უსაფრთხოების აქსიომები

გთავაზობთ ინფორმაციული უსაფრთხოების რამდენიმე ოქროს წესს, რომელიც უნდა იყოს უსაფრთხოების მართვის ქვაკუთხედი ნებისმიერ ორგანიზაციაში:

  1. უსაფრთხოება და სისტემების სირთულე უკუპროპორციულია (რაც უფრო რთულია სისტემა, მით უფრო დაბალია უსაფრთხოება).
  2. უსაფრთხოება და გამოყენებადობა (usability) ხშირად უკუპროპორციულია (უსაფრხოების ფუნქციების გადამეტებულად გამოყენება სისტემაში ამცირებს გამოყენებადობას და ამცირებს უსაფრთხოებასაც).
  3. “კარგი უსაფრთხოება ახლა” არის უკეთესი ვიდრე “იდეალური უსაფრთხოება არასოდეს”.
  4. უსაფრთხოების ყალბი გრძნობა არის უარესი, ვიდრე დაუცველობის გრძნობა.
  5. ორგანიზაციის უსაფრთხოება უდრის სუსტი რგოლის სიძლიერეს.
  6. საუკეთესო მიდგომაა კონცენტრირდე ცნობილ, მოსალოდნელ საფრთხეებზე.
  7. უსაფრთხოება არის ინვესტიცია და არა ხარჯი.
  8. ერთის მიერ აღებული რისკი არის ყველას მიერ გაზიარებული რისკი.
  9. ტექნოლოგია უნდა ემსახურებოდეს ორგანიზაციის მიზნებს. დაუშვებელია ტექნოლოგია ტექნოლოგიისთვის.
  10. ტექნოლოგია არ განსაზღვრავს ორგანიზაციის ბიზნეს მოდელს, ტექნოლოგია ეხმარება ბიზნესს.
  11. წარსული არ არის გარანტია, აწმყო არ არის იდეალური, მომავალი გაურკვევლობითაა სავსე.
  12. თუ არ იცი სად მიდიხარ, ყველა ვარიანტში სხვაგან აღმოჩნდები (უსაფრთხოების დანერგვა არ უნდა იყოს სპონტანური).
  13. თქვენს ორგანიზაციაში უკვე შემოაღწიეს ან მომავალში შემოაღწევენ. აუცილებლად.
  14. დაცემა არ არის მარცხი. მარცხია, როდესაც ვერ დგები ფეხზე.

უსაფრთხოების სტარტაპები – YC S16 Demo Day 1 & 2

სტარტაპ აქსელერატორ Y Combinator-ის პირველ და მეორე Demo დღის განმავლობაში ჯამში 92 სტარტაპი მონაწილეობდა. მათ შორის იყო რამდენიმე კომპანია, რომელიც ინფორმაციული უსაფრთხოების სფეროში მოღვაწეობს.

ZeroDB – დაშიფრული ქლაუდ სტორიჯი კომპანიებისთვის

https://zerodb.com/

ბევრ კომპანიას აშინებს მონაცემების ქლაუდში შენახვა ინფორმაციის გაჟონვის რისკის გამო. ZeroDB-ის შემქმნელების მიხედვით, მათი გადაწყვეტილების საშუალებით კომპანიებს ექნებათ საშუალება უსაფრთხოების ზომების დაცვით გადაიტანონ სენსიტიური მონაცემები ქლაუდში. ZeroDB შიფრავს მონაცემებს და მხოლოდ ამის შემდეგ აგზავნის ქლაუდში, ხოლო განშიფრვა კომპანიის ინფრასტრუქტურაში ხდება (სადაც ინახება კიდევ დახურული გასაღებები).

კომპანიამ გამოაცხადა, რომ კონტრაქტს დებენ ერთ-ერთ ბრიტანულ ბანკთან, რაც მათ 1 წლის განმავლობაში 1 მილიონ დოლარ შემოსავალს მოუტანს.

ZeroDB

Wallarm – ვებ აპლიკაციების უსაფრთხოების ჭკვიანი სისტემა

https://wallarm.com/

Wallarm ვებ აპლიკაციებისა და API-ების ყოველდღიური მოხმარების პროფილებს ადგენს, რომელთაც შემდეგ შაბლონად იყენებს. სწორედ ამ შაბლონის მიხედვით უნდა განასხვავოს მომავალში ვეპ აპლიკაციისა და API-სთვის გამოგზავნილი მავნე რექვესტები. Wallarm-ს შეუძლია სწავლა და პროფილის “გაფართოება”, შესაბამისად კი false positive-ების 0-მდე დაყვანა.

Wallarm-ს უკვე ჰყავს 60 კლიენტი, რომელთაც ჯამში 100 მილიონი ვებ მომხმარებელი ჰყავთ. მხოლოდ Y Combinator-ის მიმდინარეობისას, კომპანიის ყოველთვიური შემოსავალი გაორმაგდა და 100,000 დოლარს მიაღწია.

Wallarm

Metapacket – კორპორატიული ფაიერვოლი მავნე პროგრამების აღმოსაჩენად

http://metapacket.com/

დიდი კომპანიების ქსელში შეღწევისა და ინფორმაციის მოპარვის გახმაურებული შემთხვევების გათვალისწინებით, მავნე პროგრამების აღმოჩენა რთულია და ხშირად მაშინ ხდება, როდესაც ინფორმაციის კრიტიკული ნაწილი უკვე დაკარგულია. Metapacket არის გადაწყვეტილება, რომელიც არკვევს ქსელიდან გამავალი ტრაფიკის უკან დგას თუ არა ადამიანი.

კომპანიის წარმომადგენლები ირწმუნებიან, რომ მათი გადაწყვეტილება პირველია მსოფლიოში, რომელსაც ასეთი რამ შეუძლია. ისინი ასევე ამბობენ, რომ მათი ფაიერვოლი რომ ჰქონოდა, Sony და ამერიკის დემოკრატიული პარტიის ნაციონალური კონვენტი ჰაკინგის შემთხვევების დროულად აღმოჩენასა და ზარალის ტავიდან აცილებას შეძლებდნენ.Metapacket

Y Combinator Demo Day 1 შეჯამებაTechCrunch-ზე

Y Combinator Demo Day 2 შეჯამება TechCrunch-ზე

Agile Security Manifesto

agile seurity manfiesto

2001 წელს 18-მა დეველოპერმა გამოაქვეყნა ე.წ. Agile მანიფესტი, რომელშიც ჩამოყალიბებული იყო პროგრამული უზრუნველყოფის განვითარების პრინციპები.

მანიფესტს თავისი საიტიც აქვს და ქართულადაც არის თარგმნილი (სიტყვა Agile-ის გარდა 😀 ).

2016 წელს კომპანია Cigital-მა, რომელიც მოღვაწეობს პროგრამული უზრუნველყოფის უსაფრთხოების სფეროში, გამოაქვეყნა Agile უსაფრთხოების მანიფესტი.

მანიფესტის სრული ტექსტის PDF იხილეთ Cigital-ის საიტზე, აქ კი გთავაზობთ ძირითად პრინციპებს:

  1. პროგრამული უზრუნველყოფის უსაფრთხოება, პირველ რიგში, უნდა იყოს დეველოპერებისა და ტესტერების, და არა უსაფრთხოების სპეციალისტების, საქმე და პასუხისმგებლობა;
  2. უსაფრთხოება ჩადებული უნდა იყოს დეველოპმენტის პროცესსა და საქმიანობაში და უსაფრთხოებაზე ზრუნვა არ უნდა იწყებოდეს პროგრამის დასრულების შემდეგ;
  3. უმჯობესია პროგრამის ფუნქციონალში იყოს გათვალისწინებული უსაფრთხოება, ვიდრე ცალკე უსაფრთხოების ფუნქციონალი ემატებოდეს პროგრამას; გარდა ამისა, პროგრამაში უნდა ჩაიდოს უსაფრთხოების გამოცდილი და დატესტილი იმპლემენტაცია და არა იმპროვიზაცია;
  4. ორიენტაცია უნდა იყოს რისკების მოგვარებაზე და არა ბაგების აღმოფხვრაზე – დეველოპმენტის პროცესში გათვალისწინებული უნდა იყოს რისკები და უსაფრთხოება არ ამოიწურებოდეს ბაგების ან სისუსტეების სიის აღმოფხვრით;

 

ISO 27001 სემინარი

21 მარტს, საქართველოს დამსაქმებელთა ასოციაციამ (Georgian Employers Association) და შპს “მენეჯმენტის სისტემებმა” მოაწყო სემინარი ინფორმაციული უსაფრთხოების საერთაშორისო სტანდარტის ISO 27001-ის შესახებ. სემინარს უძღვებოდა მოწვეული აუდიტორი უკრაინიდან ალექსანდრ დიმიტრიევი. სემინარი “მიონის” ბიზნესცენტრში ჩატარდა, რომელიც ბელიაშვილის ქუჩაზე, “ორიენტ ლოჯიკის” და “ალტას” ოფისების უკან მდგარი შენობა აღმოჩნდა. ეს ადგილი ერთგვარი ქართული სილიკონის ველია იმდენი ტექნოლოგიების სფეროში მოღვაწე კომპანიის ოფისია თავმოყრილი.

ISO 27001 Seminar

სემინარის შინაარსი შეიძლება 2 ნაწილად დავყოთ. პირველი იყო ზოგადი მიმოხილვა – რას ემსახურება ISO 27001 სტანდარტი, რაში გვეხმარება და რატომ არის საჭირო. მეორე ნაწილი კი სტანდარტის შინაარსის მიმოხილვა იყო. რეალურად სემინარი უფრო მეტად ბიზნეს მენეჯერებისთვის იყო, ვიდრე IT ან უსაფრთხოების სპეციალისტებისთვის. თუმცა რამდენიმე საინტერესო ასპექტის დაჭერა მაინც შეიძლებოდა.

ISO 27001-ის შინაარსზე არ გავჩერდები და ინფორმაციული უსაფრთხოების მენეჯმენტის პოსტ-საბჭოთა vs. ევროპულ მიდგომებზე დავწერ, რომელიც დიმიტრიევმა რამდენჯერზე ახსენა. მისი მოყვანილი მაგალითები საინტერესო, თუმცა ზოგიერთ შემთხვევაში საკამათო იყო.

მაგალითად, პოსტ-საბჭოთა სტილია ინფორმაციულ აქტივად მხოლოდ ინფორმაციის მიჩნევა. ევროპული მიდგომა კი (ინფორმაციულ) აქტივად ყველაფერს თვლის – რასაც ღირებულება გააჩნია (ბოთლი წყალი, ჭიქა, შენობა და ა.შ.).

პოსტ-საბჭოთა მენეჯმენტის სტილია ინფორმაციული უსაფრთხოების ტრიადიდან (კონფიდენციალობა, მთლიანობა, ხელმისაწვდომობა) მხოლოდ კონფიდენციალობაზე ყურადღების გამახვილება. ევროპულის კი ტრიადის სამივე კომპონენტზე.

დიმიტრიევმა ასევე ისაუბრა ინფორმაციული უსაფრთხოების მენეჯმენტში გავრცელებულ შეცდომებზე. მაგალითად მოყვანილი იყო რისკების იდენტიფიკაციის დაწყება აქტივების გამოვლენამდე.

კიდევ ერთი შეცდომაა (და ასევე პოსტ-საბჭოთა მენეჯმენტის მეთოდისთვის დამახასიათებელი) ყველა რისკის გამოვლენის მცდელობა და გამოსწორების სამოქმედო გეგმის მხოლოდ ამის შემდეგ დაწყება. რისკების მოგვარება მათი გამოვლენისთანავე უნდა დაიწყოს (რაც არის კიდევ ევროპული მიდგომა – იმის აღმოფხვრა, რაც არის მოცემული მომენტისთვის იდენტიფიცირებული).

დიმიტრიევმა ასევე განაცხადა, რომ მისი დაკვირვებით საქართველოში, ბოლო წლების რეფორმების მიუხედავად, მენეჯმენტისადმი პოსტ-საბჭოთა მიდგომა დიდად არ შეცვლილა. ამის არგუმენტად კი მან მოიყვანა ის, რომ ხშირ შემთხვევაში პოსტ-საბჭოთა ქვეყნებში (ინფორმაციული) სისტემების მართვას, მონიტორინგს, შეფასებას ერთი და იგივე გუნდი ახორციელებს, არ ხდება სერვისის მომწოდებლების კონტროლი ინფორმაციული უსაფრთხოების თვალსაზრისით (შეიძლება კონტრაქტში იდოს ინფორმაციული უსაფრთხოების საკითხები, მაგრამ მონიტორინგს არავინ ახორციელებს).

დიმიტრიევმა აუდიტზეც ისაუბრა. მან მოიყვანა მაგალითი, რომ შეიძლება რაიმე არ ეთანხმებოდეს საღ აზრს (მაგალითად, დატა ცენტრში სერვერი იდოს ოთახის შუაში, კონდიცირების საშუალება კი იყოს ფანჯარა), შეუსაბამობის (non-conformity) დაფიქსირება არ შეიძლება, თუ ეს არ ეწინააღმდეგება მოცემულ ორგანიზაციაში არსებულ პროცედურებს/გაიდლაინებს. აუდიტორს ამ შემთხვევაში შეუძლია დაწეროს მხოლოდ რეკომენდაცია.

საბოლოო ჯამში, სემინარები საინტერესო გამოდგა (მიუხედავად იმისა, რომ შაბათ დილას 10:00 საათზე იყო). ბოლოს და ბოლოს, თუ შინაარსი არ გამოდგა მიმზიდველი, ცნობიერების ამაღლებასაც მაინც შეუწყობს ხელს.

კანონპროექტი ინფორმაციული უსაფრთხოების შესახებ

თებერვალში პარლამენტში შევიდა კანონპროექტი ინფორმაციული უსაფრთხოების შესახებ (რეგისტრაციის #07–3/550; 03.02.2012). თუ უახლოეს მომავალში პარლამენტმა კანონპროექტი მიიღო, ის ძალაში ივნისში შევა.

კანონი საქართველოს ინფორმაციული უსაფრთხოების გარემოში რადიკალური ცვლილებების საფუძველი იქნება. მისი მთავარი თემა ე.წ. კრიტიკული ინფორმაციული ინფრასტრუქტურა და მისი დაცვაა.

კრიტიკულ ინფრასტრუქტურას კანონპროექტის მე–2 მუხლი განსაზღვრავს როგორც:

იურიდიული პირების, სახელმწიფო ორგანოებისა და საქმიანობის სფეროების ერთობლიობა, რომელთა ინფორმაციული სისტემების უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვის ან/და ეკონომიკური უსაფრთხოებისათვის, სახელმწიფო ხელისუფლების ან/და საზოგადოების ნორმალური ფუნქციონირებისათვის.

კრიტიკული ინფრასტრუქტურის კონკრეტული სია კანონის მიღებიდან 6 თვეში უნდა დადგინდეს. მას, სავარაუდოდ, ეროვნული უსაფრთხოების საბჭო ჩამოაყალიბებს და საქართველოს პრეზიდენტი დაამტკიცებს.

კრიტიკული ინფრასტრუქტურის სისტემების განსაზღვრა აუცილებელია ქვეყნის კიბერ შესაძლებლობების ეფექტურად გამოყენებისთვის. სიაში სავარაუდოდ შევლენ ბანკები, ინტერნეტ სერვის პროვაიდერები, საკომუნიკაციო კომპანიები, სამთავრობო სააგენტოების ინფორმაციული სისტემები, ქვეყნის ელექტროენერგიითა და წყლით მომარაგებაზე პასუხისმგებელი სისტემები. . . კრიტიკული ინფრასტრუქტურის სიაში (სავარაუდოდ) არ შევლენ სამხედრო ინფორმაციული სისტემები:

1. კრიტიკულ ინფრასტრუქტურაში, პირველ რიგში, სამოქალაქო ობიექტები მოიაზრებიან.

2. სამხედრო უწყებები თავად უნდა იყვნენ პასუხისმგებელნი თავიანთ ინფორმაციულ სისტემებზე.

ინფორმაციული უსაფრთხოების მხრივ, სამოქალაქო და სამხედრო სფეროები გაყოფილი უნდა იყოს. კომპეტენციათა აღრევამ, შესაძლოა, სამართლებრივი პრობლემები გამოიწვიოს. თუ სამოქალაქო ობიექტებზე კიბერ თავდასხმა ხორციელდება და მათ სამხედრო უწყება პასუხობს, ეს, შესაძლოა, სამხედრო აგრესიად ჩაითვალოს – კიბერ უსაფრთხოების მხრივ საერთაშორისო სამართლის აქტების სიმწირე მრავალფეროვანი ინტერპრეტაციის საშუალება იძლევა. თეორიული სამართლებრივი პრობლემების წარმოშობა სამოქალაქო და სამხედრო კიბერ სფეროების გამიჯვნის ერთადერთი მიზეზი არ არის. ინფორმაციული უსაფრთხოების მენეჯმენტისა და კონკრეტულ საფრთხეებზე პასუხისთვისაც დომენების გაყოფა უფრო ეფექტურია.

კრიტიკული ინფრასტრუქტურის სია დადგინდება (უნდა დადგინდეს) საქართველოს კიბერ შესაძლებლობების გათვალისწინებით. კრიტიკული ინფრასტრუქტურის საყოველთაოდ მიღებული სია არ არსებობს – ყველა ქვეყანას ის ობიექტები შეჰყავს, რომელთა დაცვის უნარიც რეალურად გააჩნია (და რომლებიც რეალურად კრიტიკულად მნიშვნელოვანნი არიან ქვეყნისთვის).

გარდა ამისა, კანონპროექტი ითვალისწინებს კრიტიკული ინფრასტრუქტურის ობიექტების მიერ გარკვეული სავალდებულო ღონისძიებების გატარებას. კანონში გათვალისწინებული რამდენიმე პუნქტი ქართული ბიზნეს გარემოსათვის სრულიად ახალი იქნება:

1. ობიექტები ვალდებული იქნებიან ინფორმაციული უსაფრთხოების პოლიტიკა შეიმუშავონ.

2. ობიექტებს უნდა ჰყავდეთ ინფორმაციული უსაფრთხოების ოფიცერი.

3. ობიექტებს უნდა ჰყავდეთ ჯგუფი, რომელიც ამ ობიექტის ინფორმაციური უსაფრთხოების უზრუნველყოფით იქნება დაკავებული.

4. კანონი ობიექტებს ავალდებულებს ინფორმაციული სისტემების აუდიტსა და დატესტვას (penetration testing – შეღწევადობის დატესტვა ანუ სისტემის მდგრადობისა და დაცულობის შემოწმება). აუდიტისა და ტესტინგის სტანდარტებს იუსტიციის სამინისტროს მონაცემთა გაცვლის სააგენტო დაადგენს.

5. კანონი აგრეთვე განსაზღვრავს კრიტიკური ინფრასტრუქტურის ობიექტებისათვის მონაცემთა/ინფორმაციის კლასიფიკაციის 4 დონეს: კონფიდენციალური (Confidential), შეზღუდული (Restricted), არაკლასიფიცირებული (Declassified), ღია (Public).

ინფორმაციის კლასიფიკაციის ერთიანი სისტემა გაამარტივებს ინფორმაციის მენეჯმენტსა და მისი უსაფრთხოების უზრუნველყოფას. მეორეს მხრივ, რადგანაც კრიტიკული ინფრასტრუქტურის სიაში სხვადასხვა სფეროს ობიექტები შევლენ, შესაძლოა, 4–დონიანი კლასიფიკაცია მათ საქმიანობას არ შეესაბამებოდეს. თუმცა ამის შანსი არცთუ მაღალია, რადგანაც კლასიფიკაციის ეს ფორმატი ინფორმაცის ეფექტურად დახარისხების საშუალებას იძლევა (უხეშად რომ ვთქვათ, 4 დონე არც ცოტაა და არც ზედმეტი; გარდა ამისა, არ არის აუცილებელი კომპანიამ კლასიფიკაციის ოთხივე დონე გამოიყენოს – შესაძლოა, მას საერთოდ არ ჰქონდეს ღია ან კონფიდენციალური ინფორმაცია).

სამოქალაქო ინფრასტრუქტურის დაცვის სფეროში მთავარ პასუხისმგებლობას იუსტიციის სამინისტროს მონაცემთა გაცვლის სააგენტო აიღებს. იგი დაადგენს აუდიტისა და ტესტინგის სტანდარტებს. ამჟამად საქართველოს ბაზარზე ინფორმაციული სისტემების აუდიტს მხოლოდ DPA სთავაზობს, პენეტრაციის ტესტინგის კომპანია კი არ არსებობს. შესაძლოა, ორივე მიმართულებით საქართველოს ბაზარზე უცხოური კომპანიები შემოვიდნენ ან მონაცემთა გაცვლის სააგენტომ შეითავსოს ეს ფუნქციები.

კანონპროექტი აგრეთვე განსაზღვრავს კომპიუტერულ ინციდენტებზე სწრაფი რეაგირების (CERT – Computer Emergency Response Team) ჯგუფის უფლება–მოვალეობებს. CERT კომპიუტერული ინციდენტების/საქართველოზე კიბერ შეტევების დროს, ტექნიკური თვალსაზრისით, თავდაცვის წინა ხაზი გახდება. თუმცა CERT–ის ფუნქციები მხოლოდ კრიტიკული ინფრასტრუქტურით არ უნდა შემოიფარგლოს. CERT.gov.ge–ს კომპეტენციას, მუშაობის პროცედურებს, რეაგირების მექანიზმებსა და საქმიანობის სხვა წესებს მონაცემთა გაცვლის სააგენტო შესაბამისი ნორმატიული აქტით დაადგენს.

კრიტიკული ინფრასტრუქტურის დაცვისათვის (CIIP/CIP – Critical Information Infrastructure Protection) ორი ძირითადი მიდგომა არსებობს:

1. CIP განსაზღვრულია კანონით, მთავრობას მხოლოდ დაცვის უზრუნველყოფის მონიტორინგის ფუნქციები აკისრია, დაცვაზე პასუხისმგებლობის უდიდეს ნაწილს იღებენ თავად ობიექტები – ასეთი მიდგომა აპრობირებულია ქვეყნებში, სადაც IT სფერო კარგად არის განვითარებული, სადაც კრიტიკური ინფრასტრუქტურის ობიექტებს შეუძლიათ თავად უზრუნველყონ თავიანთი სისტემების დაცვა (რასაც, სავარაუდოდ, კანონის მიღებამდე ობიექტები ისედაც აკეთებდნენ).

2. კრიტიკული ინფრასტრუქტურის დაცვაზე პასუხისმგებლობის ნაწილი გაყოფილია თავად ობიექტსა და სახელმწიფოს შორის. ამ შემთხვევაში სახელმწიფო არიან CIP ინიციატორი, მიმართულების განმსაზღვრელი და მთავარი მოქმედი პირი. საქართველოში სახელმწიფოს მიერ პასუხისმგებლობის აღება IT სექტორის სისუსტიდან გამომდინარე ბუნებრივია.

კანონპროექტის გამოქვეყნებისთანაზე ქართულ მედიაში გაჩნდა ეჭვები, რომ კანონპროექტს მთავრობა ინტერნეტ კონტროლისთვის გამოიყენებს.

პირველ რიგში, უნდა აღინიშნოს, რომ კანონი ვრცელდება მხოლოდ კრიტიკული ინფრასტრუქტურის ობიექტებზე, რაც მე–3 მუხლის პირველ ქვეპუნქტშია განსაზღვრული.

კანონპროექტის მე–8 მუხლის მე–4 ქვეპუნტის მიხედვით, ობიექტზე კიბერ შეტევის შემთხვევაში, CERT.gov.ge–ს ექნება უფლება ობიექტისგან მოითხოვოს ინფორმაცია (თუნდაც კონფიდენციალური) ან წვდომა ინფორმაციულ აქტივზე თუ ეს შეტევის/საფრთხის აღმოფხვრისთვის იქნება საჭირო. კანონში კონკრეტულად არის განსაზღვრული, რომ ასეთი ინფორმაცია ან წვდომა უნდა შეესაბამებოდეს ინციდენტზე რეაგირების საჭიროებებს და შეთანხმებული იქნება ობიექტის ინფორმაციული უსაფრთხოების ობიექტთან (მეორეს მხრივ, თუ კრიტიკული ინფრასტრუქტურის ობიექტი თავად შეძლებს კიბერ ინციდენტთან გამკლავებას, CERT.gov.ge–ს ჩარევის საფუძველი არ ექნება). კანონპროექტის მე–8 მუხლის მე–4 პუნქტი:

სწრაფი რეაგირების ჯგუფს უფლება აქვს, მოითხოვოს წვდომა  კრიტიკული ინფრასტრუქტურის სუბიექტის ინფორმაციულ აქტივზე, ინფორმაციულ სისტემაზე ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალ საგანზე, თუ ამგვარი წვდომა აუცილებელია მიმდინარე ან მომხდარი კომპიუტერული ინციდენტზე სათანადო რეაგირებისათვის. კრიტიკული ინფრასტრუქტურის სუბიექტის ინფორმაციული უსაფრთხოების ოფიცერი, მოთხოვნის გონივრულ ვადაში განხილვის შედეგად, სწრაფი რეაგირების ჯგუფს დაუყოვნებლივ აცნობებს შესაბამისი წვდომის შესაძლებლობის თუ შეუძლებლობის შესახებ.

ამ პუნქტში გაურკვევლობას იწვევს ბოლო წინადადება. გაუგებარია შეუძლებლობაში იგულისხმება შეუძლებლობა სხვადასხვა ტექნიკური მიზეზების გამო თუ შეუძლებლობა (ობიექტის მხრიდან) სურვილის არქონის გამო.

გარდა ამისა, როგორც კანონიდან, ისე მისი განმარტებითი ბარათიდან ჩანს, რომ მონაცემთა გაცვლის სააგენტოს ინფორმაციული უსაფრთხოების საკითხებში უფლებამოსილება მხოლოდ საჯარო სექტორსა და კრიტიკური ინფორმაციული ინფრასტრუქტურის ობიექტებზე ვრცელდება. ინფორმაციული უსაფრთხოების კანონის ფარგლებში ინტერნეტ–ცენზურის  ან სახელმწიფო პოლიტიკური კონტროლის რაიმე მექანიზმის განხორციელება პრაქტიკულად გამორიცხულია.

დაისვა კითხვები, თუ რაში სჭირდებათ კერძო ობიექტებს (მაგალითად, ბანკებს) ინფორმაციული უსაფრთხოების უზრუნველყოფაში სახელმწიფოს დახმარება, თუ ამას თავადაც ახორციელებენ. პირველ რიგში, საქართველოს IT სფეროში შესაბამისი კვლევების არარსებობის გამო, რთული სათქმელია კერძო თუ საჯარო ობიექტები თავიანთ ინფორმაციულ უსაფრთხოებას რა დონეზე უზრუნველყოფენ. 2007 წელს ესტონეთზე კიბერ შეტევები განხორციელდა. ესტონურ ბანკებს (მაგალითად, შვედურ ბანკ Swedbank–ის ესტონურ განშტოებას) თავდასხმის მოგერიება გაუჭირდათ.  მათი საქმიანობის (ინტერნეტ ბანკინგის სერვისი, ბანკომატების მომსახურება და სხვ.) შეფერხება დღეზე მეტხანს გაგრძელდა მაშინ, როდესაც მათი ინფორმაციული უსაფრთხოება საქართველოში ამჟამად არსებულზე მაღალ დონეზე იდგა (საქართველოს ინფორმაციული უსაფრთხოების კანონპროექტის გათვალისწინებული ღონისძიებები უკვე წლების მანძილზე ხორციელდებოდა).

საბოლოო ჯამში, კანონი, თუ მიღებულ იქნა, ქვეყნის ინფორმაციული უსაფრთხოების გაძლიერებისთვის წინგადადგმული ნაბიჯი იქნება. სამართლებრივი საფუძვლის ჩაყრას, ტექნიკური შესაძლებლობების (როგორც მონაცემთა გაცვლის სააგენტოსა და CERT.gov.ge–ს მხრიდან, ისე კერძო სექტორში) განვითარება უნდა მოჰყვეს. კრიტიკური ინფორმაციული ინფრასტრუქტურის დაცვის განვითარება იქნება წინაპირობა, ქვეყანამ თავიდან აიცილოს ისეთი ტოტალური ჩავარდნა, როგორიც 2008 წლის აგვისტოში მოხდა საქართველოზე კიბერ შეტევების დროს. გარდა ამისა, კანონპროექტში განსაზღვრული სხვა პუნქტები IT კერძო სექტორის განვითარების წამხალისებელიც უნდა გამოდგეს.

მხოლოდ ეს კანონი საკმარისი არ იქნება კრიტიკული ინფორმაციული ინფრასტრუქტურის განსაზღვრის და მათ მიერ შესაბამისი ღონისძიებების განხორციელების გარეშე. კანონპროექტი ზოგადად აღწერს შესაბამისი უწყებების უფლება–მოვალეობებს – მომავალში მეტი კონკრეტიკა გახდება საჭირო (რაც გათვალისწინებულია კიდეც კანონში სხვადასხვა უწყებების მიერ დამატებითი საკანონმდებლო აქტების მიღების საშუალებით). საქართველოს მალე კიბერ უსაფრთხოების კონცეფციაც უნდა ჰქონდეს. საქართველო ამ დოკუმენტებში სხვა ქვეყნების გამოცდილებას ეყრდნობა. თუმცა ისინი მხოლოდ ზოგადი პრინციპებსა და მიმართულებებს განსაზღვრავენ  და რაიმე გაუგონარი მათში არ ჩაიწერება.