Jedan od najuglednijih stručnjaka za kibernetičku sigurnost Joe Slowik, gost predavač na masterclass skupu Span Cyber Security Arena, održanom u Poreču od 20. do 22. svibnja, između ostalog je kazao kako "vjeruje da je informacijska sigurnost zajednički napor cijele zajednice te da su zajednice otpornije što su veće i raznolikije, jer se tada bolje dijeli znanje i jača suradnja". Slowik se specijalizirao za Cyber Threat Intelligence - CTI (u hrvatskom prijevodu "obavještajni podatci o kibernetičkim prijetnjama"), posebno važan aspekt, koji se usredotočuje na prikupljanje, analizu i dijeljenje informacija o potencijalnim ili postojećim kibernetičkim prijetnjama.

Uglavnom, strategije i prakse kibernetičke sigurnosti (ili kibersigurnosti) danas su iznimno dinamično i propulzivno područje, pa nije čudno što se svako malo organiziraju skupovi, seminari i stručne rasprave diljem svijeta, uključujući i Hrvatsku. A s obzirom na povezanost kibernetičke sigurnosti s umjetnom inteligencijom, cijela priča poprima šire i dublje konotacije, u skladu s vremenom u kakvom živimo i radimo. U tom kontekstu poseban se naglasak stavlja na tzv. prediktivnu sigurnost, kojom se nadograđuju klasične mjere zaštite i pomiče fokus s reakcije na prevenciju temeljenu na podatcima, uza sve izraženiju ulogu upravo umjetne inteligencije. Pritom se knjiga AI-driven Cyber Risk Management, objavljena ove godine, preporučuje kao relevatno i aktualno štivo za bolje razumijevanje cijelog problema.

Sve u svemu, u praksi prediktivna sigurnost uključuje ranu detekciju anomalija, identifikaciju ranjivosti prije nego što budu iskorištene, prioritetizaciju rizika prema vjerojatnosti i mogućim posljedicama te automatizirano donošenje odluka ili preporuka za djelovanje, zaključuje u svom osvrtu portal zastita.info.

ZAŠTITA UNIJE

Što se Europske unije tiče, a posredno i Hrvatske kao članice, tema kibernetičke sigurnosti gotovo da je konstanta posljednjih pet i više godina, posebno izražena nakon što su i u kontekstu rata u Ukrajini ruski cyber-napadi postali jedna od najopasnijih ugroza i za sigurnost EU-a. Europska komisija još je krajem 2020. predstavila tada novu strategiju EU-a za kibernetičku sigurnost, usmjerenu na izgradnju zajedničkih kapaciteta za odgovor na velike kibernapade i suradnju s partnerima diljem svijeta kako bi se osigurala međunarodna sigurnost i stabilnost u kiberprostoru.

Prvom direktivom o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS) osiguravalo se osnivanje i suradnja takvih vladinih tijela. Ta je direktiva revidirana krajem 2020., što je dovelo do donošenja Direktive NIS2, koju su države članice morale do 18. listopada 2024. potpuno prenijeti i provesti u djelo.

Ovdje treba spomenuti i Agenciju Europske unije za kibersigurnost - ENISA-u, osnovanu 2005., kojoj je mandat revidiran 2019., i od tada Agencija ima stalni mandat. Glavni ciljevi i zadaće ENISA-e utvrđeni su u temeljnom aktu, odnosno Aktu o kibersigurnosti, donesenom 2019., kojim je ojačana uloga Agencije. Ciljanom izmjenom Akta o kibersigurnosti, od 15. siječnja 2025., područje primjene certifikacije prošireno je na upravljane sigurnosne usluge.

Komisija je 20. siječnja 2026. predložila novi paket za kibersigurnost kako bi se dodatno ojačala otpornost i sposobnosti EU-a u području kibersigurnosti, s obzirom na sve veće prijetnje, uključujući izmjene Direktive NIS2. Tim se mjerama nastoji pojednostaviti usklađenost s pravilima EU-a o kibersigurnosti i zahtjevima za upravljanje rizicima za tvrtke/poslovne subjekte koji posluju u Europskoj uniji. Izmjenama se pojednostavljuju pravila o nadležnosti, pojednostavljuje se prikupljanje podataka o napadima ucjenjivačkim softverom i olakšava nadzor prekograničnih subjekata s ojačanom koordinacijskom ulogom ENISA-e.

Sve to navodimo kako bismo bar donekle naglasili svu složenost teme i praktične izazove s kojim se područje kibernetičke sigurnosti danas suočava u nastojanju pronalaženja učinkovitih rješenja zaštite od cyber-napada, koji postaju sve sofisticiraniji i time sve opasniji. Jer gotovo da nema područja ljudske djelatnosti koje nije izloženo hakerskim/cyber-napadima, pa se u zaštitu doslovce svakog dana ulažu golema financijskia sredstva, bilo da se radi o gospodarstvu, zdravstvu, energetici, obrambenom vojnom sektoru bilo o politici u širem i užem smislu. Jednostavno rečeno, u ovodobnom, globalno digitaliziranom, komunikacijskom okruženju nitko nije siguran od cyber-napada, različitih vrsta, obujma i učinka.

Uglavnom, izazovi se gomilaju na dnevnoj bazi, pa je utrka između hakera i zaštitara, pojednostavljeno rečeno, sve neizvjesnija, pa i smrtonosnija, pri čemu UI igra sve zapaženiju ulogu. O tome se naveliko raspravljalo i na konferenciji Gartner Security & Risk Management Summit početkom lipnja u američkom središtu National Harbor (Maryland), gdje je, između ostalog, istaknuto kako je jedan od najvažnijih zadataka za CISO-e (Chief Information Security Officer - direktore informacijske sigurnosti) u eri umjetne inteligencije ostati smiren i pažljivo procijeniti izloženost svojih organizacija rizicima. "Ne paničarite", rekla je Katell Thielemann, potpredsjednica i analitičarka u tvrtki Gartner, te dodala: "Da, stvari se brzo mijenjaju, ali postoje neka jednostavna rješenja koja CISO-i mogu prihvatiti, poput odspajanja kritičnih uređaja s interneta i nadzora udaljenog pristupa preostaloj infrastrukturi."

Thielemann je također izjavila da bi se operateri kritične infrastrukture trebali usredotočiti na osnove kiberhigijene, poput mrežne segmentacije i kontrole pristupa, umjesto da se opterećuju potencijalnim razornim kibernapadom potpomognutim umjetnom inteligencijom (UI) do kojeg možda neće doći godinama. "Znamo da UI kuca na vrata. Vrijeme će pokazati, ali zasad još nismo vidjeli scenarij noćne more", zaključila je Thielemann za Cybersecurity Dive (cybersecuritydive.com).

I drugi stručnjaci upozoravaju na opasnosti, ali i zaziru od katastrofičnih previđanja. Sve u svemu, kibernetički rizici postali su sastavni dio poslovne/ekonomske i komunikacijske, ali i šire geopolitičke strategije. Drugim riječima, kibernetički rizik neodvojiv je od poslovne i geopolitičke strategije. Geopolitička turbulencija i dalje utječe na okruženje krcato različitim prijetnjama i ugrozama, pri čemu sve više aktera koji stoje iza prijetnji kombinira špijunažu, operacije utjecaja i ometanja na strateškim prijelomnim točkama diljem svijeta.

Financijski kriminal, unutarnje prijetnje (insideri), zabrinutost za digitalno-fizičku sigurnost i kompromitacija opskrbnih lanaca stapaju se u jedinstvenu točku pritiska. Pritom zlonamjerni akteri ciljaju voditelje, programere, dobavljače, procese zapošljavanja i tijekove financijskog poslovanja iz više smjerova. Granice između motiva nastavljaju se brisati; operateri ucjenjivačkih programa (ransomware) prodaju (ili pokušavaju prodati) strateški osjetljive podatke, akteri motivirani špijunažom počeli su se koristiti alatima kiberkriminala, a hakeri iz Sjeverne Koreje industrijalizirali su prijevare pri zapošljavanju i krađu kriptovaluta u dosad neviđenim razmjerima - zaključci su Gartner Security & Risk Management Summita.

PAKAO ILI RAJ

Ukupno uzevši, sagledavajući širu i dublju sliku, globalna potrošnja na kibernetičku sigurnost u 2026. premašit će 300 milijardi dolara! Iznos je golem, ali sigurnost nema cijenu. Obrana i zaštita u stalnom su natjecanju s hakerima, kibernetičkim kriminalom i hibridnim djelovanjima protiv sigurnosti i stabilnosti. Prilagodba s pomoću UI-ja jedna je od mogućnosti, premda i tu postoje elementi rizika. Ulaganja u zaštitu i sigurnost u cyber-svijetu zapravo je utrka na duge staze koja zahtijeva proaktivan pristup. Maratonsko je to natjecanje u kojem se isprepleću znanost, tehologija, interesi, tržište i opstanak civilizacije same, makoliko to može zvučati apokaliptično. Ionako, naime, živimo u teškim i neizvjesnim vremenima, pa svako kucanje na vrata pakla valje uzeti krajne ozbiljno, premda ne smijemo gubiti nadu da civilizacijski (i tehnološki) raj ipak nije utopija.

I da završimo i Alanom Wattsom, engleskim filozofom iz 20. stoljeća, koji u svom kultnom, danas itekako aktualnom, djelu "Mudrost nesigurnosti" (1951.) sve sažima ovako: Izbjegavanje suočavanja s činjenicom da ništa nije sigurno ni unaprijed zadano pretvara nas u pticu zatočenu u zlatnom kavezu, sputanu strahom - ne samo od onoga što donosi sutra već i od onoga što se može dogoditi danas. Kavez znači sigurnost, ali i strah i smrt, a izlazak iz njega znači nesigurnost, ali i slobodu, to jest život.