Prosječni radni dan običnog čovjeka počinje tako da dolaskom na posao uključi računalo i ulogira se nekim lozinkama. Prosječni radni dan kibernetičkog kriminalca počinje tako da se pita kako da upadne u neki sustav i ukrade podatke i baš zato je tema sigurnosti na internetu izrazito važna. Poslovni dnevnik stoga je organizirao konferenciju o kibernetičkoj sigurnosti kao temelju za jačanje otpornosti svake kompanije u digitalnom svijetu, s posebnim naglaskom na NIS2 Direktivu i Uredbu (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor (Dora).
Kako spriječiti napade?
Recimo da su u današnje vrijeme krađa lozinki i napad na vjerodajnice najčešći vektor upada u mreže, a kako te napade spriječiti govorio je Andro Galinović iz Infobipa, direktor odjela za informacijsku sigurnost. Naime, lozinke je teško probiti ako su dovoljno dugačke, odnosno jake, ali kriminalci tu ne staju i pitaju se kako da uđu u sustav, a da ih ne probijaju. Ono što brine jest činjenica da se sve može, ali isto tako napadi se mogu i spriječiti, a u svemu tome pomaže pristup nulte stope povjerenje, tzv. Zero Trust koji je Galinović slikovito pojasnio:
“Sjetimo se srednjovjekovnih gradova koji su u velikoj mjeri bili samodostatni i okruženi zidinama, baš kao i tradicionalni sustavi, dok su moderni gradovi prerasli zidine i proširili se. Tvrtke su nekada mogle imati sve unutar svoje mreže koje su bile zaštićene, a danas koriste oblak (cloud) i jasna granica firme se ne vidi. Oblak se ne može izbjeći. Svi smo u modernom cloud dobu, sva rješenja će biti samo u oblaku. Kao klasična firma morate se adaptirati primjeni oblaka, a problem je tu da se gube zidine. Kada ih imamo, provjeravamo na ulazu identitet pojedinca koji ulazi u grad, a kada ih nema, nema više tog pregledavanja. Nulta stopa povjerenja nalaže provjeru na krajnjim točkama svakog sustava. Provjeravaju se dvije stvari, a to su vjerodostojnost korisnika, ali i sredstvo pristupa, znači je li to mobitel, laptop… U trenutku dobijete te podatke i odlučite je li taj pristup rizičan ili nije. Lopov tu odustaje i radije ide hakirati nekog drugog koji nema takvu zaštitu.”
Uvod je ovo u stvarnost koja ne prašta naivnost i pokazuje nam koliko je prava sigurnost zapravo važna. U cijeloj ovoj priči zato je bitno shvatiti način kako te disrupcije pretvoriti u prilike. Europska unija stoga je donijela niz zakona posljednjih godina, a važna je tu Uredba o digitalnoj operativnoj otpornosti za financijski sektor (Dora) o kojoj je govorila Ana Kovačević, direktorica za specijalna osiguranja i reosiguranja u Marsh Hrvatska.
“Dora je podigla stepenicu zahtjeva digitalne sigurnosti. Financijske institucije svjesne su rizika kojima su istaknute, prošle godine je broj kibernetičkih napada na financijske institucije porastao za 22 posto. Banke u Hrvatskoj imaju veliko pokriće od kibernetičkih napada, dok je kod ostalih financijskih institucija to lošije. Neki bi uzeli osiguranje, ali kalkuliraju s troškovima i pitaju se je li trenutak za to ulaganje. No, konkurencija je danas velika, kapaciteta je puno, a premije su niže, zato je baš sada trenutak za to.”
Ako se pak neki napad dogodi, tu je policija, a kako se hrvatska policija pripremama za provedbu NIS2 Direktive o sigurnosti mrežnih sustava rekao je Dragan Marić iz službe kibernetičke sigurnosti Uprave kriminalističke policije.
“Hrvatska je dio zajednice za borbu protiv kibernetičkog kriminaliteta. Situacija je takva da se donosi standardni operativni postupak, koji je unutarnji akt za postupanje ako dođe do ugroze i incidenta. U fazi smo finaliziranja prema procjeni razine rizika. Osim toga, policija kada utvrdi da je razina incidenta za kazneno djelo, provode se policijski izvidi. Iz moje perspektive kao digitalnog forenzičara, bitna je svijest da digitalni podatak brzo nastane, ali i nestane, zato je taj prvi trenutak jako bitan, da se podatak sačuva. Kibernetički kriminal se događa međunarodno, nikad nije lokaliziran i bitna je tu razmjena podataka međunarodno. Policija tu ima kanale komunikacije i tu će uvelike pomoći i Uredba o digitalnim uslugama koja će ubrzati nabavljanje podataka.”
Firme padaju, podaci cure
Koji su najčešći propusti kod provedbi Dore i NIS2, pojasnio je Nino Talian, voditelj odjela za informacijsku sigurnost, KING-ICT.
“Diže se svijest o tome da je ulaganje u ovu vrstu sigurnosti bitno. Sve ovo je i prilika jer prijetnje se zaista događaju, firme padaju, podaci cure, štete su velike. Korisno je da se nešto mora implementirati. Kada govorimo konkretno o propustima, organizacije ne shvate ozbiljno sve ovo ili se dogodi da ne odvoje dovoljno sredstava za to ili nemaju zaposleno dovoljno kvalitetnih ljudi. No, moram naglasiti da se vidi napredak kod svih posljednjih godina.”
Važno je tu spomenuti i Uredbu o umjetnoj inteligenciji pa se postavlja pitanje je li ona uistinu predvidjela sve što se u budućnosti može dogoditi. O tome je govorio Tomislav Vazdar, stručnjak za umjetnu inteligenciju i kibernetičku sigurnost, osnivač i direktor tvrtke Riskoria.
“Kod ove Uredbe je dobro to što je sve balansirano između inovacije i zaštite temeljnih prava, a to se postiže pravim upravljanjem rizicima. Prednost zakona je da je fleksibilan, ali mora pratiti tehnologiju. Sve dolazi od jednom kao cunami, a regulativa se ne može napisati ako se ne razumije tehnologija”, zaključio je Vazdar koji je svjestan da je umjetna inteligencija postala sastavni dio života svih nas s čime su se složili i ostali panelisti te zaključili da dolazi uzbudljiva, ali i zastrašujuća budućnost.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu