Hrvatske tvrtke sve izloženije kibernetičkim napadima, a ucjenjivači su sve kreativniji
Broj kibernetičkih napada u svijetu raste, baš kao i količina regulatornih zahtjeva koji podižu sigurnosnu razinu raznih organizacija. Izvještaj o informacijskoj i kibernetičkoj sigurnosti analizira stanje u 2023. godini u Hrvatskoj i svijetu.
Informatička tvrtka Diverto objavila je svoj peti izvještaj o stanju informacijske i kibernetičke sigurnosti.
U njemu se navodi kako je na podizanje svjesnosti organizacija o važnosti informacijske i kibernetičke sigurnosti utjecala geopolitička situacija i sve veća polarizacija u današnjem svijetu.
Ucjenjivači sada prijete i prijavom regulatoru
Javnost ni ne dozna za mnoge velike napade koji pogode IT infrastrukturu. Djelomična iznimka su napadi ucjenjivačkim softverom (ransomware), za koje javnost češće sazna. Napadači koji ga provode sad već trostruko ucjenjuju. Osim što već uhodano ukradu podatke i šifriraju ih, sada žrtvi prijete i prijavom regulatoru ili na osobnoj razini ucjenjuju vodstvo organizacija.
Izvještaj otkriva kako je broj ransomware napada na svjetskoj razini u 2023. godini bio u snažnom porastu. U odnosu na 2022. godinu bilo ih je 68 posto više , dok je broj skupina napadača porastao za više od 30 posto. Prema Divertovim podacima i u Hrvatskoj je zabilježen porast, ali sa značajnim padom uspješnosti tih napada.
Veća izdvajanja za IT sigurnost zbog regulatornih zahtjeva
Zakonodavstvo je prepoznalo izazove kibernetičke sigurnosti te je sve više regulatornih zahtjeva i okvira u tom području. Svakako treba izdvojiti Zakon o kibernetičkoj sigurnosti te novu inačicu direktive
Network and Information Security (NIS), kao i The Digital Operational Resilience Act (DORA) koji se odnosi na banke. Oni će imati širok utjecaj na različite industrije, a posebno na sigurnosnu razinu i njihovo poimanje kibernetičke sigurnosti. Njihov cilj je unaprijediti sigurnosne standarde i osigurati veću otpornost organizacija.
Unatoč rastućim prijetnjama, budžeti za informacijsku i kibernetičku sigurnost ostali su slični ili su
malo porasli u organizacijama koje se spremaju na implementaciju novih regulatornih zahtjeva kao što su NIS2 i DORA. Raste i broj organizacija koje troše 10 posto i više IT budžeta na informacijsku i kibernetičku sigurnost, ali ne proporcionalno rastućim prijetnjama.
Banke i telekomi najbolji među industrijama
U izvještaju se navodi i kako sigurnosne kontrole u hrvatskim organizacijama koje ih provode postaju zrelije i obuhvatnije i u prosjeku se približavaju i prelaze definiranu razinu 3 poznatu kao stanje gdje je većina sigurnosnih kontrola formalizirana, ali se još ne slijede u potpunosti, niti je uvijek moguće izmjeriti njihov učinak.
Vidljiv je raskorak između organizacija koje su već započele i grade programe sigurnosti i organizacija koje tek započinju raditi na razvoju takvih programa. Premda se razlika čini malom, potrebno je imati na umu činjenicu da je u prosjeku za podizanje razine za jedan bod potreban vremenski period od tri i više godina te da je razvoj informacijske i kibernetičke sigurnosti u Republici Hrvatskoj intenzivnije potaknut 2018. godine stupanjem na snagu GDPR-a i Zakona o kibernetičkoj sigurnosti.
Dodatno, iz dosadašnjih iskustava, glavni pokretač inicijativa za kibernetičku i informacijsku sigurnost je postizanje sukladnosti. Većina organizacija postizanjem definirane razine najčešće ne želi ili ne može prelaziti na više razine jer to iziskuje dodatne troškove koje najčešće „ne znaju“ opravdati pred poslovodstvom.
Prosječna razina zrelosti nije ista za sve industrije. Donji graf prikazuje razlike među industrijama.
Najveći kibernetički napad u povijesti Slovenije
Izvještaj navodi i primjere nekih napada u Hrvatskoj i regiji tijekom 2023. godine koji su javno poznati. Neki od njih su hakerski napad na Hrvatski autoklub i Hrvatske vode, kibernetički napad na Holding Slovenske Elektrane koji je bio najveći u povijesti Slovenije i hakerski napad na Elektroprivredu Srbije.
Svoje aktivnosti pojačala je i Agencija za zaštitu osobnih podataka. Ona je izrekla čak sedam izrečenih kazni u ukupnom iznosu većem od 8,2 milijuna eura. Dvije od 15 najviših kazni tog tipa izrečenih u 2023. godini na području Europske unije odrezane su u Hrvatskoj.
Više informacija dostupno je u izvještaju o stanju informacijske i kibernetičke sigurnosti u 2023. godini koji se može preuzeti ovdje. Na 68 stranica on donosi analizu trenutnog stanja na području IT sigurnosti, ali i preporuke za budućnost.
