Kibernetička sigurnost, odnosno nesigurnost sve češće se spominje otkad su prošlo ljeto napadnuti informacijski sustavi KBC-a Zagreb i splistke zračne luke čime se dugogodišnji globalni problem u svijesti domaćeg bisnisa naglo hrvatizirao. Usklađivanje s propisima EU natjerat će oko tisuću hrvatskih kompanija na ulaganja u jačanje sigurnosti svojih informacijskih sustava.

Kolika bi ta ulaganja trebala biti, koja karika u svemu je najslabija i oko čega vladaju zablude? Na te teme razgovarali smo sa strategom za kibernetičku sigirnost Tomislavom Vazdarom iz tvrtke Riskoria koji je nakon dugogodišnje karijere u Americi na tom području radio u Deloitteu, Erste banci te za Europol.

U prosincu nas je tragedija u OŠ Prečko bolno podsjetila koliko podcjenjujemo rizike za fizičku sigurnost, podcjenjujemo li jednako ili više rizike u virtualnom svijetu?
Problemi reaktivnih sustava, onih u kojima se nešto poduzima samo kao reakcija na neposrednu tragediju ili incident, jednaki su bilo u fizičkom ili virtualnom svijetu.

Tragedije poput one u Osnovnoj školi Prečko, gdje je život izgubilo dijete, do sada smo gledali na televiziji – prvo su se događale u Americi, pa u Norveškoj prije 14 godina, pa 2023. u Srbiji. Sve su to pokazatelji koji upućuju da se tako nešto može dogoditi i kod nas, i to bi se trebalo moći predvidjeti. Sustav bi trebao funkcionirati tako da se tragedije spriječe. Vrlo često ćemo čuti da su ‘fizičke’ tragedije “prave” jer u njima ljudi mogu izgubiti živote, dok se virtualne, odnosno kibernetičke prijetnje, ne shvaćaju dovoljno ozbiljno.

No, posljedice kibernetičkog kriminala već barem dva desetljeća uzrokuju financijsku i materijalnu štetu kroz financijske prijevare, širenje dezinformacija, radikalizaciju s ciljem počinjenja terorističkih napada, poput posljednjeg slučaja u New Orleansu sa smrtnim posljedicama. Mi jesmo sigurna zemlja i u redu je da u to vjerujemo, ali ne treba nikada isključiti mogućnost da se slični događaji mogu dogoditi i kod nas.

Što je najgore što se može dogoditi kompaniji?
Može propasti. Svakih se nekoliko sekundi dogodi jedan kibernetički napad na globalnoj razini, a to može biti i do 2000 napada u jednom danu. U kibernetičkom ratovanju vrijedi pravilo da ako želite uništiti neku zemlju uništite joj ekonomiju. Još prije 15-ak godina počeli su kibernetički napadi na informacijske sustave u Hrvatskoj, dok su organizirani napadi na financijske sustave u SAD-u i EU počeli i ranije.

Jedan od najpoznatijih napada, Carbanak, bio je ujedno i sofisticirani maliciozni softver korišten za napade na financijske sustave širom svijeta, što je dovelo do financijskih gubitaka od više od milijardu eura. Najpoznatiji primjer napada pomoću Carbanak-a je napad na banku u Bangladešu kada je 80 milijuna dolara poslano na bankomate širom svijeta i ukradeno u koordiniranoj akciji.

Građevinski sektor

Kako se tvrtke mogu zaštititi od nestabilnosti tržišta energije? Jednostavno je

digitalna otpornost

Upravljanje rizicima više nije igra na papiru – DORA zahtijeva rezultate

U posljednjih nekoliko godina napadnuti su informacijski sustavi brojnih institucija u Hrvatskoj, o čemu se pisalo u medijima, primjerice Ine, Hanfe, prošlog ljeta KBC-a Zagreb i splitske zračne luke. Sve su to događaji koji ukazuju da rizicima informacijske sigurnosti treba početi primjereno upravljati. Osim financijskog i telekomunikacijskog sektora, ranjivi su energetika, prijevoz, zdravstvo i mnogi drugi.

Koliko su hrvatske tvrtke do sada osvjestile potrebu za ulaganjem u kibernetičku sigurnost?
Prema anketi koju je provela Hrvatska gospodarska komora, hrvatske tvrtke su nedovoljno spremne za eventualni kibernetički napad, odnosno čak 70 posto ispitanih tvrtki nema uspostavljene planove i procedure za postupanje u slučaju kibernetičkog incidenta. Vjerujem da rezultat nije daleko od istine i na većem uzorku. Posljednjih mjeseci, nakon ‘ransomwarea’ u KBC-u Zagreb i u splitskoj zračnoj luci ljudi, pokazuju više interesa. Brojni menadžeri iz kompanija dolaze na stručna predavanja i sve ih zanima, ali trenutačno više radim s tvrtkama i partnerima iz Amerike i EU nego s domaćima.

Upravo je usvojen Nacionalni program za zaštitu od kibernetičkih napada, hoće li ih to ubrzati?
To je dio opsežnih propisa koji se donose u skladu s europskom direktivom NIS2 o kibernetičkoj sigurnosti, a koja propisuje provođenje krovnog nadzora nad svim sustavima čije je vođenje povjereno Sigurnosno-obavještajnoj agenciji. Sukladno propisima, SOA treba reći koje su to kompanije obveznici usklađivanja, a trebalo bi ih biti oko tisuću, što je puno više nego do sada. Propisi će ih primorati na usklađivanje s europskom direktivom NIS2.

Ali koliko god to bilo dobro, pretpostavljam da će dobar dio kompanija ići za time da samo zadovolji propisani zakonski minimum kako bi se osigurale da ih se ne kažnjava jer je i to karakteristika reaktivnog sustava. Za razliku od takvog, proaktivni sustav bi podrazumjevao da vodeći ljudi u kompanijama razumiju da je potrebno zaštititi poslovanje od kibernetičkih napada ne zato što propisi sada to tako nalažu već da bi bili spremni odgovoriti organizacijsko-tehničkim mjerama na vrlo realnu mogućnost kibernetičkog napada koji može rezultirati financijskim i reputacijskim gubitkom.

Obrana od kibernetičkih napada je postala sastavni dio poslovanja, tako da je potrebno neprestano motriti informacijski sustav, primjenivati zakrpe, stvarati sigurnosne kopije podataka, prilagođavati politike i procedure upravljanja te paziti na zakonsku usklađenost.

Stalno se ističe da svaka kompanija treba sigurnosno rješenje skrojeno po njezinim potrebama. Može li se nešto primijeniti na sve kompanije?
Svi bi se trebali, primjerice, zapitati kako ćemo mi poslovati dalje ako nam svi sustavi budu zaključani pa ne možemo ni do podataka ni do klijenata niti komunicirati e-mailovima, ništa. Svaka kompanija bi trebala imati plan za kontinuitet poslovanja, odnosno alternativni način provođenja poslovnih procesa na određeno vrijeme dok se incidentna situacija ne riješi.

Potrebno je početi od analize vlastitih poslovnih procesa i registra informacijske imovine te detektiranja ljudi koji su vam nužni da bi sustav radio u bilo kojim uvjetima. Na primjeru jedne institucije mogu reći da se u analizi ispostavilo da je je na nekoliko tisuća zaposlenih, kritično za poslovanje u vrijeme krize nešto više od stotinu ljudi. To su i administratori koji imaju pristup informacijskom sustavu, ali i ključni poslovni korisnici.

Nakon što smo ih detektirali, važno je odrediti tko što radi u slučaju krize. Bitno je naglasiti da se sigurnosni incident može proglasiti krizom ako je došlo do velikog narušavanja poslovnih procesa. Sigurnosni incident predstavlja viši stupanj kritičnosti od sigurnosnih događaja koji su puno češći i koji se rješavaju kroz redovne poslovne procese.

Ako kompanija ima više od nekoliko sigurnosnih incidenta tijekom godine, rekao bih da tada ima puno ozbiljniji problem kojeg možda nije ni svjesna. Za upravljanje kriznom situacijom u tvrtki mora postojati dobro razrađeni plan kriznog upravljanja.

Imaju li kompanije novca za takvo ulaganje?
Koliko novca treba uložiti u zaštitu informacijskih sustava ovisi o veličini tvrtke, prirodi njezinog poslovanja i razini rizika kojoj je izložena. Općenito, preporuke govore da bi se u sigurnost informacijskih sustava trebalo ulagati između pet i 15 posto ukupnog IT proračuna, no taj postotak može varirati ovisno o specifičnim potrebama.

Morati će naći novac kroz rebudžetiranje ako im se čini da ga nemaju, kao što nađu novac za ublažavanje svih ostalih rizika. Ovisno o razini zaštite koja im je potrebna, u financijskom ciklusu od tri do pet godina tvrtke će morati uvesti određeni sustav zaštite, počevši od danas, ali to je prije svega njihova poslovna odluka.

Iskustva financijskog sektora i telekomunikacija pokazala su da se potrebna sredstva uvijek pronađu, ali da je puno teže osigurati adekvatne ljude za provedbu sigurnosnih mjera. Upravo zato sigurnosna strategija mora uključivati ne samo ulaganja u tehnologiju, nego i u edukaciju zaposlenika. Ljudske pogreške često su glavni uzrok sigurnosnih incidenata, pa ulaganje u obuku može značajno smanjiti rizike.

Koliko ljudi sada može obavljati taj posao?
NIS2 direktiva ne propisuje izričitu obvezu postojanja uloge Chief Information Security Officer (CISO) u organizacijama, ali postavlja jasne zahtjeve za upravljanje kibernetičkom sigurnošću koji impliciraju potrebu za odgovornom osobom ili tim. Tih oko 1000 kompanija će trebati imati osobu koja će upravljati kibernetičkom sigurnošću, a obično se ispostavi da jedan čovjek nije dovoljan i da kompanija treba imati tim koji će raditi taj posao, pri čemu je važno da ti ljudi poznaju poslovne procese i samu prirodu poslovanja.

Na okruglom stolu u organizaciji udruge CRO AI na temu utjecaja umjetne inteligencije na kibernetičku sigurnost, raspravljali smo koliko otprilike u Hrvatskoj ima ljudi koji se bave upravljanjem kibernetičkom sigurnošću i nabrojali smo najviše 400 kvalificiranih stručnjaka. To znači da nam u sustavu nedostaje najmanje 700 ljudi za te poslove.

Koje su to kompetencije, znanja i vještine potrebne za CISO poziciju, gdje se uče?
Obrazovnih programa je sve više, ja sam između ostalog i profesor na Open Institute of Tehnology, online obrazovnoj instituciji sa sjedištem na Malti koju je pokrenuo bivši talijanski ministar obrazovanja Francesco Profumo. U Hrvatskoj uz Algebru, postoje i drugi obrazovni programi poput onih na FER-u i privatnim institucijama.

Ne treba zaboraviti i obrazovne programe za razne sigurnosne certifikate, kojih postoji više od 2000. Ima jedna zabluda oko tog kadra, vjeruje se da ti ljudi moraju biti isključivo tehnički potkovani, a nije nužno tako. Kvalitetan voditelj tima za informacijsku sigurnost mora imati raznovrsna znanja iz svih dijelova poslovanja tvrtke. Nužno je da posjeduje dobre organizacijske i analitičke sposobnosti, da može ostati smiren u kriznoj situaciji te da posjeduje praktično iskustvo rada u kompaniji radi šireg pogleda.

Koliko su kod nas plaćeni ti stručnjaci?
Bruto plaće za početnike u području kibernetičke sigurnosti kreću se oko 3000 eura, dok vodeće pozicije mogu doseći i do 5000 eura bruto. I to je jedan od razloga zašto imamo manjak kadrova.

Može li ljude zamijeniti umjetna inteligencija?
Razvoj tehnologije omogućuje automatizaciju mnogih procesa i može značajno smanjiti potrebu za ljudskim resursima u određenim segmentima kibernetičke sigurnosti. AI već sada prepoznaje obrasce prijetnji, analizira velike količine podataka i reagira na određene vrste incidenata brže nego što bi to mogao čovjek. No, postoje aspekti sigurnosti gdje je ljudski faktor nezamjenjiv, posebno kada su u pitanju donošenje strateških odluka, upravljanje krizama i prilagodba specifičnim poslovnim procesima.

Moramo znati da umjetna inteligencija nije savršena, a njezina učinkovitost ovisi o kvaliteti podataka kojima je trenirana i sposobnosti ljudi koji upravljaju tim sustavima. Idealno rješenje je sinergija između tehnologije i ljudskih stručnjaka gdje AI preuzima rutinske zadatke, a ljudi se fokusiraju na strateške i kompleksne aspekte sigurnosti. I to je sada već realnost.