Miljenko Filipović je predstojnik Ureda za korporativnu sigurnost Hrvatske elektroprivrede. Spomenuti Ured objedinjuje sve segmente sigurnosti, od tjelesne do kibernetičke, pa smo s njime razgovarali o stanju sigurnosti unutar nacionalne energetske tvrtke koja se bavi proizvodnjom, distribucijom i opskrbom električnom energijom, kao i distribucijom i opskrbom kupaca toplinskom energijom i prirodnim plinom.
Posljednjih mjeseci, ali i godina, svjedočimo sve većem broju napadu na kritične infrastrukture brojnih država, a posebno razvijenih država Zapada. Smatrate li da smo trenutno u najizazovnijem razdoblju što se tiče zaštite i obrane kritične infrastrukture?
Evidentan je trend rasta broja uspješno izvršenih kibernetskih napada na industrijske kontrolne sustave posljednjih godina. Posebice je to registrirano u javnosti posljednjih mjeseci kada su mediji širom svijeta objavili razmjere šteta i detalje napada na kritične infrastrukture najrazvijenijih država. Razdoblje u kojemu se nalazimo i ono pred nama je u svakom slučaju izazovno, posebice stoga jer se zapravo nalazimo tek na početku, slobodno možemo reći ere neprestanih i rastućih kibernetičkih prijetnji i napada usmjerenih ciljano prema kritičnoj infrastrukturi i prema industrijskim kontrolnim sustavima općenito.
Koliko vrsta ugroza napadi na kritičnu infrastrukturu mogu prouzročiti možda najbolje pokazuje primjer iz savezne države Florida, kada je u veljači ove godine, napad na sustav opskrbe pitkom vodom gotovo završio tragično. Koji je, prema vašem mišljenju, najranjiviji sektor kritične infrastrukture i zašto?
Svi su sustavi i sektori ranjivi, a najranjiviji je onaj koji je u određenom periodu i u određenim uvjetima u fokusu najsposobnijih i najbolje opremljenih napadača. Stoga je od izuzetne važnosti, posebice za vlasnike kritične infrastrukture integrirati svoj sustav upravljanja informacijskom i kibernetičkom sigurnošću sa sveobuhvatnim sustavom domovinske kibernetičke sigurnosti, a koji, integriran u paneuropski sigurnosni prostor može dati odgovarajući te pravovremeni odgovor i na najsloženije Advanced Persistent Threat (tzv. APT) napade državno sponzoriranih i u pravilu najsposobnijih napadačkih organizacija.
Prema najavama iz MUP-a trebalo bi doći do izmjene Zakona o kritičnoj infrastrukturi, s obzirom da Zakon donesen 2013. nije u potpunosti zaživio, odnosno nikada nije točno određeno koje su to kritične infrastrukture u RH. Što očekujete od novog Zakona? Mislite li da će novi Zakon donijeti poboljšanje u djelu razvoja otpornosti i zaštite kritične infrastrukture?
S optimizmom očekujemo napredak i poboljšanja u dijelu razvoja otpornosti i zaštite kritične infrastrukture donošenjem izmjena Zakona o kritičnoj infrastrukturi, posebice u području fizičke sigurnosti temeljem izuzetno dobrih iskustava u prethodne dvije i pol godine s primjenom Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (ZKS). Naime, ZKS je jednoznačno odredio pružatelje ključnih usluga za funkcioniranje društva i gospodarstva Republike Hrvatske. ZKS je u potpunosti upotrebljiva osnova te dorečen i zaokružen zakonodavni okvir za provedbu aktivnosti i mjera zaštite i obrane kritičnih sustava od prijetnji iz kibernetičkoga prostora. Jednaka su nam očekivanja od primjene izmijenjenoga Zakona o kritičnoj infrastrukturi u području njegovog obuhvata.
Hrvatska elektroprivreda je jedna od najvažnijih, ako ne i najvažnija, tvrtki energetskog sektora u RH te s gotovo 2,5 milijuna korisnika predstavlja kritičnu infrastrukturu neophodnu za nesmetano djelovanje cijele države. Koliko je zaštita i otpornost tvrtke važan cilj u HEP-u?
Zaštita i otpornost Hrvatske elektroprivrede među najvažnijim su preduvjetima ostvarenja strateških ciljeva korporacije. Samo visoka razina sigurnosti može jamčiti stabilnost i uspješnost poslovanja naše tvrtke, kontinuitet usluge svim našim korisnicima, uvjete za funkcioniranje i razvoj ukupnog hrvatskog gospodarstva te osobnu sigurnost svih građana. Zato se u okviru korporativnoga upravljanja rizicima poslovanja organiziraju, provode i nadziru aktivnosti i mjere zaštite te povećanja i provjera otpornosti na promjenjive i u pravilu rastuće prijetnje i ugroze.
Digitalna transformacija neizbježan je fenomen globaliziranog svijeta te je aktualna pandemija pokazala koliko su internet i umreženost neizbježni. Kakav digitalna transformacija ima utjecaj na Hrvatsku elektroprivredu i sigurnosne standarde vezane uz zaštitu infrastrukture?
Digitalna transformacija gotovo u potpunosti poslovne procese i tijekove podataka temelji na primjeni informacijsko-komunikacijskih tehnologija te time poslovanje čini itekako ovisnim o sigurnosti i raspoloživosti informacijsko-komunikacijske infrastrukture. Digitalna transformacija značajno povećava potrebu za primjenom provjerenih sigurnosnih standarda i najboljih sigurnosnih praksi s ciljem osiguranja kontinuiteta poslovanja i neometanoga odvijanja poslovnih i tehnoloških procesa te ostvarenja strateških ciljeva poslovanja.
Uvježbanost i pripremljenost često je ključ uspjeha protiv napada. Održava li HEP simulacije napada, kako kibernetičkih tako i fizičkih, te provodi li se obuka operatora za slične scenarije?
U procesu uskladbe poslovanja i procesa Hrvatske elektroprivrede sa Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalni usluga, ZKS-om, provedene su pripremne radionice s ciljem obuke relevantnih posada i osoblja svih distribucijskih područja HEP-Operatora distribucijskoga sustava na cijelom području Republike Hrvatske te u svim proizvodnim područjima i pogonima - elektranama HEP-Proizvodnje. Neposredno nakon provedenih radionica, provedene su simulacijske vježbe u svim navedenim organizacijskim jedinicama u koje je sukladno ulozi definiranoj ZKS-om bio uključen i Zavod za sigurnost informacijskih sustava Republike Hrvatske (ZSIS).
Surađujete li s državnim institucijama iz područja sigurnosti i zaštite, s ciljem poboljšanja sigurnosti infrastrukture?
Uz spomenuti Zavod za sigurnost informacijskih sustava Republike Hrvatske (ZSIS RH) i nadležni nam Computer Emergency Rersponse Team Zavoda za sigurnost informacijskih sustava Republike Hrvatske (CERT ZSIS-a RH), intenzivna je komunikacija i uspješna suradnja s Ministarstvom gospodarstva i održivog razvoja koje je naše nadležno sektorsko tijelo u okviru provedbe ZKS-a. Surađujemo i s Nacionalnim CERT-om čije izuzetno korisne i profesionalne video uratke i e-brošure koristimo za svakodnevne aktivnosti i kampanje osvješćivanja korisnika informacijskoga sustava Hrvatske elektroprivrede. Uspješno i obostrano korisno komuniciramo s relevantnim tijelima Ureda Vijeća za nacionalnu sigurnost (UVNS-a) i MUP-a RH.
U Republici Hrvatskoj 2020. godine, nakon 25 godina, došlo je do napada na zgradu Vlade i Sabora te je čin okarakteriziran kao teroristički. Koliko je terorizam opasna prijetnja po HEP, s obzirom na geostrateški značaj tvrtke?
Budući da je Republika Hrvatska članica EU i članica NATO-a, a s obzirom na dinamične, često nepredvidive događaje i promjene u svijetu i općenito sve izazovnija vremena, ne možemo isključiti mogućnost terorističkih napada i na našem području, a samim time i na infrastrukturu HEP-a.
Prirodne nepogode uzrokovale su teške posljedice na području Zagreba i okolice te u Sisačko-moslavačkoj županiji. Reakcija HEP-a bila je izvrsna te su potresom pogođena područja u najkraćem roku ponovno dobila opskrbu električnom energijom. Kako se tvrtka priprema za takav oblik opasnosti po infrastrukturu?
HEP je u svojoj povijesti više puta bio izložen različitim kriznim okolnostima. S obzirom na to da se radi o tvrtki koja je od izuzetnog nacionalnog značaja, jasno je da moramo u svakom trenutku biti spremni djelovati i odgovoriti na te razne krize. HEP sve svoje radnike konstantno šalje na usavršavanja i edukacije i svakodnevno radi na poboljšanju svojih sustava, te se jako puno ulaže u sigurnost, a na taj način osigurava kontinuitet poslovanja i sigurnu opskrbu potrošača.
Posljednjih nekoliko godina dolazi do transformacije korištenja energenata na razini cijele Europske unije, a trend je zabilježen i u Hrvatskoj. Ukoliko elektrifikacija prijevoza postane još značajnija, HEP bi mogao preuzeti ključnu ulogu u opskrbi prometa energijom, stoga se postavlja pitanje koliko će se morati poboljšati sigurnost infrastrukture?
Osnovni zadatak, misija sigurnosti u poslovnom okruženju je omogućiti opravdani poslovni zahtjev na siguran način. Posebice to vrijedi za informacijsku i kibernetičku sigurnost u uvjetima kada nadolazeće tehnologije u energetskom sektoru, u sektoru prometa i ostalim segmentima života i gospodarstva unose neočekivane i disruptivne zahtjeve. U svakom slučaju, sigurnost infrastrukture je spiralni proces neprestanoga djelovanja na njenom poboljšanju.
(Kruno Balent, Dražen Najman)