11.10.2024.
U utorak 8.10.2024. Uredba o kibernetičkoj sigurnosti
koja se donosi temeljem Zakona o kibernetičkoj sigurnosti objavljena je na
e-savjetovanju. Njome su, između ostalog, propisana mjerila za
kategorizaciju subjekata i mjere odnosno kontrole koje će obveznici morati
implementirati kao i kriteriji za obavještavanje o važnim incidentima. U
tom procesu, nakon što subjekti budu od nadležnog tijela obaviješteni kojoj
kategoriji pripadaju i koje se mjere na njih primjenjuju, vrlo je bitno
razumijevanje opsega implementacije pojedinih mjera uz prethodno provođenje
procjene (gap analize) trenutne razine zrelosti primijenjenih mjera i onih koje
pojedini poduzetnik treba primijeniti uz planiranje adekvatnog budžeta za
implementaciju pojedinih mjera.
„S obzirom na stalni napredak tehnologije, cyber
prijetnje postaju sve sofisticiranije i teže ih je prepoznati. Današnji napadi
mogu uključivati visoko sofisticirane metode poput 'zero-day' eksploita,
koji koriste ranjivosti u softveru koje još nisu poznate niti otklonjene od
strane proizvođača. Osim toga, koristi se i napredni phishing koji cilja
specifične pojedince kroz prilagođene poruke koje izgledaju izuzetno
uvjerljivo. Tehnike socijalnog inženjeringa također su napredovale; napadači
provode temeljite pripreme kako bi svoje metode učinili što efikasnijima. Najveće
prijetnje nam i dalje dolaze od samih ljudi koji nisu dovoljno educirani pa
čine greške“ – istaknuo je uvodno Robert Petrunić, predavač na novopokrenutom Studiju kibernetičke sigurnosti
Sveučilišta Algebra.
Ireni Weber, glavnoj direktorici HUP-a, pripala je čast otvoriti današnju konferenciju, a u
uvodnoj je riječi naglasila perspektivu poduzetnika u digitalnoj transformaciji
i razvitku kibernetičke sigurnosti: „Više se o kibernetičkoj sigurnosti
ne razmišlja samo u sklopu IT sektora, već puno šire. HUP je sudjelovao u
izradi zakona kako bi pomogli kompanijama i cijelom gospodarstvu. Odredbe
pomažu poduzetnicima da prilagode poslovanje i osiguraju sigurnu digitalnu
budućnost za sve. Novi zakon o kibernetičkoj sigurnosti donosi brojne obveze,
ali i mogućnosti. Uvođenjem veće razine sigurnosti, naše kompanije imaju
priliku osigurati povjerenje klijenata te postati konkurentnije na globalnom
tržištu. Zakon nam daje svima mogućnosti
za daljnji rast, a ova konferencija i dodatne edukacije na temu kibernetičke
sigurnosti su velik i važan korak u dobrom smjeru te vjerujem da će osigurati
sigurnu budućnost za sve nas“ – rekla je Weber.
Zakonom o kibernetičkoj sigurnosti, 15. veljače, uspostavljena je funkcionalnost središnjeg
državnog tijela za kibernetičku sigurnost, čije zadaće će obavljati SOA, te će
se u te svrhe postojeći Centar za kibernetičku sigurnost SOA-e
transformirati u Nacionalni centar za kibernetičku sigurnost (NCSC-HR).
Ovom se prigodom Aleksandar Klaić, iz Centra za kibernetičku sigurnost
SOA-e osvrnuo na otkrivanje, rano upozorenje i zaštitu od kibernetičkih
napada te predstavio plan razvitka te osvještavanja šire populacije o
kibernetičkoj sigurnosti.
- Zbog ozbiljnosti cijelog procesa, treba sve popratiti
na novi organizacijski način u kojem će nam pomoći doneseni zakon. SOA će se u
narednim tjednima i mjesecima fokusirati na srž problema koji se događa u
kibernetičkoj sigurnosti u svijetu, odnosno, nedovoljna svijest o rizicima
kibernetičke sigurnosti. Doduše, to ne vrijedi samo za Hrvatsku ili EU, već o
većini država svijeta – započeo je Klaić.
- Moramo sagledati cijeli regulativni okvir. Čeka nas
veliki posao, no rokovi su liberalno postavljeni, ne zato kako ne bi radili,
nego kako bi razvili kulturu upravljanja rizicima te kako bi podigli razinu
zrelosti kibernetičke sigurnosti u svim ključnim segmentima, bili oni državni
ili privatni subjekti – objasnio je i dodao da MORH i MUP daju potporu. Naime,
MORH ima važnu ulogu vojnog, odnosno, obrambenog dijela, a MUP suzbija
kibernetički kriminal.
- Proces mora završiti u travnju 2025. godine jer tada
moramo imati inicijalni popis za Europsku komisiju. Inicijalna kategorizacija
bit će provedena najkasnije do ožujka do 2025., do tada ćete primiti obavijest
o kategorizaciji i tada kreću obveze za poduzetnike. Nakon travnja 2025.
slijedi implementacija mjera u subjektima u roku od godinu dana. Imali ste
godinu dana za proučavanje Zakona i sad imate još godinu dana za provedbu
mjera. Rokovi nisu jako nategnuti nego su liberalni jer očekujemo partnerski odnos
cijelog društva. Mjere i kazne moraju biti propisane jer zakon nije ništa nego
sigurnosna politika – poručio je Klaić okupljenim poduzetnicima, dodajući da,
ako se navedene mjere ne provedu, rast gospodarstva bit će nemoguć.
Krešimir Šipek iz Zavoda za sigurnost informacijskih sustava govorio
je o provedbi samoprocjene kibernetičke sigurnosti. Samoprocjena kibernetičke
sigurnosti u ključnim subjektima može se provoditi kao priprema za provedbu
revizije kibernetičke sigurnosti. Potrebno ju je provoditi najmanje jednom u
dvije godine uz pomoć internih resursa ili vanjskih pružatelja usluga.
Samoprocjena je ključna za uspostavljanje sustavnog upravljanja rizikom na
razini organizacije, boljeg poznavanja i zaštite vlastite IT infrastrukture te
razvijanja svijesti o kibernetičkoj sigurnosti kod zaposlenika, ali i jačanja
otpornosti čitavog digitalnog društva što je jedna od ključnih stavki NIS2
direktive.
Marina Dimić Vugec iz Nacionalnog CERT-a pojasnila je ulogu Pixi platforme preko koje se
prijavljuju incidenti, prijetnje te razmjenjuju informacije na nacionalnoj i
europskoj razini te istaknula da je osnovni cilj novog Zakona usklađenje razine
otpornosti zemalja članica EU na kibernetičke prijetnje.
Na panelu o vještinama sudjelovali
su Ivona Loparić, konzultantica za informacijsku sigurnost, Diverto; Goran
Car, izvršni direktor, Combis; Andro Galinović, izvršni direktor za
sigurnost informacijskih sustava, Infobip; Bruno Pavić, stručnjak za
sigurnost i obavještajna pitanja, ProForca i Robert Petrunić, predavač na novopokrenutom Studiju kibernetičke
sigurnosti Sveučilišta Algebra.
„Ključna riječ je interdisciplinarost što znači
osnaživanje soft skillsa uz ove tehničke vještine. Na staroj slavi se ne može
živjeti u cybersecurityu, nužno je svakodnevno podizati znanja i kompetencije.
Zato smo u okviru Sveučilišta Algebra pokrenuli novi, prvi u Hrvatskoj studij
kibernetičke sigurnosti kojeg je ove godine upisala prva generacija studenata i
koji će uskoro izlaziti na tržište rada“ – kazao je Petrunić.
Na panelu je zaključeno da je potrebno prvo educirati
šire društvo, zatim predstavnike industrije, a naposlijetku i same cyber
stručnjake jer danas je jasno da je nužno obratiti puno veću pažnju ovom
području. Redoviti trening i edukacija o najnovijim sigurnosnim prijetnjama,
kao i implementacija naprednih sigurnosnih rješenja, poput ponašajne analize i
umjetne inteligencije za detekciju anomalija u mrežnom prometu, ključni su za
obranu od sofisticiranih napada.
Na temu Sigurnosnih kontrola i tehnologija u
kibernetičkoj sigurnosti sudjelovali su na panelu Tamara Hađina,
voditeljica istraživačkih projekata, Končar; Boris Bajtl, potpredsjednik
Hrvatskog instituta za kibernetičku sigurnost; Jurica
Čular, stručnjak za informacijsku sigurnost, Infobip; Saša Jusić,
viši konzultant za informacijsku sigurnost, Infigo i Sven Škrgatić,
rukovoditelj korporativne sigurnosti, A1.
„U postupku uvođenja metodologije kontrole rizika
kibernetičke sigurnosti ljudi su najvažniji, potrebna im je edukacija, na općoj
razini, da znaju prepoznati ugroze i na adekvatan način odgovoriti jer to nije
intuitivno, zato je dobro da govorimo o ovoj temi i na današnjem eventu. Uredba
je i prije nego je usvojena polučila je velik uspjeh jer se puno priča o
kibernetičkoj sigurnosti što je svakako jedan od ciljeva“ – kazao je Boris
Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost.
„Uredbe i zakonodavni
dokumenti često budu loše napisani, što s ovom Uredbom nije bio slučaj. Često
zahtijevaju od kompanija aktivnosti koje nije moguće provesti. Jurica Čular, stručnjak za informacijsku
sigurnost, Infobip;
Treća panel rasprava pod nazivom “Tko nas
kontrolira: Izazovi i prilike za žene u kibernetičkoj sigurnosti”
fokusirala se na ulogu žena svijetu IT-a i kibernetičke sigurnosti. Pod
moderatorstvom Martine Dragičević iz telekomunikacijskog giganta A1, o poziciji
žena u ovom izazovnom sektoru raspravljale su stručnjakinje za upravljanje
sigurnošću poduzeća, ali i klijenata: Vlatka Jajetić, voditeljica Službe
za obradu kibernetičkih incidenata i upravljanje sigurnošću, CARNET/Nacionalni
CERT; Marija Portner Marinković, predstavnica Ureda Vijeća za nacionalnu
sigurnost, SOA; Antonija Vojnović, voditeljica InfoSec tima, SPAN i Blanka
Zubelj, direktorica sigurnosti, RBA.
Kibernetička sigurnost predstavlja jednu od specifičnih
i vrlo bitnih grana unutar STEM područja koje je prepoznato generalno kao
područje u kojem je također potrebno poticati žene od najranije dobi da se njime bave i da se u njemu razvijaju. Prema
riječima panelistica, prije 10 godina jako mali broj žena je bio zastupljen
u ovom području ali, na sreću, vide se pomaci i zainteresiranost žena za
ovo vrlo zanimljivo i dinamično STEM područje raste.
Poduzetnici svakako trebaju iskoristiti priliku i
prisustvovati radionicama koje provode Algebra, SOA, ZSIS i Carnet na kojima se
daju pojašnjenja oko pojedinih obveza koje slijede. Cyber
napada je sve više, a da bi se oni spriječili, nije dovoljno samo ulaganje u
tehnologiju, već i u ljude koji će tu tehnologiju koristiti te s obzirom na
značajan manjak IT stručnjaka u zemlji, rješenje koje će polučiti najviše
rezultata je u dodatnoj edukaciji postojećih IT specijalista te njihovoj
prekvalifikaciji u područje cyber sigurnosti – zaključeno je i na ovogodišnjoj
konferenciji.