Legal.

Analiza zakonskog okvira

Zakon o informacionoj bezbednosti

Zaštita informaciono-komunikacionih sistema konačno je našla svoje mesto u pravnom poretku Srbije, usvajanjem prvog Zakona o informacionoj bezbednosti početkom 2016. godine. Ovim Zakonom privatni i javni subjekti su dobili jasnu zakonsku obavezu da primene odgovarajuće mere zaštite informacionih sistema, što se naročito odnosi na IKT sisteme od posebnog značaja kao sisteme koji se koriste za poslove državnih organa, obradu naročito osetljivih podataka o ličnosti i obavljanje delatnosti od opšteg interesa. Ove delatnosti, između ostalog, obuhvataju i elektronske komunikacije. Od presudne važnosti je da informacioni sistemi koji kontrolišu kritičnu infrastrukturu imaju odgovarajući nivo zaštite propisan zakonom, naročito u eri sofisticiranih tehničkih napada i ubrzanog razvoja sajber oružja. Iako online i građanski mediji u najvećem broju slučajeva neće potpasti pod definiciju IKT sisteme od posebnog značaja (osim u slučaju da obrađuju naročito osetljive podatke), poštovanje principa zaštite i implementiranje mera koje su propisane Zakonom i podzakonskim aktima mogu krucijalno unaprediti nivo informacione bezbednosti svakog subjekta.

U skladu s tim, Vlada Republike Srbije je donela četiri uredbe kojima detaljnije uređuje same IKT sisteme od posebnog značaja, mere zaštite, sadržaj opšteg akta te postupanje u slučaju incidenata, čime je pravni okvir za postupanje Operatora IKT sistema od posebnog značaja zaokružen. Uredbe su objavljene u Službenom glasniku RS, broj 94/16 od 24. novembra 2016. godine:

  1. Uredba o bližem sadržaju akta o bezbednosti informaciono-komunikacionih sistema od posebnog značaja, načinu provere i sadržaju izveštaja o proveri bezbednosti IKT sistema od posebnog značaja;
  2. Uredba o bližem uređenju mera zaštite IKT sistema od posebnog značaja;
  3. Uredba o utvrđivanju liste poslova u oblastima u kojima se obavljaju delatnosti od opšteg interesa i u kojima se koriste IKT sistemi od posebnog značaja,
  4. Uredba o postupku dostavljanja podataka, listi, vrstama i značaju incidenata i postupku obaveštavanja o incidentima u IKT sistemima od posebnog značaja.

Zakon u članovima 14-19 definiše i bliže uređuje pojam i ulogu:

  • Nacionalnog CERT-a;
  • Posebnih CERT-ova;
  • CERT-a Republičkih organa i
  • CERT-ove samostalnih operatora IKT sistema.

Suštinski naš pravni sistem sa jedne strane postavlja Nacionalni CERT čija se nadležnost prostire na sve IKT sisteme u Republici Srbiji kao i na sve incidente i događaje koji ugrožavaju bezbednost IKT sistema dok sa druge strane svi ostali CERT-ovi zapravo obavljaju poslove prevencije i zaštite od bezbednosnih rizika u IKT sistemima u okviru određenog pravnog lica, grupe pravnih lica, oblasti poslovanja i slično.

U skladu sa ZIB poseban CERT može biti pravno lice ili organizaciona jedinica u okviru pravnog lica. Ovaj status se formalno stiče upisom u evidenciju posebnih CERT-ova koji se vrši osnovu prijave Nacionalnom CERT-u ondonsno RATEL-u. Sam postupak registracije je regulisan Pravilnikom o bližim uslovima za upis u evidenciju posebnih centara za prevenciju bezbedonosnih rizika u infromaciono-komunikacionim sistemima (‘’Službeni glasnik RS’’, broj 12/17).

Krivični Zakonik

Krivični Zakonik (“Sl. glasnik RS”, br. 85/2005, 88/2005 – ispr., 107/2005 – ispr., 72/2009, 111/2009, 121/2012, 104/2013, 108/2014) predviđa niz Krivičnih dela čijim izvršenjem online i građanski mediji mogu biti ugroženi. Čitava 27. glava Krivičnog Zakonika je posvećena Krivičnim delima protiv bezbednosti računarskih podataka kao što su:

 

  • Član 298 KZ-a predviđa da ko neovlašćeno izbriše, izmeni, ošteti, prikrije ili na drugi način učini neupotrebljivim računarski podatak ili program, kazniće se novčanom kaznom ili zatvorom do jedne godine. Dodatno, ukoliko je usled toga nastupila šteta koja prelazi određeni novčani iznos, učinilac se može kazniti i zatvorom do pet godina.
  • Član 301 KZ-a predviđa da ko unese netačan podatak, propusti unošenje tačnog podatka ili na drugi način prikrije ili lažno prikaže podatak i time utiče na rezultat elektronske obrade i prenosa podataka, u nameri da sebi ili drugom pribavi protivpravnu imovinsku korist i time drugom prouzrokuje imovinsku štetu, kazniće se novčanom kaznom ili zatvorom do tri godine. Dodatno, ukoliko je usled toga nastupila šteta koja prelazi određeni novčani iznos, učinilac se može kazniti i zatvorom do deset godina.
  • Član 303 KZ-a predviđa krivično delo sprečavanja i organičavanja pristupa javnoj računarskoj mreži za koje se lice koje neovlašćeno sprečava ili ometa pristup javnoj računarskoj mreži, može kazniti novčanom kaznom ili zatvorom do jedne godine. Dodatno, u istom članu je previđen i kvalifikovani oblik ovog krivičnog dela ukoliko ga je učinilo službeno lice u vršenju službe, te se takvo lice može kazniti zatvorom do 3 godine.
  • Član 304 KZ-a predviđa krivično delo neovlašćenog korišćenja računara ili računarske mreže za koje se lice koje neovlašćeno koristi računarske usluge ili računarsku mrežu u nameri da sebi ili drugom pribavi protivpravnu imovinsku korist, može kazniti novčanom kaznom ili zatvorom do tri meseca.       

 

Pored toga značajni su i sledeći članovi Krivičnog Zakonika:

 

  • Član 146 KZ-a predviđa krivično delo neovlašćenog prikupljanja ličnih podataka za koje se lice koje podatke o ličnosti koji se prikupljaju, obrađuju i koriste na osnovu zakona neovlašćeno pribavi, saopšti drugom ili upotrebi u svrhu za koju nisu namenjeni, može kazniti novčanom kaznom ili zatvorom do jedne godine. Dodatno, u istom članu je previđen i kvalifikovani oblik ovog krivičnog dela ukoliko ga je učinilo službeno lice u vršenju službe, te se takvo lice može kazniti zatvorom do 3 godine.
  • Član 138 KZ predviđa krivično delo ugrožavanja sigurnosti za koje se lice koje ugrozi sigurnost nekog lica pretnjom da će napasti na život ili telo tog lica ili njemu bliskog lica može kazniti novčanom kaznom ili zatvorom do jedne godine. Dodatno, u istom članu je previđen i kvalifikovani oblik ovog krivičnog dela ukoliko je delo učinnjeno prema licu koje obavlja poslove od javnog značaja u oblasti informisanja u vezi sa poslovima koje obavlja, te se takvo lice može kazniti zatvorom do 3 godine.
Zakonom o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala

Zakonom o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminala (“Sl. glasnik RS”, br. 61/2005 i 104/2009) po prvi put su utvrđeni nadležni organi za borbu protiv sajber kriminala. Pоsеbnо tužilаštvо zа bоrbu prоtiv visоkоtеhnоlоškоg kriminаlа koje je obrazovano u okviru Višeg javnog tužilaštva u Beogradu je nаdlеžnо zа krivičnо gоnjеnjе učinilаcа krivičnih dеlа visоkоtеhnоlоškоg kriminаlа, dok je u ovim postupcima nadležan Viši sud u Beogradu.

Takođe u skladu sa članom 9 tog Zakona, tokom 2007. godine formirano je Odeljenje za borbu protiv visokotehnološkog kriminala u okviru Službe za borbu protiv organizovanog kriminala Ministarstva unutrašnjih poslova Republike Srbije. Ovo odeljenje postupa po zahtevima Posebnog tužioca za bоrbu prоtiv visоkоtеhnоlоškоg kriminаlа dok je ministar unutrašnjih poslova, po pribavljenom mišljenju Posebnog tužioca, postavlja i razrešava starešinu Službe i bliže uređuje rad ovog odeljenja.

(Organizaciona struktura je preuzeta sa sa web prezentacije Ministarstva unutrašnjih poslova: http://www.mup.gov.rs/cms_lat/UKP.nsf/sbpok.h?OpenPage)

Pomenuti organi imaju nadležnost u vezi otkrivanja, krivičnog gonjenja i suđenja za krivična dela protiv bezbednosti računarskih podataka koja su određena određena Krivičnim zakonikom (članovi 298-304a), što su:

  •         Oštećenje računarskih podataka i programa
  •         Računarska sabotaža
  •         Pravljenje i unošenje računarskih virusa
  •         Računarska prevara
  •         Neovlašćeni pristup zaštićenom računaru, računarskoj mreži i elektronskoj obradi podataka
  •         Sprečavanje i organičavanje pristupa javnoj računarskoj mreži
  •         Neovlašćeno korišćenje računara ili računarske mreže
  •   Pravljenje, nabavljanje i davanje drugom sredstava za izvršenje krivičnih dela protiv bezbednosti računarskih podataka

Ovi organi imaju nadležnost i za druga krivičana dela koja se zbog objekta i sredstva izvršenja ili načina izvršenja mogu smatrati krivičnim delima visokotehnološkog kriminala, kao što su na primer krivična del protiv intelektualne svojine ili imovine kada su sredstvo izvršenja računari ili računaski sistemi.