Koliko bila važna, kibernetička sigurnost jedna je prilično dosadna tema. ‘Mijenjajte lozinke‘, ‘ne otvarajte sumnjive mailove‘ najčešće su asocijacije na kibernetičku sigurnost, međutim, kibernetički kriminal ozbiljna je i profitabilna aktivnost, a akteri iza kibernetičkih napada imaju ogromne resurse i znanja. Ukazao je na to Boris Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost (HIKS) i voditelj Odjela kibernetičke sigurnosti Eviden (Atos) Hrvatska, na početku svog predavanja na danas održanoj konferenciji ‘Sigurnost na prvom mjestu – sve što trebate znati o zakonskim obvezama i zaštiti od cyber napada‘, koju je organizirao HUP-ICT.
– Osim kriminalaca, postoje i državno subvencionirani akteri te se njihove sposobnosti i kapaciteti iz dana u dan povećavaju. Pitanje je kakve šanse ima jedna mala ili srednja hrvatska tvrtka da se od toga obrani. Rekao bih ništa manje od bilo koje druge tvrtke u svijetu. Svi mogu jačati otpornost svoje organizacije, a to je i cilj novog Zakona o kibernetičkoj sigurnosti i NIS2 Direktive Europske unije – rekao je Bajtl.
Naime, nakon što je Hrvatska u veljači ove godine dobila novi Zakon o kibernetičkoj sigurnosti kojim se implementira NIS2 direktiva Europske unije, trenutno se razrađuju podzakonski akti koji će definirati konkretne zahtjeve jačanja kibernetičke sigurnosti za privatni i javni sektor. Tijekom rujna se u javnoj raspravi očekuje Uredba o kibernetičkoj sigurnosti na kojoj radi Međuresorna radna skupina pod vodstvom Sigurnosno-obavještajne agencije (SOA-e) kao središnjeg državnog tijela za kibernetičku sigurnost, u koju su uključeni i stručnjaci iz Hrvatske udruge poslodavaca, a definirat će konkretne zahtjeve za kompanije ovisno o njihovoj klasifikaciji na ključne i važne subjekte, odnosno kojem sektoru pripadaju i veličini subjekta. Tim je povodom organizirana današnja konferencija o kibernetičkoj sigurnosti.
– Nikada ne postoji stopostotna kibernetička sigurnost, kao što ne postoji ni stopostotna fizička sigurnost. Napadi su često sofisticirani i nekad ih je nemoguće spriječiti. No nije ih cilj spriječiti, jer biti žrtva napada nije sramota ako je organizacija poduzela sve mjere. Više je bitno što je poduzeto nakon napada, koje koraci su se primijenili i kako se pripremilo za budućnost. Ključna sposobnost organizacija jest da se poprave i da što prije nastave s uobičajenim radom – objasnio je Bajtl, naglašavajući važnost svijesti i edukacije zaposlenika o kibernetičkoj sigurnosti.
– U novom zakonu edukacija će biti obvezna. Ulaganje u kibernetičku sigurnost nije trošak, to je dugoročno gledano ušteda jer je prevencija uvijek jeftinija od popravljanja štete. Ne čekajte zakon, ulažite u kibernetičku sigurnost i edukaciju svojih zaposlenika – zaključio je Bajtl.
Obveze, ali i prilike
Hrvatska je Zakon o kibernetičkoj sigurnosti donijela u veljači, u čemu je bila prva među državama članicama EU koja je provela NIS2 Direktivu, no on potpuno na snagu stupa 17. listopada ove godine. Međutim, do tada je još puno posla za institucije, napomenuo je Aleksandar Klaić iz Centra za kibernetičku sigurnost SOA-e.
– Jedan je transformacija internog Centra za kibernetičku sigurnost SOA-e u nacionalni centar. Drugi veliki posao jest priprema podzakonskih akata koji bi trebali biti podneseni do 17. listopada. Nakon toga slijedi proces kategorizacije ključnih i važnih subjekata, državnih i privatnih. Proces mora završiti u travnju 2025. godine jer tada moramo imati inicijalni popis za Europsku komisiju. Inicijalna kategorizacija bit će provedena najkasnije do ožujka do 2025., do tada ćete primiti obavijest o kategorizaciji i tada kreću obveze za poduzetnike. Nakon travnja 2025. slijedi implementacija mjera u subjektima u roku od godinu dana. Imali ste godinu dana za proučavanje Zakona i sad imate još godinu dana za provedbu mjera. Rokovi nisu jako nategnuti nego su liberalni jer očekujemo partnerski odnos cijelog društva. Mjere i kazne moraju biti propisane jer zakon nije ništa nego sigurnosna politika – poručio je Klaić okupljenim poduzetnicima, dodajući da, ako se navedene mjere ne provedu, rast gospodarstva bit će nemoguć.
A osim obveza, brojnim će tvrtkama Zakon o kibernetičkoj sigurnosti donijeti i nove poslovne prilike. Naime, kako je objasnio Klaić, tvrtke iz Hrvatske moći će biti u ulogama revizora NIS2 sukladnosti ili certifikatora u područjima penetracijskog testiranja, odgovora na incidente i procjene rizika u cijeloj EU, pa bi bilo dobro da naše tvrtke iskoriste te mogućnosti.
Znanja i iskustvo domaćeg ICT sektora su neprocjenjivi, dodala je Irena Weber, glavna direktorica HUP-a.
– Hrvatska ima iznimno snažan ICT sektor s preko osam tisuća poduzetnika i gotovo 55 tisuća zaposlenih, koji ne samo da se rastom i dodanom vrijednošću ističe u našoj ekonomiji, već je postao njezin katalizator. Kvalitetno regulatorno okruženje za kibernetičku sigurnost može biti novi poticaj domaćim stručnjacima za razvoj usluga koji mogu koristiti domaćim poduzetnicima, ali i koji već danas predstavljaju globalne proizvode – izjavila je Weber, naglašavajući važnost suradnje između HUP-a, Vlade i uključenih institucija u izradi regulative.
Međutim, velik je problem u svijetu, pa tako i u hrvatskoj, nedostatak stručnjaka za kibernetičku sigurnost. Na svjetskoj razini procjenjuje se da ih nedostaje čak četiri milijuna, istaknuo je to Ivan Maglić, direktor tvrtke Calisto i zastupnik tvrtke Gartnera za Hrvatsku. Dodao je da u edukaciji kadra, ali i u isključenju ljudskog faktora koji je zaslužan za 74 posto incidenata, može pomoći umjetna inteligencija.
No, prema istraživanju na reprezentativnom uzorku koje je naveo u svom izlaganju Robert Kopal, predsjednik Uprave Visokog učilišta Effectus, AI se sve više koristi u defenzivne svrhe, dok samo 8,9 posto direktora u svijetu misli da će im AI koristiti u obrani od kibernetičkih napada. Što se tiče globalnom problema nedostatka stručnjaka, Kopal je posebno naglasio da je organizacijama za kibernetičku sigurnost potreban tim stručnjaka kojega moraju činiti barem ‘sistemaš‘, analitičar i domenski stručnjak.
Uz brojne poduzetnike, stručnjake za kibernetičku sigurnost i članove akademske zajednice, konferencija je okupila i predstavnike Sigurnosno-obavještajne agencije (SOA), Hrvatske narodne banke (HNB), Hrvatske agencije za nadzor financijskih usluga (HANFA), Ministarstva gospodarstva, Hrvatske regulatorne agencije za mrežne djelatnosti (HAKOM), Zavoda za sigurnost informacijskih sustava (ZSIS) te Hrvatske akademske i istraživačke mreže (CARNET). Konferenciju je svojim dolaskom uveličao general Ivan Pokaz, izaslanik ministra hrvatskih branitelja i potpredsjednika Vlade RH Tome Medveda, koji je istaknuo važnost sagledanja pozitivnih i negativnih iskustava iz prošlih napada kako bismo iz toga naučili.
– Donošenje Nacionalnog programa za upravljanje kibernetičkim krizama koje je u tijeku bitno je jer će definirati procedure i nadležnosti u upravljanju kibernetičkim krizama do kojih može doći zbog incidenata, a njime se definira i kako to uklopiti u domovinsku i europsku sigurnost – zaključio je Pokaz.