“Kibernetička sigurnost u praksi – od Uredbe do implementacije“: Jača svijest o potrebi zaštite kompanija, najveći izazov investiranje
Na konferenciji “Kibernetička sigurnost u praksi – od Uredbe do implementacije“ u prostorijama Hrvatske udruge poslodavaca (HUP) stručnjaci su govorili o stanju u praksi od stupanja Zakona i Uredbe o kibernetičkoj sigurnosti na snagu te kako se poduzetnici mogu najbolje zaštititi od prijetnji u budućnosti.
Broj kibernetičkih napada raste iz godine u godinu, kako u Hrvatskoj, tako i u cijeloj Europskoj uniji. Prema posljednjem izvještaju Agencije Europske unije za kibersigurnost (ENISA), od srpnja 2024. do lipnja 2025. u Europskoj uniji je zabilježeno gotovo 4.900 incidenata, pri čemu su jednako bili ugroženi mali, srednji ili veliki poduzetnici. Čak 77 % svih slučajeva, najveće štete je uzrokovao ransomware, a u oko 60% slučajeva napad je započeo phishingom, lažnim porukama ili slanjem lažnih web adresa.
“Sigurnost možemo graditi samo zajednički, kroz razmjenu znanja, iskustava i međusobnu podršku, pri čemu je potrebna suradnja između javnog i privatnog sektora u cilju jačanja otpornosti hrvatskog gospodarstva. Upravo je zajednička platforma za razmjenu znanja i iskustava ključna kako bismo bili spremniji na izazove u području kibernetičke sigurnosti”, izjavila je Martina Dragičević, u ime HUP-Koordinacije za kibernetičku sigurnost.
Malo je kompanija u Hrvatskoj bez zaštite od kibernetičkih napada, a svijest o potrebi zaštite kod njih je sve prisutnija.
“Zakon o kibernetičkoj sigurnosti je snazi i određeni broj kompanija je već kategoriziran i mora početi uvoditi neke sigurnosne kontrole. Nema puno kompanija koje nemaju implementiranu nikakvu razinu kibernetičke sigurnosti. Ono što tvrtke moraju same napraviti jest analiza rizika i plan implementacije”, rekao je voditelj studija za kibernetičku sigurnost sveučilišta Algebra Zlatan Morić.
Kaže kako je logično da će većim tvrtkama trebati više vremena za uvođenje sustava zaštite od kibernetičkih napada.
Poslovnim subjektima pritom mogu pomoći Smjernice za provedbu samoprocjene kibernetičke sigurnosti, dokument koji je objavio Zavod za informacijsku sigurnost, a odnosi se na samoprocjenu koja omogućuje kompanijama da same mogu vidjeti na kojoj se razini trenutno nalaze i da naprave plan poboljšanja.
Rok za implementaciju 2030.
“Do 1.1.2030. svatko bi trebao imati digitalni identitet i stjeći subjektivitet u kibernetičkom prostoru/virtualnom svijetu. Problemi s kriptiranjem i zaštitom informacija mogli bi brže rasti nego se rješenja pronađu pa upravljanje rizicima postane prekompleksno, a tako i upravljane sigurnosne usluge teške za normirati i certificirati, što bi imalo za posljedicu problem s jedinstvenošću tržišta osiguranje i reosiguranja u EU“, rekao je Aleksandar Klaić iz Nacionalnog centra za kibernetičku sigurnost.
Istaknuo je i s čime se hrvatske tvrtke najviše suočavaju kada je riječ o kibernetičkoj sigurnosti.
“Kao vektor napada najviše se koristi phishing i ranjivost. Mi ćemo sad s trećim kvartalom početi s analizom i vjerujem da ćemo do kraja mjeseca izaći s nekim podacima.”
Sektorski koordinator u Ministarstvu pravosuđa, uprave i digitalne transformacije Marin Ante Pivčević napomenuo je da se hrvatske tvrtke u pravilu dosta dobro brinu za kibernetičku sigurnost, čitaju zakone i propise i često šalju upite.
“Ovo je jedna od prilika u HUP-u i početak niza konferencija kojima ćemo pomoći biznisima da budu spremni na sve izazove. Nemamo vremena, imamo rok svi zajedno, i Hrvatska i Europska unija. Do 1. siječnja 2030. firme moraju imati sve certificirano, što im je teško jer moraju raditi procjene rizika koje izravno utječu na njihove poslovne parametre. Svaka firma mora imenovati direktora kooperativne sigurnosti i certificirati poslovanje u digitalnom prostoru.”
Primjeri uspješnih implementacija
O iskustvima implementacije kibernetičke sigurnosti u Infobipu govorili su Andro Galinović i Jurica Čular.
“Mi smo i prije donošenja i Uredbe i Zakona krenuli investirati u informacijsku sigurnost. Najveći izazov u početku je investiranje. Sigurnost se ne može implementirati bez investicija u ljudstvo, edukaciju ili zapošljavanje novih ljudi stručnih za to područje. Kibernetičkom sigurnošću mora se baviti non-stop, jer se ona stalno mijenja i svaki dan postoje nove ranjivosti koji utječu na sigurnost, a ako nemate kontinuiranu mogućnost nadziranja tih trendova, jako ćete brzo postati ranjivi i time podložni za napade”, rekao je direktor kooperativne sigurnosti Infobipa Andro Galinović.
“Svoje zaposlenike moramo redovno informirati o cybersecurityju. Svi naši zaposlenici prolaze inicijalni trening kroz Infobip akademiju, na kojem imaju security sadržaje. Osim toga, inženjeri imaju posebnu edukaciju na kojoj se dodatno dotiču tema kao što su security development i slično”, rekao je Jurica Čular iz tvrtke Infobip.
Kao jedan od koraka koji poduzetnicima mogu pomoći u postizanju digitalne sigurnosti istaknut je i aktualni natječaj Hrvatske akademske i istraživačke mreže – CARNET, vrijedan 1,97 milijuna eura. Sredstva dodjeljuje CARNET-a, kao Nacionalno koordinacijsko središte za industriju, tehnologiju i istraživanja u području kibernetičke sigurnosti (NKS/NCC-HR), a poziv je poduzetnicima predstavila Antonija Matić iz CARNET-a.
Natječaj je namijenjen mikro, malim i srednjim poduzećima, koja putem ovog poziva mogu dobiti bespovratna sredstva za unaprjeđenje kibernetičke sigurnosti. Rok za podnošenje prijava je 21. studeni, a projekti se financiraju po stopi do 50 % prihvatljivih troškova, s potporom u rasponu od 7.500 do 60.000 eura. Ukupna vrijednost projekta kojeg poduzeće prijavljuje na natječaj može biti između 15.000 i 120.000 eura, a poduzetnici detalje o prijavi mogu doznati i na nks.hr.
