Kibernetička sigurnost svjetska je top tema, a u Hrvatskoj ima i dodatan razlog za to jer je Zakon o kibernetičkoj sigurnosti na dnevnom redu Sabora u prvom čitanju. Trebao bi biti donesen do 17. listopada 2024. s novitetima, posebice o tome tko će biti regulator po tom pitanju, oko čega su se i prije negoli je Vlada Zakon propustila do Sabora vodile žučne polemike u javnom prostoru. Istovremeno, statistika neprestano bilježi sve veći broj kibernetičkih napada na pojedince, tvrtke, institucije. Kibernetički kriminal sve je učestalija pojava u svim segmentima društva. Umjesto špijuna “naoružanih” izvrsnim fizičkim vještinama i infiltriranih u kriminalne i državne organizacije o kojima se su stvarale legende i snimali filmovi, sada mahom sjede u foteljama pred nizom ekrana i “provaljuju” u sustave tek klikovima mišem. O tome koliko je kibernetička sigurnost važna, što će donijeti nove europske direktive, koliko će koštati i kako se zaštititi u svijetu nevjerojatnih tehnoloških mogućnosti, razgovaramo s Markom Gulanom, Cybersecurity Consultantom za jugoistočnu Europu iz tvrtke Schneider Electric SEE, ujedno i predsjednikom odbora za OT I industry security pri Hrvatskoj udruzi menadžera sigurnosti (HUMS) te voditeljem odjela za odnose s Global Cyber Allianceom (GCA) pri Hrvatskom institutu za kibernetičku sigurnost (HIKS).
Napredak tehnologije izvještio je kriminalce, špijunima dao dodatne alate, s druge strane tvrtke i organizacije učinio ranjivijima. Ipak, istraživanja i dalje pokazuju da je samo 14 posto uspješnih napada uzrokovano manjkavostima tehnologije, a čak 86 posto napada dolazi zbog ljudske greške. Radi li se tu o neobrazovanosti ili nemaru ljudi i kako tome doskočiti?
Kada je riječ o porastu kibernetičkih napada, izneseni podaci nam govore o važnosti čovjeka u kibernetičkoj sigurnosti. Ključno je razumjeti da se ne radi uvijek o neobrazovanosti ili nemaru ljudi, već o više faktora koji mogu pridonijeti nastanku ljudske greške. U određenom broju slučajeva čovjek koji je uspješno napadnut je kolateralna žrtva npr. hakiranog kolege ili nadređenih. Moramo biti svjesni da su napadi detaljno razrađeni i da napadač ulaže izuzetne napore kako bi se domogao cilja. Neka globalna istraživanja govore da napadač stoji u sustavu i više od 200 dana prije nego li realizira svoj napad, a u tih 200 dana prikuplja sve relevantne činjenice. Kibernetička sigurnost nadišla je samo tehnološku sferu i postala je ključna tema stabilnog i održivog poslovanja. Sprečavanju rizika najlakše je doskočiti sustavnim bavljenjem sigurnošću jer sigurnost nije radnja koja ima početak i kraj, ona je proces koji stalno treba preispitivati i poboljšavati. Edukacijom ljudi, a ponajviše upravljačkih struktura i upoznavanjem s rizicima i posljedicama već možemo puno napraviti. Nadalje, izgradnjom sigurne kulture i implementiranjem sigurnosti u DNK poslovanja, donošenjem i poboljšanjem sigurnosne politike promičemo kulturu sigurnosti čime se radi ogroman korak prema sigurnosnim ciljevima. Tvrtkama je često najizazovniji fokus na tehnološka rješenja. Ona su itekako bitna, ali nisu više jedina sigurnosna karika. Najsofisticiranija tehnologija gotovo da neće imati velikog efekta ako se ne provedu stroge mjere na svim razinama poslovanja. Važno je istaknuti da je kibernetička sigurnost cjelovit proces koji uključuje obrazovanje ljudi, primjenu tehnoloških rješenja i uspostavljanje odgovarajućih politika i postupaka. Doskočiti ovom zabrinjavajućem trendu zahtijeva kontinuirani angažman i napore svih uključenih.
VEZANI ČLANCI:
Naime, tehnologija ubrzano napreduje već desetljećima, no svjesnost o kibernetičkoj sigurnosti, kao da ipak kaska?
Da, dobro ste primijetili, tehnologija već desetljećima strelovito raste, ali svjesnost o kibernetičkoj sigurnosti nekako zaostaje za tim napretkom. Iako je to zabrinjavajuće, postoji nekoliko razloga koji mogu objasniti ovu situaciju. S porastom tehnoloških inovacija, mnogi se korisnici usredotočuju na praktične aspekte tih tehnologija, poput poboljšane produktivnosti, samostalnosti ili povezanosti. Sigurnost se često pretpostavlja kao temeljni aspekt tehnologije, a manje se shvaća kao prioritet. Nove sigurnosne prijetnje ili metode napada mogu se pojaviti prije nego što smo uspjeli svjesno razumjeti prethodne, ostavljajući nas ranjivima. Osim toga, veliki broj kibernetičkih napada ostaje nevidljiv za većinu korisnika. Dok su neki napadi medijski eksponirani, većina se događa neprimjetno i bez javne pažnje. Ovo stvara lažni osjećaj sigurnosti kod ljudi, jer ne shvaćaju koliko često se napadi događaju i koliko su složeni.
Kako bi prevenirali ovakve slučajeve organizacije bi trebale provoditi redovite treninge i testiranja na sigurnosne incidente kako bi osnažile svoje zaposlenike i potakle promjenu stava prema kibernetičkoj sigurnosti.
Uz to što ste angažirani u Hrvatskoj udruzi menadžera sigurnosti i Hrvatskom institutu za kibernetičku sigurnost, zapravo osnovni posao vam je u tvrtki Schneider Electric, gdje radite na poziciji Cybersecurity Consultanta za industriju i kritičnu infrastrukturu te savjetujete tvrtke o važnosti podizanja razine kibernetičke sigurnosti i otpornosti sustava. Kakva su vaša iskustva s konkretnim klijentima kada govorimo o svjesnosti zaštite, ali i spremnosti na edukaciju?
Jugoistočna Europa jedno je od područja s najvećim potencijalom rasta kibernetičke sigurnosti. Kad spominjete kritičnu infrastrukturu, njezina definicija ovisi o zakonodavstvu svake pojedine zemlje. Ogroman je prostor za poboljšanje i zaštitu kritične infrastrukture. Val masivne digitalne transformacije, uz zanemarivanje sigurnosti sustave je učinio ranjivima. Ljeto 2022. godine obilježeno je s nekoliko jakih kibernetičkih napada i s vrlo ozbiljnim posljedicama. Istovremeno se primjećuje trend razmišljanja i buđenja svijesti o važnosti uspostave kibernetički sigurnih i otpornih sustava. Gotovo da ne postoji segment gospodarstva koji ne navodi kibernetičku sigurnost kao jednu od najvažnijih strategija u razvoju poslovanja I digitalnoj tranziciji. Ipak, investicije u sigurnost poprilično su usporene. Dijelom ovu situaciju pripisujemo naglom tehnološkom razvoju koji tvrtke teško mogu pratiti pa izbor sigurnosnih rješenja traje. Gotovo pa većina korisnika nalazi se u svojevrsnoj zamci da kibernetičku sigurnost ekskluzivno povjeravaju IT timovima, što se pokazala velikom greškom pogotovo u industriji, ali i velikom dijelu kritične infrastrukture. Primjećujemo da postoji prostor za poboljšanje i napredak posture sigurnosnih sustava. Adresirali smo glavne značajke i izazove korisnika, a to je asset inventory, nadalje korisnike upoznati s nesukladnostima njihovih rješenja s regulatornim zahtjevima i industrijskim standardima. No najbitnije je da korisnicima pomognemo s implementacijom rješenja i tu vidimo ogroman prostor za Managed Security Services, odnosno da sigurnost preuzmemo na sebe kako bi se korisnici mogli baviti svojim glavnim poslovanjem.
Novi hrvatski Zakon o kibernetičkoj sigurnosti, u središte je stavio pitanje tko će biti glavni regulator kibernetičke sigurnosti, je li SOA pravi izbor?
Kada je riječ o transpoziciji NIS2 direktive u nacionalni Zakon o kibernetičkoj sigurnosti u Hrvatskoj, primjećeno je da postoje javni komentari usmjereni na činjenicu da će Sigurnosno-obavještajna agencija (SOA) biti regulator. Ovo izaziva određenu skepsu i nepovjerenje na tržištu.
Važno je razumjeti da kibernetička sigurnost ima veliku važnost za poslovno okruženje, zbog čega je važno da regulatorna tijela imaju odgovarajuće kapacitete, stručnost i ovlasti za suočavanje sa sigurnosnim prijetnjama. U ovom trenutku jedino SK@UT, koji je u ulozi nacionalnog centra za kibernetičku sigurnost kojim upravlja SOA, ima kapaciteta da nadzire kibernetički prostor Hrvatske. No zabrinutost je svakako stvar promatrača.
Nekoliko razloga može pridonijeti skepticizmu i nepovjerenju prema tome da SOA bude regulator. Prvo, postoji zabrinutost da bi politički utjecaj mogao na neki način utjecati na objektivnost i nepristranost reguliranja kibernetičke sigurnosti. Također, davanje ključne uloge u regulaciji jednoj agenciji može izazvati sumnje u pogledu transparentnosti i uključivanja drugih stručnjaka i dionika u donošenje odluka. Važno je istaknuti da je kibernetička sigurnost zajednički interes svih dionika na tržištu. No u ovom trenutku ne bih naglio sa zaključcima jer siguran sam da će podzakonski akti pobliže definirati uloge određenih tijela u regulaciji.
VEZANI ČLANCI:
Sporno je i tko će sve, kada se radi o gospodarstvu, “upasti” u kategoriju “kritične infrastrukture”, koje su to tvrtke i po kojem ključu bi, po vama, to trebalo biti ustrojeno?
Kada se radi o proglašavanju privatnih gospodarskih subjekata kritičnom infrastrukturom i ulozi sigurnosne agencije u tome, razumijem zabrinutosti koje se mogu pojaviti u vezi s nadzorom nad poslovanjem. Ovdje je važno pronaći ravnotežu između zaštite javnog interesa i očuvanja privatnosti i autonomije tvrtki. Kada se razmatra koji subjekti trebaju biti proglašeni kritičnom infrastrukturom, ključno je promatrati sektore koji imaju strateški značaj za funkcioniranje društva, stabilnosti gospodarstva i nacionalne sigurnosti. To može uključivati industrije kao što su energetika, telekomunikacije, promet, financije, zdravstvo i drugi ključni sektori koji podržavaju vitalne usluge, međutim farmaceutska industrija ili industrija hrane i pića također mogu biti od važnosti za sigurnost.
Pri donošenju odluka o proglašavanju kritičnom infrastrukturom, trebalo bi uspostaviti jasne kriterije i postupke koji osiguravaju pravnu i transparentnu aplikaciju. Može biti razumno pretpostaviti da bi tvrtke koje pružaju vitalne usluge i čija se disrupcija može ozbiljno negativno odraziti na društvo trebale biti uključene. Konačno, važno je provesti detaljnu procjenu rizika i promjene u okruženju kako bi se ispravno identificirali subjekti koji mogu biti proglašeni kritičnom infrastrukturom.
NIS2 direktiva koja je sada tu uključena, nastavak NIS direktive, donosi niz mjera, i zapravo proširuje opseg tvrtki koje bi te mjere trebale implementirati, što očekujete da će se primjenom te direktive dogoditi u praksi?
Primjena NIS2 direktive u Hrvatskoj i šire ima za cilj poboljšanje kibernetičke sigurnosti i zaštitu cjelokupnog gospodarstva čime se osigurava stabilnost i otpornost digitalnog okruženja. Implementacija ove direktive donosi nekoliko mogućnosti i promjena u praksi.
Da, prvo će doći do proširenja opsega tvrtki koje će biti obuhvaćene navedenim mjerama. To znači da će se očekivati da veći broj organizacija ne samo iz sektora kritične infrastrukture poduzme mjere kako bi osigurale svoje sustave i podatke od kibernetičkih prijetnji.
Drugo, očekuje se usklađivanje s europskim standardima i praksama u području kibernetičke sigurnosti. NIS2 direktiva postavlja konkretne zahtjeve koje organizacije moraju ispuniti kako bi osigurale adekvatnu sigurnost svojih informacijskih sustava i mreža. To uključuje uspostavu sigurnosnih politika, izvješćivanje o incidentima, suradnju s nadležnim tijelima te primjenu tehničkih mjera zaštite.
Možda je i najvažnije da direktiva promiče dijeljenje informacija o sigurnosnim prijetnjama i incidentima te suradnju između nadležnih tijela, operatera usluga od posebnog interesa i drugih relevantnih aktera. Ova suradnja i razmjena informacija omogućit će snažnije suočavanje s prijetnjama i pravodobno reagiranje na incidente.
Hoće li prilagodba zakonodavstvu koštati tvrtke, koliko i koje? Naime, neprestano se spominju troškovi koje će pogoditi tvrtke
Prilagodba sa Zakonom o kibernetičkoj sigurnosti, odnosno Direktivom NIS2, može iziskivati određene troškove za tvrtke. NIS2 direktiva fokusira se na ključne elemente sustava. Svakako, a to pokazuju i informacije s tržišta, je najzapostavljenija identifikacija i procjena rizika. Tako će tvrtke morati provesti detaljnu analizu svoje kibernetičke sigurnosti kako bi prepoznale potencijalne rizike i slabosti u svojim sustavima. Ovo zaista može biti jedna od stavki koja će tvrtke motivirati na investiciju i angažiranje stručnjaka kako bi dobili objektivnu i stvarnu sliku ranjivosti sustava. Uspostava sigurnosnih mjera i odgovarajuće tehničke i organizacijske mjere zaštite također mogu biti malo veće investicije. To može obuhvaćati ulaganje u sigurnosnu infrastrukturu, nadogradnju sustava, uspostavu sigurnosnih politika i procedura te obuku zaposlenika. Troškovi će najviše ovisiti o postojećim mjerama, odnosno odgađanje neodgodivih investicija u sigurnost mogu biti značajnijih iznosa. Veliki izazov tvrtkama će predstavljati proaktivni nadzor mreža i sustava i tu će do izražaja doći najviše manjak kvalificiranog kadra, što se možda čini kao nesavladiva prepreka. No eksternaliziranjem sigurnosnih usluga, odnosno nabavci upravljanih sigurnosnih usluga tvrtke će značajno uštedjeti i tako kapitalne investicije zamijeniti za operativni trošak.
O čemu još ovise troškovi?
Važno je napomenuti da su troškovi prilagodbe NIS2 direktivi relativni i ovise o mnogim čimbenicima, uključujući veličinu tvrtke, njezinu razinu pripremljenosti u području kibernetičke sigurnosti i složenost postojećih sustava. Neki troškovi mogu biti jednokratni, dok će drugi biti vezani uz održavanje sigurnosnih mjera na dugoročnoj osnovi. Unatoč troškovima i potrebnim investicijama, važno je naglasiti i koristi usklađivanja s NIS2 direktivom. Uspostavljanje standarda za kibernetičku sigurnost može pomoći tvrtkama da smanje rizike i zaštite svoje poslovanje od kibernetičkih prijetnji. Usto, pridržavanje direktive može poboljšati povjerenje klijenata i partnera u sigurnost poslovanja tvrtke te doprinijeti općem jačanju sigurnosti na nacionalnoj i europskoj razini.
Međutim bitno je za naglasiti kako sigurnost ne bi trebalo rješavati samo na papiru kako bi zadovoljili usklađenost sa zakonskim odredbama, već sustavno riješiti sigurnost kako bi izbjegli naknadne troškove, jer praksa je pokazala da je reaktivni pristup najskuplji.
Hoće li nakon usvajanja Zakona i europskih direktiva hrvatski prostor cyber kriminalcima biti nedohvatljiviji?
Nakon usvajanja Zakona o kibernetičkoj sigurnosti i europskih direktiva nisam siguran da možemo očekivati se da će hrvatski prostor cyber kriminalcima postati nedohvatljiviji, prije bih rekao da će cyber prostor biti demotivirajući za napadače. Uspostavljanje jasnih pravila i propisa u vezi s kibernetičkom sigurnošću omogućit će bolju zaštitu digitalne infrastrukture u Hrvatskoj. To će uključivati jačanje preventivnih mjera, bržu reakciju na prijetnje i primjenu strožih kazni za kibernetički kriminal.
Usklađivanje s EU u području kibernetičke sigurnosti ima važne koristi za Hrvatsku. To će omogućiti bolju suradnju između hrvatskih i europskih nadležnih tijela u rješavanju kibernetičkih napada koji prelaze nacionalne granice. Međutim, usklađivanje s EU propisima može doprinijeti u privlačenju investicija u hrvatski digitalni sektor. Kako će EU zahtijevati visoki standard kibernetičke sigurnosti u svojim članicama, poslovna zajednica imat će povjerenje u hrvatske tvrtke i organizacije da će njihovi podaci i poslovni sustavi biti sigurni. To će pomoći u stvaranju povoljnog okruženja za razvoj digitalnih tehnologija i povećanje konkurentnosti Hrvatske na europskom tržištu.
Dakle, usklađivanje s EU u području kibernetičke sigurnosti donosi brojne prednosti za Hrvatsku, uključujući smanjenje rizika od cyber kriminala, privlačenje investicija i sudjelovanje u europskim inicijativama. To će osigurati sigurno i napredno digitalno okruženje koje je ključno za rast i razvoj hrvatske poslovne zajednice.
Svijet, bilo da govorimo o ratu u Ukrajini i sukobima na Bliskom istoku, o napetim geopolitičkim odnosima najmoćnijih poput Kine i SAD-a ili o sferi kibernetičke sigurnosti, sve je nesigurniji, ima li tome lijeka?
U posljednje vrijeme svjedočimo sve većem broju sigurnosnih izazova u sferi kibernetičke sigurnosti širom svijeta. Bez obzira na to jeste li zabrinuti zbog recentnih zbivanja, razumijemo da je posebno industriji važno znati postoje li načini kako se nositi s tim izazovima i poboljšati stanje kibernetičke sigurnosti.
Kibernetička sigurnost zahtijeva globalni pristup. Zemlje širom svijeta, uključujući Hrvatsku, moraju surađivati i uspostaviti međunarodne sporazume kako bi se suprotstavile rastućim sigurnosnim prijetnjama. Uz to, ulaganje u obrazovanje i osposobljavanje u području kibernetičke sigurnosti ključno je za osnaživanje stručnjaka koji će se baviti tim izazovima.
Tehnološki napredak također može igrati važnu ulogu u poboljšanju kibernetičke sigurnosti. Razvoj naprednih sustava za otkrivanje i zaštitu od napada te suradnja industrije i akademskih institucija mogu dovesti do inovativnih rješenja za suzbijanje sigurnosnih prijetnji.
U tom smislu, iako nema jednostavnih rješenja i sigurnosti apsolutno, možemo raditi zajedno kako bismo osnažili kibernetičku sigurnost. Svjestan sam da je ovo važna tema i pozivam sve građane da budu upućeni, odgovorni i društveno osviješteni kako bismo zajednički radili na izgradnji sigurnijeg digitalnog svijeta za sve nas.
Umjetna inteligencija, mnogi tvrde, pomoći će boljoj zaštiti, s druge strane, čini zaštitu još većim izazovom, kako vi to vidite?
Da, umjetna inteligencija ima potencijal pružiti veliku pomoć u poboljšanju kibernetičke sigurnosti, ali istovremeno donosi i nove izazove. Korištenje umjetne inteligencije u sigurnosnim sustavima omogućuje brže otkrivanje i analizu velikih količina podataka te identifikaciju prijetnji koje bi mogle proći neprimijećeno u tradicionalnim sustavima.
Međutim, umjetna inteligencija sama po sebi može biti izvor sigurnosnih rizika. Postoje zabrinutosti oko mogućnosti iskorištavanja umjetne inteligencije za napade, kao što su lažiranje identiteta ili manipulacija podacima. Hakerski napadi koji koriste tehnike umjetne inteligencije mogu biti izuzetno sofisticirani i teško uočljivi.
Da bismo se nosili s tim izazovima, potrebno je razviti etičke smjernice i standarde za upotrebu umjetne inteligencije u kibernetičkoj sigurnosti. Transparentnost u algoritmima i odlukama koji se temelje na umjetnoj inteligenciji trebala bi biti prioritet, kako bi se omogućilo razumijevanje i nadzor nad tim sustavima. Također je važno ulagati u istraživanje kako bi se otkrivali novi napadi koji koriste umjetnu inteligenciju te razvijali odgovarajući mehanizmi za obranu.
Kada govorimo o umjetnoj inteligenciji, veliki naglasak stavlja se na zaštitu od deepfakea i dezinformacija, je li svijet našao rješenje u tom segmentu? Koliko mi je poznato, zasad nema pravih alata koji bi deepfake videe odmah uočili i “prokazali”?
Točno je da su deepfake videi i dezinformacije postali značajan sigurnosni izazov, a otkrivanje takvih manipulacija predstavlja složen problem. Iako postoje neki napori u razvijanju alata za otkrivanje deepfake videa, trenutačno ne postoji jednoznačno rješenje koje bi odmah uočilo i prokazalo sve deepfake videa.
U nastojanju da se suzbije širenje dezinformacija, istraživači i razvojni timovi diljem svijeta rade na razvoju algoritama za otkrivanje deepfake videa i drugih oblika manipulativnih sadržaja. Kombinacija tehnika strojnog učenja, analize podataka i forenzike može biti korisna u borbi protiv deepfakea.
U međuvremenu, uloga edukacije i medijske pismenosti postaje sve važnija. Građani trebaju biti svjesni mogućnosti manipulacije sadržajem i razviti kritičko razmišljanje kako bi sami mogli prepoznati potencijalne deepfake videa i dezinformacije.
I zadnje pitanje, koje je nezaobilazno u ovom kontekstu, svijet i EU žale se da nema dovoljno stručnjaka cyber sigurnosti, kako je stanje u Hrvatskoj?
Stanje stručnjaka za kibernetičku sigurnost u Hrvatskoj također predstavlja izazov, s obzirom na globalni nedostatak stručnjaka u tom području. Potražnja za stručnjacima za kibernetičku sigurnost u Europi i svijetu raste, a to je pridonijelo smanjenju dostupnosti kvalificiranog kadra.
Da bismo odgovorili na izazove razvoja tehnologije i pritiska direktiva i regulatora, ključno je osvijestiti da nam je prijeko potreban multidisciplinaran pristup ovoj temi. Ne trebamo upadati u zamku i stvarati pritisak na visokoškolsko obrazovanje i hiperprodukciju generičkog kadra. Kvalitetnom prekvalifikacijom postojećih kadrova možemo ublažiti kroničan nedostatak stručnjaka.
Važno je također promicati svijest o kibernetičkoj sigurnosti i privući mlade talente u područje kibernetičke sigurnosti. To se može postići suradnjom s industrijskim partnerima, organiziranjem natjecanja, radionica i drugih događanja koja potiču interes i razvoj kibernetičkih vještina.