Počela kategorizacija kibernetičke sigurnosti, bliži se važan rok

Prvi zahtjevi Zakona o kibernetičkoj sigurnosti počeli su obvezivati poduzetnike. Obavijesti o kategorizaciji tvrtki kao ‘ključnih‘ ili ‘važnih‘ subjekata kibernetičke sigurnosti posljednjih tjedana pristižu u sandučiće hrvatskih tvrtki, čime zaštita digitalne infrastrukture postaje mnogo ozbiljnija. Na snazi je od prošle godine direktiva Europske unije NIS2, odnosno u Hrvatskoj Zakon o kibernetičkoj sigurnosti, o čemu sada redovito i sustavno mora brinuti mnogo veći broj tvrtki nego što je bio do sada slučaj.

Zanimljivo, Hrvatska je među rijetkim članicama Europske unije koja je unutar zadanog roka transponirala NIS2 direktivu u nacionalni zakon, ističe to Marko Gulan, konzultant za kibernetičku sigurnost i vlasnik tvrtke Astera Advisory, pa su obveze za tvrtke u pogledu sigurnosnih informacijskih rješenja već počele. Naime, prvi važan rok ističe već – idući tjedan.

– Novi Zakon o kibernetičkoj sigurnosti i pripadajuća Uredba već su na snazi, a trenutno se provodi proces kategorizacije i usklađivanja poslovanja tvrtki koje spadaju pod ovaj zakon. Najbliži ključni rok je 5. svibnja 2025., do kada obveznici moraju uspostaviti sustav izvještavanja o incidentima prema nacionalnoj platformi – kaže Gulan.

Najkritičnija faza

Neke od obveza su, primjerice, imenovanje odgovornih osoba za kibernetičku sigurnost, izrada i vođenje procjene rizika, izradua planova za odgovor na incidente, upravljanje kontinuitetom poslovanja, provođenje revizija IT sustava i edukaciju, postavljanje tehničkih rješenja za sigurnost dobavnih lanaca, kriptografiju te inventarizaciju mrežne i sklopovske imovine. Mnogo je to novih zahtjeva, pogotovo za mala i srednja poduzeća koja često imaju ograničena znanja o kibernetičkoj sigurnosti i financijske mogućnosti za njezino očuvanje, dok se velike kompanije, pogotovo iz financijskog i tehnološkog sektora, već duže i bolje snalaze s tim. Međutim, kibernetička sigurnost odavno nije briga samo za ‘velike‘. Sa sve sofisticiranijim napadima hakera, najveća je pogreška vjerovati da se to nama neće dogoditi.

– Za mnoge subjekte, pogotovo one s ograničenim resursima, vremenski okvir je već sada vrlo izazovan. Usklađivanje sa Zakonom nije opcija, već zakonska obveza, i to sa značajnim reputacijskim i financijskim posljedicama u slučaju nepoštivanja – naglašava Gulan.

Zakon o kibernetičkoj sigurnosti nije samo formalnost, već pokreće vrlo konkretne rokove za usklađivanje, napominje Krešimir Filla, savjetnik za kibernetičku sigurnost u Combisu. Trenutno smo u najkritičnijoj fazi kategorizacije subjekata, kaže.

– Za tvrtke koje su kategorizirane, obveze su jasne – 30 dana od primitka obavijesti moraju početi obavještavati nadležna tijela o značajnim sigurnosnim incidentima. No još je važniji rok od 12 mjeseci za potpuno usklađivanje sa Zakonom. Za one koji još nisu kategorizirani, pripreme bi trebale početi odmah, jer jednom kad rješenje stigne, sat počinje otkucavati, a godina dana za implementaciju ovih promjena zapravo je vrlo kratak rok – upozorava Filla.

Mjere za usklađivanje nisu samo tehničke; kreću se od upravljanja sigurnošću opskrbnog lanca, uspostave jakih mehanizama prijavljivanja, razvoja procesa upravljanja incidentima, osiguranja kontinuiteta poslovanja i uspostave sigurnosti mreža, do jasno definiranih odgovornosti upravljačkih tijela i programa podizanja svijesti zaposlenika. Upravo je svijest zaposlenika o kibernetičkim rizicima u Hrvatskoj vrlo bitna, jer ljudski faktor i dalje ostaje najslabija karika.

Ne događa se drugima

Posljednji su hakerski napadi u Hrvatskoj razbili iluziju da se to događa ‘drugima‘, potvrđuje Robert Preskar iz ASEE-a Hrvatska.

– Broj napada sigurno i mnogo veći te tvrtke uočavaju potrebu za implementacijom sigurnosnih rješenja, osobito u kontekstu novih regulatornih zahtjeva. Iako je do sada svijest bila najizraženija unutar financijskog sektora, jasno je da se taj okvir sada širi i na druge industrije koje su ključne za društveno-ekonomsko funkcioniranje – energetiku, zdravstvo, promet, pa i javnu upravu – dodaje Preskar.

Unatoč pomacima, u praksi se i dalje odgađa implementacija obveznih mjera, često zbog percipirane kompleksnosti ili manjka kapaciteta.

– Ljudski faktor ostaje jedan od najvećih izazova – zaposlenici su često nedovoljno educirani i nesvjesni svoje uloge u sigurnosnom lancu. Također, mnoga poduzeća još uvijek nemaju adekvatno razrađene planove kontinuiteta poslovanja niti sustave za prijavu incidenata, što su ključni zahtjevi nove regulative. NIS2 donosi i novu razinu odgovornosti za uprave tvrtki, koje su osobno odgovorne za sigurnosne propuste, čime se sigurnost dodatno podiže na stratešku razinu – kaže Preskar.

Gulan primjećuje da se, iako je od 2020. vidljiv pozitivan pomak u percepciji važnosti kibernetičke sigurnosti, promjena često zaustavlja na razini teorije.

– Sigurnost se delegira IT-ju, iako je riječ o strateškom pitanju upravljanja rizicima koje zahtijeva involviranost pravne službe, financija, uprave i poslovnog planiranja. Najopasnija zabluda je osjećaj lažne sigurnosti – primjerice, oslanjanje na sigurnosne kopije, iako napadači često prvo ciljaju upravo backup sustave. Ključni rizik je i dalje nedostatak jasne i ažurne evidencije imovine. Ako ne znamo što štitimo, ne možemo učinkovito upravljati rizicima

Filla naglašava da svijest o kibernetičkoj sigurnosti u Hrvatskoj definitivno raste, ponajviše zahvaljujući aktivnostima nadležnih tijela i donošenju Zakona. No, još uvijek je prisutna pogrešna percepcija da je kibernetička sigurnost ‘IT problem‘, a ne strateško pitanje za cijelu organizaciju.

Najveće prijetnje i najranjiviji sektori

Prema izvješću SOA-e, posljednjih mjeseci bilježi se značajan porast broja državno-sponzoriranih i drugih naprednih kibernetičkih napada u Hrvatskoj, a trend će se, procjenjuje se, nastaviti. Napadi nisu usmjereni samo na državni sektor, već i na kritičnu infrastrukturu – energetiku, prijevoz, zdravstvo. Lovre Gabrilo, specijalist za kibernetičku sigurnost u Microsoftu, dodaje da prema Microsoft Digital Defense Reportu za 2024. korisnici bilježe čak 600 milijuna napada dnevno. Državno sponzorirani napadi najčešće ciljaju IT sektor, obrazovne i istraživačke institucije te vladine sustave.

– Najzastupljeniji su ransomware, malware, botovi i crvi, a ulazište su kompromitirani emailovi, zaraženi USB-ovi ili nesiguran softver s interneta. Poseban oblik prijetnje je DDoS napad koji zatrpava sustave prometom, uzrokujući prekide rada i štetu. Sve su češći i napadi na operativnu tehnologiju koja upravlja ključnom infrastrukturom poput opskrbe vodom i strujom. Uz to, kibernetički kriminalci motivirani zaradom koriste tzv. dvostruku ucjenu – traže plaćanje za dekripciju podataka i dodatno za neobjavljivanje ukradenih podataka. Često im je primarni cilj upravo krađa podataka – objašnjava Gabrilo.

U porastu su i napadi lažnim predstavljanjem osoba i brendova, osobito u sektorima softvera, financija, maloprodaje i zabave, a glavni cilj su nezaštićeni digitalni identiteti – 99 posto takvih napada usmjereno je na krađu ili probijanje zaporki.

Najviše su rizicima izloženi zaposlenici odjela koji barataju s novčanim transferima – tipično odjel nabave, pogotovu proizvodnih tvrtki te financije. Svi zaposlenici koji svakodnevno barataju informacijama, pristupaju sustavima i komuniciraju s vanjskim partnerima, dodaje Preskar.

– Implementacija višefaktorske autentifikacije (MFA), sustava za upravljanje identitetima (IAM), kao i pristup “zero trust” modelu dodatno smanjuju mogućnosti za grešku i značajno povećavaju razinu zaštite. Ipak, bez uključenosti i svijesti samih zaposlenika, niti jedno tehničko rješenje nije dovoljno. Stoga je kombinacija edukacije, procesa i tehnologije ključna za učinkovitu zaštitu – zaključuje Preskar.

Stručnjak u svakoj tvrtki – da ili ne?

Na pitanje treba li svaka tvrtka imati stručnjaka za kibernetičku sigurnost Gabrilo poručuje – apsolutno da, s obzirom na činjenicu da su sve tvrtke u većoj ili manjoj mjeri digitalizirane te na današnje kibernetičke ugroze.

– Za subjekte na koje se odnosi Direktiva NIS2 i Zakon o kibernetičkoj sigurnosti, iako to nije izrijekom navedeno, iz obaveza je jasno da je takva funkcija prijeko potrebna. Ono što je bitno za naglasiti, to nije informatička ili tehnička funkcija, već upravljačka koja bi trebala odgovarati direktno poslovodstvu kompanije – kaže Gabrilo, dodajući da na taj način tvrtke mogu brže reagirati.

Zakonski gledano, kategorizirane tvrtke moraju imenovati odgovornu osobu za sigurnost i osigurati provedbu sigurnosnih mjera, dodaje Gulan.

– No i izvan zakonskog okvira, poslovno gledano, svaka ozbiljna tvrtka, neovisno o veličini, treba imati internu ili eksternu stručnu osobu koja će redovito analizirati rizike, pratiti trendove ugroza i revidirati sigurnosnu strategiju. Ako kao tvrtka štitimo imovinu, strojeve, ugovore, potraživanja i novac, kibernetička imovina ne smije biti izuzetak. Prepuštanje sigurnosti slučaju danas je ekvivalent poslovnom nemaru s nesagledivim posljedicama – zaključuje Gulan.