjenama i dopunama Pravilnika o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga
Zagreb, travanj 2019.
I. OSNOVA ZA DONOŠENJE PRAVILNIKA
Člankom 12. stavkom 1. točkom 1. i člankom 99. stavkom 9. Zakona o elektroničkim komunikacijama (NN br. 73/08, 90/11, 133/12, 80/13, 71/14 i 72/17; dalje: ZEK) propisana je ovlast Hrvatske regulatorne agencije za mrežne djelatnosti (dalje: HAKOM) za donošenje Pravilnika o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga (dalje: Pravilnik), kojim se propisuju način i rokovi u kojima operatori javno dostupnih elektroničkih komunikacijskih usluge moraju provesti odredbe stavka 6., 7. i 8. članka 99. ZEK-a.
II. OCJENA STANJA I OBRAZLOŽENJE IZMJENA
1. Ocjena stanja
Predmetni Pravilnik uređuje rokove i načine u kojima operatori javno dostupnih elektroničkih komunikacijskih usluge moraju provesti odredbe stavka 6., 7. i 8. članka 99. ZEK-a. Dosadašnji Pravilnik i pripadajući obrasci za izvješćivanje o incidentima nisu obuhvaćali obvezu izvješćivanja o računalno sigurnosnim incidentima.
U međuvremenu je usvojena Nacionalna strategija kibernetičke sigurnosti (NN br. 108/15), kao i Akcijski plan koji obvezuje, između ostalog, i HAKOM na provođenje određenih mjera (točka G.1.1., G.1.2. I G 1.3.), kako slijedi:
- definiranje taksonomije, uključujući pojam značajnog incidenta, definiranje protokola za razmjenu anonimiziranih podataka o značajnim sigurnosnim incidentima, te uspostava platforme ili tehnologije za razmjenu podataka;
- sektorski nadležna tijela prikupljaju podatke o incidentima od dionika, poput regulatora i drugih CERT-ova iz njihove sektorske nadležnosti te objedinjavaju na sektorskoj razini;
- izvješćivanje dionika unutar sektora o računalnim sigurnosnim incidentima. Periodično izvješćivati Nacionalno vijeće za kibernetičku sigurnost o trendovima, stanju i značajnijim incidentima iz prethodnog razdoblja
Predložene izmjene i dopune Pravilnika usklađene su s CERT-om budući da se u određenom dijelu postupanje zajednički koordinira i usklađuje.
2. Obrazloženje izmjena Pravilnika
U svrhu realizacije gore spomenutih mjera iz Akcijskog plana definirana je nova obveza operatora u članku 5. Pravilnika koja se odnosi na definiranje procedure prijave računalno-sigurnosnih incidenata od strane operatora, te kriterija za izvješćivanje temeljem kojeg su operatori dužni prijaviti incident. Prijavljene incidente HAKOM će proslijediti Nacionalnom CERT-u koji će vršiti analizu pristiglih prijava, te jednom mjesečno povratno informirati HAKOM o značajnijim incidentima iz prethodnog razdoblja.
U tom kontekstu utvrđena je i definicija računalno-sigurnosnog incidenta koja odgovara Nacionalnoj taksonomiji.
Pravilnikom o izmjenama i dopunama također se mijenja i Dodatak 2 na način da se korigira broj obuhvaćenih korisnika u postojećim kriterijima za izvješćivanje zbog promjene broja korisnika u korištenju različitih vrsta usluga operatora, te se dodaju novi kriteriji za izvješćivanje računalno-sigurnosnih incidenata, usklađeni sa CERT-om.
Nadalje, mijenja se i Dodatak 3 na način da se postojeći predložak za izvješćivanje usklađuje s ENISA-nim obrascem za izvješćivanjem, te se dodaje i novi predložak za izvješćivanje računalno-sigurnosnih incidenata.
III. TEKST NACRTA PRIJEDLOGA PRAVILNIKA
Prilaže se tekst Nacrta Pravilnika o izmjenama i dopunama Pravilnika o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga
HRVATSKA REGULATORNA AGENCIJA ZA MREŽNE DJELATNOSTI
Na temelju članka 12. stavka 1. točke 1., članka 19. stavka 1. i članka 99. stavka 9. Zakona o elektroničkim komunikacijama (Narodne novine br. 73/08, 90/11, 133/12, 80/13, 71/14 i 72/17), Vijeće Hrvatske regulatorne agencije za mrežne djelatnosti donosi
PRAVILNIK O IZMJENAMA I DOPUNAMA PRAVILNIKA O NAČINU I ROKOVIMA PROVEDBE MJERA ZAŠTITE SIGURNOSTI I CJELOVITOSTI MREŽA I USLUGA
Članak 1.
(1) U Pravilniku o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga (Narodne novine br. 109/12, 33/13, 126/13, 67/16; dalje: Pravilnik), u članku 2. iza točke 3. dodaje se nova točka 4. koja glasi:
„4. računalno-sigurnosni incident: jedan ili više računalnih sigurnosnih događaja koji su narušili odnosno narušavaju sigurnost informacijskog sustava ili računalne mreže, te ugrožavaju povjerljivost, cjelovitost i dostupnost informacija koji se korištenjem informacijskog sustava ili računalne mreže kreiraju, obrađuju, pohranjuju ili prenose.“
Članak 2.
(1) U Pravilniku iz članka 4. dodaje se novi članak 5. koji glasi:
„Članak 5.
(1) Operatori su obvezni obavijestiti Agenciju o svakom značajnom računalno-sigurnosnom incidentu koji je značajnije utjecao na dostupnost, cjelovitost ili povjerljivost informacijskog sustava ili računalne mreže, sukladno kriterijima za izvješćivanje iz Dodatka 2. ovog Pravilnika. Prilikom podnošenja prijava sukladno ovom članku, u cijelosti se primjenjuje Nacionalna taksonomija računalno-sigurnosnih incidenata.
(2) O računalno-sigurnosnim incidentima iz stavka 1. operatori moraju obavijestiti Agenciju bez odgode, čim su podaci dostupni, i to putem obrasca propisanog u Dodatku 3. ovog Pravilnika:
1. u roku od najviše 1 sat nakon otkrivanja računalno-sigurnosnog incidenta
2. u roku od najviše 1 sat nakon otklanjanja računalno-sigurnosnog incidenta,
3. u roku od najviše 20 dana od dana otklanjanja računalno-sigurnosnog incidenta.
(3) Sve obavijesti o računalno-sigurnosnim incidentima moraju se dostavljati Agenciji upotrebom protokola za siguran prijenos podataka ili u šifriranom obliku elektroničkim putem na adresu elektroničke pošte racunalni.incidenti@hakom.hr ili na drugi prikladan način, sukladno obrascu iz Dodatka 3.
(4) Nakon pribavljanja potpunih informacija sukladno ovom članku, Agencija će informacije o prijavljenim računalno-sigurnosnim incidentima dostaviti CERT-u kao nacionalnom tijelu za prevenciju i zaštitu od računalnih ugroza sigurnosti javnih informacijskih sustava u Republici Hrvatskoj.
(5) Nakon razmatranja prijavljenih incidenata, Agencija će u suradnji s Nacionalnim CERT-om, naložiti eventualnu dopunu izvješća te poduzimanje drugih mjera propisanih Zakonom, uključujući i davanje određenih preporuka, smjernica i upozorenja o sigurnosnim ugrozama.
(6) U slučaju potrebe pokretanja odgovarajućeg postupka iz nadležnosti Agencije u odnosu na prijavljene incidente, Agencija će aktivno surađivati sa CERT-om, te u slučaju potrebe zatražiti stručnu pomoć i koordinaciju pri definiraju konkretnih aktivnosti i korektivnih mjera u vezi s nastalim ili potencijalnim računalno-sigurnosnim incidentima.
(7) Nacionalni CERT će temeljem prikupljenih prijava dobivenih putem adrese elektroničke pošte navedene u stavku 3. ovog članka, dostaviti Agenciji najmanje jednom mjesečno izvješće o značajnim incidentima iz prethodnog razdoblja.
(8) U slučaju osiguravanja alternativnog načina podnošenja prijava pri CERT-u putem odgovarajuće platforme, Agencija će obavijestiti operatore o promijeni načina prijavljivanja značajnih računalno-sigurnosnih incidenata.“
Članak 3.
(1) Dosadašnji članak 5. Pravilnika postaje članak 6. Pravilnika.
(2) Dosadašnji članak 6. Pravilnika postaje članak 7. Pravilnika.
Članak 4.
(1) Dodatak 2. Pravilnika mijenja se novim Dodatkom 2. koji glasi:
DODATAK 2
KRITERIJI ZA IZVJEŠĆIVANJE
Sigurnosni incidenti
Minimum krajnjih
korisnika obuhvaćenih sigurnosnim incidentom
Minimalno trajanje
sigurnosnog incidenta
Mrežno onemogućavanje, primanja, ostvarivanja ili točnog usmjeravanja poziva prema hitnim službama
10 000 korisnika
neovisno o trajanju
Onemogućena govorna usluga u nepokretnoj mreži
12 670 korisnika
8 sati
Onemogućena govorna usluga u
nepokretnoj mreži
25 340 korisnika
6 sati
Onemogućena govorna usluga u
nepokretnoj mreži
63 350 korisnika
4 sata
Onemogućena govorna usluga u nepokretnoj mreži
126 700 korisnika
2 sata
Onemogućena govorna usluga u nepokretnoj mreži
190 000 korisnika
1 sat
Onemogućena govorna usluga u
pokretnoj mreži
45 465 korisnika
8 sati
Onemogućena govorna usluga u
pokretnoj mreži
90 930 korisnika
6 sati
Onemogućena govorna usluga u
pokretnoj mreži
227 326 korisnika
4 sata
Onemogućena govorna usluga u
454 652 korisnika
2 sata
pokretnoj mreži
Onemogućena govorna usluga u
pokretnoj mreži
681 979 korisnika
1 sat
Onemogućena usluga pristupa internetu u nepokretnoj mreži
11 133 korisnika
8 sati
Onemogućena usluga pristupa internetu u nepokretnoj mreži
22 266 korisnika
6 sati
Onemogućena usluga pristupa internetu u nepokretnoj mreži
55 666 korisnika
4 sata
Onemogućena usluga pristupa internetu u nepokretnoj mreži
111 333 korisnika
2 sata
Onemogućena usluga pristupa internetu u nepokretnoj mreži
167 000 korisnika
1 sat
Onemogućena usluga pristupa internetu u pokretnoj mreži
35 814 korisnika
8 sati
Onemogućena usluga pristupa internetu u pokretnoj mreži
71 628 korisnika
6 sati
Onemogućena usluga pristupa internetu u pokretnoj mreži
179 070 korisnika
4 sata
Onemogućena usluga pristupa internetu u pokretnoj mreži
358 140 korisnika
2 sata
Onemogućena usluga pristupa internetu u pokretnoj mreži
537 211 korisnika
1 sat
Računalno-sigurnosni incident
Uvjeti prijave računalno-sigurnosnog incidenta
Kategorija
Potkategorija
Uspješno ostvarena kompromitacija
Malware URL
Zlonamjerna funkcionalnost aktivna je duže od 12 sati.
Phishing URL
Spam URL
Web Defacement
Sustav zaražen zlonamjernim kodom
C&C
Korisnički račun
Pokušaj neovlaštenog pristupa
Pogađanje zaporki
Potrebno je prijaviti svaki slučaj detektiranog pokušaja neovlaštenog pristupa.
Pokušaj iskorištavanja ranjivosti
Dostupnost
DoS -Volumetrički napad
Potrebno je prijaviti napade na infrastrukturu operatora koji pruža uslugu pristupa internetu.
DoS - Napad na aplikacijskom sloju
Prijevare
Phishing
Potrebno je prijaviti svaki detektirani slučaj ciljanog phishing napada (kampanje) prema davatelju usluge pristupa internetu koji za cilj ima stjecanje financijske koristi, krađu osjetljivih podataka ili pokretanje zlonamjernog programa.
Ciljani napad – APT (eng. Advanced persistent threat)
Potrebno je prijaviti svaki slučaj ovakvog oblika napada.
Ostalo
Prijava po procjeni operatora davatelja usluga
Članak 5.
(1) Dodatak 3. Pravilnika mijenja se novim Dodatkom 3. koji glasi:
DODATAK 3
PREDLOŽAK ZA IZVJEŠĆIVANJE SIGURNOSNIH INCIDENATA
PREDLOŽAK ZA IZVJEŠĆIVANJE RAČUNALNO-SIGURNOSNIH INCIDENATA
Članak 6.
Ovaj Pravilnik o izmjenama i dopunama Pravilnika o načinu i rokovima provedbe mjera zaštite sigurnosti i cjelovitosti mreža i usluga stupa na snagu osmog dana od dana objave u Narodnim novinama.