ProForca je nova tvrtka na tržištu, ali je njen vodeći čovjek itekako poznato lice iz sigurnosne struke. S iskustvom prijašnjeg rada u državnom i privatnom sektoru, prije svega u Sigurnosno-obavještajnoj agenciji, Odašiljačima i vezama te Spanu, Bruno Pavić odlučio je pokrenuti tvrtku koja će klijentima pružiti uslugu integrirane zaštite, a što je i povod razgovoru.
Što će ProForca pružiti od usluga na tržištu i kakav vam je poslovni plan?
Ideja je napraviti 'one stop security shop', odnosno da korisnici ne trebaju angažman nekoliko tvrtki kako bi odgovorili na sve izazove, nego da sve imaju u jednom pravnom subjektu. To je put koji objedinjuje, tehničku zaštitu, zaštitu IT infrastrukture, zaštitu dokumenata, zaštitu Uprave, ključnih zaposlenika, uspostava plana oporavka, procjene ugroženosti. S obzirom na moje dosadašnje iskustvo u fokusu nam je i zaštita od špijuniranja od strane konkurencije te inovativni načini pristupanja sigurnosnim izazovima. Poslovni plan je ambiciozan, međutim moramo držati fokus; već sad dobivamo upite za razni vid suradnje i pažljivo biramo partnere, držimo se unaprijed zadanih ciljeva i smjerova.
Integrirana zaštita podrazumijeva više razina i područja zaštite. Što to znači u slučaju ProForce i kako ste zamislili taj vid usluge? S kojim tvrtkama i stručnjacima planirate povezati integriranu zaštitu?
Naša vizija je stvoriti firmu koja može odgovoriti na sve sigurnosne izazove i koja prati sve trendove ugroza. Budući da je tim s kojim surađujem dokazan u svim slojevima securitya, možemo korisniku ponuditi najbolje prakse i pronaći najadekvatnije rješenje za zaštitu. Hrvatska je malo tržište i manje-više se svi poznajemo, stoga mi točno znamo s kim bismo htjeli suradnju, a s kim ne, ali ono što razvijamo je globalna mreža sigurnosnih stručnjaka i poslovnih subjekata koji pružaju uslugu sigurnosnih rješenja, budući da naše velike tvrtke koje rade izvoz imaju izazove preko granica RH i to je dio koji bismo mi pokrili. Imali smo već akcije u Ukrajini, Gruziji i Egiptu, kao podizvođači.
Kako ste organizirali tvrtku?
Tvrtka će se razvijati u tri pilara, jedan će biti neovisni revizori koji će korisnicima predstavljati sigurnosna rješenja bez da preferiraju vendore; drugi stup je integracija, skup stručnjaka koji prati, pronalazi i implementira najbolja rješenja za korisnika; dok je treći stup testiranje sigurnosti. Dobro je da imamo neovisni pristup i da nemamo težinu prodaje i vendora na leđima. Surađujemo s provjerenim stručnjacima i u fokusu nam je zadovoljstvo korisnika. Igramo na duge staze, želimo stvarati partnerski odnos koji donosi zadovoljstvo s obje strane. U sigurnosnom svijetu nema mjesta za pogreške, one se vrlo brzo pročuju po tržištu, stoga treba biti temeljit, jer korisniku je u dijelu sigurnosti važno da ima pouzdanog partnera. CSO kao usluga je nešto novo na tržištu, daje mogućnost manjim firmama da angažiraju stručnjaka po prihvatljivim cijenama, bez stalnog zaposlenja i utilizacijom kad je to potrebno.
U kojim područjima i sektorima će ProForca biti poslovno prisutna? Što vam je u fokusu u tom pogledu?
Mi na sigurnost gledamo kao jednu cjelinu koja se mora razvijati sukladno razvoju tvrtke, stoga se nismo ograničili na sektore, nego na ugroze, a budući da je većina ugroza u modernom okruženju vezana za digitalno doba, naš fokus je napredna tehnička zaštita, IT securityu i sve što spada u te domene. Ako pogledate prije desetak godina, ograda je bila vizualna zaštita svake tvrtke, nakon toga su došle kamere, a danas se to sve skupa održalo bez nekog razvoja, dok se perimetar zaštite prebacio na mrežu, podatke itd. Kontrola pristupa bilo da je riječ o ulasku u tvrtku ili logiranju na server, prvi je perimetar zaštite ali tu sigurnost ne prestaje, danas sigurnosni sustavi moraju biti slojeviti.
Planirate li suradnju s drugim tvrtkama iz security sektora i na koji način?
Mi već uvelike surađujemo s nekoliko tvrtki, od kojih bih izdvojio Kodeks sistemske integracije, Securus, Končar Digital, Infigo, Span. Izdovoljio bih i tvrtke iz regije, poput Alem sistema, koji su eksperti u IT securityu i naravno u stalnom smo kontaktu s tvrtkama iz Izraela, gdje imamo jako dobru povezanost i poslovnu suradnju. Ostvarili smo dobre kontakte u Ukrajini, Rumunjskoj, Austriji itd. Zajedno s tvrtkom Digital Arena razvijamo softver koji procjenjuje dobavljače i zaštitu od trećih strana, a imamo i neke inovacije po pitanju usklađenosti s NIS direktivom. Već smo odradili neke revizije, koje smo mapirali na ISO 27001 i CIS metodama.
Nosite iskustvo rada iz nekoliko značajnijih institucija i društva. Koliko vam je to iskustvo pomoglo u formiranja vašeg poslovnog i stručnog znanja, a prije svega u području cyber sigurnosti?
Moja karijera obavještajnog časnika uvelike mi je pomogla da steknem sigurnosnu kulturu, međutim strateško razmišljanje i razumijevanje poslovanja, stekao sam u Spanu, gdje sam obnašao poziciju direktora korporativne sigurnosti grupe, a samim tim sam bio uključen u sve poslovne procese i odluke. Cijelu svoju karijeru bavim se sigurnošću i zbilja uživam u svom poslu i radim ga s jednakom strašću kao i prvi dan. Jednostavno ako volite to što radite nemate problema u poslu, samo izazova i to je nešto što me pokreće. Pričam puno s kolegama koji vode tvrtke i područja sigurnosti i pokušavam strateški postaviti usluge prema vani da sve promjene dočekamo spremni.
Cyber sigurnost je je već sada među najvažnijim područjima sigurnosti, a u budućnosti taj će značaj sve više i više rasti. Što vi, kao stručnjak, možete preporučiti ljudima i tvrtkama kako zaštititi od hakera?
Prije svega moram istaknuti da ne postoji stopostotna zaštita od hakerskih napada, niti se ta vrsta zaštite može riješiti na jednostavan način. Ljudi moraju razumjeti da svi mi koji smo povezani na internet, bilo putem mobitela ili računala, potencijalno možemo biti žrtve napada. Ono što je najvažnije je zakomplicirati napadaču put do naših osobnih podataka, kartica, mail adresa itd., a to se radi na način da se smanji površina napada i da se educira o aktualnim prijetnjama. Jednom sam jednoj starijoj osobi koja je bila žrtva hakerskog napada i kojoj smo uspjeli spriječiti veću štetu, pokušao laički usporediti izloženosti. Stoga sam dao primjer: bi li nekom nepoznatom u trgovačkom centru dali bankovnu karticu ako vas ljubazno zamoli i PIN naravno ili bi li kada dođete doma navečer, otvorili širom vrata prije spavanja? Jednako je tako kada dajete svoje podatke na internetu.
Imate li savjet kako podići učinkovitu kibernetičku zaštitu, s obzirom na to da ne prijete svima jednaki cyber rizici? Hakerima su, ipak, primamljivije velike tvrtke i organizacije od kojih mogu dobiti veće novčane iznose.
Prije su napadi bili na velike organizacije, međutim prema zadnjim informacijama, većina napada je na manja i srednja poduzeća, jer hakerima je svejedno, ako naplate 100 nečega od 10 malih ili jednog velikog. Pojavom bitcoina napadi su postali učestaliji jer je teško pratiti tijek novca, a samim time je teško doći do napadača. Kada se na hakerski napad na državne institucije bude gledalo kao na teroristički čin bit će nam puno lakše primijeniti sredstva za detekciju, odgovore itd. Žalosno je to da su napadi u porastu, a naša informiranost je u padu; tu se stvara prostor za napadače. Danas možete na dark webu kupiti komplet za napad i isplatiti ga u jednom danu, institucije tu ne mogu previše pomoći, međutim svaki pojedinac može pomoć da se hakerima zakompliciraju akcije. Uzmimo primjer mali adresa, gmail i slični su davno omogućili MFA s geolokacijom koji se jednim klikom uključi, vjerujem da 50 posto korisnika to nije primijenilo i da još imaju lozinke tipa srijeda 01. Kibernetička zaštita mora biti slojevita i kompleksna, a edukacija o prijetnjama učestala, jedino se tako možemo donekle obraniti.
Zašto hakirane organizacije izbjegavaju s javnosti podijeliti svoja iskustva cyber napada?
Većinom zbog reputacije, međutim to je krivo. Danas nije sramota biti hakiran, veća je sramota ako to prešutite. Ulaganja u sigurnost moraju pratiti razvoj tvrtke. Imali smo primjer da je tvrtka uložila u novi proizvodni pogon, a relativno malo ulaganje je bilo u IT i zaštitu. Nakon hakerskog napada imali su zastoj u proizvodnji preko 20 dana, reputacija i šteta koju su pretrpjeli je znatno veća od ulaganja u alate koji su im tada trebali. Radilo se o PAM rješenju koje je na godišnjoj bazi iznosilo nekih 20K i ažuriranju servera koje je bilo manje od 10K godišnje. Tu definitivno CEO nije bio u krivu, nego sigurnosni stručnjaci koju su ga savjetovali i koji nisu mitigirali rizike i pravilno rasporedili resurse. Jako je teško tu štetu popraviti i nadoknaditi. Sjećam se kad sam se borio za budžete kod Uprave, uvijek sam imao argumente ako ovo ne uzmemo može nam se dogoditi to i to, a isto će imati takve i takve posljedice. Menadžment ima razumijevanja ako im se dobro objasni. Jednom me kolega zamolio da mu pomognem u pristupu; CEO je bio dosta zatvoren po pitanju investiranja u sigurnost, nije shvaćao rizike, pa smo napravili vježbu hakerskog napada i upada u prostorije. Nakon vježbe, taj isti CEO se javno s tim hvalio, a kolega dan danas nema problem sa security budžetom.
Foto: Ivan Klindić
S obzirom na to da pratite cyber trendove, kakva nam budućnost predstoji u pogledu kibernetičke (ne)sigurnosti?
Dolazi nam NIS2 regulativa koja će povećati ulaganje u cyber zaštitu, međutim moramo biti svjesni da se s razvojem obrambenih mehanizama, razvijaju i napadački, a trend je još i dalje da se ciljaju zaposlenici jer su to najranjivije skupine i preko njih je vrlo lako prodrijeti u sustav. Za razvoj Zero Day napada i eksploataciju ranjivosti potrebno je jako puno vremena i financijskih sredstava, stoga smatram da će vektori ići više preko zaposlenika i da će socijalni inženjering zauzeti visoku poziciju u napadima. Danas AI pomože obrani ali i napadačima, moramo to imati u fokusu u vidu slaganje obrane. Informiranost o napadima mora biti gotovo svakodnevna, firme moraju ulagati u sigurnost, a svi koji se koriste internetom bilo za posao, hobi, razonode moraju bit svjesni prijetnji. Danas imamo situacije u kojima se masu ljudi predstavljaju kao sigurnosni stručnjaci, međutim jako je malo dokazanih eksperata na tržištu, vendori guraju svoja rješenja iako su svjesni nekih nedostatka i tako idemo u krug. Ova 2024. bit će u znaku NIS2 te implementaciji pravih rješenja za istu.
Dražen Najman