- Македонија е меѓу ретките држави без закон за сајбер безбедност, за разлика од регионот и Европа, каде такви закони постојат од пред 13 години.
- Наместо заедничка дигитална инфраструктура, секоја институција користи различни механизми, што ја прави сајбер безбедноста слаба и подложна на напади.
- Голем дел веб-страницитена јавните и државните институции го немаат ниту основниот безбедносен сертификат, па тие се лесна цел за сајбер-напаѓачите.
- Ревизорите открија дека кај 53% од институциите нема одобрена ИКТ стратегија, додека 40% воопшто ја немаат опфатено информациската безбедност во стратешките документи.
Кога во април годинава избувна аферата со ограбување на пензионери преку брзи кредити, кои ги подигале 43 лица меѓу кои и вработен во Фондот за здравство, крадејќи ги потписите на граѓаните депонирани таму, во јавноста тоа не предизвика големо изненадување. Напротив, се зацврсти уверувањето дека државните институции не се „опремени“ да ги чуваат личните податоци на граѓаните и се мета на најразлични шеми за измами. Тоа се потврди и при сајбер нападот и хакерскиот упад во Фондот во 2023 кога службите три дена не можеа да издадат боледувања и други важни решенија за граѓаните.
Ако се вратиме две години наназад, дури два хакерски напади се случија за време на последниот попис во 2021 година. „Досега имало повеќе напади на веб– страницата. Но, имаше втор напад на самиот процес на попишување, но и двата напади се успешно одбиени и не предизвикаа никаква штета”, призна тогаш првиот човек на ДЗС Апостол Симовски.
Исто така, грчката хакерска група под името „Моќна грчка армија (Powerful Greek Army)”, во 2022 година упадна во сајтовите на Владата и низа државни институции и на својот Твитер профил најави дека сите банки кои се лиценцирани од Народната банка ќе бидат наскоро исклучени.
Во моментов, државните институции немаат интегриран систем за заштита. Наместо заедничка дигитална инфраструктура, секоја институција користи различни механизми, што ја прави сајбер-безбедноста слаба и ранлива на напади. Тоа се покажа и на „стрес-тестот“ во јануари годинава. Владата спроведе сајбер хибридна вежба за тестирање на безбедноста од сајбер напад на државните институции. Тогаш се потврди уште еднаш дека отсуствува таканаречениот централен дата – центар, поради што институциите користат надворешни серверски услуги.
Премиерот Христијан Мицкоски по хибридната вежба изјави: „Ја тестиравме способноста на Владата да носи брзи и ефикасни одлуки во услови на дигитална закана. Од ова можеме да извлечеме многу поуки, за да знаеме како да одговориме кога, не дај Боже, вистински напад се случи“.
Владата располага со секундарен дата – центар за поврат на податоци (recovery center), но во моментов нема примарен централен дата центар за заштита на државните системи кој ќе овозможи централизирана заштита на дигиталните податоци на државните институции.
Министерот за дигитална трансформација Стефан Андоновски за Само прашај вели дека формирањето на примарен дата-центар е во фаза на физибилити студија, која ќе ги дефинира техничките параметри, финансиската рамка и локацијата.
„Јавната набавка за тоа е во тек. Во Буџетот за 2025 се предвидени 2 милиони евра за почетната фаза, со план за прогресивно градење низ следните две-три години. Извори на финансирање кои се планираат се: проекти од Реформската агенда, средства од меѓународни финансиски институции и можности за јавно приватно партнерство“, ни изјави тој.
Како што посочува министерот во изјавата, со овој дата-центар ќе се централизира хостингот на критичните системи на државната управа, ќе се подобри сајбер- безбедноста за информациите и за инфраструктурата и ќе се намалат трошоците за одржување, лиценци и опрема на институциите. Не помалку важно е, како што нагласи тој, и обезбедувањето услови за воспоставување на владин „облак“ и зголемување на интероперабилноста и размена на податоци, што ќе се овозможи преку примарниот дата центар.
Без безбедносни сертификати
Овие новини, инаку, се дел и од целите во новата Национална стратегија за сајбер безбедност која треба да се спроведува во рок од четири години, односно од 2025 до 2028 година, а која ја усвои Владата. Причини за подигање на алармот има многу. Во 2022 година, на пример, имало близу 3.000 пријави за сајбер-напади. Од друга страна, предлог-законот за сајбер-безбедност чека пет години да биде изгласан. Голем дел од веб-страниците на јавните и државните институции го немаат ни основниот безбедносен сертификат, па тие се лесна мета за сајбер-напаѓачите. За земјава ова е и изборна година (локалните избори наесен), а сѐ уште се свежи сеќавањата на падот на веб – страницата на Државната изборна комисија во 2020 година.
 |
Чамуровски: Сајбер-безбедноста е процес кој треба да се имплементира во институциите
“Напаѓачите сѐ уште се во предност и на нападите тешко можат да оддолеат и земји кои имаат многу поголема зрелост од нашата во поглед на сајбер-безбедноста“, вели за „Само прашај“ искусниот експерт за сајбер безбедност и управување со ризик, г. Горан Чамуровски . |
Навраќајќи се на овој инцидент, Ирена Бојаџиевска, истражувачка од Центарот за управување со промени, со докторат за е-услуги, посочува дека во времето кога се случи нападот Државната изборна комисија (ДИК) не беше зачленета во МКД ЦИРТ – Националниот центар за одговор на компјутерски инциденти кој постои како посебна единица при Агенцијата за електронски комуникации.
„Видот на заштитата преку извесни сервиси кои ги нуди ЦИРТ-от може да се каже дека ќе придонесе за ублажување на нападот кој го претпре ДИК или барем за намалување на обемот на последиците. Како и да е, сега ДИК е веќе членка на МКД ЦИРТ. Сепак, идеална заштита не постои. Ваквите напади често пати остануваат без расветлени стортели или мотиви. Затоа нема идеална превенција бидејќи нема некој посебен патерн, туку има само јака и брза реакција“, вели Бојаџиевска за Само прашај.
Колку земјите се фрагилни во поглед на технологиите се покажа и при прекинот на електрична енергија во Шпанија и Португалија, кога 55 милиони луѓе останаа половина ден без струја. Причините за тоа останаа непознати, додека во медиумите се трупаа сведоштва на погодените од прекинот на електрична енергија, спиење на подот во возовите и полициски ангажман за разнесување на вода на оние кои се затекнаа во јавниот превоз.
Критичната инфраструктура – дигиталната цел на новото време
Системите за електрична енергија, водоснабдување, здравствена заштита, финансии, телекомуникации и транспорт се основата на секое модерно општество. Но, она што ги прави витални – нивната поврзаност и дигитална поддршка – истовремено ги прави и ранливи.
Во време кога државите и институциите сè повеќе се потпираат на информатички технологии, нападот врз критичната инфраструктура не е само техничка закана, туку и безбедносен ризик со потенцијал да предизвика хаос во секојдневниот живот. Сајбер – безбедноста, затоа, станува нераскинлив дел од националната и европската одбрана. Новата директива на ЕУ – NIS2 – бара од државите, вклучително и од Македонија, да изградат системи кои ќе го спречат токму тоа: дигитален напад со реални последици.
Тоа покажува дека човештвото и технологијата се истовремено и пријатели, но и непријатели. Министерката за енергетика Сања Божиновска неодамна потсети дека лани во МЕПСО имало сајбер-напад кој траел неколку месеци.
„Тоа е критична инфраструктура за целата држава и мора да дадеме голем акцент, односно да се заштитени далноводите и целото наше производство и комуникација со хидро и термо–централите. Тоа е од национално значење како и секаде во светот. Работиме на тоа во соработка со министерот за дигитална трансформација и со законот ќе има и новитети“, рече Божиновска.
Божиновска во таа прилика истакна и дека процесот на заштита на енергетските објекти ќе го води Министерството за дигитална трансформација, а Министерството за енергетика ќе биде вклучено во тоа.
„За нас е најважно да бидеме безбедни, бидејќи тоа е од национално значење. Сѐ уште не сме разговарале кој ќе врши сајбер–безбедност, приватна компанија или тоа ќе се прави со државни ресурси, но ќе разговараме понатаму и ќе го избереме она што ќе биде најдобро за граѓаните“, рече Божиновска.
Дигитализацијата и сајбер-заштитата се дел од приоритетите на Планот за раст на ЕУ за Западен Балкан од кој е дел и Македонија. Финансиската поддршка за енергетска и дигитална транзиција ќе изнесува околу 145 милиони евра, појасни неодамна во интервју шефот на одделот за соработка во Делегацијата на Европската Унија во Северна Македонија, Штефен Худолин.
Примарниот дата центар во 2027
Министерот Стефан Андоновски за Само прашај, сепак уверува дека првите фази од изградбата и техничката подготвеност на примарниот дата-центар ќе завршат до крајот на 2026 година, со делумна функционалност уште во 2027 година.
Во меѓувреме, веќе е воспоставен Секторот за сајбер-безбедност во Министерството за дигитална трансформација и работи со четворица вработени од јануари 2025 година. Планирано е, вели, и структурно и кадровско засилување во 2025 година.
„Во рамки на новата Национална стратегија за сајбер безбедност 2025–2028, секторот добива проширен мандат и зголемени надлежности. Развиваме државен SOC (Security Operations Center) и владин центар за одговор на инциденти (govCIRT) за следење и реагирање на инциденти, координираме партнери за заштита на деца и млади на Интернет, преку проектот MKSafeNet, а ќе водиме и кампањи за подигнување на јавна свест за сајбер ризици и дезинформации“, нѝ изјави Андоновски.
Ревизорите со алармантни наоди
Државниот завод за ревизија алармира дека сајбер безбедноста на државните институции и органи е на ниско ниво. Тоа го утврди нивната ревизија за состојбата со заштитата на критичните информациски системи. Ревизијата откри дека институциите и органите не обезбедуваат ефикасна и целосна заштита на критичните информациски системи. Како причина за тоа беше посочено отсуството на законска регулатива од областа на безбедноста на информациските системи, неусогласување со европските директиви и недоволната кадровска екипираност.
Ревизијата покажа и дека кај 53% од институциите кои не е одобрена ИКТ стратегијата, додека 40% воопшто ја немаат опфатено информациската безбедност во стратешките документи. Само една институција поседува сертификат за информациска безбедност, додека, пак, пропишаните документи за постапување и одговор по ИКТ инциденти отсуствуваат кај 27% од институциите. Беше посочено и дека кај сите институции недостасуваат човечки ресурси за превенирање и справување со ИКТ (Информациско- комуникациска технологија ) безбедносни инциденти, додека кај 40% од институциите воопшто не е назначено лице одговорно за информациска безбедност.
Ревизорите ги опоменаа државните органи дека е од исклучителна важност финансирањето во информациската безбедност да го гледаат како инвестиција, а не како трошок при што ефектите се далеку поголеми во инвестирање на превентивни мерки од штета во однос на трошокот направен по безбедносен инцидент.
Се чини дека една од клучните слабости е отсуството на закон за сајбер – безбедност. Државата двапати пишуваше закон за оваа област, но уште го нема: еднаш во 2019 година а потоа и во 2023 година. По години чекање, Владата минатата недела конечно го усвои првиот предлог – законот за безбедносни мрежи и информациски системи, кој заедно со новиот закон за електронски комуникации, ја поставуваат системската рамка што Македонија долго ја нема. Нивното донесување се очекува во јуни.
Македонија е меѓу ретките држави без закон за сајбер – безбедност, за разлика од регионот и Европа, каде такви закони постојат од пред 13 години. Во такви услови, институциите сами одлучуваат за својата заштита и многу од нив остануваат незаштитени што доведува до чести сајбер напади. Така, над 20 институции купиле руски антивируси, а истовремено и многу работеле со истечени лиценци, додека податоците на граѓаните се чувале на незаштитени сервери.
„Неспорна е потребата од законот, но да не се заборави дека имаме и актуелна 4-годишна Стратегија за сајбер безбеднст која е во рана фаза на имплементација. Ако се спроведат сите мерки од истата, веќе сме ја постигнале целта“, вели Бојаџиевска со Центарот за управување со промени кој меѓу другото се занимава и со степенот на реализација на ветувањата што ги дадоа партиите во Владата додека водеа изборна кампања.
Нашата соговорничка додава дека во ера на дигитализација на процесите на сите нивоа и во сите области, граѓаните немаат избор дали сакаат или не да ги доверат своите лични податоци на институциите, затоа што од тоа зависи дали ќе ги остварат своите права од здравствената заштита, образованието, социјална заштита и други.
„Ова значи дека институциите т.е. државата треба да ја гарантира безбедноста на личните податоци на граѓаните преку усвојување на стратешки документи, меѓународно законодавство и примена на меѓународни стандарди. Заштитата на личните податоци е прашање кое има примарна важност и во светски рамки, така што државата треба да ги следи и користи добрите меѓународни практики во насока на гаранција на безбедноста на податоците и зголемена доверба во институциите по однос на ова прашање“, вели Ирена Бојаџиевска, истражувачка во Центарот за управување со промени.
Оваа содржина ја изработи Институтот за комуникациски студии.
Новинарка: Соња Крамарска
Фотографии: Дарко Андоновски и Freepik
