Ove godine Hrvatska je u relativno kratkom vremenu doživjela kibernetičke napade kakve je rijetko tko mogao očekivati. Napadnute su financijske institucije, najveća bolnica u državi te Zračna luka Split. Napadima je jasno demonstrirana ozbiljnost prijetnji, ali i krhkost obrane velikih domaćih sustava. Ali barem je dobrom dijelu privatnog i javnog sektora postalo jasno da je ulaganje u kibernetičku sigurnost nužnost bez kojeg u budućnosti neće biti moguće poslovati.

Da svijest raste svjedoči i dupkom popunjena dvorana konferencije “Sigurnost na prvom mjestu” u organizaciji HUP-ICT-a. Ipak svijest je jedno, a djela su drugo.

Loša implementacija

Da se u kibernetičku sigurnost nedovoljno ulaže stručnjaci upozoravaju godinama.

“Svi imamo vatrogasni aparat, no tko ga zna koristiti”, slikovito povlači paralelu sa stanjem kibernetičke sigurnosti u Hrvatskoj Ivan Maglić iz tvrtke Gartner te član Izvršnog odbora HUP-ICT-a. No kako konstatira, “u posljednje vrijeme na raspored uprava dolazi i tema kibernetičke sigurnosti”, ističe dodajući: “Ne žele se oni time baviti, ali moraju”.

Maglić skreće pažnju na nekoliko važnih podataka. Europa prednjači po broju kibernetičkih incidenata te u globalnim razmjerima na nju ih otpada čak 32%. Istovremeno, u svijetu nedostaje čak četiri milijuna stručnjaka iz ovog područja. Podaci Gartnera otkrivaju i da kompanije na informatičku sigurnost troše 5,5 posto IT budžeta, što je premalo jer bi trebale ulagati 7-10%.

Ne čudi stoga da više od 60% malih i srednjih poduzetnika već u prvoj godini poslovanja doživi kibernetički napad, otkriva Boris Bajtl iz tvrtke Eviden te potpredsjednik Hrvatskog instituta za kibernetičku sigurnost (HIKS). Napadači pritom u sustavu znaju biti od šest od devet mjeseci prije nego što ih se otkrije. Tada kreću brojni problemi.

Stižu obaveze

Rizici neulaganja veliki su te mogu uzrokovati značajnu financijsku štetu.

“Ulaganje u kibernetičku sigurnost nije trošak već dugoročna ušteda jer je prevencija uvijek jeftinija”, poručuje Bajtl dodajući da se one organizacije koje ulažu u sigurnost bolje i brže oporavljaju od napada.

Kompanije i institucije koje su i dalje nemarne ubrzo će na ulaganja prisiliti NIS2 regulativa koja, kroz Zakon o kibernetičkoj sigurnosti (ZKS), stupa na snagu 17. listopada. Do stupanja na snagu treba još napraviti transformaciju Centra za kibernetičku sigurnost SOA-e u Nacionalni centar za kibernetičku sigurnost – NSCS-HR, te donijeti podzakonske akte. Aleksandar Klaić iz Centra za kibernetičku sigurnost SOA-e najavio je da bi Nacionalni program upravljanja kibernetičkim krizama u rujnu trebao biti u javnom savjetovanju, dok je Uredba o kibernetičkoj sigurnosti na usuglašavanju u međuresornoj radnoj skupini.

Kada ZKS stupi na snagu, poduzeća će imati vremena za prilagodbu. Tek nakon 17. listopada kreće kategorizacija subjekata na ključne i važne. Sukladno obavijesti koju će poduzeća i institucije dobiti od nadležnog tijela vezano uz to koje mjere kibernetičke sigurnosti moraju provesti, što bi trebale dobiti do kraja travnja, za njihovu će realizaciju imati vremena godinu dana. Potom će imati još dvije godine za doradu mjera… Ukratko, vremena će biti za usklađivanje i implementaciju sa zakonom.

“Rast gospodarstva će biti nemoguć ako se ove mjere ne primjene. Dovoljno je pogledati koliko ste posljednjih 24 sata proveli u virtualno, a koliko u fizičkom svijetu”, poručuje Klaić. Kaže i da će ovaj zakon otvoriti i neke poslovne prilike. Primjerice, kompanije će se moći certificirati za provođenje određenih usluga, poput penetracijskog testiranja, odgovora na incidente…, a te će usluge moći pružati na području cijele EU.