U nastavku našeg serijala “Jesmo li sigurni da smo sigurni?“, urednika Alena Ostojića, razgovarali smo s gospodinom Filipom Šušnićem, Izvršnim direktorom za sigurnost i upravljanje energijom u Šušnić poslovno savjetovanje.
Filip ima višegodišnje iskustvo rada u projektima koji se odnose na informacijsku i kibernetičku sigurnošću i upravljanje energijom. Uz bazičnu izobrazbu upotpunjenu kompetencijama stečenim LA tečajevima u području ISO 9001, ISO 50001 i ISO 27001, PECB certified NIS 2 Lead Implementer, pohađanjem CCNA akademije te statusom menadžera korporativne sigurnosti, dodatne aktivnosti u međunarodnim organizacijama izuzetnih sigurnosnih značajki donose mu potrebna znanja i iskustva u analitičkom pristupu procjeni statusa sigurnosti organizacija koje se bave raznim djelatnostima i pronalaskom optimalnih rješenja u upravljanju rizicima.
Na poziciji Izvršnog direktora u Šušnić poslovno savjetovanja, upravljate projektima u malim, srednjim i velikim tvrtkama u raznim djelatnostima s fokusom na sigurnost i promicanje novih tehnoloških rješenja. Možete li ukratko predstaviti svoj profesionalni put i što vas je potaknulo da se specijalizirate upravo u području informacijske i kibernetičke sigurnosti?
Oduvijek me privlačila dinamika tehnologije i način na koji ona utječe na svakodnevno poslovanje i društvo u cjelini. Moj put započeo je s fokusom na sustave upravljanja i njihovu optimizaciju, no vrlo brzo sam uvidio da je sigurnost neizostavan aspekt bilo kakvog tehnološkog rješenja. Dok sam radio na različitim projektima, primijetio sam rastuću potrebu za sustavnijim pristupom informacijskom i kibernetičkom riziku. Bio je to trenutak kada sam se odlučio specijalizirati u području informacijske sigurnosti i kibernetičke otpornosti. Tijekom godina sam stekao dodatna znanja i iskustvu o normativnom pristupu sustavu upravljanja informacijskom sigurnošću, sudjelovao u implementaciji NIS1 direktive kod obveznika u Republici Hrvatskoj a sada intenzivno radim na usklađivanju s NIS2 direktivom. Taj se put pokazao izuzetno poticajnim jer svaki projekt donosi nove izazove, traži inovativna rješenja i konstantno usavršavanje.
S obzirom na to da ste relativno mladi, koji su ključni izazovi s kojima se susreću mladi stručnjaci u konzultantskoj djelatnosti informacijske sigurnosti, posebice u hrvatskom i regionalnom kontekstu?
Kao netko tko se ovim poslom aktivno bavi od svoje 18. godine, svjestan sam da mladi stručnjaci često nailaze na skeptičnost i sumnju u njihove kompetencije samo zbog njihove dobi. Klijenti ponekad očekuju da iza eksperta u području sigurnosti mora stajati veliko radno iskustvo i impresivan “paper trail” certifikata. U stvarnosti, kvalitetno mentorstvo, znanje, strast i kontinuirano usavršavanje omogućuju ubrzano usvajanje potrebnih znanja. Izazov je, dakle, dokazati svoju vrijednost kroz konkretne rezultate, praktična rješenja i sposobnost prilagodbe svakom klijentu. Savjetovao bih mladim kolegama da se ne ustručavaju pristupati izazovima i da budu spremni na neprestano usavršavanje i razvijanje tehnika osobnog razvoja i primjene novih tehnologija. Stvorite povjerenje ostvarenim rezultatima.
Vi ste najmlađi član Hrvatske udruge menadžera sigurnosti, koja čini aktivnu mrežu menadžera korporativne sigurnosti. Kažu da je umrežavanje krvotok svake profesije ali u korporativnoj sigurnosti može biti osobito važno. Što za vas znači članstvo u Hrvatskoj udruzi menadžera sigurnosti?
Članstvo u Hrvatskoj udruzi menadžera sigurnosti za mene predstavlja mnogo više od formalne pripadnosti nekom profesionalnom udruženju. To je prilika da se povežem s iskusnim stručnjacima iz područja korporativne sigurnosti, menadžerima koji svakodnevno donose ključne odluke u izazovnim situacijama. Upravo zahvaljujući toj mreži, imam pristup razmjeni znanja, najboljim praksama i suvremenim trendovima, što mi omogućuje kontinuirano stručno usavršavanje i stjecanje novih kompetencija.
Ipak, članstvo nije samo profesionalno korisno, već i osobno ispunjavajuće. Kroz redovita okupljanja, konferencije i radionice imam priliku ne samo učiti, već i uživati u ugodnom druženju s ljudima koji dijele moju strast prema sigurnosti. Ta prijateljska i poticajna atmosfera pomaže mi da se osjećam dobrodošlo, motivirano i inspirirano, a uspostavljeni kontakti često se pretvore u dugoročna poslovna partnerstva.
Konačno, biti najmlađi član udruge za mene znači i imati priliku pokazati svoju perspektivu, što u kombinaciji s mentorstvom iskusnijih kolega otvara nove poslovne mogućnosti. To je savršen spoj profesionalne platforme, prijateljskog okruženja i poticajnog prostora za rast, koji me iz dana u dan potiče da budem bolji u onome što radim.
Koje su ključne promjene koje donosi NIS2 direktiva u odnosu na NIS1, osobito za obveznike u Republici Hrvatskoj?
Za razliku od NIS 1, NIS2 direktiva proširuje spektar obveznika i donosi detaljnije zahtjeve za sigurnosne mjere i postupke izvještavanja. To znači da organizacije u Hrvatskoj moraju pomnije pratiti sigurnosne rizike, intenzivnije ulagati u edukaciju i tehnologiju te redovito dokazivati usklađenost. NIS2 također jasnije definira nadzorne i kaznene odredbe, pa je vidljiv snažniji pritisak na razvoj sigurnosnih procesa, a ne samo na formalno ispunjavanje uvjeta.
Na koji način savjetujete organizacije pri usklađivanju s NIS 2 direktivom i koji su najvažniji koraci koje moraju poduzeti kako bi ispunile nove zahtjeve?
Preporučujem klijentima da najprije provedu detaljnu procjenu rizika, identificiraju ključne slabosti i odrede prioritete. Nakon toga slijedi izrada ili prilagodba internih politika, implementacija tehničkih i organizacijskih mjera te kontinuirana edukacija zaposlenika. Redoviti interni auditi, vanjske provjere i suradnja s kvalificiranim savjetnicima uvelike olakšavaju proces. Na kraju, usklađivanje nije jednokratni zadatak, već trajno putovanje na kojem se organizacija neprestano prilagođava novim izazovima i zahtjevima.
Kako osigurati da primjena ISO 27001 i drugih sigurnosnih standarda ne bude samo “check-box” aktivnost, već da se integrira u širu strategiju i kulturu organizacije?
Iskustvo mi pokazuje da sigurnost mora postati dio kulture organizacije, a ne samo projekt koji se “odrađuje”. To se postiže tako da uprava prepozna vrijednost i potrebu za sigurnošću kao strateškim prioritetom, a ne tek kao regulatornom obvezom. Kontinuirane edukacije, redovite provjere učinkovitosti, uspostava jasnih uloga i odgovornosti te transparentna komunikacija o rizicima i incidentima ključni su koraci. Kada standardi poput ISO 27001 postanu dio svakodnevne rutine, a ne vanjski nametnuti okvir, organizacija doista jača svoju otpornost i vjerodostojnost.
S kojim se najčešćim izazovima i zabludama susrećete kod klijenata prilikom uvođenja ili poboljšanja sustava informacijske sigurnosti?
Nerijetko susrećem stav da je sigurnost jednokratni projekt: “Sada ćemo se uskladiti s ISO 27001, dobiti certifikat i time je priča gotova.” Međutim, ISMS je “živi” sustav koji traži stalnu primjenu, reviziju i poboljšanje. Tu je i pogrešna percepcija da tehnologija sama po sebi rješava probleme, a da su definirani procesi i educirani ljudi. Zato klijentima uvijek pokušavam objasniti da je suština u trajnom razvoju kompetencija, procedura i svijesti, a ne samo u kupnji najnovijeg sigurnosnog rješenja.
Možete li izdvojiti primjer nekog osobito izazovnog projekta iz svoje prakse, na kojem ste primijenili cjelovite mjere kibernetičke sigurnosti i standarde, te što ste naučili iz tog iskustva?
Posebno bi istaknuo suradnju s jednim vlasnikom kritične infrastrukture koji je, u trenutku kada smo započeli s implementacijom ISO 27001 i usklađivanjem s NIS zahtjevima, imao doista kompleksnu, ali ujedno i nedovoljno razvijenu sigurnosnu infrastrukturu. Fizička zaštita bila je djelomično zapuštena, bez jasne strategije i bez učinkovitog nadzora prostora, dok su IT sustavi bili fragmentirani i bez jasnih kontrolnih točaka. Kako bismo te nedostatke ispravili, morali smo krenuti gotovo od nule – prvo mapirati sve sustave, prepoznati ranjivosti i definirati prioritetne mjere.
Osim tehnoloških izazova, suočili smo se i s nedostatkom kompetentnih kadrova. Postojeći zaposlenici često nisu imali dovoljno stručnog znanja ni iskustva, a ograničena financijska sredstva onemogućavala su trenutačna ulaganja u alate ili dodatno zapošljavanje stručnjaka. Uz to, odjel za sigurnost nije bio dovoljno podržan od uprave, što je otežavalo brze i učinkovite promjene.
Kroz taj projekt naučio sam da je ključno imati dugoročnu viziju i strpljenje. Morao sam temeljito objasniti upravi zašto su dodatne investicije u edukacije i tehnička rješenja neophodne, a ne samo dobrodošle. U paralelnom procesu radili smo na izgradnji internih timskih kompetencija, organiziranju edukacija te definiranju jasnih odgovornosti i procedura. Korak po korak, počelo se stvarati okruženje u kojem su ljudi počeli shvaćati važnost sigurnosti, a to je, dugoročno gledano, omogućilo postavljanje održivog sustava upravljanja sigurnošću.
Ključni uspjeh na kraju nije bio samo u ispunjavanju formalnih uvjeta za certifikaciju, već u stvarnom podizanju razine svijesti i spremnosti organizacije. Naučio sam da se najteži projekti, uz pravu strategiju, komunikaciju, mentorstvo i podršku vrha uprave, mogu pretvoriti u dugoročno održiva rješenja koja podižu opću sigurnosnu kulturu i otpornost cijelog sustava.
Kako se kibernetički krajolik promijenio u posljednjih nekoliko godina i koje su nove vrste prijetnji koje organizacije moraju imati na umu?
Kibernetički krajolik proteklih se godina razvija brzinom koja nadmašuje očekivanja i najopreznijih stručnjaka. Ako se osvrnemo samo na 2024. godinu, svjedočili smo medijski vrlo dobro pokrivenim cyber napadima na raznu kritičnu infrastrukturu unutar Hrvatske.
Posebno su se istaknuli napadi na informacijske sustave zdravstvenih ustanova, što je dovelo do ozbiljnih zastoja u pružanju zdravstvenih usluga i narušavanja privatnosti pacijenata. Također, zabilježeni su pokušaji kompromitiranja sigurnosnih sustava u zračnom prometu koji su mogli dovesti do kašnjenja letova, dodatnih provjera i opće nesigurnosti putnika. Ne možemo zanemariti ni napade na proizvodne pogone prehrambene industrije, gdje je cilj napadača bio destabilizirati lance opskrbe i povećati pritisak na društvo.
Ono što je pritom posebno zabrinjavajuće jest da ovi incidenti nisu bili slučajni, već su dio šireg trenda organiziranih, ciljanih i sve sofisticiranijih kibernetičkih napada usmjerenih na kritične resurse. Metode poput ransomwarea, industrijske sabotaže ili manipulacije dobavnih lanaca sve su češće i kompleksnije. Napadači koriste napredne tehnike društvenog inženjeringa, sofisticirane alate za proboj obrambenih sustava, kao i dobro razvijene mreže za razmjenu informacija i resursa.
S druge strane, ove prijetnje potiču organizacije na dublje promišljanje o sigurnosti kao integralnom elementu svog poslovanja. Više se ne radi samo o zaštiti klasičnih IT sustava ili podataka, već o očuvanju operativne otpornosti i kontinuiteta rada. U ovakvim uvjetima ključno je pratiti trendove, unaprijediti sposobnosti detekcije i odgovora na incidente, provoditi redovite procjene rizika te graditi sigurnosnu svijest među zaposlenicima. Samo tako se možemo postaviti korak ispred novih prijetnji i minimizirati razorne posljedice kibernetičkih napada na ključne segmente gospodarstva i društva.
Koliko je važna sigurnost dobavnog lanca (supply chain security) u kontekstu ISO 27001 i NIS2 direktive, i kako savjetujete klijente da adresiraju potencijalne rizike vanjskih partnera i dobavljača?
U današnjem poslovnom kontekstu, sigurnost dobavnog lanca više nije tek sporedna točka u strategiji organizacijskih rizika, već ključan element sveukupne kibernetičke otpornosti. Kritična infrastruktura – od energetskih i telekomunikacijskih sustava, prehrambene industrije i zdravstvenog sektora, zračnog prometa – počiva na nizu čimbenika, dobavljača i pružatelja usluga. Svaka slabost u tom lancu predstavlja točku potencijalnog proboja koja može utjecati na neometano funkcioniranje usluga i ugroziti sigurnost podataka, ali i živote ljudi.
Novi regulatorni zahtjevi, posebice oni proizašli iz NIS2 direktive, nameću organizacijama jasnu obvezu upravljanja sigurnosnim rizicima i u odnosu na ostale sudionike u procesu. Drugim riječima, operatori kritične infrastrukture više neće moći surađivati s dobavljačima i pružateljima usluga a da se uvjere u njihovu sposobnost održavanja adekvatnih sigurnosnih standarda. To ne mora nužno značiti samo formalne provjere i ugovorne zahtjeve – sve češće će se tražiti i dokazi u vidu međunarodnih certifikata poput ISO 27001, koji garantiraju da je uspostavljen sustav upravljanja informacijskom sigurnošću prema globalno priznatom standardu.
Ovakav razvoj situacije utjecat će i na tržište dobavljača i pružatelja usluga – tvrtke koje žele funkcionirati kao dio opskrbnog lanca kritične infrastrukture bit će prisiljene uložiti u podizanje interne razine sigurnosti. One koje to na vrijeme prepoznaju i usklade svoje poslovanje sa zahtjevima, steći će komparativnu prednost. Na taj se način stvara dinamičan, ali neophodan sustav sigurnosti, gdje svi dionici – od najvećih do najmanjih – imaju motivaciju i obvezu kontinuirano poboljšavati svoje sigurnosne prakse. To će na koncu rezultirati otpornijim lancem opskrbe, manjim rizikom od kibernetičkih incidenata i većim povjerenjem svih uključenih strana.
Kako se nadolazeće direktive Europske unije, poput CRE (Critical Entities Resilience) direktive, koja će početkom 2025. ući u hrvatsko zakonodavstvo kao novi Zakon o kritičnoj infrastrukturi, i CRA (Cyber Resilience Act) direktive, uklapaju u širi europski sigurnosni ekosustav te kako će, uz NIS 2 regulativu, utjecati na obveznike u Hrvatskoj?
Nadolazeće CRE (Critical Entities Resilience) i CRA (Cyber Resilience Act) direktive dio su kontinuiranog nastojanja Europske unije da stvori sveobuhvatan i koordiniran sustav za zaštitu kritičnih sektora. Dok NIS2 direktiva zahtijeva unaprjeđenje kibernetičke sigurnosti, CRE direktiva ide korak dalje i propisuje konkretne mjere fizičke i tehničke zaštite, kao i načine osiguranja objekata od strateške važnosti. Kada CRE bude prenesena u hrvatsko zakonodavstvo kao Zakon o kritičnoj infrastrukturi, obveznici će morati uskladiti ove nove zahtjeve s postojećim Zakonom o privatnoj zaštiti, integrirajući standardizirane postupke fizičke sigurnosti i kontrolnih mjera sa svojim kibernetičkim kontrolama.
CRA, s druge strane, unapređuje sigurnost digitalnih proizvoda i usluga, postavljajući strože kriterije za njihovu otpornost. Sve zajedno, ove tri regulative ne promatraju sigurnost izolirano, već ju povezuju u jedinstveni sustav u kojem se pažnja posvećuje ljudima, tehnologiji, procesima i fizičkim objektima.
Za obveznike u Hrvatskoj to znači da, osim usklađivanja s NIS2 kibernetičkim zahtjevima, moraju razmišljati o cjelovitoj sigurnosnoj slici – od cyber zaštite, preko fizičkog osiguranja kritičnih objekata, do sigurnosti samih digitalnih proizvoda i rješenja koje koriste ili razvijaju.
Na koji je način područje informacijske sigurnosti komplementarno s ostalim uslugama savjetovanja koje pružate kao tvrtka?
Informacijska sigurnost je zahtjev cijelog niza sustava upravljanja i usklađenja sa zakonskom regulativom. Dio naših korisnika usluga su obveznici usklađenja s NIS2 direktivom (prehrambeni sektor, vodoopskrba, odvodnja, zračni promet, proizvodnja kemikalija), a pojedini korisnici naših usluga su dionici u pružanju usluga obveznicima. Najzahtjevnije norme upravljanja sigurnošću hranom kao IFS, FSSC 22000, ISO 22000 imaju zahtjeve u pogledu procjene rizika obrane hrane što, između ostalog, obuhvaća informacijsku sigurnost i fizičku zaštitu. Slična je situacija u sektoru vodoopskrbe u dijelu izrade planova sigurnosti vode za ljudsku potrošnju i procjena rizika vodoopskrbnih mreža.
Za istaknuti je i specifične zahtjeve za koje pružamo usluge usklađenja kao što su ESG (Environmental, social, and governance) i EcoVadis koji imaju zahtjeve u pogledu informacijske sigurnosti. U pravilu, gotovo da nema projekta u kojem sudjelujemo a da informacijska sigurnost, barem u osnovnoj formi, nema značaja i ne zahtijeva određena postupanja.
Gledajući unaprijed, kako vidite razvoj područja kibernetičke sigurnosti, standardizacije i regulative u narednih 5 do 10 godina, te na koji će način to utjecati na hrvatske i europske organizacije?
U narednom razdoblju očekujem da će se kibernetička sigurnost, standardizacija i regulativa nastaviti razvijati u smjeru još složenijih i sveobuhvatnijih zahtjeva. Europska unija, kroz nove direktive i zakone, već sada uspostavlja čvršći okvir koji će od organizacija zahtijevati ne samo formalno usklađivanje, već i stvarno, trajno podizanje razine otpornosti te integriranje sigurnosti kao strateškog elementa poslovanja.
Međutim, ti napori neće biti bez izazova. Jedan od gorućih problema bit će nedostatak dovoljno educiranog i iskusnog stručnog kadra. Potražnja za specijalistima informacijske i kibernetičke sigurnosti, kao i za ekspertima u području fizičke zaštite i industrijske sigurnosti, kontinuirano raste, a tržište rada ne uspijeva održati korak s potrebama. Poslodavci će se morati dodatno angažirati u razvoju internih talenata, kontinuiranom školovanju i certificiranju postojećih zaposlenika, kao i u privlačenju mladih stručnjaka na tržište rada. Bez dostatnog i visoko kompetentnog kadra, niti najbolji propisi i tehnološka rješenja neće moći jamčiti efikasnu provedbu sigurnosnih zahtjeva.
Drugo ključno pitanje su financijski resursi. Usklađivanje s novim standardima, direktivama i zakonima zahtijeva značajna ulaganja – ne samo u tehnologiju i infrastrukturu, već i u procese, edukacije i stalno poboljšanje organizacijske kulture. Za mnoga poduzeća, a osobito za manje subjekte, ispunjavanje svih regulatornih uvjeta i preporuka bit će izazovno. Stoga će biti potrebno razmotriti mogućnosti nacionalnih ili europskih fondova, te razne poticaje i subvencije kako bi se organizacije potaknule na nužna ulaganja u sigurnost.
Unatoč navedenim preprekama, strateško jačanje sigurnosnih kapaciteta donosi dugoročne koristi – otpornije poslovanje, veće povjerenje klijenata i partnera, te poboljšanu povećanu konkurentnost. Gledajući unaprijed, očekujem da će se kroz sinergiju regulative, tržišnog pritiska i tehnološke inovacije razviti stabilniji sustav u kojem će sigurnost biti neupitni i trajni imperativ. U tom smislu, kontinuirani rad na razvoju stručnih kadrova, upravljanje financijskim resursima i proaktivan pristup razvoju sigurnosnih strategija bit će presudni za održivi napredak.
Razgovarao: Alen Ostojić / Foto: Arhiva – Šušnić sposlovno savjetovanje
Objavljeni sadržaj sufinanciran je sredstvima Fonda za poticanje pluralizma i raznovrsnosti elektroničkih medija.
