Kibernetička sigurnost više nije nešto o čemu se brinu negdje drugdje, već je postala neizostavan dio modernog poslovanja. Koliko je kibernetička sigurnost postala ključna, najbolje govori činjenica da će u sljedećih nekoliko godina biti dosen cijeli niz novih zakona o kibernetičkoj sigurnosti - kako na razini Europske unije, tako i na razini pojedinih zemlja, pa tako i Hrvatske.
Kako bi stručnjacima i predstavnicima industrije pojasnili što ih sve očekuje i koliko će to promijeniti način na koji su do sad prijavljivali sigurnosne incidente, Algebra je organizirala konferenciju na temu nove europske NIS2 direktive pod nazivom "Zakon i red u digitalnom prostoru: Što nam donose novi zakoni o kibernetičkoj sigurnosti".
Na konferenciji su se okupili stručnjaci i predstavnici industrije koji su zajednički razmijenili iskustva, znanja i perspektive o novim zakonskim okvirima koji reguliraju kibernetičku sigurnost. Kako je na samom početku konferencije istaknuo Zlatan Morić, voditelj Katedre za kibernetičku sigurnost na Algebri, kibernetičkih napada je sve više, porast je broja incidenata - samo lani je u svijetu bilo preko 1.000 velikih incidenata. Porastao je i broj ransomware napada koji sa sobom donose i značajnije financijske posljedice. U prosjeku je potrebno 270 dana da se napad otkrije – od trenutka provale u sustav do njegove detekcije, a za smanjenje svih tih rizika potrebna su puno veća ulaganja u kibernetičku sigurnost.
Kad govorimo o novom zakonu on ima dva ključna aspekta: jedan je da ćemo morati upravljati sigurnosnim rizicima, što je nešto što gotovo svaka tvrtka već sad radi, a druga stvar je obveza izvješćivanja o cyber napadima, u slučaju potrebe za zaštitom kompanije. Kibernetička sigurnost je investicija, prilika svake kompanije da poveća svoju poslovno otpornost, a ne trošak. U narednom periodu implementacije direktive u hrvatsko zakonodavstvo trebat će nam puno veći broj kibernetičkih stručnjaka koje neće biti moguće pronaći bez dodatne edukacije, prekvalifikacije, upskillinga i reskillinga postojećih kadrova, istaknuo je Morić.
U svom predavanju dr.sc. Aleksandar Klaić, iz Centra za kibernetičku sigurnost Sigurnosno obavještajne agencije (SOA) pojasnio je kako se NIS2 razlikuje od NIS1 direktive te koje su njene posljedice za gospodarstvo.
Kroz NIS2 plan je uvesti i nacionalno tijelo za kibernetičku sigurnost. U siječnju ove godine direktiva je stupila na snagu i imamo kao zemlja dvije godine za provedbu i početak njene primjene. Za razliku od NIS1, NIS2 donosi centralizirani način upravljanja sigurnosti te će se broj obveznika povećati čak tri do četiri puta. Prijašnja direktiva bila je usko fokusirana te se moglo dogoditi da poslovni sustavi pojedinih tvrtki zahvaćeni ransomwareom, dok će sada sigurnost morati obuhvatiti sve aspekte poslovanja kompanija, naglasio je.
Vlatka Jajetić, voditeljica službe za obradu incidenata u Nacionalnom CERT pojasnila je ulogu Pixi platforme preko koje će se prijavljivati incidenti te istaknula da je CERT do danas evidentirao 1085 incidenata te čak 200 lažnih web trgovina u Hrvatskoj. S NIS2 direktivom otvara se mogućnost integracije s platformama na EU razini te kvalitetnija komunikacija među državama članicama.
Europski parlament i vijeće usvojili su Uredbu (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor (Dora), koja se počinje primjenjivati 17.1.2025. godine na financijski sektor, ali i na treće strane pružatelje IKT usluga. U usporedbi s NIS 2 direktivom koja propisuje mjere za visoku zajedničku razinu kibersigurnosti širom EU za ključne i važne subjekte, Dora predstavlja lex specialis za obveznike njezine primjene i posebno će obuhvatiti financijske subjekte (banke i ostale financijske institucije).
Dražen Ljubić, pomoćnik ravnatelja Zavoda za sigurnost informacijskih sustava govorio je o sustavu kibernetičke sigurnosne certifikacije.
Tri su glavne certifikacijske sheme koje se donose na razini EU-a. Prva je Common Criteria shema (CC schema) koja predstavlja zapravo transpoziciju SOGIS certifikacijskog okvira i ne sadrži posebne zahtjeve. Njeno donošenje se očekuje u prvom kvartalu 2024. Izdavanje certifikata od strane proizvođača vjerojatno će se dogoditi u 2024. Druga je shema za računalstvo u oblaku (Cloud schema). Nacrt sheme za računalstvo u oblaku je završen, no još uvijek se ne može ocijeniti kad će biti upućen u postupak donošenja. U tijeku je niz konzultacija o sadržaju na EU razini (ENISA, pravna služba Komisije, Služba za unutarnje tržište, trgovinske organizacije, države članice…). Neke države članice traže da se u shemu ugrade posebni zahtjevi, odnosno da se za visoku jamstvenu razinu sheme za računalstvo u oblaku kao sigurnosni uvjet uvede imunitet od primjene prava trećih država te da se propiše obveza fizičke vezanosti poslužitelja za teritorij EU-a dok druge članice smatraju da takvi zahtjevi nisu potrebni i da se tržište u tom segmentu treba što je to moguće više liberalizirati. Treća je shema za 5G tehnologiju (5G schema) čije se donošenje planira vjerojatno u 2024., naglasio je.
Na panel raspravi na temu utjecaja novih Zakona o provedbi kibernetičke sigurnosne certifikacije sudjelovali su dr.sc. Aleksandar Klaić, Centar za kibernetičku sigurnost, SOA; Marko Gulan, Cyber Security Consultant, South East Europe, Schneider Electric; Milan Parat, predsjednik Odbora za sigurnost HUB-a; Dario Rajn, Chief Information Security Officer, Podravka; Stjepan Jambrak, Koordinator informacijske i kibernetičke sigurnosti, JANAF i Boris Bajtl, član Izvršnog odbora HUP-ICT-a.
Koliko su kibernetički napadi postali učestali, možda najbolje ilustrira izjava Stjepana Jambraka iz Janafa, koji je na pitanje o tome kako učiniti sustave sigurnima rekao da ništa nije sigurno.
Samo je pitanje vremena kad će vas rasturiti, istaknuo je slikovito Jambrak.
Kontinuirana komunikacija s javnošću o novim zakonima i podzakonskim aktima u području kibernetičke sigurnosti pridonosi podizanju opće svijesti o važnosti adekvatne zaštite od kibernetičkih prijetnji. U novom zakonu sektori visoke kritičnosti uključuju energetiku, promet, bankarstvo, infrastrukturu financijskog tržišta, zdravstvo, vodoopskrbu, upravljanje otpadnim vodama, digitalnu infrastrukturu, upravljanje IKT uslugama, javni sektor i svemir. Međutim, Zakon će se također primjenjivati na mnoge druge male i srednje poduzetnike, što će na njih imati značajan utjecaj. Članove smo uključili u komentiranje novog Zakona. Izrazili smo i želju da se uključimo u formiranje podzakonskih akata kako bi znali točne obveze. Ovo je svakako pozitivan razvoj, s obzirom na to da trenutno stanje kibernetičke sigurnosti u Republici Hrvatskoj ukazuje na značajan prostor za unaprjeđenje, kako u zakonodavnim okvirima, tako i u implementaciji najnovijih sigurnosnih tehnologija, istaknuo je Bajtl iz HUP-ICT-a.
U zadnjih par godina ulaganja u kibernetičku sigurnost u hrvatskim kompanijama su se višestruko povećala, međutim ako uzmemo u obzir rizike kojima smo svakodnevno izloženi to je još uvijek nedovoljno da bi mogli mirnije spavati, smatra Dario Rajn, Chief Information Security Officer Podravke.
Imamo donekle olakšavajuću okolnost da Hrvatska nije u grupi zemalja koje su najviše izložene globalnim kibernetičkim izazovima. U korporativnom svijetu najveći rizik je svakako ransomware napad, a zaposlenici najčešće ne znaju da neodgovornim ponašanjem mogu omogućiti neovlašten upad u informacijski sustav koji posljedično može završiti upravo ransomware napadom i prekidom poslovanja kompanije. Kontinuiranom edukacijom podizanja svijesti kod zaposlenika osiguravamo kontinuitet poslovanja kompanije, istaknuo je.
Do kraja 2024. direktiva će biti implementirana u domaće zakonodavstvo, rok je 17. listopada 2024., potom do 2026. slijede analize i dopune, a tek početkom 2027. slijedi nadzor implementacije. Tvrtke će imati dovoljno vremena za prilagodbu prije početka nadziranja, podsjetio je još jednom Aleksandar Raić iz Sigurnosno obavještajne agencije (SOA).
Jako je važno odvojeno držati voditelje IT sigurnosti od voditelja IT odjela s obzirom na fokus internih ulaganja kompanija. Elektronički novac vidim kao dobru priliku, a ne prijetnju. Banke su već sada vrlo digitalizirane pa nam neće donijeti velike promjene, za nas će to biti jedan u nizu novih proizvoda. Banke u cijeloj Europskoj uniji pa tako i u Hrvatskoj već dugi niz godina ulažu značajna sredstva u digitalizaciju svojih proizvoda i usluga istovremeno vodeći računa o najvišim sigurnosnim standardima. Sigurnost digitalne imovine nužan je uvjet daljnjeg razvoja jer je to ipak glavna usluga koju potrošači trebaju imati, smatra Milan Parat, predsjednik Odbora za sigurnost HUB-a.
Apsolutna sigurnost ne postoje – pitanje je samo kad će i vaš sustav biti meta napada, zato je važno implementirati smjernice NIS2 direktive koje će pomoći kompanijama podići nivo sigurnosti na bolju razinu i tako spriječiti ugroze, naglasio je Jambrak.
Marko Gulan iz Schnider Electrica istaknuo je da bi se tvrtke i organizacije već danas trebale početi pripremati za ono što ih čeka u budućnosti.
Bilo koju tehnologiju da koristite u moralnom smjeru, možete i u nemoralnom Već danas moramo razmišljati o tome kako ćemo se štiti od napada iza kojih će stajati kvantno računalo, istaknuo je Gulan.
Svi se slažu da je kibernetička sigurnost jedan od glavnih elemenata nacionalne sigurnosti. Na koji način ćemo kao zemlja u nju ulagati postaje pitanje dugoročne otpornosti domaćeg gospodarstva i infrastrukture. Kibernetičkih napada je sve više, a da bi se oni spriječili, nije dovoljno samo ulaganje u tehnologiju, već i u ljude koji će tu tehnologiju koristiti te s obzirom na značajan manjak IT stručnjaka u zemlji, rješenje koje će polučiti najviše rezultata je u dodatnoj edukaciji postojećih IT specijalista te njihovoj prekvalifikaciji u područje kibernetičke sigurnosti – zaključeno je na konferenciji.
