Jeftinije je prevenirati nego sanirati štetu od kibernetičkog napada i incidenta. Analiza kibernetičkih incidenata pokazuje da značajan broj napada ne bi rezultirao sigurnosnim incidentom da su se koristile barem elementarne sigurnosne kontrole
Digitalna transformacija je ključ za učinkovito upravljanje sustavima kritične infrastrukture. Provedena na pravi način, digitalizacija povećava kvalitetu i pouzdanost usluga, smanjuje operativne troškove te povećava ukupnu efikasnost sustava. U isto vrijeme, digitalizacija donosi i nove izazove, pri čemu su rizici kibernetičkih i kombiniranih napada na kritičnu infrastrukturu u zadnje vrijeme dodatno naglašeni i zahtijevaju posebnu pažnju.
Tvrtka KONČAR - Digital je zbog toga u suradnji s agencijom WOOM.zone početkom listopada organizirala webinar na temu Digitalizacija i kibernetička sigurnost kritične infrastrukture. Panel raspravu vodio je Mladen Perkov, direktor klastera “Inteligentna energija”, a sudjelovali su iskusni stručnjaci za kibernetičku sigurnost: Ana Balaško, koordinatorica telekomunikacija i informacijske sigurnosti u procesnim sustavima iz HEP - Operatora distribucijskog sustava, Zvonimir Grubišić, specijalist za informacijsku sigurnost iz Međunarodne zračne luke Zagreb; dr. Natalija Parlov Una, vodeći tutor i stručnjakinja za međunarodne ISO/IEC standarde sigurnosti i otpornosti iz tvrtke APICURA te dr. sc. Tamara Hadjina, voditeljica istraživačkih projekata u području kibernetičke sigurnosti i Ivan Cindrić, specijalist za razvoj softvera i kibernetičku sigurnost, oboje iz tvrtke KONČAR - Digital. Stručnjaci su kroz panel raspravu pokušali odgovorili su na pitanja zašto je kibernetička sigurnost važna, što je sve važno za kibernetičku sigurnost, kako se braniti od kibernetičkih napada i što pri tome treba biti prioritet.
Čak 89 posto sudionika planira dodatna ulaganja u kibernetičku sigurnost
Za webinar se prijavilo više od 120 sudionika koji su dodatnim pitanjima i komentarima doprinijeli raspravi. Tijekom webinara provedeno je nekoliko anketa sudionika koje su pokazale da je za 89 posto sudionika kibernetička sigurnost za kritičnu infrastrukturu izuzetno važna, a za ostalih 11 posto vrlo važna. Vjerojatno nije slučajno da 89 posto sudionika planira dodatna ulaganja u kibernetičku sigurnost u sljedećih 1 ili 2 godine.
Stručnjaci okupljeni u panel raspravi naglasili su kako je zbog važnosti kritične infrastrukture, mogućnosti kaskadnog učinka na druge organizacije i okolnosti u kojima živimo, nužno voditi računa o kibernetičkoj sigurnosti kritične infrastrukture. Pri tome je važno razumjeti ključne razlike između sustava informacijske tehnologije (IT) i sustava operativne tehnologije (OT), odnosno industrijske upravljačke sustave. Ključna razlika je u tome da OT sustavi upravljaju fizičkim procesima te sadrže elemente koji nisu uobičajeni u IT sustavima, poput SCADA sustava za prikupljanje podataka, nadzor i upravljanje te RTU i PLC uređaja za daljinski nadzor i upravljanje uređajima unutar automatiziranog industrijskog procesa. U IT sustavima naglasak je na povjerljivosti podataka, dok je za OT sustave najvažnija raspoloživost podataka sa ciljem održavanja kontinuiteta poslovnog procesa. Kibernetički napad na OT sustave izravno utječe na stvarni svijet i u tom slučaju može doći do narušenog i zaustavljenog poslovnog procesa, oštećenja ili oštećenja sustava, velike fizičke štete pa čak i do mogućih ljudskih žrtava.
Tijekom rasprave istaknuto je kako je uslijed energetske tranzicije i transformacije distribucijske elektroenergetske mreže u naprednu distribucijsku elektroenergetsku mrežu, došlo do povećanja složenosti poslovnih procesa i uključivanja sve više dionika te potrebe za povećanom osmotrivosti i digitalizacijom poslovnih procesa. Stoga je bitno da se otvaranje komunikacijskih sučelja prema sve većem broju dionika, uključujući postrojenja proizvođača spojenih na mrežu i pružatelje pomoćnih usluga, realizira na kibernetički siguran način.
Sustav povjerenja
Dr. sc. Tamara Hadjina u KONČAR - Digitalu vodi istraživačke projekte u području kibernetičke sigurnosti. Istaknula je da je fizička sigurnost kritične infrastrukture uvijek bila važna, a zbog digitalizacije raste važnost kibernetičke sigurnosti za kritičnu infrastrukturu. Naglasila je da raste svijest o mogućim kaskadnim efektima napada na kritičnu infrastrukturu i potrebi da se zbog toga uspostavi sustav povjerenja između različitih infrastruktura, lokalno i između različitih zemalja.
Panelisti su se složili da su EU direktiva NIS 2 i novi Zakon o kibernetičkoj sigurnosti jako važni za jačanje mjera kibernetičke sigurnosti. Radi se o obvezujućoj regulativi koja obuhvaća znatno veći broj pravnih subjekata i usklađena je na razini EU po pitanju definicija, aktivnosti i obveza. To je važno jer su sustavi kritične infrastrukture međusobno povezani, na nacionalnoj razini, ali i prekogranično unutar Europe. Direktiva NIS 2 i Zakon o kibernetičkoj sigurnosti koji je u pripremi, razlikuju subjekte na ključne i važne te nemaju svi jednake obveze. Novost je uzimanje obzir sigurnosti opskrbnih lanaca, pojednostavljeno izvješćivanje, praćenje provedbenih mjera, koncept odgovornosti organa upravljanja unutar poduzeća te ujednačavanje i pooštravanje sankcija. Osim novog zakona, za povećanje otpornosti na kibernetičke napade jako su korisne i smjernice koje je po sektorima pripremila EU agencija za kibernetičku sigurnost (ENISA) te Uredba o kibernetičkoj otpornosti (Cyber Resilience Act) koja je fokusirana na povećanje sigurnosti digitalnih rješenja i proizvoda s digitalnim elementima.
Nova regulativa može značajno smanjiti rizik kibernetičkih napada, ali neovisno o tome treba kontinuirano raditi na povećanju sigurnosti i ulagati u ljude, znanje, procedure i alate. Stručnjaci su se složili da znanje i iskustvo pri tome treba posebno izdvojiti. Neophodno je ulagati u svijest i edukaciju zaposlenika o važnosti kibernetičke sigurnosti između ostalog i zbog toga što većina napada započne greškom zaposlenika koji zbog nedovoljnog znanja ili svijesti o opasnosti napravi onaj prvi krivi klik. Analiza incidenata pokazuje da značajan broj napada ne bi rezultirao sigurnosnim incidentom da su se koristile barem elementarne sigurnosne kontrole, od korištenja minimalnih ovlasti, periodičke promjene lozinki, lozinki većeg stupnja složenosti, očvršćivanja sigurnosti opreme i slično.
Sigurnost treba uzeti u obzir na svim razinama
Nije pitanje hoće li se kibernetički napad dogoditi već kad će se dogoditi. Zbog toga sigurnost ne možemo gledati izdvojeno već kao sastavni dio svakog sustava. Bitno je naglasiti da sigurnost treba uzeti u obzir na svim razinama, od tehničke, taktičke, operativne, pa sve do strateške razine, posebno ako govorimo o kritičnoj infrastrukturi.
Ivan Cindrić radi na razvoju digitalnih rješenja i implementaciji kibernetičke sigurnosti u KONČAR - Digitalu. Istaknuo je da su međunarodni ISO/IEC standardi za informacijsku i kibernetičku sigurnost zapravo jako korisne upute koje su osmislili iskusni stručnjaci i koje znatno olakšavaju jačanje mjera sigurnosti.
Panelisti su naveli kako je iskustvo pokazalo da ljudi često nisu dovoljno samokritični kad je u pitanju procjena rizika vezanih uz kibernetičku sigurnost. Važno je razumjeti da je informacija imovina koja ima svoju vrijednost, a sustavi kritične infrastrukture imaju odgovornost prema gospodarstvu i društvu u cjelini. Informacijska i kibernetička sigurnost su zapravo multidisciplinarni izazov na kojem treba kontinuirano raditi. Panelisti su istaknuli da je u svakom slučaju jeftinije prevenirati nego sanirati štetu od kibernetičkog napada i incidenta.
Davor Bazianec