"Sigurnost ne treba smatrati troškom već treba promišljati o integralnoj zaštiti", rekao je Sandro Šegedin, voditelj inspekcije za privatnu zaštitu i detektivske poslove Ravnateljstva civilne zaštite na konferenciji SIGBANK - Sigurnost banaka i financijskih institucija održanoj u organizaciji časopisa Zaštita te pod pokroviteljstvom Ministarstva unutarnjih poslova i Hrvatskog ceha zaštitara i uz programsku podršku Hrvatske udruge banaka. Konferencija je održana u hotelu Westin u Zagrebu početkom studenoga.
Osim kibernetičke sigurnosti, koja je jasna prijetnja financijskoj stabilnosti, na SIGBANK konferenciji raspravljalo se o početku primjene Uredbe Digitalne operativna otpornost za financijski sektor DORA, sigurnosti bankomata, optimalnom smještaju uređaja tehničke zaštite, razvoju tehnologije i inovacijama u tehničkoj zaštiti, sigurnosti mobilnog bankarstva te drugim temama relevantnim za sigurnost financijskih institucija.
Redovni, kontrolni i izvanredni nadzori provedbe mjera zaštite
Sandro Šegedin je govorio o regulativi i zaštiti bankomata. Tom je prilikom prisutnima skrenuo pažnju na učinke i izazove zaštite novčarskih institucija, s posebnim naglaskom na zaštitu bankomata, budući da i dalje bilježimo kaznena djela provala na tim uređajima. Kazao je i kako inspektori Ravnateljstva civilne zaštite provode redovne, kontrolne i izvanredne nadzore provedbe mjera zaštite, posebice nakon počinjenja kaznenih djela. Osvrnuo se i na Zakon o zaštiti novčarskih institucija rekavši da je dinamičan jer prihvaća inovacije, posebice tehničke zaštite te da uvodi privatnu zaštitu kao temelj sigurnosti što je model za druge važne gospodarske sektore kao što su turizam, ugostiteljstvo, promet, kritična infrastruktura.
„U novčarskim institucijama u kojima su ugrađeni sustavi tehničke zaštite oni imaju svoju efikasnost i funkcionalnost te organizacijski udovoljavaju propisanim mjerama tehničke zaštite. Novčarske institucije primjenjuju mjere koje su Zakonom propisane tako da tijekom nadzora nema većih nepravilnosti, ako se i utvrde, ista se po rješenju otklanjaju“, rekao je Šegedin. Dodao je da najefikasnija zaštita leži u smanjenju udjela ljudskog faktora te usvajanju i dosljednoj primjeni sigurnosnih procedura i zaštitnog ponašanja.
Statistički pregled kaznenih djela na štetu novčarskih institucija u Republici Hrvatskoj dao je Mihovl Borovec iz Ravnateljstva policije. Rekao je da su u 2024. izvršena dva kaznena djela razbojništva u poslovnice banaka, sedam u poslovnice pošti, jedno u mjenjačnici, 97 u trgovinama, 17 u benzinskim postajama, 13 u kioscima i dvije u poslovnicama za otkup plemenitih metala.
Nedostatak radne snage, cyber napadi i povrede podataka
Anđela Šutija, direktorica ANO Insurance Solutions i predsjednica Udruženja društava za brokerske poslove u osiguranju i reosiguranju HGK, pobrojala je top rizike za financijske institucije, a to su: cyber napadi i povrede podataka, regulatorne i legislativne promjene, ekonomska stagnacija ili slabi oporavak, cash flow odnosno rizik likvidnosti te tehnički problemi poput ispada sustava. Tijekom predavanja sudionici su imali priliku uključiti se i zahvaljujući Nobula Case Creatoru ostaviti svoje mišljenje na temu aktualne problematike tržišta. Prema anketi, sudionici konferencije su se složili da su najvjerojatniji rizici u poslovanju u Republici Hrvatskoj nedostatak radne snage, cyber napadi i povrede podataka te nemogućnost privlačenja ili zadržavanja novih talenata. Predavanje Anđele Šutije, "Rizici vezani uz poslovanje banaka i financijskih institucija", pružilo je priliku za kvalitetan dijalog i uključivanje publike, a ulogu moderatora preuzeo je Zvonimir Oreč.
O utjecaju Cloud tržišta na fizičku sigurnost financijskog sektora govorio je Mišo Blažević iz RBI Centar tehničkih kompetencija fizičke sigurnosti i bankomata. Centar kompetencija fizičke sigurnosti je osnovan 2019., a cilj je unapređenje sigurnosnih rješenja, postizanje tehničke izvrsnosti, nova rješenja i proaktivno prilagođavanje prijetnjama u razvoju. Pritom, fokus nije samo na nadolazeće prijetnje, već i na buduće promjene na tržištu. Govoreći o Cloudu, rekao je da migracijom u Cloud okruženje, sustavi tehničke zaštite postaju podložni svim onim opasnostima kojima su izložena i ostala softverska rješenja u Cloudu. Stoga migracija postojećih sustava tehničke zaštite u Cloud mora biti kroz prirodni razvoj sustava, a ne silom.
O kibernetičkim izazovima u financijskom sektoru predavao je Marko Gulan iz HIKS-a odnosno Hrvatskog instituta za kibernetičku sigurnost. Kao izazove financijskog sektora naveo je, između ostalog, socijalni inženjering, GenAI koji je značajno 'ubrzao' i 'ojačao' socijalni inženjering, potom DeepFake pri čemu je podsjetio na nedavno slučaj Fortenove. Dalje je naveo ransomware koji uzrokuje potpuni zastoj sustava, DDoS naoade koji su se lani intenzivirali, slijede Supply Chain napadi, ali i neoprezni ili zlonamjerni zaposlenici, no i jaz u znanju jer čak 70 posto zaposlenika ne shvaća značaj cyber sigurnosti.
Zaštita osjetljivih financijskih podataka
A kako u praksi izgleda kompromitacija financijskih institucija pokazao je Zvonimir Cvetko Damnjanović iz slovenske Detektivsko varnostne agencije, dok je o kibernetičkoj sigurnosti financijskih institucija govorio Zlatan Letica, Senior Manager iz EY Croatia. „Kibernetička sigurnost u financijskim institucijama obuhvaća zaštitu osjetljivih financijskih podataka i sustava od kibernetičkih prijetnji kako bi se osigurali integritet, povjerljivost i dostupnost financijskih usluga te zaštitilo povjerenje klijenata i ugled institucije. Učinkovita kibernetička sigurnost zahtijeva pridržavanje regulatornih okvira i primjenu naprednih tehnologija. Također, uključuje implementaciju najboljih praksi u upravljanju rizicima i odgovoru na incidente kako bi se spriječile i ublažile potencijalne prijetnje. Kontinuirano praćenje i prilagodba sigurnosnih mjera ključni su za održavanje visoke razine zaštite u dinamičnom kibernetičkom okruženju“, naveo je.
Letica je također pobrojao i regulatorni okvir u tom smislu:
• NIS2 (Network and Information Security Directive 2) je direktiva Europske unije usmjerena na poboljšanje kibernetičke sigurnosti kritične infrastrukture i ključnih usluga;
• DORA (Digital Operational Resilience Act) fokusira se na osiguranje operativne otpornosti financijskih subjekata protiv ICT-povezanih prijetnji;
• CRA (Cyber Resilience Act) ima za cilj uspostaviti zajednički okvir za kibernetičku sigurnost digitalnih proizvoda i usluga;
• AI Act (Artificial Intelligence Act) nastoji regulirati umjetnu inteligenciju kako bi se osigurala sigurnost i temeljna prava;
• PSD3 (Payment Services Directive 3) ima za cilj modernizirati i poboljšati regulatorni okvir za platne usluge u EU i
• PSR (Payment Services Regulation) pruža detaljna pravila i smjernice za provedbu direktiva o platnim uslugama.
Na konferenciji SIGBANK su održane dvije panel rasprave na kojima su sudjelovali Lidija Stolica iz Hrvatskog ceha zaštitara, Ante Perčin iz Hrvatske udruge poslodavaca i Sokol Securityja, Vladimir Vrcić iz Hrvatske pošte, Mario Gmajnić iz Hrvatske udruge banaka, Nikola Turkalj iz Ravnateljstva civilne zaštite MUP-a, Milan Parat iz Hrvatske udruge banaka, Slaven Smojver iz Hrvatske narodne banke i Mladen Gavrančić iz Hanfe.
Konferenciju su sponzorski podržali Hrvatska udruga banaka, Diverto, HP-Hrvatska pošta, HGK Digitalna komora, Protekta, Sokol Secutity i Fina GS.
Nataša Gajski Kovačić
Pogledajte kako je bilo
Cjeloviti izvještaj s konferencije pročitajte u slijedećem broju časopisa Zaštita