Kibernetičke prijetnje nisu nešto na što moraju misliti samo banke, velike tvrtke ili globalni divovi. Mali i srednji poduzetnici često pogrešno smatraju da su “premaleni” da bi bili meta hakera, no stvarnost je potpuno drugačija. Upravo manje tvrtke često postaju ulazna vrata napadačima koji ciljaju na mnogo veće subjekte unutar njihovog lanca opskrbe.
O tome zašto je kibernetička sigurnost presudna za opstanak na tržištu, kako se uskladiti s novim Zakonom o kibernetičkoj sigurnosti (ZKS) i kakva je uloga žena u ovom brzorastućem IT sektoru, razgovarali smo s Tonkom Sviben. Tonka je stručnjakinja i savjetnica za informacijsku sigurnost u GRC odjelu (Governance, Risk, and Compliance) tvrtke Span, a iza sebe ima i bogato iskustvo kao IT revizorica.
Mali poduzetnici “najslabija karika”
Sviben ističe kako manje tvrtke često ne razmišljaju aktivno o svojoj kibernetičkoj zaštiti jer se ne doživljavaju kao atraktivna meta. Međutim, napadači rijetko biraju najteži put.
“Kibernetička sigurnost je važna za sve, posebno za male i srednje poduzetnike”, rekla nam je Sviben, “jer napadači najčešće ne biraju ‘velike mete’, nego traže najslabiju kariku koja je početna točka napada na veće subjekte.”
Prema njezinim riječima, mali poduzetnici su često upravo ta, najslabija karika, jer imaju manje resursa, manji budžet i najčešće nemaju napredne mjere zaštite. Zato naglašava kako novi Zakon o kibernetičkoj sigurnosti postavlja pravilo da veličina samog subjekta više nije presudna, već je ključna njegova uloga u lancu opskrbe.
Pročitajte više: Ne nasjedajte! Stručnjakinja otkriva kako se zaštititi od najčešćih cyber prevara
Odgovornost na upravi
Jedna od najvažnijih promjena koje donosi novi Zakon jest odgovornost direktora tvrtke za njezinu kibernetičku sigurnost, te su predviđene i kazne za odgovorne osobe.
“Zakon o kibernetičkoj sigurnosti jasnije stavlja odgovornost na članove uprave”, objašnjava Sviben, “jer kibernetička sigurnost nije samo tehničko pitanje, nego pitanje upravljanja rizicima i kontinuiteta poslovanja.”
Kako navodi, uprava je ta koja donosi odluke o prioritetima i budžetu, čime izravno utječe na to hoće li poduzeće imati dovoljno resursa za provedbu mjera. Od članova uprave danas se očekuje da budu aktivno upoznati s ključnim mjerama zaštite i stvarnim rizicima.
“Drugim riječima, Zakon traži da kibernetička sigurnost postane tema na razini najvišeg rukovodstva”, rekla je Sviben, “a ne nešto što se ‘delegira IT-u’.”
Prilagodba novom Zakonu korak po korak
Kada tvrtka dobije službenu obavijest o kategorizaciji i postane obveznik ZKS-a, proces usklađivanja, prema uputama Tonke Sviben, odvija se kroz nekoliko ključnih koraka:
- Definiranje odgovornih osoba za kibernetičku sigurnost.
- Provođenje GAP analize i identifikacija odstupanja.
- Izrada plana za rješavanje odstupanja od Zakona i Uredbe.
- Implementacija mjera sigurnosti.
- Edukacija zaposlenika.
- Kontinuirani nadzor i redovite provjere.
Važno je napomenuti da Zakon propisuje kako se određuje tko će biti obveznici – osim veličine tvrtke bitno je i čime se bavi, poput ključne infrastrukture, ali bitno i je i gdje ima pristup. Tvrtka koja se bavi ugradnjom klima uređaja mogla bi postati obveznik ako potpiše ugovor s nekom strateškom tvrtkom, isto kao što bi i tvrtka za čišćenje ureda mogla postati obveznik ako održava urede državne institucije.
Kibernetička sigurnost uvjet za ostanak u poslu
Zakon donosi i svojevrsni domino-efekt. Sviben ističe kako se obveze poduzeća koja su u polju primjene ZKS-a “prelijevaju” na njihove dobavljače kroz zahtjeve za sigurnost u cijelom lancu opskrbe. Iako subjekti ne glume “inspekciju”, oni traže odgovorno postupanje s podacima.
“Za dobavljače to konkretno znači da kibernetička sigurnost postaje uvjet poslovanja, a ne dodatni trošak”, rekla je Sviben.
Oni koji se ne prilagode novim pravilima igre postaju prevelik rizik za velike klijente i lako mogu izgubiti poslove, dok tvrtke koje na vrijeme ulažu u svoju zaštitu, prema riječima stručnjakinje, dobivaju snažnu prednost na tržištu.
Nedostatak budžeta i resursa
U praksi, implementacija mjera rijetko prolazi bez izazova. “Najčešće prepreke kod implementacije sigurnosnih mjera jesu resursi”, napominje Sviben. Mnoga poduzeća nemaju dovoljno stručnih ljudi ni vremena, pa se sigurnost odgađa dok se rješavaju operativni problemi. Često nedostaje i budžet, osobito kada se na to gleda kao na trošak koji ne donosi profit, umjesto kao na ulaganje koje sprječava financijsku i reputacijsku štetu.
Što tvrtke mogu učiniti unaprijed kako bi si olakšale proces? “Najvažnije je krenuti s osnovama”, savjetuje Sviben. “Jasno definirati tko je unutar poduzeća odgovoran za kibernetičku sigurnost, procijeniti rizike te napraviti GAP analizu kako bi dobili sliku trenutnog stanja kibernetičke sigurnosti.” Ako se na vrijeme uspostave osnovne politike i procedure, proces je znatno lakši.
Strogi rokovi za prijavu incidenata
Ako dođe do značajnog sigurnosnog incidenta, zakon propisuje stroge rokove. Prema Sviben, računajući od trenutka saznanja o incidentu, potrebno ga je u roku od 24 sata kroz PiXi platformu prijaviti nadležnom tijelu (poput Nacionalnog CERT-a). Uz taj inicijalni rok, postoji i niz drugih kojih se važno držati kako vrijeme odmiče.
“Da bi ovaj proces funkcionirao poduzeće mora unaprijed imati definirane odgovorne osobe, vođenje evidencije i komunikacijski plan prema zainteresiranim stranama”, upozorava Sviben. U suprotnom se gubi vrijeme na interno usuglašavanje, što povećava rizik kašnjenja.
Minimum sigurnosti
Čak i ako poduzeće nije izravni obveznik Zakona, mora postojati razina ulaganja u zaštitu. “Minimum koji bi svaka organizacija trebala uspostaviti trebao bi biti usmjeren na sprječavanje najčešćih i najjednostavnijih napada koji mogu ozbiljno poremetiti poslovanje”, smatra Sviben. To uključuje osnovne tehničke mjere (ažuriranje softvera, antivirus), sigurne lozinke i autentifikaciju s više faktora (MFA), osnovne procedure za incidente i edukaciju zaposlenika.
Kada je u pitanju podizanje svijesti zaposlenika, Sviben prenosi svoje iskustvo. “Najbolje djeluje kombinacija kraćih i redovitih edukacija, a ne duža edukacija jednom godišnje”, kazala je i dodala kako ljudi pritom najbolje reagiraju na primjere iz prakse.
“Cilj edukacija nije stvoriti strah nego naviku sigurnog ponašanja”, rekla je Sviben.
Razbijanje stereotipa: Je li to i dalje “muški klub”?
IT industrija, a posebice grana kibernetičke sigurnosti, u društvu se često svrstava u “muška” zanimanja. No, situacija na terenu pokazuje drugačiju sliku.
“Kibernetička sigurnost se često percipira kao pretežno muško područje”, priča Sviben, “no u praksi sve češće susrećemo stručnjakinje na odgovornim i vodećim pozicijama, osobito tijekom rada na projektima s korisnicima.”
Čvrsto vjeruje da raznolikost u timovima doprinosi kvalitetnijem donošenju odluka i učinkovitijem upravljanju sigurnošću. Navodi Spanov odjel u kojem radi kao odličan primjer te pozitivne promjene. “U GRC odjelu trenutno imamo više žena, pa tako doprinosimo razbijanju stereotipa.”
Foto: Privatni arhiv, Nano Banana Pro (Ilustracija)
