Kibernetička sigurnost više nije nešto o čemu moraju razmišljati drugi, već postaje obavezan dio kako poslovnog tako i privatnog života. Nova Uredba o kibernetičkoj sigurnosti dodatno uvodi obaveze koje će tvrtke morati poštovati kako bi se ojačala kibernetička sigurnost, no za mnoge je ona i dalje velika nepoznanica.
Stoga se na konferenciji o kibernetičkoj sigurnosti, koja se održala na Sveučilištu Algebra, razgovaralo o globalnoj potrebi za dizanjem kompetencija i prekvalifikaciji te dodatnoj edukaciji stručnjaka u području kibernetičke sigurnosti. Na konferenciji su se okupili stručnjaci i predstavnici industrije, koji su zajednički razmijenili iskustva, znanja i perspektive o novim zakonskim okvirima koji reguliraju kibernetičku sigurnost.
U utorak 8. 10. 2024. Uredba o kibernetičkoj sigurnosti koja se donosi temeljem Zakona o kibernetičkoj sigurnosti objavljena je na e-Savjetovanju. Njome su, između ostalog, propisana mjerila za kategorizaciju subjekata i mjere odnosno kontrole koje će obveznici morati implementirati, kao i kriteriji za obavještavanje o važnim incidentima. U tom procesu, nakon što subjekte nadležno tijelo obavijesti kojoj kategoriji pripadaju i koje se mjere na njih primjenjuju, vrlo je bitno razumijevanje opsega implementacije pojedinih mjera uz prethodno provođenje procjene (gap analize) trenutačne razine zrelosti primijenjenih mjera i onih koje pojedini poduzetnik treba primijeniti uz planiranje adekvatnog budžeta za implementaciju pojedinih mjera.
S obzirom na stalni napredak tehnologije cyber-prijetnje postaju sve sofisticiranije i teže ih je prepoznati. Današnji napadi mogu uključivati visoko sofisticirane metode poput 'zero-day' eksploita, koji koriste ranjivosti u softveru koje još nisu poznate niti otklonjene od strane proizvođača. Osim toga, koristi se i napredni phishing, koji cilja specifične pojedince kroz prilagođene poruke koje izgledaju izuzetno uvjerljivo. Tehnike socijalnog inženjeringa također su napredovale; napadači provode temeljite pripreme kako bi svoje metode učinili što efikasnijima. Najveće prijetnje i dalje nam dolaze od samih ljudi koji nisu dovoljno educirani pa čine greške, istaknuo je uvodno Robert Petrunić, predavač na novopokrenutom Studiju kibernetičke sigurnosti Sveučilišta Algebra.
Irena Weber, glavna direktorica HUP-a, u uvodnoj je riječi naglasila perspektivu poduzetnika u digitalnoj transformaciji i razvitku kibernetičke sigurnosti.
Više se o kibernetičkoj sigurnosti ne razmišlja samo u sklopu IT sektora, već puno šire. HUP je sudjelovao u izradi zakona kako bi pomogao kompanijama i cijelom gospodarstvu. Odredbe pomažu poduzetnicima da prilagode poslovanje i osiguraju sigurnu digitalnu budućnost za sve. Novi zakon o kibernetičkoj sigurnosti donosi brojne obveze, ali i mogućnosti. Uvođenjem veće razine sigurnosti naše kompanije imaju priliku osigurati povjerenje klijenata te postati konkurentnije na globalnom tržištu. Zakon nam daje svima mogućnosti za daljnji rast, a ova konferencija i dodatne edukacije na temu kibernetičke sigurnosti velik su i važan korak u dobrom smjeru te vjerujem da će osigurati sigurnu budućnost za sve nas, rekla je Weber.
Zakonom o kibernetičkoj sigurnosti 15. veljače uspostavljena je funkcionalnost središnjeg državnog tijela za kibernetičku sigurnost, čije će zadaće obavljati SOA te će se u te svrhe postojeći Centar za kibernetičku sigurnost SOA-e transformirati u Nacionalni centar za kibernetičku sigurnost (NCSC-HR). Tom se prigodom Aleksandar Klaić iz Centra za kibernetičku sigurnost SOA-e osvrnuo na otkrivanje, rano upozorenje i zaštitu od kibernetičkih napada te predstavio plan razvitka i osvještavanja šire populacije o kibernetičkoj sigurnosti.
Zbog ozbiljnosti cijelog procesa treba sve popratiti na novi organizacijski način, u kojem će nam pomoći doneseni zakon. SOA će se u narednim tjednima i mjesecima fokusirati na srž problema koji se događa u kibernetičkoj sigurnosti u svijetu, odnosno na nedovoljnu svijest o rizicima kibernetičke sigurnosti. Doduše, to ne vrijedi samo za Hrvatsku ili EU, već za većinu država svijeta, započeo je Klaić.
Moramo sagledati cijeli regulativni okvir. Čeka nas velik posao, no rokovi su liberalno postavljeni, ne kako ne bismo radili, nego kako bismo razvili kulturu upravljanja rizicima te kako bismo podigli razinu zrelosti kibernetičke sigurnosti u svim ključnim segmentima, bili oni državni ili privatni subjekti, objasnio je i dodao da MORH i MUP daju potporu. Naime, MORH ima važnu ulogu vojnog, odnosno obrambenog dijela, a MUP suzbija kibernetički kriminal.
Proces mora završiti u travnju 2025. godine jer tada moramo imati inicijalni popis za Europsku komisiju. Inicijalna kategorizacija bit će provedena najkasnije do ožujka 2025., do tada ćete primiti obavijest o kategorizaciji i tada kreću obveze za poduzetnike. Nakon travnja 2025. slijedi implementacija mjera u subjektima u roku od godinu dana. Imali ste godinu dana za proučavanje Zakona i sad imate još godinu dana za provedbu mjera. Rokovi nisu jako nategnuti, nego su liberalni jer očekujemo partnerski odnos cijelog društva. Mjere i kazne moraju biti propisane jer zakon nije ništa nego sigurnosna politika, poručio je Klaić okupljenim poduzetnicima te dodao da će, ako se navedene mjere ne provedu, rast gospodarstva biti nemoguć.
Krešimir Šipek iz Zavoda za sigurnost informacijskih sustava govorio je o provedbi samoprocjene kibernetičke sigurnosti. Samoprocjena kibernetičke sigurnosti u ključnim subjektima može se provoditi kao priprema za provedbu revizije kibernetičke sigurnosti. Potrebno ju je provoditi najmanje jednom u dvije godine uz pomoć internih resursa ili vanjskih pružatelja usluga. Samoprocjena je ključna za uspostavljanje sustavnog upravljanja rizikom na razini organizacije, boljeg poznavanja i zaštite vlastite IT infrastrukture te razvijanja svijesti o kibernetičkoj sigurnosti kod zaposlenika, ali i jačanja otpornosti čitavog digitalnog društva, što je jedna od ključnih stavki direktive NIS2.
Marina Dimić Vugec iz Nacionalnog CERT-a pojasnila je ulogu Pixi platforme, preko koje se prijavljuju incidenti, prijetnje te razmjenjuju informacije na nacionalnoj i europskoj razini, te istaknula da je osnovni cilj novog Zakona usklađenje razine otpornosti zemalja članica EU-a na kibernetičke prijetnje.
Na panelu o vještinama sudjelovali su Ivona Loparić, konzultantica za informacijsku sigurnost u Divertu; Goran Car, izvršni direktor u Combisu; Andro Galinović, izvršni direktor za sigurnost informacijskih sustava u Infobipu; Bruno Pavić, stručnjak za sigurnost i obavještajna pitanja u ProForci i Robert Petrunić, predavač na novopokrenutom Studiju kibernetičke sigurnosti Sveučilišta Algebra.
Ključna riječ je interdisciplinarost, što znači osnaživanje soft skillsa uz ove tehničke vještine. Na staroj slavi se ne može živjeti u cybersecurityu, nužno je svakodnevno podizati znanja i kompetencije. Zato smo u okviru Sveučilišta Algebra pokrenuli novi, prvi u Hrvatskoj studij kibernetičke sigurnosti, koji je ove godine upisala prva generacija studenata i koji će uskoro izlaziti na tržište rada, kazao je Petrunić.
Na panelu je zaključeno da je potrebno prvo educirati šire društvo, zatim predstavnike industrije, a naposljetku i same cyber-stručnjake jer danas je jasno da je nužno obratiti puno veću pažnju tom području. Redoviti trening i edukacija o najnovijim sigurnosnim prijetnjama, kao i implementacija naprednih sigurnosnih rješenja, poput ponašajne analize i umjetne inteligencije za detekciju anomalija u mrežnom prometu, ključni su za obranu od sofisticiranih napada.
Na temu Sigurnosnih kontrola i tehnologija u kibernetičkoj sigurnosti sudjelovali su na panelu Tamara Hađina, voditeljica istraživačkih projekata u Končaru; Boris Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost; Jurica Čular, stručnjak za informacijsku sigurnost u Infobipu; Saša Jusić, viši konzultant za informacijsku sigurnost u Infigu i Sven Škrgatić, rukovoditelj korporativne sigurnosti u A1.
U postupku uvođenja metodologije kontrole rizika kibernetičke sigurnosti ljudi su najvažniji, potrebna im je edukacija na općoj razini, da znaju prepoznati ugroze i na adekvatan način odgovoriti jer to nije intuitivno, zato je dobro da govorimo o ovoj temi i na današnjem eventu. Uredba je i prije nego što je usvojena polučila je velik uspjeh jer se puno priča o kibernetičkoj sigurnosti, što je svakako jedan od ciljeva, kazao je Boris Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost.