Svakih 14 sekundi u svijetu se dogodi jedan kibernetički napad i njihov se broj svake godine eksponencijalno povećava, a na meti su najčešće sektori koji su ključni za funkcioniranje društva, od energetike i zdravstva do prerađivačke industrije. Kako bi se i business sektor potaknuo na implementaciju mjera kibernetičke sigurnosti Europska unija je donijela direktivu obaveznu za sve članice te je Hrvatska u veljači ove godine usvojila Zakon o kibernetičkoj sigurnosti. Kako bi implementacija nove legislative bila što uspješnija Hrvatska gospodarska komora još je u ožujku osnovala Akademiju za kibernetičku sigurnost u sklopu koje je dosad održano šest radionica, s više od 600 sudionika. Radionica je u ponedjeljak, 11. studenog, održana i u Varaždinu, u organizaciji Hrvatske gospodarske komore - Županijske komore Varaždin i Sektora za industriju i održivi razvoj HGK-a uz veliki odaziv predstavnika tvrtki s cijelog područja županije.
Novim zakonom obuhvaćen je značajno veći broj tvrtki
Kako je naglasila Tajana Kesić Šapić, Voditeljica Odjela za industriju HGK, odgovornost za stanje kibernetičke sigurnosti novim zakonskim okvirom NIS2 proširila se na daleko veći krug poslovnih subjekata, u odnosu na NIS1 direktivu. U anketi o kibernetičkoj sigurnosti, koju je HGK provela na više od 200 tvrtki, broj obveznica usklađivanja se udvostručio. Dok je broj obveznica NIS1 bio 15 posto, NIS2 podliježe 37 posto ispitanih. Gotovo tri četvrtine novih obveznica su mala i srednja poduzeća. Anketa pokazuje povećan interes i potrebu za informacijama o učinkovitoj implementaciji zakona, kao i za specifične savjete vezane uz zaštitu poslovanja. Stoga je Hrvatska gospodarska komora pokrenula Akademiju kibernetičke sigurnosti koja ima za cilj buduće obveznike Zakona opremiti znanjem i alatima potrebnim za učinkovito suprotstavljanje kibernetičkim prijetnjama, uz uspješnu prilagodbu zakonskom okviru.
Zakon o kibernetičkoj sigurnosti definira ključne i važne subjekte. Ključni subjekti su organizacije ili tvrtke koje upravljaju kritičnom infrastrukturom i pružaju usluge od posebne važnosti za funkcioniranje društva i gospodarstva npr. energetski sektor (električna energija, nafta, plin), financijske usluge (bankarstvo i infrastruktura financijskog tržišta), zdravstvo, opskrba vodom, digitalna infrastruktura. Važni subjekti su oni koji su manje kritični od ključnih subjekata, ali i dalje osiguravaju važne usluge. Među njima su: poštanske i kurirske usluge, gospodarenje otpadom, proizvodnja kemikalija, proizvodnja i distribucija hrane, proizvodnja medicinskih proizvoda, IT opreme i automobila, digitalne usluge.
- U Zakonu o kibernetičkoj sigurnosti i dobavni lanci su prepoznati kao ključni aspekt upravljanja kibernetičkom sigurnošću. Na njih se obraća pažnja jer su mnogi obveznici izloženi rizicima kroz svoje dobavne lance i moraju procijeniti potencijalne prijetnje koje dolaze od dobavljača i partnera. Ključni i važni subjekti, poput operatora ključnih usluga, moraju usvojiti mjere sigurnosti koje uključuju procjenu sigurnosti njihovih dobavljača i osiguravanje odgovarajuće razine kibernetičke sigurnosti. Primjerice, neka mala tvrtka koja radi za prehrambenu industriju, a koja spada u kategoriju važnih subjekata, mora također provesti mjere kibernetičke sigurnosti. Prema našem istraživanju čak 73% ispitanika jasno i nedvosmisleno navode kako ne postoji provjera dobavnih lanaca na kibernetičke prijetnje - ističe Kesić Šapić.
Na redu je kategorizacija ključnih i važnih subjekata
- Sad je na redu kategorizacija. Nakon donošenja zakona, na javnom savjetovanju je bila Uredba o kibernetičkoj sigurnosti te bi uskoro trebala biti usvojena. NIS2 direktiva je na razini EU na snagu stupila u listopadu, što znači da je sve države članice moraju imati implementiranu u svoje zakonodavstvo. Na redu je Centar za kibernetičku sigurnost koji će svim tvrtkama dostaviti informaciju u koju kategoriju pripadaju tj. jesu li ključni ili važni subjekti. Nakon kategorizacije teče rok za implementaciju mjera iz Zakona o kibernetičkoj sigurnosti. U svakom slučaju svi se moraju trgnuti jer ne možemo misliti na način "to se meni neće dogoditi". Dogodit će se, samo je pitanje kada - napominje Kesić Šapić dodajući da prosječan haker provede 200 dana u jednoj tvrtki, prije nego je napadne.
- Trošak u slučaju napada je puno veći nego trošak implementacije mjera sigurnosti - ističe dodajući da je nedavno bila u Poljskoj gdje su se kibernetički napadi, od početka rata u Ukrajini, svake godine povećali za sto posto.
- Ako pogledamo industrije prema podacima iz 2023. godine, proizvodnja čini više od četvrtine ukupnog broja napada sa stopom od 25,7%. Financijski i sektor osiguranja prate sa 18,2% dok sektor profesionalnih, poslovnih i potrošačkih usluga bilježi 15,4% napada. Energetski sektor i sektor maloprodaje također su znatno ugroženi. Cilj je često dobiti novce za otkup podataka. Riječ je o modernom obliku ratovanja i kriminala. Financijski troškovi uzrokovani kibernetičkim napadima u narednih deset godina porast će čak 1600% dok se u 2024. godine predviđa da će trošak uzrokovan kibernetičkim napadima iznositi vrtoglavih 9.22 trilijuna dolara na svjetskoj razini. Ako vam netko napadne ključnu infrastrukturu i ugrozi npr. energetsku sigurnost, to je ravno fizičkom napadu. Vidjeli smo posljedice hakerskog napada na bolnicu u Zagrebu. Ključno je osvijestiti vodstva kompanija o prijetnji, jer kibernetička sigurnost nije više samo pitanje IT sektora, već sveobuhvatna potreba za zaštitom poslovanja i društvene stabilnosti. Važno je osvijestiti donositelje odluka kako bi oni ozbiljno shvatili ovu temu i izdvojili potrebna sredstva za implementaciju - ističe Kesić Šapić.
Edukaciju u sklopu Akademije vodio je savjetnik za kibernetičku sigurnost i upravljanje kibernetičkim krizama Marko Gulan, iz v-Securea. Polaznicima je pojasnio na koji način NIS2 direktiva utječe na njihovo poslovanje te kako sustavno educirati svoje zaposlenike o kibernetičkoj sigurnosti i kako testirati ranjivost sustava. Govorio je i o načinima cyber napada, upravljanju potencijalnom krizom i odgovorom na incidente uslijed napada te o važnosti netehničkih mjera u uspostavi sigurnijih i otpornijih sustava. Istaknuo je da je industrija sve češća meta te što za njih znači NIS2, a riječi je bilo i o novom aktu EU pod nazivom Cyber Resilience Act, koji na snagu stupa sljedeće godine.
- Jedno od uvriježenih mišljenja je da se kibernetička sigurnost odnosi na uspostavu isključivo tehničkih mjera. No tehničke mjere su zapravo samo vrh sante leda, dok se ispod površine nalaze politike informacijske sigurnosti, procesi, sigurnosne politike. Kao što je za gradnju kuće potreban plan i projekt tako je za izgradnju sigurnih i otpornih sustava potrebno definirati što i na koji način želimo štititi. Uz tehnologiju, kibernetičku sigurnost čine još i ljudi te procesi. Tehnologiju i upotrebu tehnologije treba prilagoditi poslovnim potrebama kako biste imali sigurnije i otpornije sustave. Broj kibernetičkih napada je sve veći, a tvrtke u svoju sigurnost ulažu nedostatna sredstva jer se ulaganje u sigurnost percipira kao trošak. U javnosti se uvođenje mjera percipira kao zakonska prisila i ako će se tome pristupiti samo da bi se zadovoljilo zakonodavstvo, broj uspješnih napada bit će u daljnjem dramatičnom porastu. Na kibernetičku sigurnost danas ne možemo gledati kao 2010. godine, kad smo imali dial-up internet i antivirusni program. Danas kibernetički napadi uništavaju cijele tvrtke, a napadnute tvrtke podliježu predviđenim zakonskim kaznama uslijed odgađanja investicija u sigurnost ili nečinjenja i dovođenja u rizik svog poslovanja.
Hrvatska je među prvim članicama EU transponirala NIS2 direktivu u novi Zakon o kibernetičkoj sigurnosti, koja ističe važnost uvođenja sustavne i cjelovite edukacije ljudi, što pred tvrtke stavlja zadatak uvođenja sustavne edukacije i ojačavanje najjače i najslabije karike poslovanja, a to su zaposlenici - pojašnjava Gulan dodajući da će tvrtke najkasnije do kraja ožujka 2025. godine dobiti rješenje o svojoj klasifikaciji te da po primitku rješenja imaju 30 dana za razvoj sustava odgovora na incidente i upravljanja incidentima, te moraju biti spremne za prijave incidenata.
- Kad uredba stupi na snagu tvrtke će imati godinu dana za izradu procjene rizika te dodatne dvije godine za implementaciju rješenja i provođenje mjera. Ali to ne znači da možemo biti opušteni. Važno je već sad početi raditi na promjeni načina razmišljanja te u sklopu Akademije naglašavamo upravo netehničke mjere i donositeljima odluka pokušavamo objasniti što znači kibernetička sigurnost za njihovo poslovanje. Osim edukacije ljudi i upravljanja incidentima, zakon govori i o implementaciji višefaktorske autentifikacije, kriptografiji podataka u gibanju i mirovanju te nizu sličnih mjera, ali je to, prije svega, procjena rizika kao početna točka - ističe Gulan.
Tvrtke bi trebale odrediti jednu ili dvije osobe koje će biti zadužene za provođenje mjera kibernetičke sigurnosti te koje će se baviti koordinacijom ali i izvještavanjem zakonodavca. Prema sadašnjim trendovima tvrtke ulažu jedan do dva posto svojih IT budžeta u kibernetičku sigurnost, dok se smatra da bi granica dostatnih ulaganja trebala biti na razini 15 do 20 posto ukupnih IT troškova. S druge strane, očekuju se i fondovi kojima bi se sufinanciralo uvođenje mjera kibernetičke sigurnosti u javnim i privatnim sustavima.
NAJAVA KONFERENCIJE
"Vrijeme je za industriju"
HGK u utorak, 3. prosinca, organizira konferenciju "Vrijeme je za industriju - Novi pristup za konkurentnost" u sklopu koje će se govoriti o ključnim temama kao što su umjetna inteligencija i kibernetička sigurnost u industriji te putu prema ostvarenju ciljeva Net Zero. Također će biti riječi i o Cyber Resiliance Act-u koji stupa na snagu 1. siječnja sljedeće godine te se automatski primjenjuje na sve članice EU. Cyber Resilience Act (Zakon o kibernetičkoj otpornosti) Europske unije odnosi se na osiguravanje visoke razine kibernetičke sigurnosti digitalnih proizvoda i softverskih usluga unutar tržišta EU. Cilj zakona je zaštititi krajnje korisnike, uključujući pojedince, tvrtke i organizacije, od potencijalnih kibernetičkih prijetnji koje bi mogle ugroziti njihovu privatnost, financijsku sigurnost, pa čak i osnovne funkcije društva. Ovaj zakon primjenjuje se na proizvođače, distributere i dobavljače digitalnih proizvoda i softvera, a posebno se fokusira na uređaje povezane s internetom (IoT), kako bi smanjio rizik od upada, zloupotrebe podataka ili prekida rada koji bi mogli uzrokovati velike posljedice za korisnike i infrastrukturu. Primjenjuje se također i na tvrtke iz trećih zemalja koje žele plasirati svoje digitalne proizvode na tržište EU čime se osigurava da svi digitalni proizvodi i usluge dostupni unutar EU, bez obzira na njihovo porijeklo, ispunjavaju visoke standarde kibernetičke otpornosti i štite korisnike od potencijalnih prijetnji. Ujedno se štiti i EU proizvodnja – ističe Kesić Šapić.
