PREDSJEDNIK UPRAVE SPANA

Nikola Dujmović: ‘Kibernetička sigurnost ne bi trebala biti u fokusu samo kad se zablokira sustav, trebamo raditi na preventivi‘

Hodogram nije neka posebna tajna. Prvo se napadaju električne mreže, recimo Israel Electric Corporation je najnapadanija organizacija na svijetu. Onda ide voda, pa bolnice Da bi se stvorila panika i nervoza

‘Pogrešno je da tvrtke skrivaju kibernetičke napade. To spada pod krizno komuniciranje i točno se zna kako se i što treba reći, jasno, izravno, bez eufemizama i izvrdavanja. Ne treba ići u neke potpune detalje, ali osnovne podatke treba podijeliti s javnošću‘, kaže Nikola Dujmović

 Span/

Što vas je potaknulo da pokrenete prvu Span Cyber Security Arenu, konferenciju posvećenu cyber sigurnosti koja je održana početkom studenog u Zagrebu?

Naprosto zato što je to sada potrebno. To je vruća tema, a ničega sličnoga nije bilo dosad. U zadnje vrijeme popriličan broj konferencija su zapravo sponzorirani eventi gdje vendori prodaju svoje proizvode. Mi smo pak htjeli da ovih par tema za koje mislimo da su važne izađu u prvi plan kroz kvalitetan sadržaj i kvalitetne predavače. Kibernetička sigurnost ne bi trebala biti u fokusu samo onda kada se nekome zablokira sistem, nego trebamo raditi na preventivi. Sve je u podacima danas. Možeš mijenjati izbore ako imaš prave podatke. Tako da su lakoća i šlamperaj kojima se mi u Hrvatskoj odnosimo prema ovoj temi nešto što mi pokušavamo promijeniti. Nisu iskreno ni njemački ili francuski poduzetnici ništa bolji - ako mogu iskoristiti neku prečicu koja je jeftinija, iskoristit će je. Sve u svemu ja sam zadovoljan time kako je prošla konferencija, i temama, i diskusijama i brojem ljudi koji su došli.

Kako biste ocijenili hrvatsku administraciju po pitanju brige za kibernetičku sigurnost? Nekakav prvi dojam je da nisu posebno efikasni.

Pa, i je i nije. Evo recimo, bila je gospođa Tamara Tafra koja je sudjelovala u pisanju zakonodavnih okvira u Bruxellesu i 17. listopad je bio rok da sve države EU usklade svoje zakonodavstvo s direktivom NIS2. I kad sam je pitao jesu li, kimala je glavom - nisu sve države uspjele to izvršiti, Hrvatska recimo jest i bili smo među prvima. Imate tu i jedan drugi paradoks, po ovom pitanju je država agilnija od poduzetnika. Znači SOA je sa svojim SKAUT sustavom i preventivom počela dok se još nije ni pričalo o cybersecutiyju. Onda imate CARNET i CERT koji je tu već stoljećima i koji to rade dobro. Imamo dobru ekipu tamo koja to vodi, ali se onda događa da im poduzetnici ne prijavljuju kada dođe do cyber napada jer im se ne da. Da se razumijemo, ja nemam problem da kritiziram državu kada su za nešto krivi, ali isto tako ovdje se država pokazala dosta profesionalnom. Kad smo izlazili na burzu, taj profesionalizam od SKDD-a, Hanfe, Burze, to nas je zasta ugodno iznenadilo. To je dakako rijetkost, da je država efikasnija od poduzetnika kojima služi, posebno u Hrvatskoj, ali to je ovdje tako. Za suradnju su fenomenalni, kad god pozovemo nekoga iz CARNET-a dođu, održe predavanja, vrlo su strukturirani, a poduzetnici ih gledaju u čudu i misle si kako im je sve to živa muka.

Okej, pa u čemu je problem, zašto se poduzetnici ne angažiraju više, pogotovo zato što je to sve u njihovom interesu?

Ne bih htio da ispadam zločest, ali realnost je takva da pošten Hrvat ne kupi backup dok barem dvaput ne izgubi podatke. Ignorancija. Jednostavno je - poduzetnicima je motiv da ne potroše ni cent više sve dok nije apsolutno nužno. A u ovom svijetu, nažalost, tada je najčešće već kasno. Hodogram nije neka posebna tajna. Prvo se napadaju električne mreže, recimo, Israeli Electric Company je najnapadanija organizacija na svijetu. Onda ide voda, a onda bolnice. Zašto bolnice? Da bi se stvorila panika i nervoza. I to se zna. Zato je ovaj novi europski zakonodavni okvir NIS2 napravljen po izraelskom modelu. Ali opet fućkaš zaštitu samo kritične infrastrukture, i neke privatne firme isto spadaju među kritičnu infrastrukturu. Nama su hoteli, htjeli to ili ne, kritična infrastruktura, jer nam 20 posto BDP-a ovisi o turizmu.

Možemo li se osloniti na naše saveznike iz NATO-a i EU?

Često ponavljam tu priču, dok sam još bio u Hrvatskoj gospodarskoj komori predsjednik za IT američka ambasada me zvala na večeru i tamo je bio general zadužen za IT obranu i on mi je otvoreno rekao "gospodine Dujmović, ja vas molim za pomoć, jer vidimo povećan interes za Hrvatsku, a nemam osjećaj da ovdje netko radi nešto po tom pitanju". To je bilo par godina nakon što smo ušli u EU i u čemu je caka - ako uđeš u baze podataka Ministarstva poljoprivrede, Ministarstva uprave ili koga god, to je sve uvezano s Europskom unijom i automatski imaju pristup tim bazama podataka. Napadači prosječno stoje u firmi 200 dana prije nego što aktiviraju ‘ransom‘. U međuvremenu rade ekstrakciju podataka i ostalo. Fascinantno mi je bilo kad sam vidio da su ucijenili jednu firmu tako da su im rekli da ako objave ukradene podatke, zbog GDPR-a bi ih to koštalo, recimo, 2 milijuna eura. Pa su im ponudili da ne objave za milijun eura. Znači koriste zakone u svoju korist.

Jeste proučavali novu direktivu NIS2, kako vam se čini?

Mi imamo cijeli odjel koji se time bavi, ja znam načelne stvari. NIS1 je rekao da se kritična infrastruktura mora štititi, ali nije bilo nikakve kazne za nečinjenje. Sad je to ozbiljno, posljedice su milijunske, tako da ti se više isplati zaštiti se, nego plaćati državi kaznu. U tom smislu mi to apsolutno podržavamo. Moramo se uozbiljiti. Problem je što klasični menadžment, onaj koji je završio ekonomiju, sada mora donositi odluke za koje nije školovan niti spreman. Sad se, naravno, uči o tome. Odgovornost po NIS-u sada pada na Upravu i osobna je. Nema više delegiranja inženjerima, to više nije samo problem IT-a. Osim toga, moraš imati spremnu ekipu koja će reagirati odmah kad se to dogodi. Nešto kao vježba u slučaju požara. Jer ne ide drugačije, ako počneš razmišljati o tome tko će što raditi tek kada se dogodi napad izgubit ćeš dva dana samo na to. Sada je i obavezna prijava incidenata, skrivanje je kontraproduktivno, odgovara samo negativcima.

Firme skrivaju napade vjerojatno jer misle kako je to loš PR?

Koji god da je razlog, pogrešno je. To naprosto spada pod krizno komuniciranje, i točno se zna kako i što se treba reći, jasno, izravno, bez eufemizama i izvrdavanja. Ne trebaš ti sad ići u neke potpune detalje, ali osnovne podatke treba podijeliti s javnošću.

U planu već imate i sljedeću Span Cyber Security Arenu?

- Točno, u Opatiji od 19. do 21. svibnja i želim da to bude još jedna naša velika pozitivna priča. Ne želim da to bude sponzorirani event kao većina ostalih, gdje imaš dobar keynote i onda gomilu vendorskih predavanja. Hoću da sve bude kvalitetan i koristan sadržaj i ono što je ključno da malo po malo pomičemo brdo u pravom smjeru.

Želite li dopuniti temu ili prijaviti pogrešku u tekstu?
Linker
21. studeni 2024 10:08