Ante Žigman: Ljudski faktor najslabija je karika u kibernetičkoj sigurnosti

Na konferenciji "Future of Fintech" koja se održava 25. i 26. studenoga u Zagrebu predsjednik Upravnog vijeća Hanfe Ante Žigman održao je uvodnu prezentaciju "Kako raditi uz kibernetičke napade?".

Kibernetički napadi posljednjih mjeseci i u Hrvatskoj su sve učestaliji i postaje sve izazovnije raditi i za poduzeća i za institucije, no nužno je prilagoditi se i osigurati kontinuitet poslovnih procesa. To dokazuje i izvješće MMF-a iz travnja ove godine, koje pokazuje uzlazni trend kibernetičkih napada u posljednjih 20 godina, a njihov se broj gotovo udvostručio u odnosu na razdoblje prije pandemije bolesti COVID-19.

Financijski sektor pod napadima, ali gubici relativno manji

To je istraživanje pokazalo da je uslužni sektor bio najizloženiji kibernetičkim napadima, a odmah iza toga sektor financija s udjelom od gotovo 20 posto. Od toga su najvećem broju napada bile izložene banke, a zatim osiguravatelji pa industrija fondova. "Gledano prema procijenjenim iznosima šteta financijska je industrija, iako značajno izložena napadima, pretrpjela manje štete. Objašnjenje za to jest činjenica da se financijski sektor ranije počeo pripremati za takve vrste incidenata. To je rezultiralo time da su u konačnici gubici znatno manji u odnosu na broj doživljenih incidenata", pojasnio je A. Žigman i pritom naglasio da je ljudski faktor najslabija karika u kibernetičkoj sigurnosti.

Kibernetički napadi često su politički motivirani te značajnu komponentu čini geopolitička situacija u svijetu, a dobar primjer za to bili su i kibernetički napadi u vrijeme napada Rusije na Ukrajinu, a koji su išli u oba smjera.

Nova regulativa EU-a kao i ona nacionalne razine (DORA, NIS2) značajno će unaprijediti stabilnost te umanjiti učestalost incidenata. Ti će propisi doprinijeti većoj "kiberhigijeni" i preventivnim mjerama za zaštitu od kibernetičkih infekcija. Standardne preporuke uključuju korištenje složenih lozinki, višefaktorsku autentifikaciju, redovite i neovisne provjere sigurnosti sustava, ciljano podešavanje sustava sigurnosti, procjenu rizika i sl.

Primjena NIS2 i DORA-e stvorit će temelje za sigurniju kibernetičku budućnost

U svemu tome nova će regulativa pomoći postaviti okvir i ključna pravila za zaštitu od kibernetičkih napada. Primjena NIS2 i DORA-e omogućit će temeljne organizacijske promjene za sigurniju budućnost. Na stabilnom i sigurnom poslovnom okviru daljnji razvoj financijskih usluga, FinTecha, i primjena umjetne inteligencije bit će brži, a osim sustava i organizacija unaprijedit će se i odnos pojedinca prema kibernetičkoj sigurnosti.

Moderno društvo ovisno je o digitalizaciji te je regulativa nužna i potrebna. Uredbu o digitalnoj operativnoj aktivnosti (DORA) cijeli će financijski sektor primjenjivati od 17. siječnja sljedeće godine, dok je sam proces izrade i pripreme započeo još u 2020. objavom prvog nacrta te uredbe. Njome je zaokružena i utvrđena prethodna sektorska regulativa pojedinih regulatora EU-a za financijski sektor, dok proces NIS2 teče paralelno za druge važne poslovne sektore te onaj javni.

Hanfa provela vježbu odgovora na kibernetičke napade s 11 društava

Obrana od napada započinje analizom vlastitih sustava. Hanfa je, između ostaloga, u listopadu 2024. uspješno provela vježbu odgovora na kibernetičke incidente s 11 društava te o tome obavijestila tržište. Vježba je pokazala da su rezultati u sklopu s globalnim prosjekom, a manji broj tvrtki bio je nešto slabiji od prosjeka. Značajne slabosti uočene su tek kod pojedinačnih tvrtki. Pritom se pretpostavlja da su pripreme za primjenu DORA-e tome također dale svoj doprinos.

Na kraju svega važno je zapitati se koliko je mjera u vašem sustavu i organizaciji uspostavljeno kao prepreka i mjera obrane od kibernetičkih napada, ima li ih dovoljno te jesu li one dovoljno složene i zahtjevne s obzirom na to da njihova kompleksnost ponekad može odvratiti napadače koji će, u tom slučaju, izabrati lakšu metu.

Cjelovita prezentacija A. Žigmana dostupna je ovdje.