Svakih četrnaest sekundi negdje u svijetu dogodi se ozbiljan kibernetički napad. Prosječan haker provede više od 200 dana unutar sustava prije nego što izvrši napad, što pokazuje visok stupanj organizacije i strateškog planiranja napadača. Meta više od četvrtine svih napada, prema podacima iz 2023. godine, sektor je proizvodnje. Naime, u tom je sektoru stopa napada 25,7 posto. Prate ga financijski i sektor osiguranja, za koje je zabilježena stopa od 18,2 posto, a stopa napada u sektoru profesionalnih, poslovnih i potrošačkih usluga iznosi 15,4 posto. O tome tko je najviše izložen i postoji li učinkovita zaštita od napada, govori Tomislav Radoš, potpredsjednik HGK za industriju i održivi razvoj.
Posljednjih tjedana svjedoci smo brojnih kibernetičkih napada. Postoje li sektori koji su najviše izloženi?
Svatko može biti predmet ili, laički rečeno, žrtva hakerskog napada, no najugroženija je tzv. kritična infrastruktura, suvremeni sustavi čijim bi se padom društvo vrlo brzo vratilo u vrijeme druge industrijske revolucije, dakle razdoblja prije digitalizacije i komunikacijskih sustava. Današnji je svijet nevjerojatno povezana i kompleksna cjelina i za neometano funkcioniranje čak i bazičnih sustava poput dostave struje i vode nužna je neometana komunikacija i protok informacija. Stoga svaka disrupcija može izazvati ozbiljne poremećaje i štete za gospodarstvo. Najizloženiji sektori su energetika, transport, bankarstvo, zdravstvo i digitalna infrastruktura. I upravo smo tim ispadima svjedočili posljednjih dana, od napada na KBC Zagreb pa do, primjerice, pada sustava na Autobusnom kolodvoru u Zagrebu ili u zračnoj luci u Splitu.
Također, s razvojem tehnologije i naše ovisnosti o njoj prijetnja od kibernetičkih napada samo će se povećavati. Primjerice, korištenje umjetne inteligencije i strojnog učenja od strane napadača usmjereno je na pronalaženje novih slabosti u sigurnosnim sustavima. U isto vrijeme, sve veća upotreba interneta stvari (IoT) na uređajima u industriji stvara nove smjerove napada, a digitalizacija lanca opskrbe otvara dodatne sigurnosne izazove o kojima prije 30-ak godina nismo ni razmišljali.
Je li prosječna hrvatska tvrtka ili institucija spremna za ovu vrstu ugroze?
Nažalost, o sigurnosti obično govorimo onda kada je problem već nastao i kada je kasno. Mnogi smatraju da se napad neće dogoditi baš njima, da su za to male šanse ili se na ulaganje u sigurnost gleda kao trošak, a ne kao investicija. Otprilike, kao i nakon potresa, protupotresna gradnja ili osiguranje često su golem izdatak i računamo na statističku vjerojatnost da se potres neće dogoditi. Onda se 2020. u Hrvatskoj dogode dva jaka potresa i problematika gradnje i osiguranja odjednom postanu top-tema. Tako bi moglo biti i s kibernetičkom sigurnosti, iako ne bih volio da se o tome promišlja s opisanih pozicija.
Faktor šoka je obično kratkotrajan, u to smo se uvjerili upravo na primjerima potresa. Kako dugoročno povećati svijest o kibernetičkoj sigurnosti?
Najbolji je način za povećanje svijesti o kibernetičkoj sigurnosti kontinuirana edukacija zaposlenika i implementacija standardiziranih sigurnosnih protokola. Inicijative kao što su treninzi, radionice i angažiranje stručnjaka za procjenu rizika mogu značajno pomoći u jačanju kibernetičke sigurnosti. Nakon AI akademije, Hrvatska gospodarska komora ove je godine pokrenula i ciklus Akademije kibernetičke sigurnosti koja se sastoji od uvodnih radionica te četiri sektorske radionice, i to za ključne subjekte, važne subjekte, dobavne lance i pružatelje digitalnih usluga, i već je rezultirala značajnim interesom polaznika iz brojnih sektora. Osim toga, razvijen je upitnik samoprocjene kibernetičke sigurnosti, koji tvrtkama omogućava procjenu stupnja kibernetičke zrelosti u njihovim poduzećima, uz preporuke i mjere za poboljšanje.
Koliko je skupo, da ne kažemo isplativo, tvrtkama ulagati u kibernetičku sigurnost?
Ulaganja u kibernetičku sigurnost mogu biti znatna, posebno za male i srednje tvrtke. Troškovi uključuju nabavu sigurnosnih alata, edukaciju zaposlenika i angažiranje stručnjaka za procjenu i upravljanje rizicima. Međutim, cijena kibernetičkih napada, uključujući gubitak podataka, otkupnine i narušavanje reputacije, znatno je veća. Prema predviđanjima, troškovi uzrokovani kibernetičkim napadima do 2024. godine dosegnut će 9,22 trilijuna dolara. Prevencija je svakako jeftinija od oporavka. Dodatno, Zakon o kibernetičkoj sigurnosti propisuje kazne za neusklađenost s propisima, što dodatno motivira tvrtke na ulaganje u sigurnost.
Nakon pandemije i početka rata u Ukrajini dobavni lanci čine se posebno rizičnim i osjetljivim na računalne napade?
Dobavni lanci su jedan od najranjivijih segmenata poslovanja zbog svoje složenosti i mnogobrojnih dodirnih točaka koje mogu biti ciljevi kibernetičkih napada. Prekid u lancu opskrbe može imati značajne posljedice na poslovanje, uključujući gubitak prihoda, oštećenje reputacije i pravne posljedice. Prema anketi HGK, 73 posto ispitanika jasno navodi da ne postoji provjera dobavnih lanaca na kibernetičke prijetnje, što predstavlja značajan rizik. Kontrola rizika u dobavnim lancima zahtijeva integraciju sigurnosnih provjera i reviziju na svakom koraku opskrbnog lanca.
U Hrvatskoj je početkom godine na snagu stupio novi Zakon o kibernetičkoj sigurnosti. Koje su najznačajnije novine?
Novi Zakon o kibernetičkoj sigurnosti, koji je stupio na snagu u veljači 2024., predstavlja značajan korak u usklađivanju s europskom direktivom NIS2. Zakon propisuje obveze ključnih i važnih subjekata u prevenciji, detekciji i reakciji na kibernetičke incidente, čime se osigurava visok stupanj zaštite nacionalne kibernetičke infrastrukture. Međutim, s obzirom na rastuću učestalost kibernetičkih napada, Zakon će vjerojatno zahtijevati stalne prilagodbe. Globalne prijetnje i tehnološki napredak nalažu dinamičan pristup, uključujući redovite revizije i ažuriranja sigurnosnih mjera. Osim Zakona o kibernetičkoj sigurnosti, na snagu će stupiti i Cyber Resilience Act (CRA), i to krajem 2025. godine, koji će se izravno primjenjivati na sve zemlje članice EU. CRA uvodi ključne obveze za proizvođače i distributere proizvoda s digitalnim elementima, obuhvaćajući hardverske i softverske proizvode.
A koje su implikacije Cyber Resilience Acta?
Cyber Resilience Act je regulativa koja obvezuje sve zemlje članice EU na usklađenost s njezinim zahtjevima. To znači da će sve tvrtke koje posluju unutar EU morati slijediti iste standarde kibernetičke sigurnosti, čime se osigurava visoka razina zaštite digitalnih proizvoda i usluga na cijelom području Unije. CRA će značajno utjecati na način na koji tvrtke razvijaju i distribuiraju svoje proizvode, a također će potaknuti veća ulaganja u sigurnosne tehnologije i prakse.
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....