Stručnjakinja o hakerskim napadima na institucije: Najlakše je napasti onoga tko je najslabiji
Niz hrvatskih institucija posljednjih se dana našao pod hakerskim napadima. Prema onome što se za sada zna, radilo se o DDoS napadima, kojima je cilj stvoriti zagušenje, zbog čega dolazi do “pada” internetskih stranica. No, u slučaju napada na KBC Zagreb, pojavile su se nepotvrđene informacije da iza njega stoji hakerska skupina, koja je navodno došla do povjerljivih podataka za koje traže otkupninu. O problematici kibernetičke sigurnosti razgovarali smo s Antonijom Vojnović iz Spana
Čini se da je broj hakerskih napada i u Hrvatskoj sve veći nego što je to bio slučaj prije nekoliko godina. Povećanju sigurnosti trebao bi doprinijeti novi Zakon o kibernetičkoj sigurnosti, kroz koji je implementirana europska Direktiva NIS2, o čemu smo razgovarali s Antonijom Vojnović, voditeljicom odjela za upravljanja, rizike i usklađenost (GRC) u hrvatskoj IT kompaniji Span d.d..
“Imamo nisku razinu svijesti o informacijskoj sigurnosti i zato postajemo meta”
Vojnović kaže da je sada puno više situacija u kojima hakerski napadi izlaze na vidjelo, ali je i činjenica da je Hrvatska članica NATO-a i EU-a nas čini interesantnijom metom hakerima. Dodatno, hrvatska društva velikom većinom rade za međunarodne poslovne subjekte, ili su dio velikih međunarodnih grupacija, a to je posebno interesantno hakerima.
“Najlakše je napasti onoga tko je najslabiji, a s obzirom na to da je u Hrvatskoj razina svijesti vezano uz informacijsku sigurnost relativno niska, postajemo meta. Osim toga, sve više i više informacija je javno dostupno. Da nisu pale web stranice, za mnoge od tih napada, koji su se u posljednje vrijeme događali možda ne bi ni doznali, ali kada padne web to je vidljivo i jasno je da se nešto događa”, kaže Vojnović.
Što se tiče novog Zakona o kibernetičkoj sigurnosti i Direktive NIS2, koji bi trebali povećati opću razinu informacijske sigurnosti, Vojnović kaže da oni, zapravo, ne donose ništa posebno novo i do sada nepoznato, jedino što se proširuje obuhvat sektora koji pod njih potpadaju.
“Cilj Direktive NIS2 je visoka zajednička razina kibernetičke sigurnosti na razini cijele Europske unije, što se planira postići tako što se značajno proširuje područje njene primjene. Mnoga poduzeća i institucije koje do sada nisu bile uključene u njenu primjenu, sada će morati početi razmišljati o tome kakva je njihova razina informacijske sigurnosti. Uglavnom, Zakon traži da se unutar organizacije uspostave prije svega procesi za upravljanje rizicima i incidentima. Dodatno, Zakon propisuje okvir informacijske sigurnosti, što podrazumijeva mjere sigurnosti kao što je edukacija zaposlenika, upravljanje identitetima i pravima pristupa, upravljanje sigurnosti u lancu dobavljača, kriptografske mjere. Sve što Zakon o kibernetičkoj sigurnosti opisuje su samo smjernice, čekamo Uredbu Vlade i druge podzakonske akte koji će jasnije definirati mjere sigurnosti i zahtjeve za implementaciju.”, pojašnjava Vojnović.
Kazne za nepridržavanje nove direktive i do 10 milijuna eura
Direktiva je u javnosti dobila prilično veliku pažnju prije svega zbog visokih kazni za one koji se neće pridržavati novih pravila, zbog čega sve skupa pomalo podsjeća na uvođenje Opće uredbe o zaštiti podataka (GDPR) 2018. godine. Naime, kazne za nepridržavanje Zakona o kibernetičkoj sigurnosti mogu se kretati do 2 posto globalnih prihoda ili 10 milijuna eura, što može biti prilično bolna kazna.
Postavlja se, naravno, pitanje tko će nadzirati provođenje novih pravila, s obzirom na to da se potencijalno radi o tisućama poslovnih subjekata, iz različitih sektora.
“Zakonom su definirana nadležna tijela za provedbu zahtjeva. Tako će, na primjer, bankarski sektor nadzirati HNB, za infrastrukturu financijskog tržišta HANFA, za javni sektor Središnje državno tijelo za kibernetičku sigurnost. “, pojašnjava Vojnović.
Ipak, za sada još nije još u potpunosti definirano na koga će se sve Direktiva, odnosno novi zakon odnositi, s obzirom na to da se tek očekuje donošenje provedbenih propisa kojima će biti razjašnjeno što i kako dalje.
“Društva koja smatraju da bi mogla potpasti pod primjenu ovog zakona svakako bi već trebale započeti s pripremama, odnosno s analizom i revizijom svojih poslovnih procesa i mjera informacijske sigurnosti. Kao svojevrstan predložak može im poslužiti međunarodni standard ISO/IEC 27001 koji u sebi, zapravo, sadrži najbolje prakse, a koje se poklapaju sa zahtjevima iz Zakona o kibernetičkoj sigurnosti. Društva koja se usklade s tim standardom (ne znači da se moraju certificirati), odradit će dobar dio posla koji ih potencijalno čeka kod usklađivanja s novim zakonom”, zaključuje Vojnović.