O problematici kibernetičke sigurnosti govori se već duže vrijeme, a mnogi analitičari, investitori i lideri kompanija cyber napade već danas smatraju najvećom prijetnjom poslovanju. Ove godine bili smo svjedoci prvih većih napada i u Hrvatskoj, ali unatoč zabrinutosti i visokoj svijesti o mogućim opasnostima, ulaganja u kibernetičku sigurnost još uvijek nisu među najvažnijim prioritetima. Zbog čega je to tako te koliko razina kibernetičke sigurnosti može utjecati na poslovanje tvrtki, te u krajnjoj liniji i na gospodarski razvoj zemlje poput Hrvatske, upitali smo analitičare i vodeće ljude tehnoloških tvrtki.
Hrvatska na meti
Jay DePaul, glavni direktor za kibernetičku sigurnost i tehnološke rizike u tvrtki Dun & Bradstreet ističe kako kibernetičke prijetnje postaju sve sofisticiranije i raširenije, te se i Hrvatska suočava s dinamičnim i izazovnim krajolikom prijetnji. “Kibernetički kriminalci ciljaju ključne sektore, uključujući financije, zdravstvo i vladinu infrastrukturu, s napadima koji mogu ometati poslovanje i narušavati povjerenje javnosti. U ovom kontekstu, važnost robusnih mjera kibernetičke sigurnosti i regulatorne usklađenosti ne može se dovoljno naglasiti. Istraživanje D&B-a među donositeljima odluka u području usklađenosti sugerira da, među ostalim ključnim rizicima, kibernetička sigurnost ostaje najveća briga za timove za usklađenost i KYC (Know Your Customer) postupke tijekom sljedećih 12 mjeseci”, ističe DePaul i dodaje kako Hrvatska bilježi značajan porast učestalosti i ozbiljnosti napada. Ransomware, phishing i napadi na opskrbne lance postaju sve češći, pri čemu kibernetički kriminalci koriste napredne tehnike za probijanje obrane. Posljedice uspješnog kibernetičkog napada dalekosežne su, ne samo za pojedinačne organizacije, već predstavljaju i značajnu prijetnju za šire gospodarstvo, smatra DePaul.
“Jedna od ključnih mjera za ublažavanje ovih rizika jest usklađenost s najnovijim regulatornim okvirima. Zakon o digitalnoj operativnoj otpornosti (DORA) dobar je primjer, postavljajući stroge zahtjeve za financijski sektor diljem EU-a, uključujući Hrvatsku. DORA nalaže da organizacije poboljšaju svoju IT sigurnost, implementiraju robusne prakse upravljanja rizicima i razviju sveobuhvatne strategije odgovora na incidente. Usklađenost s DORA-om nije samo regulatorna obveza; to je ključna komponenta osiguranja stabilnosti i otpornosti financijskog ekosustava”, kaže direktor za kibernetičku sigurnost i tehnološke rizike u t Dun & Bradstreetu. Potencijalni ekonomski utjecaj značajnog kibernetičkog događaja u Hrvatskoj ne može se podcijeniti. “Uspješan napad na ključnu infrastrukturu, poput financijskog ili energetskog sektora, mogao bi dovesti do raširenih poremećaja u uslugama, gubitka prihoda i dugoročne štete za ekonomsku stabilnost zemlje. Na primjer, dugotrajni prekid rada u financijskom sektoru mogao bi poremetiti platne sustave, zamrznuti imovinu i dovesti do gubitka povjerenja investitora. Troškovi oporavka od takvog incidenta, uključujući sanaciju, pravne troškove i izgubljeno poslovanje, mogli bi biti značajni. Nadalje, reputacijska šteta povezana s velikim kibernetičkim događajem mogla bi odvratiti strane investicije, usporiti gospodarski rast i negativno utjecati na ugled Hrvatske na globalnom tržištu. Osiguravanje usklađenosti s regulativama poput DORA-e i održavanje robusnih praksi zaštite podataka stoga nisu samo tehnička ili regulatorna nužnost – oni su ključni za očuvanje gospodarstva nacije”, poručuje DePaul.
CeowdStrike dobar pokazatelj
Željko Medić, IT Direktor u Eccos inženjeringu, kaže kako su kibernetički napadi posljedica premještanja života i poslovanja u digitalni/internetski prostor. “Napadi su postali iznimno unosan posao za kriminalne sfere, ali i oblik modernog ratovanja. Iako u Hrvatskoj gledamo značajne napretke u pogledu digitalizacije, tvrtke još uvijek dovoljno ne prepoznaju prednosti kao ni zahtjeve tehnologije. S obzirom na navedeno, svijest o potrebi ulaganja u kibernetičku sigurnost je niska”, kaže Medić i dodaje kako je ulaganje financijski i kadrovski gledano zahtjevan i kontinuirani proces pa ga tvrtke odgađaju i nadaju se da će ih problemi zaobići.
“U kojoj mjeri kibernetička sigurnost utječe na poslovanje tvrtke ovisi o samoj tvrtki. Ako se tvrtka ne oslanja pretjerano na digitalizirane poslovne procese, takvoj tvrtki kibernetički napadi ne znače puno i ne utječu na njeno poslovanje, a dugoročna održivost takvog poslovnog modela je neka druga tema. Ako govorimo o tvrtki čije je poslovanje digitalizirano, onda posljedice mogu biti ozbiljne – gubitak osjetljivih poslovnih tajni, gubitak uzrokovan prekidom poslovanja zbog napada, reputacijska šteta, a u ekstremnim slučajevima i propast tvrtke (LastPass, Travelex…)”, kaže Medić I dodaje kako kibernetički napadi utječu jednako tako i na državu i mogu dovesti do destabilizacije kritične infrastrukture, financijskog sustava, zdravstva, transporta, krađe vojnih tajni… “Takvi oblici napada mogu direktno uzrokovati ekonomske gubitke, smanjenje povjerenja i povećanje troškova poslovanja. Nedavni primjer s neispravnim ažuriranjem tvrtke CrowdStrike, iako ovdje nije riječ o kibernetičkom napadu, daje jasan primjer u kojoj mjeri bi jedan ozbiljan i organiziran kibernetički napad mogao utjecati na tvrtke, ekonomiju i državu u cijelosti”, ističe Medić.
Goran Car, glavni direktor Combisa, upozorava da je šteta od cyber kriminala 2022. godine bila 8,44 bilijuna dolara, a u 2023. rasla i preko 11 bilijuna, s procjenom da će se taj iznos udvostručiti već u sljedećih par godina. “Taj trend je ne samo upozoravajući već i zabrinjavajući. Uzimajući u obzir da se tu radi o iznosu koji je veći od štete koju uzorkuje globalno zagrijavanje za 1 stupanj, jasno nam je o kojim razmjerima posljedica cyber kriminala pričamo. Nažalost, cyber kriminal, iako globalno sveprisutan i u kontinuiranom porastu, u Hrvatskoj još uvijek nije dovoljno prepoznat kao stvarna prijetnja. Čak i kada nekim kompanijama i organizacijama postane jasno kako su ulaganja u kibernetičku sigurnost prijeko potrebna, još uvijek ne znaju u kojoj mjeri i što sve treba štititi. Ovdje kao dodatnu otegotnu okolnost imamo i poplavu kojekakvih ‘stručnjaka’ za cyber sigurnost, što tvrtke može dovesti u nedoumice oko investicije u kvalitetnu cyber zaštiti”, kaže Car i naglašava kako se uslijed svega toga, nerijetko pokazuje da pravo osvještavanje u smislu opasnosti od kibernetičkog kriminala dolazi post festum, nakon što se napad već dogodio, s ozbiljnim posljedicama koje uključuju gubitak podataka, nemogućnost redovnog poslovanja, ali i gubitak ugleda koji nosi dugotrajnu štetu.
“Stoga je, pogotovo promatrajući zadnje događaje koji ukazuju kako se Hrvatska našla ‘na radaru’ cyber kriminalaca, nasušno potrebno kontinuirano osvještavanje o opasnostima cyber kriminala na svim razinama, poslovnoj, društvenoj, državnoj. Zato je NIS2 itekako dobrodošla regulativa koja daje smjernice minimalno prihvatljive zaštite. Regulator sada ima idealnu poziciju za edukaciju tržišta kako bi se na razini ekonomije implementirala odgovarajuća cyber security zaštita”, konstatira glavni direktor Combisa.
Ekonomija je danas neminovno i izuzetno povezana, tako smo nedavno bili svjedoci slučaja kada je ispad dva dalekovoda, jednog u Crnoj Gori, a drugog u Albaniji, uzrokovao međudržavni ispad elektroenergetske mreže kojem je bila izložena i Dalmacija, što je samo jedan primjer te povezanosti. Kako online svijet ne poznaje granice, zaštita cjelokupnog ekosustava, a ne samo nekih njegovih dijelova je nužnija nego ikad prije.
“Ključno je želimo li biti kvalitetan partner od povjerenja svojim korisnicima te isto tako, odabrati najboljeg partnera za cyber sigurnost – nekog s iskustvom i znanjem tko može sagledati sveukupno poslovanje određene tvrtke te predložiti i implementirati odgovarajuća rješenja. Ne postoji apsolutna cyber zaštita, kao što ne postoje ni vrata koja se fizički ne mogu provaliti. No isto tako, pogubno je tvrditi za vrata od slame da dobro štite”, naglašava Car.
Edukacija zaposlenika
Neven Stanivuk, CISO u tvrtki Elektronički računi, ističe kako hakerski napadi nisu rijetkost. “Na globalnoj razini dnevno govorimo o stotinama kompromitiranih sustava. Alati kojima se hakeri služe su sve sofisticiraniji, visoko su automatizirani, a efikasno koriste i nove GPT tehnologije, između ostalog i za komunikaciju bez jezičnih barijera. Velik broj incidenata o kojima smo čuli u kratko vrijeme može imati uzrok u domino efektu, korištenju jednog sigurnosnog propusta ili incidenta za upad u veći broj sustava, no može biti i režiran radi maksimalnog psihološkog učinka u politički motiviranim napadima. APT grupe, često financirane od totalitarnih ili agresivnih režima znaju mjesecima sakrivati svoju prisutnost u sustavu i tek po naredbi pokrenuti svoju završnu igru: ucjenu ili onesposobljavanje sustava”, upozorava Stanivuk i dodaje kako kod napada na sustave javnih usluga posljedice mogu biti dalekosežnije, pa u njihovoj zaštiti ne smije biti kompromisa.
“Tvrdnju da se u informacijsku sigurnost ne ulaže dovoljno, rado ću kao stručnjak pozdraviti, no u toj procjeni trebamo biti realistični i svjesni trenutka u kojem živimo. U uvjetima deficita stručnog kadra, kompanijama je prije nego im se dogodi ozbiljan incident teško uopće prepoznati potrebu za ulaganjem, vidjeti opravdanje investicije bez vremena njenog povrata ili pak procijeniti adekvatnost nekog ponuđenog tržišnog sigurnosnog rješenja. Dobru informacijsku sigurnost ne
možete jednostavno kupiti! Treba je sagraditi iznutra”, apelira Stanivuk ističući kako u prevenciji veliku ulogu igra jednostavna edukacija zaposlenika.
Alexander Giegerich, direktor prodaje i marketinga Atron grupe, smatra kako je ovo ljeto označilo prekretnicu u hrvatskoj svijesti o kibernetičkim napadima. “Po prvi put, nacija se javno suočila s teškim posljedicama ovih napada, koji su osakatili poduzeća i poremetili gospodarstvo.
Javni prijevoz, kritična infrastruktura i okosnica urbane mobilnosti, posebno je ranjiv. Kibernetički napad na ovaj sektor mogao bi dovesti do poremećaja rasporeda, manipulacije nadzorom prometa ili čak potpunog zatvaranja, uzrokujući široku ekonomsku štetu i narušavajući povjerenje javnosti. Unatoč upozorenjima stručnjaka, ulaganja u kibernetičku sigurnost i dalje su nizak prioritet u mnogim hrvatskim gradovima, uključujući i sektor javnog prijevoza. Mnogi prijevoznici podcjenjuju rizike ili vjeruju da su njihove trenutačne mjere dovoljne. Međutim, čak i male sigurnosne rupe mogu uzrokovati značajnu štetu, kao što su nedavni događaji pokazali”, kaže Giegerich i upozorava kako nedostatak ulaganja u kibernetičku sigurnost ima dalekosežne posljedice. “Ne samo da postoji opasnost od zaustavljanja tranzitnih operacija, već i narušavanje povjerenja putnika i ekonomske stabilnosti. Uspješan kibernetički napad na javni prijevoz mogao bi Hrvatsku gurnuti u krizu i ozbiljno poremetiti svakodnevni život”, upozorava Giegerich i navodi kako je ključno da tvrtke i javne institucije kibernetičkoj sigurnosti daju prioritet.
Hrvoje Benčić, direktor jedinice Rješenja i usluge za kupce u Ericssonu Nikoli Tesli, kaže kako uz kontinuirano ulaganje u kompetencije zaposlenika, veliku pažnju posvećuju i maksimalnom smanjenju rizika te istovremeno ulažu u vlastitu IT infrastrukturu i sigurnost kao i u rješenja, proizvode i usluge koje nudimo kupcima. “Te su naše investicije značajne, no financijski i resursno dugoročno jedine održive. Uz sve veću ulogu ICT tehnologije u umreženom društvu i našim životima, vrijednost informacija i potreba njihove zaštite došle su u prvi plan. Suvremena 5G tehnologija otvara mnoge prilike za unaprjeđenje poslovanja, održivosti i poboljšanje kvalitete života te odgovara na rastuće potrebe za neometanim protokom mnogobrojnih osjetljivih informacija putem komunikacijskih mreža čija su otpornost, pouzdanost, brzina prijenosa, sigurnost i okolišna održivost presudne. Uz isporuku te vodeće mrežne tehnologije i rješenja, u Ericssonu Nikoli Tesli smo, zbog široke primjene i velikih potencijala 5G tehnologije, također fokusirani na izgradnju ekosustava s ostalim dionicima, regulatorima, javnom upravom i našim poslovnim i akademskim partnerima. Kao tehnološkom lideru, cilj nam je izgraditi ekosustav koji počiva na integritetu i etičnosti te profesionalnim partnerskim odnosima sa svim dionicima i u najizazovnijim tržišnim okolnostima. U tom ekosustavu, sigurnost 5G mreža glavni je prioritet kao i na razini EU gdje je neizostavna komponenta EU sigurnosne strategije jer 5G mreže čine kritičnu infrastrukturu. Osiguravanje kibernetičke sigurnosti ključno je za zaštitu gospodarstva, društva i za iskorištavanje svih njihovih potencijala. Ovo je jedno od najvažnijih područja i za nacionalnu sigurnost u kojem javni i privatni sektor moraju djelovati zajednički”, smatra Benčić.
Dugoročni izazovi
U Hrvatskoj pošti drže da bi usmjerenost na digitalnu stranu poslovanja trebala staviti kibernetičku sigurnost na vrh liste prioriteta svake tvrtke. “S druge strane kibernetička sigurnost možda se još ne shvaća dovoljno ozbiljno jer ipak velik dio tvrtki još nije imao iskustava s nekom vrstom kibernetičkog napada. Zbog toga vjerojatno ne vide veliku nužnost ulaganja značajnijih sredstava u zaštitu poslovanja. Takav smjer svakako je dugoročno neodrživ”, ističu iz Pošte i dodaju da su informacije u današnjem digitalnom dobu vrijedan resurs i važno ih je zaštititi i osigurati. “U tom smislu vrlo bitan faktor u efikasnoj zaštiti i sigurnosti informacijskog sustava uvijek je ljudski faktor. Zbog toga naše radnike redovito educiramo o načinima zaštite od potencijalnih kibernetičkih napada te kako ih prepoznati. Osim edukacije radnika, dugoročne strategije za održavanje sigurnosti već su dio naše prakse. To uključuje kontinuirano praćenje i usklađivanje s regulativama, ulaganje u napredne sigurnosne tehnologije, redovito obrazovanje osoblja te uspostavljanje robusnih procesa kako bismo osigurali brzu reakciju na potencijalne sigurnosne incidente. S obzirom na to da se kibernetičke prijetnje konstantno izmjenjuju i prilagođavaju u pitanju je dugoročni, a ne jednokratni izazov. U kontekstu sigurnosnih mjera umjetna inteligencija svakako predstavlja potencijal koji je iskoristiv u domeni kibernetičke sigurnosti i vjerujemo da će u budućnosti digitalno poslovanje biti još sigurnije s razvojem te tehnologije”, zaključuju u Pošti.