Се носат законски измени за да имаме чисти електронски комуникациски мрежи
Владата преку закон ќе ја штити земјава од ризици кои може да ги донесе опрема што ќе ја набавуваат електронските комуникациски мрежи, односно телекомуникациските оператори во земјава, а особено оние кои се однесуваат на национална безбедност. Тоа ќе важи за добавувачите и производителите на ваква опрема, пред се оние што се под контрола на Влада на друга држава.
До Собранието е доставен Предлог на Закон за измени и дополнување на Законот за електронските комуникации, чии предлагач е Владата, а претставник е министерот за информатичко општетство и администрација, Јетон Шаќири.
Како што навела Владата, целта на овие законски измени е „да се ограничат, забранат или наметнат специфични барања и услови базирани на процена на ризик, во однос на снабдувањето, употребата и работењето на опремата за електронските комуникациски мрежи, со цел да се обезбедат т. н. ‚чисти електронски комуникациски мрежи’“.
А земајќи ги предвид безбедноста на критичните и чувствителни делови на електронските комуникациски мрежи, безбедност на самата опрема или околината (употреба, интерконекција, итн.), како такви ризици се сметаат – ризик од инволвирање на трета земја во ланецот на снабдување на опрема за електронските комуникациски мрежи, ризик од голема зависност од еден добавувач и производител на ниво на оператор или на национално ниво, како и да се елиминираат ризици за националната безбедност.
Агенцијата за електронски комуникации во соработка со Националниот Центар за одговор на Компјутерски Инциденти треба да направи детална процена на профилот на ризик на сите релевантни добавувачи и производители на мрежна опрема на национално ниво. Во законот се вели дека Агенцијата може да наметне обврска на добавувачите и производителите што се сметаат за високо ризични, што вклучува и исклучување од можноста за снабдување на опрема за клучни или сензитивни мрежни елементи.
„Во однос на процена на профилот на ризик за добавувачите и производителите на мрежна опрема, Агенцијата за електронски комуникациим особено ќе проверува дали добавувачот и производителот на мрежен хардвер и софтвер е под контрола на Влада на друга држава, дали добавувачот и производителот на мрежен хардвер и софтвер има транспарентна структура на сопственост, партнерство и структура на управување, како и тоа дали е предмет на правен систем кој ги спроведува практиките на корпоративна транспарентност, дали добавувачот и производителот на мрежен хардвер и софтвер е посветен на иновативноста и ги почитува правата на интелектуална сопственост“, се вели во предлог законските измени.
Натаму, се додава дека операторите се задолжуваат дека треба да имаат воспоставени процедури и треба да преземат мерки и соодветна контрола, со цел ефикасно управување со потенцијалните ризици, како што се специфични побарувања за добавувачи и производители согласно на нивниот профил на ризик.
„Истите треба да имплементираат адекватни, флексибилни и проверени технички мерки со цел да обезбедат стриктни мерки за пристап и контрола до мрежа, принцип на доделување на најмали привилегии со цел пристапот до различни мрежни елементи да биде минимизиран, принцип на поделба на одговорностите, оддалечен пристап треба да биде минимизиран или целосно избегнат за добавувачи и производители со висок ризик, соодветна автентикација, авторизација, евидентирање на записи и проверка со цел да се има јасна евиденција на пристапот до податоците и конфигурациските промени на мрежните елементи, операторот треба да избегнува мрежна виртуелизација за клучни мрежни функционалности и осетливи податоци и наместо мрежна виртуелизација треба да користи физичка поделба на ресурсите. При набавката на опрема операторите треба да имаат специфични безбедносни побарувања. Операторите се задолжуваат да имаат соодветни планови за издржливост и континуитет во случај на катастрофи кои ќе ја засегнат функционалноста на мрежите. Операторите ќе треба да користат услуги од добавувачи и производители кои ќе демонстрираат значителни мерки за долготрајна издржливост. Истите имаат обврска да ги заштити сообраќајот на комуникациската мрежа со цел да избегне неавторизиран пристап и промени на истиот и да ја зајакне физичката заштита на критичните и сензитивни мрежни елементи, особено на базните станици. Се предвидува и спроведување на алатки со цел да обезбеди интегритет на софтверот, да чува записи од спроведени промени или аплицирани закрпи, при надоградба на софтверот за електронските комуникациски мрежи“, се вели во предложените законски измени.
Владата тврдуи дека со нив ќе има безбедно управување, работа и мониторирање на електронските комуникациски мрежи. Се интервенира со цел да се обезбеди Центрите за управување со мрежата и управувањето со безбедносните работи да се поставени на територијата на земјава, тие да обезбедат јасно видливи и ефикасни системи за мониторирање најмалку на критичните и сензитивни мрежни елементи, да ги детектираат аномалиите на мрежата, како и да ги идентификуваат и избегнат заканите.
„Пристапот на мрежните елементи треба да биде обезбеден само за ограничен број персонал, кој е обучен и квалификуван за таа намена“, потенцираат од Владата.
Предлог измената на Законот за електронски комуникации предвидува и да се воведе контрола кога надлежностите за одржување на мрежната опрема е пренесена на друго лице. Кога надлежностите за одржување на мрежната опрема (физичка и виртуелна) се пренесува на други лица операторот ќе наметне засилени безбедносни процедури при обезбедување на пристап до мрежните елементи, особено за клучните делови на електронската комуникациска мрежа, особено доколку одржувањето на опремата е обезбедено од добавувач или производител со висок ризик.
„Со овие измени ќе се има предвид вкупниот ризик на влијание врз снабдувачот и производителот од трета земја, особено во врска со нејзиниот модел на управување, отсуството на договори за соработка за безбедност или слични аранжмани, како што се одлуки за соодветност, во врска со заштитата на податоците, или дали оваа земја е страна на мултилатерални, меѓународни или билатерални договори за сајбер безбедност, борба против компјутерски криминал или заштита на податоци“, стои во законот.