Smart Industry
Kibernetička sigurnost

Europski ‘kiberštit’ i obrazovanje stručnjaka kao temelj zaštite sustava i podataka

Intenzivnom digitalizacijom poslovanja kompanije su veliki dio procesa i podataka prebacili u digitalni oblik što je otvorilo pitanje sigurnosti i potrebe zaštite od kibernetičkih napada.

Borivoje Dokler
08. svibanj 2023. u 22:00
Hakerski napadi ozbiljno mogu ugroziti poslovanje, zaustaviti proizvodnju i poslovnu aktivnost te narušiti ugled kompanije/SHUTTERSTOCK

Danas je već svima jasno da digitalna transformacija predstavlja nužan smjer razvoja poslovanja kako bi se stekla i zadržala kompetitivnost na tržištu. Intenzivnom digitalizacijom poslovanja kompanije su veliki dio procesa i podataka prebacili u digitalni oblik što je pak otvorilo pitanje sigurnosti i potrebe zaštite od kibernetičkih napada.

Oni su sve češći i sofisticiraniji, a taj trend će samo rasti uzme li se u obzir činjenica da će već krajem ove godine broj instaliranih IoT uređaja dosegnuti 43 milijardi. Taj problem prepoznala je i Europska unija koja već unazad nekoliko godina intenzivno razvija strategiju i legislativu o kibernetičkoj sigurnosti.

Za povećanje sigurnosti pripremila je i razne financijske instrumente, a jedan od njih je i program Digitalna Europa iz kojeg je dvije milijarde eura predviđeno upravo za tu svrhu. Koliko su problem kibernetičke sigurnosti prepoznale europske kompanije pokazalo je istraživanje Eurostata koje tvrdi da je lani 92 posto poduzeća u EU s 10 ili više zaposlenih i samozaposlenih osoba koristilo barem jednu mjeru kako bi osiguralo cjelovitost, dostupnost i povjerljivost podataka i ICT sustava.

Sigurno je upitno koliko samo jedna mjera može smanjiti izloženost kibernetičkim napadima, ali velik dio tvrtki već danas kombinira više njih. Prema Eurostatovim podacima, hrvatske tvrtke nalaz se u ‘gornjem domu’ EU prema mjerama, praksama i postupcima za ICT sigurnost.

22

posto EU tvrtki s više od 10 zaposlenih lani se suočilo s kibernetičkim napadima

Garancija budućeg poslovanja
Da sigurnosni incidenti nisu rijetkost, potvrđuje i Barbara Peranić iz Ureda Europskog parlamenta u Hrvatskoj i napominje kako hrvatske kampanje ipak bilježe nešto manju učestalost takvih problema u odnosu na EU prosjek, a posebno na neke druge članice.

“Lani je objavljeno da je 22,2 posto tvrtki u EU s više od 10 zaposlenih imalo kibernetičke napade koji su rezultirali nedostupnošću informacijsko-komunikacijskih usluga, uništavanjem, narušavanjem ili otkrivanjem povjerljivih podataka i slično. U Hrvatskoj je udio kompanija koje su registrirale IKT sigurnosne incidente ipak manji, oko 19 posto. Najveću učestalost sigurnosnih problema bilježe kompanije u Finskoj, gdje njih više od dvije petine prijavljuje incidente, dok je na drugom kraju ljestvice Bugarska (11%)”, kaže Barbara Peranić i nadodaje da se u javnosti o kibernetičkim napadima čuje ili kada je opasnost otklonjena ili kada je problem postao prevelik.

Nerado će tvrtke otkriti da su pod napadom jer im je stalo da takva informacija ostane povjerljiva. Ono što će svaki stručnjak reći je da je zaštita sustava jaka samo onoliko koliko i njezina najslabija karika, te da je pogrešno pretpostavljati da su samo neki sektori ili velike tvrtke zanimljive hakerima. “Male firme koje nisu možda toliko posvećene sigurnosti informacijskih sustava također postaju sve češće mete.

Kovačević

Priroda današnjih napada je takva da bilo tko može postati žrtva.

Stoga za uspješnu budućnost poslovanja, i mala i srednja poduzeća trebaju identificirati ranjiva područja i rizike s kojima se suočavaju, unaprijediti razumijevanje prijetnji, pobrinuti se da zaposlenici imaju potrebna znanja i da su procesi za nošenje s izazovima ispravno postavljeni. Hakerski napadi ozbiljno mogu ugroziti poslovanje, zaustaviti proizvodnju i poslovnu aktivnost, a u konačnici i ozbiljno narušiti ugled kompanije.

Realno, možemo predvidjeti da će kibernetički napadi ubuduće postati još češći i sofisticiraniji, kako ekonomija i društvo postaju sve ovisniji o digitalnim alatima, pa je za očekivati da će i hrvatske tvrtke nužno morati više ulagati u kibernetičku otpornost, odnosno zaštitu svojih sustava i podataka, pratiti koje su to najbolje prakse i primjenjivati ih u svom poslovanju. Naravno, uz tehnologiju potrebno je prilagoditi i tržište rada, odnosno povećati broj IKT stručnjaka i digitalnih forenzičara, što podrazumijeva intenzivnija investiranja u jačanje kapaciteta obrazovnih institucija”, smatra Barbara Peranić.

Unija je modernizirala postojeći pravni okvir kako bi se primjena pravila o kibernetičkoj sigurnosti proširila na nove sektore i subjekte te poboljšala njihova otpornost i kapaciteti za odgovor. Djelatnosti od vitalne važnosti za društvo i gospodarstvo, među kojima su energetika, promet, bankarstvo, zdravstvo, digitalna infrastruktura, podliježu strožim obvezama i izvještavanju o rizicima. Cilj je unaprijediti suradnju među državama članicama pod okriljem Agencije EU za kibernetičku sigurnost (ENISA-e).

Peranić

Predlaže se uspostava akademije EU za vještine u području kibersigurnosti.

“Unija je prepoznala i potrebu dodatne zašite financijskog sektora koji je sve više ovisan o raznim softverima i digitalnim procesima. Ozbiljne povrede kibernetičke sigurnosti koje se dogode u financijskom sektoru ne utječu samo na izolirane financijske subjekte. One olakšavaju i širenje lokaliziranih ranjivosti po svim kanalima financijskog prijenosa i mogu imati negativne posljedice na stabilnost financijskog sustava Unije, kao što su pad likvidnosti i opći gubitak povjerenja i pouzdanja u financijska tržišta.

U tom smislu treba istaknuti važnost novog EU zakona o operativnoj digitalnoj otpornosti. Njime se uvode i usklađuju zahtjevi operativne otpornosti, a od tvrtki se traži da osiguraju da mogu izdržati, odgovoriti te se oporaviti od svih vrsta poremećaja povezanih s informacijskom i komunikacijskom tehnologijom. Nova pravila se primjenjuju na sve tvrtke koje pružaju financijske usluge, ne samo na banke nego i pružatelje usluga plaćanja, investicijske tvrtke te trgovine kriptoimovinom”, objašnjava Barbara Peranić.

Brigita Kovačević; Barbara Peranić; Marko Merkaš; Nikola Mareković

Paneuropska infrastruktura
U Europski parlament nedavno su upućeni Komisijini prijedlozi o kibernetičkoj solidarnosti na razini EU-a i ciljane izmjene Akta o kibernetičkoj sigurnosti. Za brzo i učinkovito otkrivanje velikih kibernetičkih prijetnji, Komisija predlaže uspostavu europskog ‘kiberštita’, paneuropske infrastrukture sačinjene od nacionalnih i prekograničnih centara za sigurnosne operacije u cijeloj Uniji.

“Centri će biti zaduženi za otkrivanje i borbu protiv hakerskih prijetnji i incidenata te prekograničnu razmjenu pravodobnih upozorenja. U radu će primjenjivati najsuvremenije tehnologije kao što su umjetna inteligencija i napredna analiza podataka te će nadležnim tijelima i relevantnim subjektima omogućiti da u slučaju ozbiljnih incidenata postupaju što efikasnije. Predlaže se i uspostava akademije EU-a za vještine u području kibersigurnosti.

Na internetskoj platformi objedinile bi se postojeće inicijative koje imaju za cilj promicati osposobljavanja i certifikacije kako bi građani zainteresirani za karijeru u ovom sektoru mogli na jednom mjestu pronaći sve potrebne informacije, pratiti razvoj tržišta rada, obrazovne programe i mogućnosti financiranja”, poručuje Barbara Peranić iz Ureda Europskog parlamenta u Hrvatskoj te rezimira kako postoji cijeli niz inicijativa na razini EU.

Merkaš

Kod nabave hardvera i softvera tvrtke sve više vode računa o kibernetičkoj zaštiti.

“Ovo su samo neke od njih, ali dovoljno govore o tome kako je Europska unija prepoznala da je rastućom digitalizacijom svakodnevnog života zaštita od kibernetičkih prijetnji postala ključni preduvjet za pravilno i neometano funkcioniranje društva”. Koliko su hrvatske tvrtke svjesne opasnosti kibernetičkih napada, koliko su zaštićene te koji su najveći izazovi u tom pogledu, upitali smo stručnjake iz vodećih domaćih tehnoloških i IT kompanija.

Marko Merkaš, viši razvojni inženjer u Eccosu, kaže kako je svijest o potrebi kibernetičke zaštite u uzlaznoj putanji što je pozitivno. “Sustavi za kibernetičku zaštitu vrsta su ulaganja i tu se često radi o značajnim iznosima. Vjerujem da velike tvrtke koje su u mogućnosti izdvojiti potrebna sredstva zaista i posjeduju dobre obrambene sustave, no upitno je koliko male i srednje tvrtke to mogu pratiti. Također, osim ulaganja u tehnologiju potrebna su ulaganja i u stručnjake koji konstantno moraju biti u toku s najnovijim prijetnjama i načinima obrane od njih”, ističe Merkaš i dodaje kako je jedan od trenutno najvećih izazova u kibernetičkoj sigurnosti sigurnost lanca dobave i to hardvera, softvera ali i pružatelja usluga.

“Kod nabave novog hardvera tvrtke sve više vode računa da on osim svoje osnovne funkcionalnosti posjeduje i kibernetičke zaštite kako hardverskih komponenata, (npr. NDAA certifikat), tako i programskih sučelja, (npr. korištenjem kriptiranog komunikacijskog protokola). Sigurnost softvera prepoznata je kao jedna od značajnih nadolazećih kibernetičkih prijetnji pa tako tvrtke kod nabave novog softvera sve više postavljaju zahtjeve vezane za njegovom sigurnosti te traže potvrdu o mjerama sigurnog razvoja kako bi se izbjegli sigurnosni propusti i korištenje nesigurnih softverskih komponenti trećih proizvođača.

Pružatelji informacijskih usluga posebna su vrsta prijetnje budući da uobičajeno od svojih korisnika dobivaju visoku razinu povjerenja pa tako i udaljeni pristup do njihovog informacijskog sustava. Kompromitacijom pružatelja usluga njegovi korisnici su u opasnosti od gubitka usluge koja im može biti vrlo važna za poslovanje, a njegovim posredstvom, mogu i sami postati žrtvom kibernetičkog napada.

Mareković

Tek kad se dogodi veliki propust ili upad počinje se investirati u ICT sigurnost.

Upravo zbog tog lančanog efekta pružatelji usluga su veoma primamljive mete”, napominje Merkaš naglašava kako je kibernetička sigurnost izuzetno važna za uspješnost budućeg poslovanja s obzirom na to da je ono sve više vezano za informacijske sustave, a istovremeno kibernetički kriminal raste iz godine u godinu. Važnost kibernetičke sigurnosti, kaže, prepoznata je i na razini zakonodavstva EU koje izdavanjem NIS2 direktive dodatno želi uvrijediti kibernetičku sigurnost ključnih i važnih poslovnih subjekata u EU.

Neven Stanivuk, CISO u Elektroničkim računima, mišljenja je da hrvatske tvrtke ne štite svoje resurse od kibernetičkog kriminala u dovoljnoj mjeri. “Nedavna događanja koja su izazvala prekide u poslovanju nekoliko velikih domaćih tvrtki, te curenja njihovih podataka, ne samo da govore tome u prilog, nego čine ovu tvrdnju očitom.

Kod malih kompanija je stanje poslovično loše i prema globalnim statistikama, pa je izvjesno slično stanje i kod nas. (43% kibernetičkih napada usmjereno je na mala poduzeća, a samo njih 14% je u stanju zaštititi se.) U Hrvatskoj su, kao i svugdje u svijetu najveći izazovi nedostatak stručnog kadra i nedovoljna svjesnost o rizicima koje predstavljaju kibernetički napadi, pa se za većinu tvrtki zaštita svodi na kupovinu jednog ili više uniformiranih sigurnosnih rješenja koje ni pojedinačno ni ukupno ne pristaju potrebama koje određena tvrtka ima, odnosno ne samo da ne pružaju kompletnu zaštitu, nego stvaraju lažan osjećaj sigurnosti, a mogu i potpuno promašiti zaštitu od najvećih rizika koje pojedina kompanija ima.

Uz to, čest problem su nepostojanje dediciranih timova i planova za testiranja i odzive u slučaju kibernetičkog napada, te kontinuirane revizije rizika i mjera koje ih uklanjaju. Bez kvalitetne i redovite procjene rizika teško je opravdati bilo kakvo ulaganje u kibernetičku sigurnost, pa kad govorimo o postavljanju funkcionalne informacijske sigurnosti u nekoj kompaniji, kvalitetno snimanje rizika, njihovo jasno komuniciranje prema upravama, te strateško opredjeljenje za zaštitu kontinuiteta poslovanja uvijek trebaju biti prvi koraci”, ističe Stanivuk i dodaje kako se često kaže da se svaki euro uložen u informacijsku sigurnost vraća 10 puta, ali to vrijedi samo ako se zna u što se točno i zašto ulaže.

Hadjina

Prijeti nam nedostatak stručnjaka za unaprjeđivanje sigurnosti industrijskih sustava.

“Ulaganje u sustave zaštite treba biti opravdano vrijednošću imovine koju štitimo i pružiti prihvatljivo umanjenje ili eliminaciju rizika koji joj prijete, a ne dobrim recenzijama nekog rješenja ili njegovoj cijeni. Kod postavljanja sigurnosnih sustava i mjera, svakako se treba voditi najboljim praksama, ali puno je važnije pitati se što točno nama treba da eliminiramo rizike. Kod uvođenja sustava zaštite ne smije se zanemariti ni činjenica da uvođenje dodatnih sustava, zbog podizanja ukupne kompleksnosti i uključivanja trećih strana u održavanje, samo po sebi otvara dodatne rizike”, upozorava Stanivuk koji kod informacijske sigurnosti edukaciju smatra temeljem svake strategije zaštite od kibernetičkih napada.

“Čak 98 posto kibernetičkih napada uključuju ili se u cijelosti oslanjaju na neki od oblika socijalnog inženjeringa, pa je edukacija o metodama kojima se napadači služe imperativ u podizanju svijesti, ranom prepoznavanju i izvještavanju o prijetnjama. Procjenjuje se da je prošle godine preko 71 milijuna ljudi postalo žrtvom nekog od takvih oblika napada, stvarajući prosječnu štetu i troškove oporavka od preko 4000 eura za fizičku osobu, dok se prosječni trošak oporavka od napada za pravne subjekte mjeri u milijunima eura. Edukacija treba biti sveobuhvatna i uključivati sve djelatnike. Od agenta na telefonu, do članova Uprave, a ne smijemo zaobići ni stručnjake za informacijsku tehnologiju, kao ni stručnjake za kibernetičku sigurnost”, poručuje Stanivuk.

Interdisciplinarna znanja
Tamara Hadjina, voditeljica istraživačkih projekta iz domene kibernetičke sigurnosti u Končaru, kaže kako je problematika kibernetičke sigurnosti i na svjetskoj razini još uvijek nova te su diskusije o tome kako najbolje pristupiti rješavanju problema itekako aktualne. Hrvatske tvrtke, posebice kritična infrastruktura i proizvodna industrija, u tom smislu nisu izuzetak.

“Pred nama je zahtjevan posao osvješćivanja svih dionika o važnosti ulaganja u kibernetičku sigurnost industrijskih upravljačkih sustava te o potencijalno teškim posljedicama uspješnih napada na njih. Kibernetička sigurnost industrijskih sustava razlikuje se od kibernetičke sigurnosti klasičnih IT sustava.

Gulan

Tržište se počinje buditi, no nedovoljnom brzinom pa postoji veliki prostor za napredak.

Jedan od najvećih izazova s kojima će se hrvatske tvrtke suočiti je nedostatak stručnjaka koji posjeduju specifičnu kombinaciju znanja i iskustva potrebnu za unaprjeđivanje sigurnosti svojih industrijskih sustava. Potrebne kompetencije uključuju interdisciplinarna znanja iz područja industrijskog upravljanja, automatizacije, kibernetičke sigurnosti, komunikacijskih mreža, informacije tehnologije i šire”, upozorava Tamara Hadjina.

Marko Gulan, konzultant za cyber sigurnost u Schneider Electricu za jugoistočnu Europu, kaže kako se često može čuti kako je digitalna transformacija dovela do povećanja kibernetičkih napada no točnije bi bilo da je ona otkrila manjkavosti i sigurnosne propuste koji su godinama bili zapostavljani ili su ih tvrtke prihvaćale kao rizike.

“Posebno je značajna digitalna transformacija industrije koja je tradicionalno poslovanje u kratkom periodu promijenila iz korijena i svi analogni procesi su digitalizirani. Fokus digitalne transformacije bio je većinom usmjeren na informacijske tehnologije (IT) koje pružaju snažnu podršku industriji, a vrlo malo pažnje je bilo usmjereno na operativne tehnologije (OT) i industrijske kontrolne sustave (ICS) koji su ključni elementi poslovanja danas, ali i budućnosti poslovanja.

Kada govorimo o kibernetičkoj sigurnosti nesporno je kako se tržište počinje buditi, no nedovoljnom brzinom i zaista vidimo veliki prostor za napredak pogotovo u segmentu industrije i industrijske automatizacije te kritične infrastrukture. Najveći izazov svakako leži u promjeni načina razmišljanja industrije o kiber sigurnosti te važnosti ulaganja i kako ona utječe na kontinuitet i stabilnost poslovanja. Također, nužno je početi shvaćati kibernetičku sigurnost industrijskih postrojenja kao OT, a ne IT okruženje”, poručuje Gulan.

Stipetić

Po broju certifikata ISO 27001 Hrvatska je na trinaestom mjestu u EU, što je odlično.

Božidar Bajsič, direktor operacija u Editel Adria, kaže kako posljednjih godina kod svojih korisnika, posebice većih kompanija, primjećuje porast svjesnosti o kibernetičkoj otpornosti. Ipak, srednja i mala poduzeća sa svojim rješenjima nisu na nivou koja bi trebala biti za učinkovitu zaštitu od kibernetičkog piratstva.

“Tu vidimo najveći izazov, ponajprije u obrazovanju. Zašto se i kako zaštititi, koje su prakse kibernetičkih kriminalnih grupa, koja rješenja odabrati i slično. Sljedeće je kako učinkovito pripremiti poduzeća na opasnosti koje za njih dolaze. Kibernetsko piratstvo je danas postalo ozbiljni poslovni model profesionalno organiziranih društava koji uključuje ne samo profesionalce s IT područja nego i socijalni inženjering i forenziku internetskog otiska pojedinaca te psihologiju.

Ti kriminalci koriste najmodernija rješenja uključujući umjetnu inteligenciju s ‘Big-data’, koje skupljaju sa svih mogućih izvora gdje god ostavljamo svoj trag na internetu. Slobodno možemo reći da većina manjih i srednjih tvrtki nije ni svjesna toga, pa prema tome nije spremna za takvo profesionalno internetsko piratstvo. Srećom, ta mala društva za sada još nisu toliko zanimljiva za internetske pirate, pa još nisu na njihovoj meti”, mišljenja je Bajsič.

Tamara Hadjina; Marko Gulan; Hrvoje Stipetić; Neven Stanivuk

Edukacija zaposlenika
Nikola Mareković, voditelja odjela za IT i razvoj softvera u CADCAM Design Centru, smatra kako uspješnost poslovanja nije u korelaciji s razinom ICT sigurnosti sve dok se ne dogodi veliki propust ili upad koji zaustavi poslovanje, značajno snizi efikasnost rada i izazove veliku reputacijsku štetu. “Nažalost, tek onda postaje jasno da je bolje proaktivno i redovito investirati u ICT sigurnost umjesto da se čeka sljedeći proboj i reagira reaktivno. Svijest o važnosti primjene mjera zaštite od kibernetičkih napada u javnosti, ali i kod ljudi na čelnim pozicijama kompanija porasti će tek kada količina problema koje takvi napadi uzrokuju prijeđe kritičnu razinu.

U Hrvatskoj postoje tvrtke sa zavidnom razinom primijenjenih mjera i visokim stupnjem otpornosti na kibernetičke napade, ali nezanemariv je broj onih tvrtki kod kojih takvo nešto još uvijek nije na listi prioriteta”, ističe Mareković. Povećan broj ICT sustava u sklopu rada tvrtke mora biti popraćen mjerama prevencije, edukacijom zaposlenika i ulaganjem u resurse koji te sustave održavaju, što često nije slučaj.

“Povećano korištenje e-mail poruka i potreba pristupa na web portale raznih vanjskih servisa čini nas podložnijima phishingu i malicioznim napadima. E-mail poruke koje dobivamo s ciljem prevare sve su vjerodostojnije. Računala koja postaju prespora zbog primjene invazivnog antivirusnog softvera moramo ukloniti iz svakodnevnog korištenja, te ih prenamijeniti ili otpisati. Tu su i korisnici koji iz navike koriste servise poput DropBoxa ili WeSharea za prijenos povjerljivih materijala pa i njima moramo ponuditi alternativne načine prijenosa datoteka koji im neće biti prekomplicirani”, savjetuje Mareković.

Brigita Kovačević, Intrix konzultant, ističe kako su u pravilu veće firme bolje zastičene jer imaju kadar koji se fokusira na sigurnost. “No priroda današnjih napada, pogotovo onih trenutno najpopularnijih (ransomware, phishing) je takva da bilo tko može postati žrtva. Dobro zaštićeni kritični servisi (i osjetljive poslovne informacije ili intelektualno vlasništvo) ključni su za normalno funkcioniranje firmi u budućnosti, jer njihova nedostupnost ili krađa može značiti i kraj poslovanja.

Što su najveći izazovi u tom pogledu? Sigurnost je posao koji traje 24x7x365 dana i za sigurnosne stručnjake posao ne prestaje. Kao rezultat toga, kvalitetne ljude je teško naći i zadržati. Napretkom alata koji koriste automatizaciju i nastavkom korištenja cloud servisa, zaštita će postajati sve kompleksniji problem”, upozorava Brigita Kovačević.

Stanivuk

Bez kvalitetne i redovite procjene rizika teško je opravdati bilo kakvo ulaganje.

Direktorica Inkubatora za nove tehnologije Trokut Šibenik Diana Mudrinić nadodaje kako danas postoji neograničen broj načina za kibernetičke napade pa samo jedan pristup sigurnosti sustava ne može garantirati sigurnost. “Svakako je dobar korak naprijed koristiti makar jednu mjeru sigurnosti, ali treba napomenuti kako svaki ‘izlaz’ na internet zapravo treba biti osiguran, te se postavlja pitanje da li zapravo svi sustavi moraju stalno biti dostupni svima online. Kada su u pitanju podaci poslovanja, potrebno je raditi redovite back-upove sustava kako bi se uvijek moglo osigurati povlačenje relativno nedavne verzije podataka ako se koruptiraju.

Posebno povjerljivi podaci bi svakako trebali biti izolirani od ostalih te po mogućnosti, ne biti spojeni na mrežu”, kaže Diana Mudrinić i dodaje da bi tvrtke trebale kontinuirano ulagati u zaštitu, razmisliti koji su sve ‘izlazi’ prema internetu i revidirati način na koji se osigurava sigurnost sustava. “Kibernetička sigurnost danas mora biti dio svake tvrtke, spojeno u sam software. Jačanje cybersecurity ima i utjecaj na same korisnike pogotovo jer je to danas jedan od važnijih oblika povjerenja”.

Nikola Musa, voditelj Fininog Ureda kibernetičke i IT sigurnosti kaže kako razina kibernetičke otpornosti tvrtke prvenstveno ovisi o razini primjene organizacijskih i tehničkih mjera kibernetičke sigurnosti te osviještenosti poslovodstva i radnika o sigurnosnim prijetnjama digitalnog prostora. “Na navedeno često utječe stupanj reguliranosti kojoj je podložna neka tvrtka, procjeni rizika poslovanja i financijskim mogućnostima, tako da možemo reći da su danas tvrtke iz reguliranih industrija, kao i veće državne i javne tvrtke koje upravljaju ili pružaju usluge kritičnom državnom infrastrukturom, u dobroj mjeri zaštićene od kibernetičkih ugroza.

Transpozicijama nove EU regulative iz područja kibernetičke i digitalne sigurnosti (NIS2, DORA…), širi se opseg regulacije na nove industrije i na manje organizacije tako da je za očekivati sve veću svjesnost potrebe postizanja sukladnosti i primjena šireg opsega kontrola. Izazovi su svakako resursni okviri, kako kod tvrtki, tako i kod regulatora”,ističe Musa.

EU regulativa gura naprijed
Hrvoje Stipetić, direktor Informacijske sigurnosti u mStartu, smatra da je teško generalizirati kada se govori o zaštićenosti domaćih tvrtki od kibernetičkih napada. “Sukladno našim iskustvima, generalnim trendovima i globalnim istraživanjima možemo zaključiti kako Hrvatska na karti IT sigurnosti kotira relativno dobro. Prostora za poboljšanja svakako ima, a naprijed nas guraju i EU i sektorske regulative koje i one neodlučnije navode na ulaganja u informacijsku sigurnost.

I dalje pratimo trendove da male i srednje tvrtke ponekad zanemaruju sigurnost svojeg informacijskog sustava i podataka, no situacija se drastično mijenja nakon određenog sigurnosnog incidenta kada se u kratkom vremenu stihijski pokušava nadoknaditi nešto što se obično gradi godinama, a to može rezultirati promašenim izdatcima koji neće dugoročno povećati sigurnost”, upozorava Stipetić koji se tijekom cijele svoje karijere bavi se sigurnosnim rješenjima pa može zaključiti kako smo tehnološki i samom sviješću znatno napredovali, osobito iz vizure mStarta koji brine o sigurnosti podataka i sustava nekih od regionalnih lidera.

“Po broju certifikata ISO 27001 Hrvatska je na trinaestom mjestu u EU, što je odličan rezultat imajući u vidu veličinu gospodarstva, pri čemu se 78 posto odnosi na IT kompanije, što dovoljno govori o motivima ulaganja u ovaj sustav kvalitete”, ističe Stipetić i nadodaje da najveće izazove u pogledu sigurnosti možemo tražiti u ekonomskim faktorima, nedostatku ljudskog kapitala, kao i povećanju izloženosti napadima koji proizlaze iz povećanja kompleksnosti upravljanja sigurnošću sustava podataka koji se nalaze i u privatnim IT sustavima i u oblaku.

“Svjedoci smo inflacije, gdje neminovno povećani ulazni troškovi energije i rada stvaraju pritisak da se uštedi na drugim stavkama. Sukladno tome, postoji rizik odgađanja projekata informacijske sigurnosti i smanjenja izdataka za sigurnosne mjere. Osim toga, oslanjanje na vlastite IT službe, bez dediciranog kadra upravo u sigurnosnom segmentu, nerijetko nije dovoljno.

Tvrtka može imati odlične ICT stručnjake, no ako oni nisu dedicirani sigurnosti naprosto ne uspijevaju pratiti sve kompleksnosti zaštite informacijskih sustava. Briga za sigurnost podataka mora biti kontinuirano zaduženje menadžera koji ima stvarnu mogućnost provedbe programa informacijske sigurnosti”, smatra direktor Informacijske sigurnosti u mStartu.

New Report

Close