Što se o transformaciji u sigurnosti digitalnog doba reklo na Hrvatskim danima sigurnosti 2023?

Ivona Loparić HDS2023
Ivona Loparić, Diverto, na Hrvatskim danima sigurnosri 2023.

U svom izlaganju „Ima li tome kraja?, Ivona Loparić, viši konzultant za informacijsku sigurnost u Divertu dala je prikaz tri regulative: NIS2 (Network and Information Security Directive), CER (Critical Entities Resillience Directive), DORA (Digital Operational Resillience Act).

NIS2 i CER  imaju nešto slično, obje su direktive što znači da je potrebna njihova translatacija u nacionalno zakonodavstvo. CER se odnosi na kritičnu infrastrukturu poput subjekata važnih za funkcioniranje gospodarstva. Svi ključni subjekti već su obveznici NIS2 pa će se dodatno morati pridržavati i CER-a, koji ima veći naglasak na fizičku sigurnost. DORA je uredba koja je lex specialis NIS2 direktive i odnosi se na financijski sektor i ima fokus na digitalnu otpornost. Zajednički cilj NIS2, CER-a i DORA-e je povećanje otpornosti.

Ono što je novo je isticanje odgovornosti menadžmenta,  koji sada postaje odgovoran za nadzor, za odobravanje mjera upravljanja rizicima  i ostvarivanje informiranosti svih dionika o rizicima koji proizlaze iz informacijske i kibernetičke sigurnosti.

U slučaju da se menadžment neće pridržavati svojih odgovornosti uvedene su sankcije pravnoj i odgovornoj osobi, kojima se može izreći čak i privremena zabrana rada. Ova mjera je uvedena jer se nakon NIS1 direktive pokazalo da nisu svi implementirali mjere kibernetičke sigurnosti čime nije ostvarena potrebna otpornost.

Ključni zahtjevi koji povezuju ove tri regulative su rizici. Sve proizlazi iz procjene rizika. Važno je znati što je ključno za funkcioniranje organizacije i koji rizici mogu utjecati na poslovanje. Osim procesa praćenja i evidentiranja incidenata, tu je sad i izvještaavanje i dijeljenje informacija. Definirano je da je unutar 24 sata potrebno informirati nadležno tijelo da se dogodio incident. Unutar 72 sata je potrebno poslati drugo izvješće sa više detalja, a unutar 30 dana, konačno izvješće o tome kako je riješen incident. Opskrbni lanac također postaje obveznik regulative.

Ivona smatra da je važno držati određenu razinu informatičke higijene sa fokusom na upravljanje kontinuitetom poslovanja bez obzira na neželjene događaje.

U provedbi predmetnih regulativa preporuka je da implementirate neki od standarada informacijske i kibernetičke sigurnosti poput ISO/IEC 27001, IEC 62443, C2M2.

Kako se neki sektori utapaju u regulativi, bilo bi dobro iznaći jedinstveni pristup zadovoljavanju regulative informacijske i kibernetičke sigurnosti. Odgovorite sa manjim brojem kontrola na više zahtijeva. Za veće i naprednije obveznike, preporuča se automatizacija nekih kontrola, uvođenje aplikativnih kontrola što dovodi do rasterećenja zaposlenika. Na kraju izlaganja, Ivona je zaključila da je bez obzira bili ili ne bili obveznici Zakona o kibernetičkoj sigurnosti,  integraciju regulativa poželjno napraviti zbog sebe a ne zbog EU. Kroz integraciju umanjujemo izloženost organizacije prema vanjskim utjecajima i smanjujemo utjecaj incidenata.

Kroz izlaganje „Managed security services“ Marko Gulan, iz Schneider Electrica, istaknuo je da  najveći problem vidi u procesnoj industriji. Marko je industrijsko postrojenje slikovito prikazao kao tvornicu novca u kojoj ako stane proizvodna traka, staje i tvornica novca. U procesnoj industriji sustavima ne upravljamo na adekvatan način, bilježi se  porasta napada na industriju jer se industrijski uređaji ne štite na primjeren način i to je problem današnjice. Najveći problem je ne uspostava patch-iranja takvih uređaja, smatra Marko.

U odnosu IoT-a i IT-a, treba shvatiti da je IT samo i isključivo podrška. Glavni pokretač su strojevi koji crpe određene resurse iz IT-a. IT za glavni cilj ima integritet podataka, dok se OT brine za njihovu dostupnost.  Zbog trenutnog sustava upravljanja sigurnošću, NIS2 direktiva dovest će tvrtke u problem. Upravo zato, Marko smatra da upravljanje sigurnosti putem vanjske usluge ne bi trebao biti problem dok SOC ostaje interna cyber policija.

Tomislav Loparić iz Veema, u svom izlaganju „Posljednja linija obrane“, kazao je da bi svi menadžeri sigurnosti koji to nez naju, odmah trebali saznati koje backup rješenje koristi njihovo poduzeće, jer je backup u kibernetičkoj sigurnosti ona zadnja linija obrane koja poduzeće može spasiti da ne mora trošiti kriptovalute.  Tomislav je podsjetio na tri osnovan napada današnjice: ESXi attacks, time bomb attacks i encryption attacks.  Prva dva napada na vrijeme je moguće otkriti, dok je treći napad izrazito složen u u njima sudjeluju timovi ljudi. Ransomwere business je prošle godine bio težak 20 milijardi , dok su predviđanja do 2030. godine – 73 milijarde dolara.

U organizaciji će uvijek biti netko tko će kliknuti na e-mail na koji nije smio kliknuti. Na taj način će otvoriti  backdoor napadačima i onda će napadač s tog mjesta krenuti s šetnjom prema svemu do čega može doći. Doći će do autentifikacijskog sustava, doći će između ostalog do backup-a. Napadači će pokušati obrisati i backup i to je nešto što danas također treba štititi. Današnje prijetnje u  kibernetičkom prostoru zahtijevaju spremnost na  100 posto naknade podataka. Kako tipični  ransomwere napad uspijeva izbrisati  40-60 posto podataka, morate biti spremni na oporavak 100 posto podataka, kazao je Tomislav i zaključno prikazao tri razine oporavka koje pruža Weeam.

U kibernetičkoj sigurnosti spominjemo tehničke pojmove i rješenja, ali ljudi i dalje ostaju najslabija karika, rekao je Tomislav Novosel, iz Duplica na početku izlaganja „Najveći cyber rizik si upravo ti!“.

U 2022. godini napadi socijalnim inženjeringom i dalje ostaju broj 1 u svijetu. 82% napada uspijeva zbog ljudskog faktora, dok je 90 posto napada usmjereno prema zaposlenicima a ne tehnologiji.

Na ljestvici najčešćih napada su tzv. phishing napadi, koje označava krađa osjetljivih korisničkih podataka putem lažnih poruka, internet stranica te malicioznih programa.

U svijetu se svaki dan pošalje 320 milijardi poruka, od čega je 48% e-mail poruka neželjena pošta (spam). Dnevno se obavi 3,4 milijardi phishing napada, dok egzistira 1,3 milijuna phishing internet stranica. Ako na svijetu postoju oko 5,5 milijardi računala, dolazimo do podatka da će svaki korisnik svaka dva dana biti napadnut jednim phishing napadom. Naravno, zbog različitih sigurnosnih alata ti napadi ne dođu do krajnjeg korisnika. No, dovoljno je da prođe jedan e-mail do jednog nepripremljenog korisnika koji će kliknuti na taj e-mail koji će ga odvesti do neke od 1,3 milijuna lažnih stranica čime započinje napad. Posljedica će uvijek biti financijska i reputacijska šteta, zaključio je  Tomislav.

 

Dijana Beg Ostojić / Foto: HUMS/ Davor Denkovski

Objavljeni sadržaj sufinanciran je sredstvima Fonda za poticanje pluralizma i raznovrsnosti elektroničkih medija.