Ustrezna omrežna in informacijska varnost sta izredno pomembna dejavnika za normalno delovanje gospodarstva in razvoj družbe. Prekinitve ali poslabšanje delovanja elektronskih komunikacijskih storitev zaradi zlonamernih dejanj, naravnih nesreč, sistemskih ali človeških napak lahko kritično vplivajo na delovanje informacijske družbe. Evropska direktiva 2009/140/ES je prinesla številne zakonodajne spremembe in dopolnitve s področja elektronskih komunikacij. Ena od pomembnih usmeritev direktive je zaveza, da se mora zagotoviti ustrezna varnost in celovitost omrežij in storitev. Slovenija je omenjeno direktivo prenesla v nacionalni okvir v okviru Zakona o elektronskih komunikacijah.
Zakon v 7. poglavju nalaga operaterjem, da morajo sprejeti ustrezne tehnične in organizacijske ukrepe za ustrezno obvladovanje tveganja za varnost omrežij in storitev, zlasti z namenom preprečevanja in zmanjševanja učinkov varnostih incidentov na uporabnike in medsebojno povezana omrežja. Operaterji morajo sprejeti vse potrebne ukrepe za zagotovitev celovitosti svojih omrežij, z namenom, da se zagotovi neprekinjeno izvajanje storitev prek teh omrežij. Operaterjem je tudi naložena obveznost obveščanja in poročanja v primeru kršitev varnosti ali celovitosti. Agencija v okviru svojih pristojnostih o posameznih kršitvah varnosti in storitev ter o kršitvah celovitosti omrežij po potrebi in glede na stopnjo kršitve obvešča nacionalno kontaktno točko za obravnavanje varnostnih incidentov (SI-CERT), nacionalne regulatorne organe v drugih državah članicah ter Evropsko agencijo za varnost omrežij in informacij (ENISA).
Agencija je v skladu Zakonom o elektronskih komunikacijah objavila Splošni akt o varnosti omrežij in storitev, s katerim je podrobneje določila organizacijske ukrepe, ki jih morajo sprejeti operaterji, da zagotovijo celovitost svojega omrežja ter neprekinjeno delovanje storitev prek teh omrežij. V skladu s Splošnim aktom mora operater vzpostaviti in vzdrževati dokumentiran sistem za upravljanje varovanja informacij (SUVI) ter sistem upravljanja neprekinjenega poslovanja (SUNP). Tehnični ukrepi niso bili določeni, saj so pogojeni z značilnostjo poslovanja, organizacije, lokacije, velikosti, tehnologije ter izvedene analize tveganja vsakega operaterja posebej. V primeru kršitev varnosti omrežij in storitev ali celovitosti omrežij, če bi te pomembno vplivale na delovanje javnih komunikacijskih omrežij ali izvajanje javnih komunikacijskih storitev mora operater takoj, ko to zazna obvestiti agencijo.
NOVI obrazci za poročanje po 6. 8. 2023:
Poročilo o varnostnem incidentu
Obvestilo o omejitvah ter prekinitvah na strani operaterja
Več o varnosti omrežij lahko preberete na naslednjih straneh:
- Portal delovne skupine ECASEC
- Zlorabe in vdori v zasebne naročniške centrale (PBX) ter potrebni ukrepi
- SI-CERT
- Spletno oko
- Varni na spletu
Priporočila:
- ENISA Indispensable baseline security requirements for the procurement of secure ICT products and services
- ENISA Technical Guideline on Security Measures
- ENISA Guideline on Security Measures under the EECC
- ENISA Technical Guideline on Inicident Reporting
- ENISA Security aspects of virtualization
- ENISA Threat Landscape for Supply Chain Attacks
- ENISA Signalling Security in Telecom SS7/Diameter/5G
- ENISA 7 Steps to shore up the Border Gateway Protocol (BGP)
- ENISA Cyber Threats Outreach In Telecom
- ENISA Security Controls Matrix
Varnost 5G omrežij:
- European Commission: Cybersecurity of 5G networks - EU Toolbox of risk mitigating measures
- European Commission: EU-wide coordinated risk assessment of 5G networks security
- ENISA 5G Supplement - to the Guideline on Security Measures under the EECC
- ENISA Threat Landscape for 5G Networks Report
- ENISA Security in 5G Specifications - Controls in 3GPP
- ENISA Threat Landscape and Good Practice Guide for Software Defined Networks/5G