U svibnju u našoj zemlji riječ DORA često izaziva šaljive zabune jer u medijima veliku pozornost privlači naš nastup na natjecanju za pjesmu Eurovizije. Uredba EU 2022/2554 o digitalnoj operativnoj otpornosti (Digital Operational Resiliency Act) nosi isto ime, a njome se bave stručnjaci u financijskom sektoru. Kad netko od potonjih kaže: “Ajme, ta DORA će nas satrati”, njegovi prijatelji, ukućani i laici čude se u čemu je sad tu problem. Pa ne moramo baš pobijediti? No eto, Baby Lasagna nas je razveselio i ta briga je prošla. Sve je riješeno, hura!

Ova druga DORA trajna je briga jer kad istodobno u cijelom EU-u u siječnju iduće godine stupi na snagu, svi u financijskom sektoru, od banaka, osiguravatelja, mirovinskih i investicijskih fondova, do pružatelja usluga za kriptovalute, primjenjivat će propisani okvir digitalne otpornosti u svojem poslovanju.

Važnost razmjene informacija

Hanfa i HNB će dakako provjeravati kako je financijski sektor proveo svoje obveze, ali i savjetovati, ukazivati na rizike te poticati razmjenu informacija za bolje razumijevanje rizika i učenje iz incidenata koji se događaju. Sve svoje obveznike Uredba DORA obvezuje na to da o incidentima izvještavaju nacionalna nadzorna tijela, koja dalje obavještavaju europska, kako bi se na vrijeme prepoznali mogući sistemski, veliki napadi koji mogu prouzročiti znatne štete u poslovanju više članica EU-a.

Najvrjednije će biti dobrovoljne obavijesti o incidentima manjih razmjera, koje jednako ozbiljno treba provjeriti i iz njih izvući pouke. O krađama podataka, zastojima i prekidima rada IT sustava velikih poduzeća po svijetu, a sada već sve češće i kod nas, sve se više čuje i piše, a time i pojam kibernetičke sigurnosti postaje općepoznat. Kad me netko od prijatelja pita što se to zbiva u zadnje vrijeme, što će se ili kad će se to riješiti, ta kibernetička sigurnost, odmah kažem da neće. Moramo se na to naučiti i prilagoditi.

Problem je lakše razumjeti kad pogledamo s odmakom vremensku crtu kako se razvijala informatika i gdje smo danas. Od prvih “centara za AOP”, pa pojavom manjih te osobnih računala pa sve do, kako se danas to lijepo kaže, digitalne transformacije gdje je ogromna količina usluga kojima se svakodnevno koristimo zasnovana na informatičkim i komunikacijskim rješenjima i tehnologijama.

Najprije su postojala velika računala, a njima su se koristila samo velika poduzeća. Ključan je bio hardver, koji je bio skup, kompliciran i zahtjevan, a softver je bio uključen kao dio cjeline.

Kad su se računala počela smanjivati i pojeftinjivati te postala dostupna i manjim poduzećima, a posebno kao osobna računala, softver se počeo razvijati zasebno. Pojavila su se nova poduzeća koja su prodavala softver za hardver koji ste sve češće kupovali odvojeno.

Ognjen Županić, naš profesor informatike u MIOC-u osamdesetih tvrdio je da će vrlo brzo doći vrijeme kad će softver koštati i deset puta više od hardvera. Njegovo se predviđanje brzo ostvarilo, odavno se više troši na softver nego hardver.

S vremenom smo morali prihvatiti da se osim hardvera mora kupiti i softver. Tko se još sjeća kampanja “legalizacije” iz devedesetih (puno prije nego smo legalizirali građevinske poduhvate), kada se kopirani tj. ilegalni softver počeo licencirati?

Danas svi razumijemo potrebu za digitalno otpornim poslovanjem. Krađa podataka i zastoji u poslovanju već su nas naučili da su IKT rizici stvarni. Osim o hardveru i softveru danas jednako moramo brinuti i o sigurnosti jer to je aktualna faza razvoja informatike. Sigurnost se ne postiže samim tim što imate dobar hardver, plaćate legalni softver i imate stručnjake koji se brinu da to sve funkcionira. Morate se trajno brinuti za sigurnost poslovanja, razumjeti koji su rizici prisutni, koji na horizontu dolaze te koji nastaju u promjenama koje planirate, a sve kako biste mogli upravljati poduzećem i mogli pružati financijske usluge.

Ranjivosti računalnih sustava

Svi IT proizvodi, softver kao i hardver, proizvodi su ljudskog rada i sadrže greške, nedostatke i slabosti. Ako zbog takvih slabosti (još ih zovemo i ranjivostima prema engleskoj riječi vulnerability) netko zlonamjerno ili slučajno izazove zastoj vašeg poslovanja, ukrade poslovne podatke, vaše osjetljive informacije ili osobne podatke vaših klijenata, samo ste vi odgovorni. Ranjivosti ne nastaju samo slučajno, u programiranju i proizvodnji, već se napadači trude stvarati ih i ubaciti u vaše sustave.

 Prije nekoliko tjedana otkrivena je grupa koja je dvije godine radila na stjecanju statusa suradnika na razvoju softvera za Linux kako bi ubacili novu ranjivost, s kojom bi kasnije mogli kontrolirati sve sustave u kojima se pojave. Govorimo o globalnom problemu i potencijalno zahvaćenim milijunima sustava.

Srećom je ova prevara otkrivena na vrijeme i spriječena. DORA je temeljno zasnovana na pravilima upravljanja IKT rizicima, koji su prisutni kako u softveru i hadrdveru, tako i u odnosima s dobavljačima usluga koji proizvode i omogućavaju IKT usluge i rješenja za poslovanje. Dobavljači često samo prenose rješenja drugih u svoja, složenija rješenja za poslovanje, ali prenose i ranjivosti. Lanac dobavljača time donosi nove rizike kojima se mora upravljati.

Uredba DORA zahtijeva niz mjera koje uprava svakog financijskog društva mora provesti, neovisno o opsegu i području poslovanja. Sustav upravljanja mora biti kvalitetan i tu je DORA specifična jer vrlo konkretno propisuje veći broj obveza, ne isključujući primjenu proporcionalnosti na razini primjene samih mjera.

Rizici su stvarni, a korist od DORA-e najveća je kada se čita kao dobar pregled kontrolnih točaka koje su sve povezane i proizlaze iz potrebe da se na vrijeme i u cjelini sagleda s kakvim je IKT rizicima financijsko poduzeće suočeno.

* Tekst je osobni stav autora i ne predstavlja službeno stajalište Hanfe