Kibernetička sigurnost postala je izrazito važan preduvjet svakog oblika poslovanja, s obzirom na to da procjene pokazuju da će globalni troškovi kibernetičkog kriminala doseći nevjerojatnih 10,5 milijardi dolara godišnje i to već sljedeće godine. Potvrđuje to sveobuhvatno istraživanje Europske agencije za kibernetičku sigurnost (ENISA), prema kojemu je do sada više od 60 posto kompanija bilo pogođeno kibernetičkim napadima.
Upravo zbog povećanog rizika od kibernetičkih napada, Europska je unija uvela NIS2 direktivu (Network and Information Security Directive 2 op.a.), koja predstavlja značajnu nadogradnju i proširenje prethodne NIS direktive iz 2016. godine. NIS2 stupila je na snagu u prvom mjesecu prošle godine, a radi se o direktivi čiji je cilj dodatno povećanje razine kibernetičke sigurnosti na razini cijele Unije, a uključuje postavljanje strožih zahtjeva za zaštitu kritičnih digitalnih infrastruktura te poslovanja uopće. Osim što obuhvaća širi spektar sektora, NIS2 nameće i veće obaveze na organizacije u pogledu prijavljivanja incidenata, upravljanja rizicima te suradnje s nacionalnim i europskim tijelima za kibernetičku sigurnost. Dodatno, ovom se direktivom želi ojačati otpornost na online i offline prijetnje kibernetičkoj sigurnosti, kao i zaštititi sve organizacije koje su obuhvaćene regulativom.
Što to konkretno znači?
Iako je spomenuta direktiva stupila na snagu u prvom mjesecu prošle godine, implementacija propisanih smjernica od kompanija očekivat će se od 18. listopada ove godine. Kako nam je pojasnio stručnjak Marko Kudera iz Hrvatskog Telekoma, do 17. listopada ove godine mora se završiti primjena NIS2 direktive u lokalno zakonodavstvo. Uredba RH definirana člankom 24. Zakona o kibernetičkoj sigurnosti, između ostalog, propisat će dodatnu kategorizaciju subjekata koja mora biti donesena u roku od devet mjeseci od stupanja na snagu zakona o kibernetičkoj sigurnosti. Zakon o kibernetičkoj sigurnosti stupio je na snagu 15. veljače 2024. Tek po primitku obavijesti o kategorizaciji poslovni subjekti imaju godinu dana da se usklade s mjerama definiranim u Zakonu.
“Primjena obveze obavještavanja o značajnim incidentima i ozbiljnim kibernetičkim prijetnjama počinje 30 dana nakon primitka obavijesti o kategorizaciji“, kaže stručnjak te taksativno navodi mjere koje su proizašle iz smjernica upravljanja kibernetičkim sigurnosnim rizicima. U tom kontekstu najprije ističe:
- politike analize rizika i sigurnosti informacijskih sustava,
- postupanje s incidentima uključujući njihovo praćenje, evidentiranje i prijavljivanje,
- kontinuitet poslovanja kao što je upravljanje sigurnosnim kopijama i oporavak od nesreća, prekida rada i incidenata, te upravljanje kibernetičkim krizama,
- sigurnost lanca opskrbe uključujući sigurnosne aspekte u pogledu odnosa između subjekta i njegovih izravnih dobavljača ili pružatelja usluga,
- sigurnost u nabavi, odnosno razvoju i održavanju mrežnih i informacijskih sustava, uključujući otklanjanje ranjivosti i njihovo otkrivanje, te
- politike i postupke za procjenu djelotvornosti mjera upravljanja kibernetičkim sigurnosnim rizicima.
Dodatno, navodi i osnovne prakse kibernetičke higijene i osposobljavanja o kibernetičkoj sigurnosti te politike i postupke u pogledu kriptografije i, prema potrebi, kriptiranja, sigurnosti ljudskih resursa te korištenja više faktorske provjere autentičnosti, odnosno rješenja kontinuirane provjere autentičnosti, zaštićene glasovne, video i tekstualne komunikacije te sigurnih komunikacijskih sustava u hitnim slučajevima unutar subjekta, prema potrebi.
Kada je riječ o porastu kibernetičkih napada, stručnjak napominje da su jednako ugroženi i mali i srednji poduzetnici. Tome je pridonio i sve češći rad od kuće, ali i potreba za ubrzanom digitalizacijom poslovanja. Sigurnosnih je izazova, kaže, danas više nego ikada prije. “Tri najveće prijetnje za male i srednje velike tvrtke u Hrvatskoj su ransomware napadi, phishing e-mail i DDoS napadi. Ne postoji uređaj ili aplikacija koja pruža stopostotnu zaštitu, već se sigurnost ‘gradi’ u slojevima“, ističe.
Kada je riječ o kibernetičkoj sigurnosti za male i srednje velike tvrtke, postoji nekoliko ključnih točaka koje treba uzeti u obzir kako biste zaštitili svoje poslovanje od potencijalnih prijetnji. Ovo su, prema riječima stručnjaka, najvažniji:
- Politike jakih lozinki: Provedite i osigurajte provođenje politika jakih lozinki, uključujući upotrebu složenih lozinki i njihove redovite promjene.
- Višestruka autentifikacija (MFA): Koristite MFA za sve kritične sustave i račune kako biste dodali dodatni sloj sigurnosti osim lozinki.
- Redovita ažuriranja softvera i upravljanje zakrpama: Održavajte sav softver, uključujući operativne sustave i aplikacije ažurnim s najnovijim sigurnosnim zakrpama. Automatizirajte ažuriranja gdje god je moguće kako biste osigurali pravovremeno postavljanje zakrpa za ranjivosti.
- Sigurnosne kopije i oporavak podataka: Izradite strategiju sigurnosnih kopija, uključujući redovite sigurnosne kopije i pohranu izvan lokacije. Redovito testirajte postupke sigurnosnih kopija i oporavka kako biste osigurali brzo vraćanje podataka u slučaju kibernetičkog incidenta.
- Mrežna sigurnost: Koristite vatrozide, sustave za otkrivanje upada (IDS) i sustave za sprječavanje upada (IPS) kako biste zaštitili svoju mrežu. Segmentirajte svoju mrežu kako biste ograničili pristup osjetljivim informacijama i smanjili utjecaj potencijalnog proboja.
- Zaštita krajnjih točaka: Implementirajte antivirusni softver na svim krajnjim točkama (radnim stanicama, prijenosnim računalima, poslužiteljima…) i držite ih ažuriranima. Koristite rješenja za otkrivanje i odgovor krajnjih točaka (EDR) kako biste pratili i reagirali na prijetnje na krajnjim točkama.
- Kontrola pristupa: Koristite načelo najmanjih privilegija, dajući zaposlenicima pristup samo podacima i sustavima koji su im potrebni za obavljanje posla. Redovito pregledavajte i ažurirajte kontrole pristupa kako biste osigurali da ostanu odgovarajuće.
- Plan za odgovor na incidente: Razvijte i implementirajte plan za odgovor na incidente kako biste brzo i učinkovito reagirali na kibernetičke incidente. Redovito provodite vježbe i simulacije kako biste osigurali da je vaš tim spreman za rješavanje stvarnog incidenta.
- Praćenje i zapisivanje: Implementirajte rješenja za zapisivanje i praćenje kako biste otkrili i odgovorili na sumnjive aktivnosti. Redovito pregledavajte zapise i upozorenja kako biste identificirali potencijalne sigurnosne incidente.
Treba vam pouzdani sustav
No, kada je riječ o podizanju razine kibernetičke sigurnosti, važno je imati sustav na koji se možete osloniti. Tu se u prvom redu ističe širok portfelj usluga Hrvatskog telekoma, poput Cloud backupa i Disaster Recovery usluga koje vaše poslovanje štite od gubitka ključnih podataka te vam omogućuju nastavak redovnog poslovanja u najkraćem mogućem roku.
“Managed Firewall štiti vašu lokalnu mrežu sigurnosnim rješenjem na svim razinama komunikacije računalnih sustava, a DDoS zaštita od većine štetnog prometa uzrokovanog DDoS napadom. Cisco Internet sigurnost, prema potrebi vašeg poslovanja, služi za mrežnu zaštitu fiksnog priključka i svih uređaja spojenih na taj priključak te onemogućuje pristup zlonamjernim stranicama i sadržaju“, dodaje naš sugovornik. Pritom ističe i najnoviju uslugu Hrvatskog telekoma, Sigurnosno-operativni centar za male i srednje tvrtke. Riječ je o usluzi koja pruža sveobuhvatnu uslugu za zaštitu kompanija od raznolikih cyber prijetnji, dostupnu 24 sata dnevno, 365 dana u godini.
Ujedno pruža jedinstvenu uslugu za evidentiranje sigurnosnih događaja te njihovo prosljeđivanje na daljnju obradu, otkrivanje ranjivosti na računalnim sustavima, klasifikaciju i eskalaciju prioritetnih sigurnosnih događaja te izradu mjesečnih izvještaja sa statistikom i pojedinim obrađenim sigurnosnim događajima. Certificirani stručnjaci za cyber sigurnost HT Grupe koriste napredne tehnologije, svoje bogato iskustvo i najnovije informacije o prijetnjama kako bi brzo i precizno identificirali izazove i postavili prioritete za sve ključne događaje.
‘Možete izbjeći financijske kazne’
“Zahvaljujući precizno definiranim postupcima i integriranoj automatizaciji u mogućnosti smo brzo odgovoriti na raznolike vrste napada. Evidentiranjem sigurnosnih događaja i mjesečnim izvještajima olakšat će tvrtkama prijavljivanje sigurnosnih incidenata nadležnim tijelima unutar striktnog vremenskog okvira. Ovo uključuje brzo obavještavanje o incidentima koji imaju značajan utjecaj na usluge koje pružaju“, pojašnjava stručnjak i ističe da će NIS2 regulative značajno smanjiti rizik od kibernetičkih prijetnji te tako ujedno omogućiti zaštitu vrijednih podataka i imovine, a ujedno omogućiti kontinuitet poslovanja.
“Usklađivanje s regulativom može također pomoći u izbjegavanju značajnih financijskih kazni koje bi mogle biti nametnute za nepoštivanje sigurnosnih zahtjeva i može smanjiti rizik od financijskih gubitaka povezanih s kibernetičkim napadima, kao što su gubitak podataka, prekid poslovanja i reputacijska šteta. U konačnici, usklađivanje s NIS2 regulativom i Zakonom o kibernetičkoj sigurnosti može pomoći tvrtkama da izgrade snažniju, sigurniju i konkurentniju poziciju na tržištu, povećavajući njihovu sposobnost da se suoče s izazovima modernog digitalnog okruženja“, zaključuje.