O tome kakva je politika EU-a u području kibernetičke sigurnosti, kako je pravno i zakonski uređen sustav kibernetičke sigurnosti unutar Europske unije - razgovarali smo sa Stankom Cerinom, suosnivačem i suvlasnikom tvrtke Ostendo Consulting iz Zagreba, koja je specijalizirana za informacijsku sigurnost i usklađenost.

Stanko Cerin, suosnivač je i suvlasnik tvrtke Ostendo Consulting, specijalizirane za informacijsku sigurnost i usklađenost

Ustupljeno

Često se navodi NIS2 direktiva (Direktiva 2022/2555) kao temeljni pravni akt..?

- Europska unija snažno potiče ulaganja u kibernetičku otpornost. NIS2 direktiva prenesena je u hrvatsko zakonodavstvo Zakonom o kibernetičkoj sigurnosti, a u financijskom sektoru izravno se primjenjuje Uredba o digitalnoj operativnoj otpornosti (Digital Operational Resilience Act - DORA). Postoji i niz drugih propisa, no ova su dva trenutno najvažnija.

Ovisno o tome u kojem se od 18 obuhvaćenih sektora nalazi vaša organizacija, primjenjivat će se odgovarajući regulatorni zahtjevi.

S obzirom na geopolitičku i društvenu situaciju u kojoj se nalazimo, na ovu regulativu danas treba gledati prvenstveno kao na okvir za postizanje odgovarajuće razine sigurnosti. Stav da je riječ o još jednom regulatornom nametu jednostavno više nije održiv. Organizacija koja nije svjesna svoje ovisnosti o IT sustavima ili ih nije spremna adekvatno zaštititi danas nije rizik samo za sebe nego i za cijelo društvo.

Što hrvatska poduzeća moraju znati o NIS2 direktivi, koja proširuje obveze kibernetičke sigurnosti na više od 3000 hrvatskih organizacija? Kazne dosežu i deset milijuna eura.

- Potencijalne kazne doista su velike. Osim za pravne osobe propisane su i za odgovorne osobe u organizacijama, što, primjerice, nije slučaj kod GDPR-a. Drugim riječima, odgovornost nije isključivo na organizaciji nego i na njezinu vodstvu.

Razina razumijevanja zahtjeva vrlo je različita. U sektorima u kojima konkurentnost izravno ovisi o IT sustavima postoje izvrsne organizacije koje tradicionalno mnogo ulažu u sigurnost i postižu visoku razinu kibernetičke zrelosti. S druge strane, postoje i organizacije u kojima je svijest o važnosti kibernetičke sigurnosti još uvijek iznenađujuće niska.

Kakvo je opće stanje kibernetičke otpornosti u Hrvatskoj?

- Formalnih podataka nema. Nadležna tijela koja ih trebaju prikupljati još ih nisu prikupila, pa tako ni objavila. Osim toga, ne treba očekivati detaljne javne objave jer je riječ o području koje je blisko povezano s nacionalnom sigurnošću.

Postoji ozbiljan problem u procjeni stvarne razine kibernetičke sigurnosti na nacionalnoj razini. Nadležna tijela prikupljaju rezultate samoprocjena i revizija kibernetičke sigurnosti od obveznika Zakona o kibernetičkoj sigurnosti, no postojeći pristup suočava se s dva velika izazova:

1. Podatci se prikupljaju svake druge godine. U svijetu kibernetičke sigurnosti to su već zastarjeli podatci.

2. Ocjene se dodjeljuju subjektivno. Procjene provodi velik broj ljudi različite razine stručnosti, iskustva, motivacije i pristupa analizi dokaza usklađenosti.

Zbog toga će objedinjeni rezultati vrlo teško pružiti preciznu i objektivnu sliku stvarnog stanja.

Puno se govori o umjetnoj inteligenciji. Može li ona pomoći?

- Umjetna inteligencija svakako može pomoći u procjeni stanja i davanju preporuka za poboljšanje. Kao i kod drugih primjena, jako je važno kako se njome koristi i kakve joj se informacije daju. Zato korištenje alatima poput ChatGPT-a, Geminija ili Copilota može biti dvosjekli mač.

U svijetu postoji nekoliko tvrtki iz područja tzv. Automated Trust Managementa, koje intenzivnom primjenom umjetne inteligencije nastoje smanjiti subjektivnost procjena i ublažiti nedostatak stručnjaka za kibernetičku sigurnost. Primjer takvog pristupa je Vanta.

U Hrvatskoj postoji ITrevizija.hr, platforma koja slijedi slična načela i specijalizirana je za usklađivanje sa Zakonom o kibernetičkoj sigurnosti. Takva rješenja mogu znatno olakšati procjenu stanja, upravljanje usklađenošću i upravljanje rizicima kibernetičke sigurnosti. Međutim, da bi se postigla potpuna transparentnost stanja na nacionalnoj razini, velik broj organizacija morao bi imati usporediv pristup i metodologiju, što je teško očekivati.

Uzimajući sve u obzir, kakav bi bio vaš završni komentar?

- Postizanje kibernetičke otpornosti na nacionalnoj razini mora biti zajednički cilj. To ne radimo samo zbog zakonske obveze nego i zbog potrebe da zaštitimo vlastito poslovanje, građane i društvo u cjelini.

Zato pozivam članove uprava, direktore i druge odgovorne osobe da ozbiljno procijene ovisnost svojih organizacija o IT sustavima, razumiju povezane rizike i ulože potrebne napore u njihovu zaštitu. Kibernetička sigurnost danas više nije tehničko pitanje - ona je pitanje poslovne održivosti i društvene odgovornosti.