Informatička sigurnost postala je strateški važna: koliko i mali propusti mogu biti kobni potvrđuje više sigurnosnih incidenata u digitalnoj sferi kojima smo lani svjedočili. Od napada na KBC Zagreb, Hanfu, splitsku Zračnu luku Sv. Jeronim.

Država se stoga, dijelom i zbog obveza koje nalaže NIS2 direktiva o povećanju kibernetičke sigurnosti na europskoj razini, bacila na uređivanje ovog kompleksnog sustava. Nakon što je lani donesen Zakon o kibernetičkoj sigurnosti, sada je usvojen i Nacionalni program upravljanja kibernetičkim krizama.

Uspostava sustava, zbog čijih je manjkavosti u 2023. prijavljeno 10,5 milijuna eura štete, ne pretpostavlja i njegovu efikasnost, upozoravaju naši sugovornici. Ona će, naravno, ovisiti o provedbi. Nacionalnim programom upravljanja kibernetičkim krizama, koji je donesen jučer na Vladi na prijedlog Sigurnosno-obavještajne agencije (SOA), uspostavlja se nova operativna razina u njihovom upravljanju.

Novost je uspostava Koordinacije za upravljanje kibernetičkim krizama, međuresornog tijela koje bi zajedničkim djelovanjem trebalo dati adekvatan i pravovremeni odgovor na svaku takvu prijetnju. Središnje državno tijelo odgovorno za upravljanje postaje SOA, a njezin Centar za kibernetičku sigurnost bit će transformiran u Nacionalni centar za kibernetičku sigurnost (NCSC-HR).

Uz SOA-u, koja će biti nadležna za provedbu zahtjeva sigurnosti za 14 sektora (energetika, voda, zdravstvo, voda, digitalna infrastruktura, proizvodnja, prerada i distribucija hrane…) važnu ulogu u upravljanju kibernetičkim krizama imat će i brojna druga tijela, od Ministarstva znanosti, obrazovanja i mladih, Ministarstvo unutarnjih poslova, Ministarstvo obrane, HNB-a, Hanfe, CARNET-a…

Proaktivan pristup
pravo koordinacija između različitih tijela i usklađenost s europskim standardima doprinose boljoj pripremljenosti i otpornosti na nacionalnoj razini i šire, ocjenjuje Neven Zitek, voditelj odjela za odgovor na kibernetičke incidente u Spanu, koji upravo ova dva elementa navodi kao ključna u Nacionalnom programu.

“Iskreno vjerujem kako implementacija ovog programa može značajno poboljšati sposobnost organizacija da spriječe kibernetičke napade i adekvatno odgovore na njih. Ako se program pravilno provede, može pomoći u smanjenju rizika od kibernetičkih napada i osigurati brži oporavak u slučaju incidenta”, ističe Zitek.

Biljana Cerin, direktorica tvrtke Ostendo Consulting, koja je tri godine bila članica Upravnog odbora (ISC)2, najveće svjetske udruge stručnjaka za sigurnost informacijskih sustava, doneseni program smatra vrlo važnim korakom u jačanju nacionalne sigurnosti u digitalnom prostoru. Ocjenjuje ga sveobuhvatnim te kaže da obuhvaća ključne aspekte kriznog upravljanja. Međutim, upozorava da postoje izazovi koje treba adresirati.

Građevinski sektor

Kako se tvrtke mogu zaštititi od nestabilnosti tržišta energije? Jednostavno je

digitalna otpornost

Upravljanje rizicima više nije igra na papiru – DORA zahtijeva rezultate

“Prvo, kvaliteta i rana identifikacija prijetnji te objektivna procjena sigurnosnih rizika su presudni. Prevencija je najučinkovitija kada se prijetnje prepoznaju i adresiraju pravovremeno, a procjene rizika provode s namjerom stvarne identifikacije i mitigacije sigurnosnih rizika, ne samo zadovoljenja regulatornih zahtjeva ili izvješćivanja uprave. Proaktivni pristup može značajno smanjiti vjerojatnost da kibernetički incident eskalira u krizu”, ističe. Naglašava i da će suradnja s privatnim sektorom biti ključna, no i zahtjevna.

“Privatne tvrtke, posebno one koje upravljaju kritičnom infrastrukturom, imaju vlastite sigurnosne protokole koji se ponekad teško usklađuju s nacionalnim standardima. Potrebno je graditi povjerenje i osigurati da privatni sektor prepozna važnost suradnje s državnim tijelima”, navodi Cerin. Najvažnije u provedbi programa bit će praktične i provedive operativne procedure koje će biti donesena na temelju programa, kaže.

“U stvarnim kriznim situacijama, složene procedure koje nitko neće čitati, unapređivati ili slijediti kad je to stvarno potrebno, nisu korisne. Nužno je osigurati da su protokoli jasni i jednostavni za implementaciju. Brzina i stručnost reakcije ključni su faktori. Kako bi se to postiglo, potrebno je osigurati stručne timove, a ne samo formalno imenovane uloge, odgovornosti i procedure donesene “reda radi”, navodi Cerin.

Ulaganje u kapacitete
Zitek iz Spana upozorava da velika odgovornost za provedbu i ulaganje u otpornost ne leži samo na ključnim i važnim subjektima, već svima. “Svaka organizacija mora uložiti u vlastite kapacitete za odgovor i otpornost kako bi bila spremna suočiti se s kibernetičkim prijetnjama. Program nije čarobni štapić koji će magično riješiti sve probleme, već okvir koji zahtijeva aktivno sudjelovanje i predanost svih uključenih strana”, navodi.

Uspješnost programa leži u provedbi. Osim javnog sektora kibernetičkoj se sigurnosti mora prilagoditi i privatni. Stručnjaci već godinama upozoravaju da je razina svijesti o važnosti ulaganja u kibernetičku sigurnost među domaćim kompanijama niska. Ne čudi da takav napad, prema nekim podacima, više od 60 posto malih i srednjih tvrtki doživi u prvoj godini poslovanja. Sve su učestaliji i napredni državno-sponzorirani napadi.

Samo u prvih šest mjeseci prošle godine zabilježeno je njih više od 10 u Hrvatskoj. Podaci SOA-e govore da ih je u 2022. bilo 19 da bi u 2023. brojka skočila na 31. Svaki takav napad ne nosi samo sigurnosne, već i društvene rizike, pa i one koji su prijetnja životima. Sjetimo se samo napada na KBC Zagreb ili splitsku Zračnu luku. Provedba Nacionalnog programa stoga će u godinama koje dolaze biti od životne važnosti.