TLS certifikati su digitalne ‘osobne iskaznice’ web stranica koje omogućuju da se internetom šalju podaci na siguran način, primjerice kada se prijavljujete u internet bankarstvo ili unosite lozinku na nekoj stranici.
Smanjenje roka valjanosti TLS certifikata na samo 47 dana do 2029. godine donosi značajne promjene za organizacije koje upravljaju velikim brojem digitalnih servisa. Ono što se na prvi pogled može činiti kao tehnička prilagodba, u praksi postaje ozbiljan operativni i financijski izazov, jer će tvrtke morati upravljati stotinama obnova certifikata svake godine kako bi osigurale neprekidan rad svojih sustava.
O tome kako se pripremiti za nadolazeće promjene govorila je na konferenciji Cyber Security Marijana Mišić Mikulić, voditeljica proizvoda u ASEE-u.
Po minuti 5500 dolara
Mišić Mikulić upozorila je da istek TLS certifikata može izazvati ozbiljne posljedice za poslovanje, podsjetivši na nekoliko globalno poznatih incidenata. Kao primjer navela je višesatni prekid rada platforme Microsoft Teams u veljači 2020. godine, kada je zbog isteka autentifikacijskog TLS certifikata više od 20 milijuna korisnika ostalo bez pristupa usluzi.
Također je istaknula i slučaj Starlinka iz travnja 2023. godine, kada je istek certifikata na zemaljskoj postaji uzrokovao višesatni globalni prekid internetske usluge za milijune korisnika. Prema njezinim riječima, takvi primjeri pokazuju kako jedan previd u upravljanju certifikatima može dovesti do značajnih operativnih poremećaja, financijskih gubitaka i narušavanja povjerenja korisnika.
“To su velike kompanije, što nam najbolje pokazuje kako kibernetičku sigurnost donose procesi, a ne veličina kompanije”, izjavila je Mišić Mikulić.
Stručnjakinja iz ASEE navela je kao je 80 posto organizacija doživjelo barem jedan ispad zbog certifikata godišnje, a prosječno trajanje oporavaka od ispada je više od četiri sata. Trošak po minuti je 5500 dolara.
Ako organizacija ima stotinjak certifikata, to više nije usputni posao, to zahtijeva praktički jednog zaposlenika koji se bavi samo tim.
“Pravila se mijenjaju i to je obavezujuće. Od jedne obnove godišnje doći ćemo do osam u 2029. Danas je valjanost certifikata 200 dana, što znači dvije obnove godišnje. Od 2029. valjanost će biti 47 dana. Ono što je do sada bio godišnji administrativni zadatak postaje kontinuirani operativni izazov. Ako organizacija ima stotinjak certifikata, to više nije usputni posao, to zahtijeva praktički jednog zaposlenika koji se bavi samo tim”, kazala je Mišić Mikulić.
Na temu regulatornih zahtjeva nadovezalo se i predavanje Jakova Kiša iz Nacionalnog CERT-a pri CARNET-u, koji je sudionicima približio obveze prijavljivanja kibernetičkih incidenata u kontekstu sve strožeg zakonodavnog okvira. Dok organizacije ulažu napore u prevenciju i upravljanje rizicima, jednako je važno znati kako postupiti kada do incidenta ipak dođe te koje su njihove zakonske obveze prema nadležnim tijelima.
Prikrivanje je najgore
Kiš je pritom istaknuo da je učinkovita kibernetička sigurnost nezamisliva bez suradnje i pravodobne razmjene informacija među dionicima. Predstavio je obveze koje za kategorizirane subjekte proizlaze iz Zakona i Uredbe o kibernetičkoj sigurnosti te pojasnio ulogu platforme PiXi kao središnjeg alata za prijavu i obradu sigurnosnih incidenata. Cilj je, naglasio je, omogućiti organizacijama jednostavan, siguran i standardiziran postupak prijave, ali i doprinijeti izgradnji zajednice koja kroz dijeljenje informacija jača kolektivnu otpornost na sve složenije kibernetičke prijetnje.
“Prijava incidenata je pokazatelj zrelosti, odgovornosti i otpornosti sustava. Prikrivanje incidenta najgori je mogući izbor jer predstavlja zakonski prekršaj, ostavlja sigurnosne ranjivosti otvorenima te povećava rizik ponavljanja napada i još ozbiljnijih posljedica u budućnosti”, zaključio je Kiš i dodao: “Prijavom incidenta subjekti prestaju biti prepušteni sami sebi u borbi protiv napadača te postaju dio koordiniranog nacionalnog sustava zaštite koji im pruža tehničku i analitičku potporu.”
