U posljednje dvije godine svjedočili smo rastu broja kibernetičkih napada na Hrvatsku. Na meti su bili bolnica KBC Zagreb, HANFA, Hrvatske vode, HAK...
Banke i osiguravajuće kuće na vrhu su liste potencijalnih žrtava zbog velike količine novčanih transakcija i financijskih podataka koje obrađuju. Osim financijske motivacije, prekid rada u zdravstvenim ustanovama može imati ozbiljne posljedice na zdravlje pacijenata, što povećava pritisak na brzo rješavanje napada. Agencije i organizacije povezane s Vladom i obranom čuvaju državne tajne i podatke od vitalnog značaja. Kibernetički napadi na ove entitete mogu imati dalekosežne posljedice na nacionalnu sigurnost, vjeruju eksperti.
Novi zakon o kibernetičkoj sigurnosti stupio je na snagu sredinom veljače, a trebao bi uvesti strože zahtjeve za sigurnost i obaveze izvještavanja.
- Kao članica Europske unije i NATO saveza, Hrvatska je dio šire mreže koja dijeli informacije i resurse za borbu protiv ovih prijetnji, što pomaže u jačanju naših nacionalnih kapaciteta za kibernetičku sigurnost. Iako Hrvatska možda ne doživljava isti volumen kibernetičkih napada kao neke veće europske ekonomije, naša izloženost rizicima je slična. Velike zemlje često privlače više napada zbog svojih obimnijih infrastruktura i ekonomskih kapaciteta, ali to ne znači da su manje zemlje manje važne u kibernetičkom ratu - objašnjava Boris Bajtl, stručnjak za kibernetičku sigurnost i član Izvršnog odbora HUP-ICT-ja, radne skupine koje radi na prijedlogu novih Uredbi zakona o kibernetičkoj sigurnosti.
Poduzetnici će se o svim pitanjima o zakonskim obvezama i kibernetičkim opasnostima moći informirati na konferenciji HUP-a "Sigurnost na prvom mjestu" koja će se održati 28. kolovoza u Zagrebu, u hotelu DoubleTree Hilton.
Što učiniti kada ste napadnuti?
- Prema prijedlogu nove Uredbe, u slučaju značajnog incidenta tvrtke su dužne bez odgode kontaktirati nadležni Computer Security Incident Response Team (CSIRT) koji djeluje unutar Carneta. Prvo rano upozorenje treba biti poslano unutar 24 sata od otkrivanja incidenta. U roku od 72 sata tvrtke trebaju dostaviti početnu obavijest koja uključuje detaljnije informacije, dok se završno izvješće, koje sadrži kompletan pregled incidenta i poduzete mjere, šalje unutar 30 dana - objašnjava Bajtl, koji je uz navedeno suosnivač i dopredsjednik Hrvatskog instituta za kibernetičku sigurnost te voditelj Odjela kibernetičke sigurnosti u Atosu Hrvatska.
Obavijesti koje tvrtke šalju trebaju biti jasne, razumljive i sadržavati sve relevantne informacije o incidentu i mogućim utjecajima na usluge te upute za minimiziranje štete. Dodatno, obavijest bi na mrežnoj stranici tvrtke trebala biti objavljena unutar 72 sata.
Kritični sektori i samoprocjena
Nekoliko je definicija koje bi tvrtke i korporacije morale znati kada razmišljaju o kibernetičkoj zaštiti i implementaciji zakona.
U kontekstu kibernetičke sigurnosti, posebna pažnja posvećuje se zaštiti takozvanih kritičnih sektora - zbog njihove važnosti i potencijalne ranjivosti na napade.
- Kritične industrije su ključne za funkcioniranje društva i gospodarstva, i njihov bi prekid rada ili kompromitacija mogli imati ozbiljne posljedice na nacionalnu sigurnost, gospodarsku stabilnost, javno zdravlje ili sigurnost - objašnjava Bajtl.
Obveza samoprocjene, pak, nalaže da subjekti moraju ocijeniti stupanj u kojem su njihove dokumentirane sigurnosne mjere i njihova praktična implementacija u skladu s odgovarajućim razinama mjera kibernetičke sigurnosti
Subjekti moraju koristiti određene metode i alate za provođenje samoprocjena, koje često uključuju internu ili vanjsku reviziju, te koristiti smjernice i kalkulatore koje osiguravaju nadležna regulativna i nadzorna tijela.
- Ova obveza je ključna za održavanje visoke razine kibernetičke sigurnosti jer omogućuje subjektima da proaktivno adresiraju potencijalne sigurnosne slabosti prije nego što postanu kritične prijetnje, čime se značajno smanjuje rizik od sigurnosnih incidenata - govori Bajtl.
Alati za samoprocjenu kibernetičke sigurnosti omogućuju organizacijama da procijene svoju spremnost i ranjivost na kibernetičke napade. Oni pružaju okvir za analizu trenutačne sigurnosne infrastrukture, politike i procedure.
- Ovaj postupak je obavezan za ključne i važne subjekte te se provodi svake dvije godine ili kao priprema za neovisne revizije i redoviti stručni nadzor. Osobe zadužene za provođenje samoprocjene trebaju imati relevantna znanja i iskustva u području kibernetičke sigurnosti, uključujući iskustvo u provođenju sličnih vrsta interne revizije. Zavod za sigurnost informacijskih sustava pružit će metodologiju, kalkulator i smjernice koje subjekti koriste u procesu samoprocjene, osiguravajući tako standardiziran i učinkovit pristup procjeni rizika - dodaje Bajtl.
Stručnjak naglašava da u doba sveprisutnih digitalnih prijetnji nije pitanje hoće li se ulagati u kibernetičku sigurnost, nego koliko uložiti. Prvi korak u određivanju koliko ulagati u kibernetičku sigurnost jest temeljita procjena rizika. Taj postupak pomaže identificirati ključne resurse i najveće prijetnje, omogućujući organizacijama da prioritiziraju svoje ulaganja gdje su najpotrebnija, dodaje.
- Preporuke sugeriraju da bi organizacije trebale izdvajati oko 10 posto svog IT proračuna za sigurnosne mjere, iako taj postotak može varirati ovisno o pojedinačnim potrebama i razini izloženosti riziku - zaključuje dopredsjednik Hrvatskog instituta za kibernetičku sigurnost te voditelj Odjela kibernetičke sigurnosti u Atosu Hrvatska.