Održali smo i četrdesetprvi Mreža Smart Day, tema je bila Upravljanje cyber rizicima u operational technology okruženjima, a partner tvrtka Radiflow.

Upravljanje cyber rizicima u organizacijama koje se smatraju dijelom kritične infrastrukture, od energetike, preko prometa i veza do industrijskih i proizvodnih djelatnosti, izuzetno je bitan aspekt informacijske sigurnosti, rekao je prije najave prezentacijskog predavanja glavni urednik časopisa za IT profesionalce Mreža i izvršni producent Mreža Smart Daya Oleg Maštruko.

-- tekst se nastavlja nakon oglasa --

 

Dodao je kako u kontekstu sve većeg regulatornog tereta (npr. NIS2 direktiva) i sve češćih cyber napada, organizacije koje u svom radu koriste OT (Operational technology) moraju povećati svoju otpornost na cyber napade i istovremeno zadovoljiti nove regulatorne zahtjeve, a to u praksi znači koncentrirati se na one mjere koje daju najveći učinak na uloženo.

Voditelj poslovnog razvoja za nordijsku regiju i srednju i istočnu Europu Radiflowa Jasper Nilsson predstavio je konkretna rješenja Radiflowa za upravljanje cyber rizicima i sukladnosti sa zakonskom regulativom.

„Osnažujemo naše klijente da upravljaju svojim prijetnjama s vrhunskim inovativnim operational technology cyber sigurnosnim rješenjima i da optimiziraju OT-sigurnosne troškove s rješenjima koja se temelje na povratu ulaganja“, rekao je Nilsson naglašavajući kako je prema podacima analitičke tvrtke Gartner cijena cyber napada u svijetu 2015. godine iznosila 3 milijarde američkih dolara a da će samo u 10 godina, dakle 2025. narasti na čak 10,5 milijardi dolara. Sigurnosno upravljanje rizicima Radiflowa je prije svega preventivno te je spremno odgovoriti na izazove koji dolaze od zlonamjernih napada.

Nakon uvodne prezentacije održana je panel rasprava o hrvatskom donošenju zakona o cyber sigurnosti koji treba implementirati odredbe NIS 2 direktive koju je moderirao glavni urednik Mreže Oleg Maštruko a u njoj su sudjelovali odvjetnik iz Odvjetničkog društva Porobija i Špoljarić Luka Porobija, IT konzultant Marko Rakar, Business & Product Strategist Marko Djordjevic i senior IT & OT security HEP-a Krešimir Kristić.

U panel raspravi Luka Porobija je objasnio aktualnu provedbu europske NIS2 (Network Information Security) direktive u Hrvatskoj najavivši kako bi se nakon provedene široke javne rasprave uskoro u saborskoj proceduri mogao očekivati i novi prijedlog zakona o kibernetičkoj sigurnosti. Marko Rakar naglasio je kako je u javnoj raspravi odaziv zainteresiranih bio veliki ali da je prihvaćen samo mali broj od preko 120 prijedloga različitih subjekata iz javne rasprave. Rakar očekuje kako će se prijedlog zakona naći u saborskoj proceduri negdje u prvoj polovici slijedeće 2024. godine. Podsjetio je kako je ranija direktiva NIS nastala 2016. godine te da su njome bile definirane sigurnosne obveze državnih tijela i subjekata ključne kritične infrastrukture a da je nova NIS 2 daleko obuhvatnija, odnosno da umnogome širi opseg subjekata koji će morati provoditi zadane cyber sigurnosne mjere.

Krešimir Krstić objasnio je na primjeru Hrvatske elektroprivrede što znači primjena obveza iz NIS 2 direktive za kritičnu infrastrukturu elektroprivrede te po novome i toplinarstva. Marko Djordjevic je ističući sveobuhvatnost NIS 2 direktive ustvrdio kako je ranijom NIS direktivom u Hrvatskoj bilo obuhvaćeno oko 4.000 subjekata dok će NIS2 direktivom biti obuhvaćeno njih čak 60.000.

Sudionici panela ukazali su i na moguće probleme primjene NIS 2 direktive u hrvatsko zakonodavstvo prije svega zbog potrebe revizije cyber zaštite koja bi se trebala provoditi u organizacijama svake tri godine a po potrebi i češće. Među očekivanim problemima je prije svega i nedostatak cyber stručnjaka, te problem birokratiziranja postupaka cyber zaštite kao i sam nadzor provođenja cyber sigurnosti, odnosno predloženi regulator koji bi trebala, prema prijedlogu iz Vlade Republike Hrvatske, biti obavještajna agencija SOA.

Istaknuto je kako bi razumnije bilo da nadzor cyber zaštite kritične infrastrukture bude pod civilnom kontrolom jer je to u pravilu praksa u ostalim članicama Europske unije, izuzev dijelom u Danskoj i Njemačkoj. S civilnom regulacijom cyber zaštite kritične infrastrukture prema direktivi NIS 2 nisu se složili svi sudionici panela smatrajući kako je logično da SOA bude državno nadzorno tijelo za te aktivnosti. Ono što je problematično kod takvog prijedloga, prema Marku Rakaru, jeste što je SOA kao obavještajna agencija prema svojoj prirodi djelovanja netransparentna dok je sam problem cyber sigurnosti nešto što treba biti transparentno predstavljeno u svim segmentima radi što bolje cyber zaštite. Dodao je i kako bi se time omogućilo obavještajnoj zajednici ulazak u korporativne i privatne podatke za koje nema ovlasti niti potrebe ulaziti. U prijedlogu zakona o cyber sigurnosti koji je bio u javnoj raspravi Rakaru je neprihvatljivo i da nadzorno tijelo ima pravo na diskrecijske odluke što neće biti nimalo prihvatljivo na primjer stranim investitorima, a naglasio je kako takvo definiranje ovlasti regulatora ničim ne proizlazi iz direktive. Za Rakara bi bilo logičnije da je za nadzorno tijelo predložen Nacionalni CERT jer je već i stručno osposobljen za takvu djelatnost.

U raspravi je naglašeno kako će EU institucije kroz svoje fondove financijski podržati sve opsežne mjere cyber zaštite planirane kroz direktivu NIS 2 jer je do 2030. godine za tu namjenu predviđeno čak 30 milijardi eura. Marko Djordjevic je mišljenja kako u provođenja mjera iz direktive NIS 2 ne bi trebalo biti puno troškova na administraciju jer se mnogi administrativni postupci mogu riješiti automatizacijom.

 

 

 

Vezane objave