Vedran Benić, Senior Information Security Consultant u tvrtki Span
Ne postoji “one size fits all“ rješenje jer su zahtjevi novih propisa kojima je u fokusu kibernetička sigurnost, toliko opsežni i ne tiču se samo pitanja imate li neku tehnologiju ili ne, već i kako vam izgleda dokumentacija, jesu li vam zaposlenici svjesni postupaka u toj dokumentaciji, kako upravljate lozinkama i jesu li možda “passwordless“ rješenja baš za vas? U globalu, svakako ćemo vidjeti porast in
U današnjem visoko digitaliziranom svijetu, tvrtke i organizacije su konstantno izložene bezbrojnim kibernetičkim prijetnjama koje mogu izazvati velike štete u poslovanju ali i reputaciji. Iz tog razloga ulaganje u kibernetičku sigurnost postalo je imperativ ali i jamac dugovječnosti neke tvrtke. No, veliki dio kompanija još uvijek na kibernetičku sigurnost gleda kao na trošak. “Odgovor je zapravo vrlo jednostavan. Tim kompanijama se (još) nije dogodio cyber incident pa smatraju da neće ili jednostavno nisu svjesne da bi se mogao dogoditi. Naravno, iz godine u godinu se šanse za nastanak takvog incidenta povećavaju s obzirom na to da raste stopa kibernetičkog kriminala. Osim toga, na tržištu su danas dostupna brojna rješenja za kibernetičku sigurnost i svaka kompanija može izabrati ona rješenja koja odgovaraju njenom profilu rizika. Zbog toga se na kibernetičku sigurnost sve manje gleda kao na trošak, a sve više kao na korisno i razmjerno ulaganje”, kaže Vedran Benić, Senior Information Security Consultant u tvrtki Span, jednoj od vodećih hrvatskih IT kompanija s kojim smo razgovarali o nadolazećim direktivama koje ciljaju na povećanje kibernetičke sigurnosti.
Na koji se način kibernetička sigurnost u Europi razvijala, posebno u kontekstu zaštite kritične infrastrukture od kibernetičkih napada?
Kibernetičkoj sigurnosti se dugo u Europi pristupalo reaktivno. Organizacije su na tržištu prvi puta dolazile u kontakt sa cyber rješenjima tek po nastanku incidenta, a kritične infrastrukture bile su regulirane kroz rudimentarnu Direktivu o kritičnim infrastrukturama iz 2008. godine. To se drastično počelo mijenjati s kibernetičkim napadima na Ukrajinu tijekom 2014. i 2015. godine. U prosincu 2015., ruski hakeri su upali u ukrajinsku mrežu distribucije struje što je dovelo do višesatnog nestanka struje za nekoliko stotina tisuća ljudi. Od tada su organizacije na tržištu i EU zakonodavci počeli razmišljati o kibernetičkoj sigurnosti više proaktivno nego reaktivno i naglasak se počeo stavljati na prevenciju. U konačnici je zbog ovakvog proaktivnog pristupa sve više pružatelja cyber usluga na tržištu, organizacije se i same javljaju tražeći odgovarajuća rješenja te EU zakonodavstvo propisuje sve više mjera za sve veći broj sektora.
Direktiva NIS koja je donesena prije osam godina nije polučila očekivane rezultate, zbog čega se smatra da će NIS2 doprinijeti ciljevima cyber otpornosti?
U prvom redu, Direktiva NIS je propisivala mjere samo na načelnoj razini, dok će NIS2 s provedbenim aktima Europske komisije, puno preciznije opisati procesne, tehničke i organizacijske zahtjeve propisanih mjera. Upravo zbog toga će implementacija tih mjera biti ujednačena na razini EU, što je bio jedan od ciljeva NIS2. Osim toga, NIS2 značajno širi broj sektora koji će njome biti izravno obuhvaćeni kao ključni ili važni subjekti pa su tako sada sektori poput gospodarenja otpadom, proizvodnje hrane, poštanske usluge, digitalne usluge i mnogi drugi, uključeni u polje primjene. Također, visoka razina cyber otpornosti postići će se i kroz nove obveze subjekata u odnosu na njihove lance opskrbe, zbog čega će NIS2 imati i neizravne učinke na dobavljače subjekata obuhvaćenih tom direktivom.
U svjetlu donošenja nove EU direktive NIS2, možete li prokomentirati koji su najveći izazovi kojima se Direktiva NIS2 nastoji pozabaviti u cyber sigurnosti i koje su ključne inovacije uvedene u novu Direktivu? Koje specifične mjere kibernetičke sigurnosti i strategije upravljanja rizikom NIS2 Direktiva nalaže organizacijama i kako te mjere povećavaju ukupnu otpornost kibernetičke sigurnosti?
Kao što je navedeno u uvodu (recitalu) Direktive NIS2 - mrežni i informacijski sustavi razvili su se u okosnicu svakodnevnog života, a njihov razvoj doveo je do povećanja cyber prijetnji pri čemu su incidenti sve brojniji, sofisticiraniji, učestaliji, većih razmjera i utjecaja te predstavljaju veliku prijetnju funkcioniranju tih sustava. Upravo ova važnost mrežnih i informacijskih sustava s jedne strane te njihova izloženost cyber napadima s druge strane, predstavlja glavni izazov kojeg adresira Direktiva NIS2.
U tom smislu, propisan je minimalni opseg mjera koje subjekti u polju primjene moraju implementirati, a to su: politike analize rizika i sigurnosti informacijskih sustava, postupanje s incidentima, kontinuitet poslovanja i oporavak od katastrofe, sigurnost lanca opskrbe, otkrivanje i rješavanje ranjivosti mrežnih i informacijskih sustava, politike procjene učinkovitosti mjera upravljanja cyber rizicima, osnovne prakse cyber higijene i edukacije o cyber sigurnosti, sigurnost ljudskih resursa i politike kontrole pristupa i upravljanja imovinom te korištenje višefaktorske provjere autentičnosti.
Subjekti su dužni primjenjivati najmanje ove mjere, ne isključujući pritom i druge odgovarajuće mjere, uzimajući u obzir vlastiti stupanj izloženosti rizicima, veličinu, vjerojatnost pojave i težinu učinka incidenta. Kada subjekti ispravno implementiraju ove mjere, između ostaloga i sukladno provedbenim aktima koji se tek trebaju donijeti, uzimajući u obzir navedene faktore - možemo pouzdano reći da će njihovi mrežni i informacijski sustavi biti značajno otporniji na cyber incidente. Ovo je dokazano u brojnim kompanijama, koje primjenjuju ISO/IEC i NIST standarde informacijske i kibernetičke sigurnosti sa sličnim opsegom mjera.
Važnija od NIS2 direktive za financijske institucije bit će DORA (Akt o digitalnoj operativnoj otpornosti) kojom se utvrđuju jedinstveni zahtjevi za sigurnost mrežnih i informacijskih sustava poduzeća i organizacija koji posluju u financijskom sektoru, kao i ključnih trećih strana koje im pružaju usluge povezane s informacijskim i komunikacijskim tehnologijama a sve s ciljem prevencije i ublažavanja cyber prijetnji. Zbog čega se smatralo da samo NIS2 nije dovoljan za financijski sektor nego je bila potrebna i DORA?
U odnosu na Direktivu NIS2, kojom su već uključene banke, burze i središnji depozitoriji, DORA-om su uključena i osiguravajuća društva, kripto burze, institucije za platni promet i elektronički novac, upravitelji mirovinskim fondovima i brojni drugi financijski subjekti. Financijski subjekti su za razliku od Direktive NIS2 precizno definirani u DORA-i i neće, kao što je to slučaj kod Direktive NIS2, dobiti posebnu obavijest o tome da se moraju uskladiti s DORA-om, nego to moraju napraviti već po tekstu same uredbe do dana početka njene primjene, a to je 17. siječnja 2025. godine.
Uz to, DORA uspostavlja i sustav nadzora nad onim pružateljima ICT usluga, koji pružaju svoje usluge financijskim subjektima i imenovani su kao “ključni” od strane nadležnih EU tijela (ECB, ESMA i EIOPA). DORA propisuje i značajno strože zahtjeve u odnosu na Direktivu NIS2. Primjerice, svi ugovori između financijskih subjekata i njihovih pružatelja ICT usluga će morati sadržavati obvezne odredbe za takve ugovore, koje su izričito propisane DORA-om.
Također je važno za napomenuti da se ti financijski subjekti, koji su obuhvaćeni primjenom NIS2 i DORA-e zapravo trebaju fokusirati na usklađivanje s DORA-om, s obzirom na to da je upravo ta uredba tzv. “sektorski specifičan propis” koji ima prednost u primjeni pred NIS2.
Na koji način određena tvrtka treba započeti usklađivanje s NIS2 i DORA-om?
Usklađivanje s NIS2 Direktivom i DORA-om započinje vrlo slično, a to je postupkom izrade GAP analize. Organizacije prvo moraju napraviti sliku vlastitog stanja i imati precizno definirano gdje se njihov sustav informacijske sigurnosti trenutno nalazi, a gdje bi on trebao biti prema ovim propisima. Ta analiza radi se na temelju kompletne dokumentacije informacijske sigurnosti te informacija prikupljenih od nadležnih osoba. Ipak je važna razlika što je za DORA-u već dostupna većina provedbenih akata pa s visokom razinom pouzdanosti znamo kako bi usklađivanje s DORA-om trebalo izgledati. S druge strane, provedbeni akti za Direktivu NIS2 još nisu poznati, pa je prijedlog onim organizacijama koje će biti u polju primjene NIS2 da GAP analizu naprave u odnosu na međunarodno priznati standard ISO/IEC 27001:2022. To će im omogućiti bržu i efikasniju prilagodbu zahtjevima provedbenih akata Direktive NIS2 kada oni postanu dostupni.
Nakon identifikacije nedostajućih elemenata u organizaciji slijedi rješavanje istih kroz izradu, odnosno izmjenu odgovarajuće dokumentacije, implementaciju tehničkih mjera te educiranje zaposlenika.
Možete li pojasniti obveze izvješćivanja prema NIS2 i po čemu se one razlikuju od prethodne NIS direktive? Kako bi se organizacije trebale pripremiti za učinkovito upravljanje incidentima i izvještavanje? Do sada su tvrtke nerijetko i prešutjele da su pretrpjele cyber napad, osim u slučaju ozbiljnih napada. Hoće li se to sada promijeniti i ima li i javnost pravo znati za sve incidente?
Prema NIS2 Direktivi, subjekti su dužni obavijestiti nadležno tijelo o značajnom incidentu, a svoje primatelje usluge o svakom značajnom incidentu koji bi mogao negativno utjecati na pružanje tih usluga. Za razliku od stare Direktive NIS, koja je rokove izvješćivanja o incidentu ostavila u nadležnosti država članica EU pa su se ti rokovi razlikovali od države do države, Direktiva NIS2 unificira rokove tako da u cijeloj EU vrijedi obveza slanja ranog upozorenja nadležnom tijelu u roku od 24 sata od saznanja za incident, odnosno slanja detaljnije obavijesti o incidentu u roku od 72 sata.
Incident će se pritom smatrati “značajnim” ako je uzrokovao ili može uzrokovati ozbiljne poremećaje u funkcioniranju usluga ili financijske gubitke za taj subjekt te ako je utjecao ili bi mogao utjecati na druge fizičke ili pravne osobe uzrokovanjem znatne materijalne ili nematerijalne štete.
Kako će izgledati priprema za upravljanje incidentima, ovisit će o konkretnom profilu rizika određenog subjekta. Manje rizični subjekti vjerojatno će vršiti periodične kontrole i dijagnoze kako bi provjerili integritet svojih sustava, dok će to kod više rizičnih subjekata možda podrazumijevati uspostavljanje 24-satnog nadzora nad sumnjivim aktivnostima u sustavima radi detektiranja incidenata. U svakom slučaju, subjekti moraju dokumentirati svoj plan i postupak odgovora na incident, dakle na neki način smisliti “playbook” što tko treba raditi u slučaju incidenta.
Kada bi se nekom subjektu u polju primjene NIS2 dogodio značajan incident, nipošto se obveza obavještavanja nadležnog tijela ne bi trebala ignorirati. Naime, nadležna tijela će u nekom trenu gotovo sigurno doći do informacije da se takav incident dogodio pa će, u slučaju neprijavljivanja značajnog incidenta na vrijeme, takav subjekt riskirati visoku novčanu kaznu, a pritom bi reputacijski rizik kod otkrivanja prešućivanja mogao biti još skuplji.
Što se tiče obavještavanja javnosti, ono je Direktivom NIS2 predviđeno samo ako nadležno tijelo procijeni da bi takvo obavještavanje bilo nužno za sprečavanje značajnog incidenta ili rješavanje značajnog incidenta koji je u tijeku ili ako je to u javnom interesu iz nekog drugog razloga. Dakle, javnost nema pravo znati za sve incidente.
S Direktivom NIS 2 donesena je CER Direktiva (Direktiva o otpornosti kritičnih subjekata). Na snage Direktive Vijeća 2008/114/EZ koja pruža okvir za digitalnu i fizičku otpornost pružatelja. Što je cilj CER Direktive?
Tom direktivom nastoji se smanjiti ranjivosti i ojačati fizičku otpornost kritičnih subjekata u EU kako bi se osiguralo neprekinuto pružanje usluga koje su ključne za gospodarstvo i društvo u cjelini. Drugim riječima, prekid usluga tih subjekata doveo bi do teških poremećaja u gospodarstvu ili zdravlju ljudi. Slično kao kod Direktive NIS2, države članice Europske unije određuju na koje će se subjekte ova pravila primjenjivati - odnosno koji su to subjekti dio kritične infrastrukture. To mogu biti subjekti iz sektora energetike, prometa, zdravstva, vode za piće i otpadnih voda, digitalne infrastrukture, javne uprave, svemira, proizvodnje i distribucije hrane te određeni subjekti financijskog sektora.
Međutim, dok su mjere zaštite kod Direktive NIS2 orijentirane primarno na mrežne i informacijske sustave, mjere zaštite kod CER Direktive primarno u fokusu imaju fizičku zaštitu, odnosno zaštitu od prijetnji poput prirodnih katastrofa, terorizma, unutarnjih prijetnji i sabotaže.
Kako bi ispunile zahtjeve koje nameću nove direktive hoće li tvrtke morati dodatno investirati u inovativne tehnologije i koje?
Sve će ovisiti o rezultatima njihove GAP analize, kojom će dobiti sliku trenutnog stanja u odnosu na zahtjeve novih propisa. Vrlo često rješenja za određene probleme mogu biti u nekoj tehnologiji, kao što su to SIEM i SOAR sustavi, koji se koriste u postupku detekcije i odgovora na napade.
Također su posebno su važna i cloud rješenja za upravljanje informacijskim resursima s obzirom na to da se cloud pokazao sigurnijim nego čuvanje podataka na vlastitim serverima. Međutim, osobito je važno naglasiti da ne postoji jedna tehnologija, jedan softver koji može biti rješenje za sve. Ne postoji “one size fits all” rješenje jer su zahtjevi novih propisa toliko opsežni i ne tiču se samo pitanja imate li neku tehnologiju ili ne, već i kako vam izgleda dokumentacija, jesu li vam zaposlenici svjesni postupaka u toj dokumentaciji, kako upravljate lozinkama i jesu li možda “passwordless” rješenja baš za vas? U globalu, svakako ćemo vidjeti porast investicija u sigurnosna rješenja pa i u tehnologije.
Nataša Gajski Kovačić