Kibernetička higijena važna je kao i osobna higijena, o njoj računa trebaju voditi svi dionici nebankarskog financijskog sektora, a riziku od kibernetičkih napada, izloženi su najviše upravo putem svojih dobavljača. Upozorio je na to Ante Žigman, predsjednik Upravnog vijeća Hrvatske agencije za nadzor financijskih usluga (Hanfa) koja je i sama svojedobno bila metom ozbiljnog hakerskog napada. Kako se moglo čuti na konferenciji “DORA i digitalna otpornost: izazovi praktične primjene”, koju je taj regulator organizirao Zagrebu, Uredba o digitalnoj operativnoj otpornosti, koja je na snazi od 17. siječnja, postavlja pravila za jačanje otpornosti financijskog sektora u EU na kibernetičke prijetnje i tehnološke rizike.
Najčešći ‘phishing’
Kada je riječ o jačanju digitalne otpornosti i prevenciji kibernetičkih napada, na vrhu liste prioriteta financijskim institucijama mora biti dubinsko snimanje (due diligence) odnosno procjena rizika i upravljanje lancem dobavljača informatičkih usluga koje koriste u svom poslovanju, istaknuo je Žigman. “Dobavljači koje koriste financijske institucije na europskoj razini isti su Hrvatskoj, Njemačkoj, Francuskoj, Italiji, Španjolskoj. Među 19 ključnih IKT dobavljača nalaze se i Microsoft, Oracle, Deutsche Telekom, Bloomberg”, podsjetio je Žigman. Listopadsko izvješće Agencije za kibernetičku sigurnost EU, pokazalo je da su pojedinci, uključujući djelatnike u financijskom sektoru, najviše izloženi “phishingu”, u čak 60 posto slučajeva. “Najčešće je to rezultat ljudskog faktora, netko je kliknuo na poveznicu na koju nije trebao, gurao USB stick gdje nije smio. Kada se gleda po tipu napada, “ransomware” dominira, činio je 83 posto svih napada (op.a. u financijskom sektoru) od čega 69 posto njih bude uspješno izvedeno, a u 30 posto slučajeva stradaju osobni podaci, oteti za daljnju obradu. Pristup njima prodaje se putem dark weba, reputacija institucije onda trpi, a sigurnost i povjerenje klijenata se naruši. Što se tiče tehnologije, najveći dio kolača otpada na mobitele, putem njih se odvija 43 posto svih kibernetičkih napada”, komentirao je rezultate izvješća Žigman.
Alat sve više i AI
Kriminalci u kreiranju napada sve više koriste i umjetnu inteligenciju (AI), uključujući legalno dostupne velike jezične modele, dodao je Žigman pa spomenuo primjer Claudea, Anthropicovog naprednog AI asistenta. “Iskorišten je za pisanje napadačkog programa, automatsko skeniranje i pripremu napada, proizvodnju skrivenih ulaza u probijenom poduzeću te za obradu ukradenih podataka za prodaju”, kazao je.
Peter Braumuller, predstavnik Austrijskog nadzornog tijela za financijsko tržište (FMA) pohvalio je Hanfu za preuzimanje vodstva u kibernetičkoj sigurnosti financijskog sektora. Naglasio je da, iako postoje različiti rizici (makroekonomski, tržišni, geopolitički i održivosti), kibernetički postaju sve ozbiljniji. “Zato smo u Austriji prije sedam-osam godina počeli pripremati industriju i financijske institucije kako bi mogle identificirati rizike i izmjeriti ih, što nije bilo lako s obzirom na tehničko-informatička znanja, ali ih i dalje gradimo. Važno je nastaviti edukaciju i pojačati ulaganja jer vidimo sve više kibernetičkih prijetnji, incidenata i napada. Tri četvrtine incidenata odnose se na ICT treće strane, što znači da većina sigurnosnih problema dolazi od vanjskih dobavljača ili partnera koji pružaju informatičke usluge, poput upravljanja sustavima ili cloud usluga”, komentirao je Braumuller.
Pregled stanja kibernetičke sigurnosti u Republici Hrvatskoj dao je Filip Barišić, predstavnik Nacionalnog centra kibernetičke sigurnosti (NCSC HR).
“Zakon o kibernetičkoj sigurnosti pušten je na snagu u veljači 2024. Postavio je temelje izgradnje otpornog ekosustava, a nakon toga je uslijedilo definiranje podzakonskih akata. Uredba o kibernetičkoj sigurnosti potom je tehnički doradila stavke određene Zakonom, a što uključuje i 13 mjera kibernetičke sigurnosti, od kojih svaka ima svoje podskupove. Kategorizirani subjekti, njih 700-tinjak, od čega 125 ključnih i 588 važnih obvezni su provoditi mjere prevencije. Prije mjesec dana, izašao je Nacionalni plan provedbe vježbi kibernetičke sigurnosti.
U njemu smo do 2027. definirali sve vježbe koje ćemo provoditi na nacionalnoj i međunarodnoj razini, EU-a odnosno NATO saveza, a u kojima će sudjelovati i institucije iz RH. Taj će se plan provedbe ažurirati svake dvije godine”, pojasnio je Barišić pa kazao kako se i dalje očekuje povećanje broja državno-sponzoriranih i ransomware kibernetičkih napada, posebice na kritičnu infrastrukturu.
Hanfa očekuje da će ažuriranje DORA registra informacija u 2026. ići uspješnije. “Rokovi koje nam europska nadzorna tijela zadaju bit će stroži. Rok za dostavu izvještaja nakon provedbe testa digitalne otpornosti je 72 sata pa kompanije koje neće moći udovoljiti sve propisane obveze izvještavanja o IKT incidentima riskiraju lošu ocjenu u tom segmentu”, istaknuo je Mladen Gavrančić, direktor Ureda za informacijsku sigurnost Hanfe.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu