U petak je u prepunoj dvorani Algebra Spark Spacea održana prva konferencija na temu nove Uredbe o kibernetičkoj sigurnosti koja se prošlog utorka našla na e-savjetovanju. Razgovaralo se, između ostalog, o globalnoj potrebi za dizanjem kompetencija i prekvalifikaciji te dodatnoj edukaciji stručnjaka u području kibernetičke sigurnosti. Na konferenciji su se okupili stručnjaci i predstavnici industrije koji su zajednički razmijenili iskustva, znanja i perspektive o novim zakonskim okvirima koji reguliraju kibernetičku sigurnost.
U utorak 8. listopada 2024. Uredba o kibernetičkoj sigurnosti koja se donosi temeljem Zakona o kibernetičkoj sigurnosti objavljena je na e-savjetovanju. Njome su, između ostalog, propisana mjerila za kategorizaciju subjekata i mjere odnosno kontrole koje će obveznici morati implementirati kao i kriteriji za obavještavanje o važnim incidentima. U tom procesu, nakon što subjekti budu od nadležnog tijela obaviješteni kojoj kategoriji pripadaju i koje se mjere na njih primjenjuju, vrlo je bitno razumijevanje opsega implementacije pojedinih mjera uz prethodno provođenje procjene (gap analize) trenutne razine zrelosti primijenjenih mjera i onih koje pojedini poduzetnik treba primijeniti uz planiranje adekvatnog budžeta za implementaciju pojedinih mjera.
– S obzirom na stalni napredak tehnologije, cyber prijetnje postaju sve sofisticiranije i teže ih je prepoznati. Današnji napadi mogu uključivati visoko sofisticirane metode poput ‘zero-day‘ eksploita, koji koriste ranjivosti u softveru koje još nisu poznate niti otklonjene od strane proizvođača. Osim toga, koristi se i napredni phishing koji cilja specifične pojedince kroz prilagođene poruke koje izgledaju izuzetno uvjerljivo. Tehnike socijalnog inženjeringa također su napredovale; napadači provode temeljite pripreme kako bi svoje metode učinili što efikasnijima. Najveće prijetnje nam i dalje dolaze od samih ljudi koji nisu dovoljno educirani pa čine greške – istaknuo je uvodno Robert Petrunić, predavač na ovopokrenutom Studiju kibernetičke sigurnosti Sveučilišta Algebra.
Ireni Weber, glavnoj direktorici HUP-a, pripala je čast otvoriti konferenciju, a u uvodnoj je riječi naglasila perspektivu poduzetnika u digitalnoj transformaciji i razvitku kibernetičke sigurnosti.
– Više se o kibernetičkoj sigurnosti ne razmišlja samo u sklopu IT sektora, već puno šire. HUP je sudjelovao u izradi zakona kako bi pomogli kompanijama i cijelom gospodarstvu. Odredbe pomažu poduzetnicima da prilagode poslovanje i osiguraju sigurnu digitalnu budućnost za sve. Novi zakon o kibernetičkoj sigurnosti donosi brojne obveze, ali i mogućnosti. Uvođenjem veće razine sigurnosti, naše kompanije imaju priliku osigurati povjerenje klijenata te postati konkurentnije na globalnom tržištu. Zakon nam daje svima mogućnosti za daljnji rast, a ova konferencija i dodatne edukacije na temu kibernetičke sigurnosti su velik i važan korak u dobrom smjeru te vjerujem da će osigurati sigurnu budućnost za sve nas – rekla je Weber.
Zakonom o kibernetičkoj sigurnosti, 15. veljače, uspostavljena je funkcionalnost središnjeg državnog tijela za kibernetičku sigurnost, čije zadaće će obavljati SOA, te će se u te svrhe postojeći Centar za kibernetičku sigurnost SOA-e transformirati u Nacionalni centar za kibernetičku sigurnost (NCSC-HR). Ovom se prigodom Aleksandar Klaić iz Centra za kibernetičku sigurnost SOA-e osvrnuo na otkrivanje, rano upozorenje i zaštitu od kibernetičkih napada te predstavio plan razvitka te osvještavanja šire populacije o kibernetičkoj sigurnosti.
– Zbog ozbiljnosti cijelog procesa, treba sve popratiti na novi organizacijski način u kojem će nam pomoći doneseni zakon. SOA će se u narednim tjednima i mjesecima fokusirati na srž problema koji se događa u kibernetičkoj sigurnosti u svijetu, odnosno, nedovoljna svijest o rizicima kibernetičke sigurnosti. Doduše, to ne vrijedi samo za Hrvatsku ili EU, već o većini država svijeta – započeo je Klaić.
– Moramo sagledati cijeli regulativni okvir. Čeka nas veliki posao, no rokovi su liberalno postavljeni, ne zato kako ne bi radili, nego kako bi razvili kulturu upravljanja rizicima te kako bi podigli razinu zrelosti kibernetičke sigurnosti u svim ključnim segmentima, bili oni državni ili privatni subjekti – objasnio je i dodao da MORH i MUP daju potporu. Naime, MORH ima važnu ulogu vojnog, odnosno, obrambenog dijela, a MUP suzbija kibernetički kriminal.
– Proces mora završiti u travnju 2025. godine jer tada moramo imati inicijalni popis za Europsku komisiju. Inicijalna kategorizacija bit će provedena najkasnije do ožujka do 2025., do tada ćete primiti obavijest o kategorizaciji i tada kreću obveze za poduzetnike. Nakon travnja 2025. slijedi implementacija mjera u subjektima u roku od godinu dana. Imali ste godinu dana za proučavanje Zakona i sad imate još godinu dana za provedbu mjera. Rokovi nisu jako nategnuti nego su liberalni jer očekujemo partnerski odnos cijelog društva. Mjere i kazne moraju biti propisane jer zakon nije ništa nego sigurnosna politika – poručio je Klaić okupljenim poduzetnicima, dodajući da, ako se navedene mjere ne provedu, rast gospodarstva bit će nemoguć.
Krešimir Šipek iz Zavoda za sigurnost informacijskih sustava govorio je o provedbi samoprocjene kibernetičke sigurnosti. Samoprocjena kibernetičke sigurnosti u ključnim subjektima može se provoditi kao priprema za provedbu revizije kibernetičke sigurnosti. Potrebno ju je provoditi najmanje jednom u dvije godine uz pomoć internih resursa ili vanjskih pružatelja usluga. Samoprocjena je ključna za uspostavljanje sustavnog upravljanja rizikom na razini organizacije, boljeg poznavanja i zaštite vlastite IT infrastrukture te razvijanja svijesti o kibernetičkoj sigurnosti kod zaposlenika, ali i jačanja otpornosti čitavog digitalnog društva što je jedna od ključnih stavki NIS2 direktive.
Marina Dimić Vugec iz Nacionalnog CERT-a pojasnila je ulogu Pixi platforme preko koje se prijavljuju incidenti, prijetnje te razmjenjuju informacije na nacionalnoj i europskoj razini te istaknula da je osnovni cilj novog Zakona usklađenje razine otpornosti zemalja članica EU na kibernetičke prijetnje.
Na panelu o vještinama sudjelovali su Ivona Loparić, konzultantica za informacijsku sigurnost, Diverto; Goran Car, izvršni direktor, Combis; Andro Galinović, izvršni direktor za sigurnost informacijskih sustava, Infobip; Bruno Pavić, stručnjak za sigurnost i obavještajna pitanja, ProForca i Robert Petrunić, predavač na novopokrenutom Studiju kibernetičke sigurnosti Sveučilišta Algebra.
– Ključna riječ je interdisciplinarost što znači osnaživanje soft skillsa uz ove tehničke vještine. Na staroj slavi se ne može živjeti u cybersecurityu, nužno je svakodnevno podizati znanja i kompetencije. Zato smo u okviru Sveučilišta Algebra pokrenuli novi, prvi u Hrvatskoj studij kibernetičke sigurnosti kojeg je ove godine upisala prva generacija studenata i koji će uskoro izlaziti na tržište rada – kazao je Petrunić.
Na panelu je zaključeno da je potrebno prvo educirati šire društvo, zatim predstavnike industrije, a naposlijetku i same cyber stručnjake jer danas je jasno da je nužno obratiti puno veću pažnju ovom području. Redoviti trening i edukacija o najnovijim sigurnosnim prijetnjama, kao i implementacija naprednih sigurnosnih rješenja, poput ponašajne analize i umjetne inteligencije za detekciju anomalija u mrežnom prometu, ključni su za obranu od sofisticiranih napada.
Na temu Sigurnosnih kontrola i tehnologija u kibernetičkoj sigurnosti sudjelovali su na panelu Tamara Hađina, voditeljica istraživačkih projekata, Končar; Boris Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost; Jurica Čular, stručnjak za informacijsku sigurnost, Infobip; Saša Jusić, viši konzultant za informacijsku sigurnost, Infigo i Sven Škrgatić, rukovoditelj korporativne sigurnosti, A1.
– U postupku uvođenja metodologije kontrole rizika kibernetičke sigurnosti ljudi su najvažniji, potrebna im je edukacija, na općoj razini, da znaju prepoznati ugroze i na adekvatan način odgovoriti jer to nije intuitivno, zato je dobro da govorimo o ovoj temi i na današnjem eventu. Uredba je i prije nego je usvojena polučila je velik uspjeh jer se puno priča o kibernetičkoj sigurnosti što je svakako jedan od ciljeva – kazao je Boris Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost.
– Uredbe i zakonodavni dokumenti često budu loše napisani, što s ovom Uredbom nije bio slučaj. Često zahtijevaju od kompanija aktivnosti koje nije moguće provesti – rekao je Jurica Čular, stručnjak za informacijsku sigurnost, Infobip.
Treća panel rasprava pod nazivom “Tko nas kontrolira: Izazovi i prilike za žene u kibernetičkoj sigurnosti” fokusirala se na ulogu žena svijetu IT-a i kibernetičke sigurnosti. Pod moderatorstvom Martine Dragičević iz telekomunikacijskog giganta A1, o poziciji žena u ovom izazovnom sektoru raspravljale su stručnjakinje za upravljanje sigurnošću poduzeća, ali i klijenata: Vlatka Jajetić, voditeljica Službe za obradu kibernetičkih incidenata i upravljanje sigurnošću, CARNET/Nacionalni CERT; Marija Portner Marinković, predstavnica Ureda Vijeća za nacionalnu sigurnost, SOA; Antonija Vojnović, voditeljica InfoSec tima, SPAN i Blanka Zubelj, direktorica sigurnosti, RBA.
Kibernetička sigurnost predstavlja jednu od specifičnih i vrlo bitnih grana unutar STEM područja koje je prepoznato generalno kao područje u kojem je također potrebno poticati žene od najranije dobi da se njime bave i da se u njemu razvijaju. Prema riječima panelistica, prije 10 godina jako mali broj žena je bio zastupljen u ovom području, ali, na sreću, vide se pomaci i zainteresiranost žena za ovo vrlo zanimljivo i dinamično STEM područje raste.
Poduzetnici svakako trebaju iskoristiti priliku i prisustvovati radionicama koje provode Algebra, SOA, ZSIS i Carnet na kojima se daju pojašnjenja oko pojedinih obveza koje slijede. Cyber napada je sve više, a da bi se oni spriječili, nije dovoljno samo ulaganje u tehnologiju, već i u ljude koji će tu tehnologiju koristiti te s obzirom na značajan manjak IT stručnjaka u zemlji, rješenje koje će polučiti najviše rezultata je u dodatnoj edukaciji postojećih IT specijalista te njihovoj prekvalifikaciji u područje cyber sigurnosti – zaključeno je i na ovogodišnjoj konferenciji.