Upravljanje cyber rizicima u organizacijama koje se smatraju dijelom kritične infrastrukture, od energetike, preko prometa i veza, do industrijskih i proizvodnih djelatnosti, izuzetno je bitan aspekt informacijske sigurnosti, rekao je prije najave prezentacijskog predavanja glavni urednik časopisa za IT profesionalce Mreža, i izvršni producent Mreža Smart Daya Oleg Maštruko.

Dodao je kako u kontekstu sve većeg regulatornog tereta (primjerice, NIS2 direktiva) i sve češćih cyber napada, organizacije koje u svom radu koriste OT (Operational technology) moraju povećati svoju otpornost na cyber napade i istodobno zadovoljiti nove regulatorne zahtjeve, a to u praksi znači koncentrirati se na one mjere koje daju najveći učinak na uloženo.

Konkretna rješenja

Voditelj poslovnog razvoja za nordijsku regiju i srednju i istočnu Europu Radiflowa Jasper Nilsson predstavio je konkretna rješenja Radiflowa za upravljanje cyber rizicima i sukladnošću sa zakonskom regulativom.

"Osnažujemo naše klijente da upravljaju svojim prijetnjama vrhunskim inovativnim operational technology cyber sigurnosnim rješenjima i da optimiziraju OT-sigurnosne troškove rješenjima koja se temelje na povratu ulaganja", rekao je Nilsson, naglašavajući kako je, prema podacima analitičke tvrtke Gartner, cijena cyber napada u svijetu 2015. godine iznosila tri milijarde američkih dolara, a da će samo u deset godina, dakle 2025., narasti na čak 10,5 milijardi dolara. Sigurnosno upravljanje rizicima Radiflowa prije svega je preventivno, te je spremno odgovoriti na izazove koji dolaze od zlonamjernih napada.

Nakon uvodne prezentacije, održana je panel-rasprava o hrvatskom donošenju zakona o cyber sigurnosti, koji treba implementirati odredbe NIS 2 direktive, koju je moderirao glavni urednik Mreže Oleg Maštruko, a u njoj su sudjelovali odvjetnik iz Odvjetničkog društva Porobija i Špoljarić Luka Porobija, IT konzultant Marko Rakar, Business & Product Strategist Marko Djordjevic i senior IT & OT security HEP-a Krešimir Kristić.

Panel-diskusija

U panel-raspravi Luka Porobija objasnio je aktualnu provedbu europske NIS 2 (Network Information Security) direktive u Hrvatskoj, najavivši kako bi se nakon provedene široke javne rasprave, uskoro u saborskoj proceduri mogao očekivati i novi prijedlog zakona o kibernetičkoj sigurnosti. Marko Rakar naglasio je kako je u javnoj raspravi odaziv zainteresiranih bio velik, ali da je prihvaćen samo mali broj od preko 120 prijedloga različitih subjekata iz javne rasprave. Rakar očekuje kako će se prijedlog zakona naći u saborskoj proceduri u prvoj polovici 2024. godine. Podsjetio je kako je ranija direktiva NIS nastala 2016. godine te da su njome bile definirane sigurnosne obveze državnih tijela i subjekata ključne kritične infrastrukture, a da je nova NIS 2 daleko obuhvatnija, odnosno kako umnogome širi opseg subjekata koji će morati provoditi zadane cyber sigurnosne mjere.

Krešimir Krstić objasnio je na primjeru Hrvatske elektroprivrede što znači primjena obveza iz NIS 2 direktive za kritičnu infrastrukturu elektroprivrede, te odnedavna i toplinarstva. Marko Djordjevic je, ističući sveobuhvatnost NIS 2 direktive, ustvrdio kako je ranijom NIS direktivom u Hrvatskoj bilo obuhvaćeno oko 4.000 subjekata, dok će NIS 2 direktivom biti obuhvaćeno njih čak 60.000.

Sudionici panela ukazali su i na moguće probleme primjene NIS 2 direktive u hrvatsko zakonodavstvo, prije svega zbog potrebe revizije cyber zaštite, koja bi se trebala provoditi u organizacijama svake tri godine, a prema potrebi, i češće. Među očekivanim problemima prije svega je i nedostatak cyber stručnjaka, te problem birokratiziranja postupaka cyber zaštite, kao i sâm nadzor provođenja cyber sigurnosti, odnosno predloženi regulator, koji bi trebala, prema prijedlogu Vlade Republike Hrvatske, biti obavještajna agencija SOA.

Civilna kontrola?

Istaknuto je kako bi razumnije bilo da nadzor cyber zaštite kritične infrastrukture bude pod civilnom kontrolom, jer je to u pravilu praksa u ostalim članicama Europske unije, izuzev dijelom u Danskoj i Njemačkoj. S civilnom regulacijom cyber zaštite kritične infrastrukture prema direktivi NIS 2, nisu se složili svi sudionici panela, smatrajući kako je logično da SOA bude državno nadzorno tijelo za te aktivnosti. Ono što je problematično kod takvog prijedloga, prema mišljenju Marka Rakara, jest to što je SOA kao obavještajna agencija, prema svojoj prirodi djelovanja netransparentna, dok je sâm problem cyber sigurnosti nešto što treba biti transparentno predstavljeno u svim segmentima, radi što bolje cyber zaštite. Dodao je i kako bi se time omogućilo obavještajnoj zajednici ulazak u korporativne i privatne podatke, za koje nema ovlasti niti potrebe, ulaziti. U prijedlogu zakona o cyber sigurnosti koji je bio u javnoj raspravi, Rakaru je neprihvatljivo i da nadzorno tijelo ima pravo na diskrecijske odluke, što neće biti nimalo prihvatljivo, primjerice, stranim investitorima, a naglasio je kako takvo definiranje ovlasti regulatora ničim ne proizlazi iz direktive. Za Rakara bi bilo logičnije da je za nadzorno tijelo predložen Nacionalni CERT, jer je već i stručno osposobljen za takvu djelatnost.

U raspravi je naglašeno kako će institucije EU preko svojih fondova financijski podržati sve opsežne mjere cyber zaštite planirane direktivom NIS 2, jer je do 2030. godine za tu namjenu predviđeno čak 30 milijardi eura. Marko Djordjevic mišljenja je kako u provođenju mjera iz direktive NIS 2 ne bi trebalo biti mnogo troškova na administraciju, jer se mnogi administrativni postupci mogu riješiti automatizacijom.