Kada govorimo o digitalnoj transformaciji, ne možemo zanemariti pitanje kibernetičke sigurnosti. Koliko je hrvatski realni sektor uopće svjestan opasnosti koje se kriju iza ekrana bila je tema zadnjeg okruglog stola na jučer održanom Liderovom G.R.I.D. forumu, a zaključak je bio da svjesnost o kibernetičkoj sigurnosti raste, iako na tome još treba raditi, pri čemu u osvješćivanju pomažu direktiva NIS2 (odnosno novi Zakon o kibernetičkoj sigurnosti) i uredba DORA (Akt o digitalnoj otpornosti).
Bojan Ždrnja, glavni tehnološki direktor u tvrtki Infigo, istaknuo je da njegov tim koji rješava kibernetičke incidende od studenoga prošle godine praktički nije imao slobodan vikend.
– Regulative dižu osviještenost, ali još uvijek bih rekao da svjesnost o važnosti kibernetičke sigurnosti nije na razinama na kojima bi trebala biti – rekao je Ždrnja.
Sličan dojam ima i Zlatan Morić, direktor odjela za kibernetičku sigurnost na Sveučilištu Algebra, istaknuvši da ne pozna menadžera koji na kibernetičku sigurnost gleda kao nužnost, nego ju svi smatraju troškom.
– Fokus novog Zakona o kibernetičkoj sigurnosti je analiza rizika. U Hrvatskoj vidim jedan veliki izazov, jer je za analizu rizika potrebno znati upravljati imovinom, a 99 posto tvrtki ne zna što ima od imovine. Kako ona napraviti analizu rizika nad nečime što niti ne znaš da imaš u tvrtki? Incidenti se najčešće događaju na sustavima koji tvrtki niti ne trebaju nego ostaju upaljeni, ne održavaju se kako treba, a hakerima je to dovoljno da upadnu u sustav i dođu do podataka – objasnio je Morić.
Ide na bolje, ali presporo
Pozitivnim pomaka ipak ima, dodao je Ždrnja.
– Devedeset posto naših klijenata dolazi iz financijske industrije koja je regulirana i mora se pobrinuti za kibernetičku sigurnost. U zadnjih pet do šest godina mogu reći da se ta struktura mijenja, više je razumijevanja i iz drugih sektora, vjerojatno zbog incidenata koji su se dogodili i regulativa. Ide na bolje, ali presporo – mišljenja je Ždrnja.
Da u privatnom sektoru mora postojati više sluha za kibernetičku sigurnost rekao je Robert Preskar, direktor odjela sigurnosnih rješenja u ASEE–u, koji razlikuje svjesnost malih i velikih tvrtki.
– Izloženije tvrtke su itekako svjesnije napada i rade na otklanjanju i preveniranju, dok SME sektor tome još uvijek ne pridaje dovoljno pažnju te vjerojatno neće dok to ne postane prava prijetnja – dodao je Preskar, uz napomenu da su najslabija karika trenutno ljudi, odnosno ‘nepoštivanje zdravog razuma‘ u svakodnevnom radu i ponašanju.
Budžeti za kibernetičku sigurnost obično su mali prije incidenta, nakon kojega rastu, kaže Preskar. No nažalost, kako je napomenuo Ždrnja, ima slučajeva kada se velika količina novca ‘ulupa‘ u neku tehnologiju koju je dobro imati, ali nije sve u samoj tehnologiji.
– Ključna stvar je strategija, procjena rizika, odluka gdje treba investirati i koliko da se dobije odgovarajuća razina sigurnosti. Osim tehnologije, upravo je ljudska snaga ono u što trebamo ulagati i u tome kaskamo za ostalima – dodao je Ždrnja.
Nedostatak stručnjaka
Algebra pak obrazuje stručnjake za kibernetičku sigurnost, no generalno nam u IT–ju nedostaje ljudi, rekao je Morić, objasnivši zašto se manji broj IT–jevaca odlučuje za karijeru u kibernetičkoj sigurnosti.
– U kibernetičku sigurnost ljudi ne idu radi novaca nego jer žele nove stvari i izazove, a veličina truda je veća poslova programera i sistem inženjera. To je glavni razlog zašto kod nas, ali i u cijelom svijetu, nema dovoljno stručnjaka za kibernetičku sigurnost – pojasnio je Morić.
Na kraju okruglog stola, kojega je moderirala Liderova novinarka Ksenija Puškarić, sudionici su se složili da danas hakeri napadaju tvrtke koje su najlakša meta, zbog čega su tvrtke obvezne raditi na osvješćivanju zaposlenika i to bi trebao biti dio sigurnosne politike.
