Kako bi se sigurnosne mjere iz Zakona o kibernetičkoj sigurnosti, ali i iz srodne uredbe koja je do 23. listopada u javnoj raspravi, učinkovito primijenile u poslovanju, tvrtkama je ključno odrediti osobu unutar organizacije odgovornu za kibernetičku sigurnost.
Pogotovo u segmentu operativne tehnologije, odnosno sustava automatizacije. Istaknula je to Tamara Hađina, Končarova voditeljica istraživačkih projekata na panelu “Sigurnosne kontrole i tehnologije u kibernetičkoj sigurnosti” u okviru konferencije “Zakon i red u digitalnom prostoru: Izazovi primjene Zakona o kibernetičkoj sigurnosti”.
Prva mjera, prvi problem
“U prilogu II. uredbe imamo 13 mjera, a prva se odnosi na organizaciju i podjelu odgovornosti unutar poduzeća. Već u prvoj mjeri nailazimo na problem – ne znamo tko je naš sugovornik. Kritičan sektor u RH ima ured za korporativnu sigurnost, IT odjel, a unutar IT-ja dio za kibernetičku sigurnost i dio za automatizaciju.
Ako želim razgovarati s osobom koja je zadužena za kibernetičku sigurnost u automatizaciji ta osoba ne postoji. Kad jasno odredimo odgovornu osobu, ostale mjere ćemo lakše provesti”, istaknula je Hađina.
U raspravi su sudjelovali i Boris Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost, Jurica Čular, stručnjak za informacijsku sigurnost pri Infobipu, Saša Jusić, viši konzultant za informacijsku sigurnost iz Infiga te Sven Škrgatić, rukovoditelj korporativne sigurnosti iz A1.
Izbjeći lošu regulativu
Konferenciju je organiziralo Sveučilište Algebra u suradnji s Combisom, A1 Hrvatska, Hrvatskom udrugom poslodavaca te drugim partnerima.
“Unatoč izazovima u primjeni, uredba je razumno i dobro napisana, što nije slučaj s uredbama i regulatorima u drugim zemljama”, kaže Jurica Čular iz Infobipa koji je u okviru HUP-a bio i uključen u proces njezina pisanja.
“Regulatorni zahtjevi često budu jako loše napisani pa nam je bio izazov uskladiti se s takvim uredbama. Na primjer, jedan financijski regulator iz neeuropske zemlje zahtijeva da banka prije potpisivanja ugovora s trećom stranom, što smo iskusili na vlastitoj koži, mora imati izvješće o penetracijskom testiranju ne starije od tri mjeseca. U tom slučaju imamo samo tri mjeseca unutar kojih možemo ugovarati poslove s bankama”, navodi Čular.
Dakle, smisao uredbe je partnerska i fleksibilna provedba koja neće kočiti poslovne procese, nadaju se panelisti. “Postoje mjere koje su obvezne, obavezne uz uvjet i one koje su preporučene. Svrha nije plaćati kazne već primijeniti ono što će pomoći svima, bez nerealnih zahtjeva koji će onemogućavati poslovanje, umjesto da ga pospješuju”, smatra Boris Bajtl.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu