Informacijsku sigurnost 50% kompanija i dalje percipira kao nužno zlo
Unatoč rastućim prijetnjama budžeti za informacijsko-kibernetičku sigurnost u domaćim organizacijama ostali su slični ili su tek malo porasli. U vremenu digitalne transformacije i automatizacije, odnosno kada je rizik od kibernetičkog napada sve veći, a posljedice sve značajnije, budžete koji su ključni za sigurnost povećavaju uglavnom one organizacije koje se pripremaju za implementaciju zahtjeva NIS2 i DORA direktiva, europskih regulativa kojima je cilj podići razinu kibernetičke sigurnosti i otpornosti diljem EU-a. Tako je broj organizacija koje troše 10 posto i više IT budžeta na informacijsku i kibernetičku sigurnost porastao s 14,3 u 2022. na 15,9 posto u 2023., otkriva Vlatko Košturjak, tehnički direktor tvrtke Diverto. Kakvo je točno stanje informacijske i kibernetičke sigurnosti u Hrvatskoj i regiji ova će kompanija uskoro, točnije 16. travnja, online objaviti predstavljanjem izvješća “Stanje informacijske i kibernetičke sigurnosti” koje već tradicionalno, peti put, objavljuju. No iz kompanije uoči objavljivanja izvješća otkrivaju nekoliko detalja.
Ispada tako da oko 50 posto ispitanih organizacija informacijsku sigurnost i dalje percipira kao “nužno zlo”. “Ta se sigurnost i dalje najčešće percipira kao operativna tema i trošak poslovanja, a ne strateška odrednica ili kompetitivna prednost organizacija”, kaže Košturjak, tehnički direktor kompanije koja posjeduje dugogodišnje iskustvo u upravljanju incidentima u području informacijske i kibernetičke sigurnosti.
To nikako ne može biti dobro jer, primjerice, broj napada zlonamjernim kodom svake je godine sve veći.
“Broj napada ucjenjivačkim softverom (ransomware) na svjetskoj je razini u 2023., u odnosu na 2022. porastao 68 posto, a broj skupina napadača 30 posto. Bilježimo i rast napada u Hrvatskoj, ali i značajan pad njihove uspješnosti, odnosno enkripcija”, kaže Košturjak dodajući da pad uspješnosti možemo pripisati povećanoj svijesti korisnika i organizacija o ransomware prijetnjama te poboljšanim mjerama sigurnosti. Odaje i da je prošle godine regionalno značajno porastao broj distribuiranih napada uskraćivanjem usluga (DDoS) i to, u određenim mjesecima, čak i 100 posto.
Primjerice, regionalno, 2023. godinu obilježilo je prelijevanje geopolitičkog stanja prijetnjama Revil/Killnet grupe za izvršenje DDoS napada na financijsko-platežne mreže. “Za očekivati je da će se i u budućnosti situacije iz stvarnog svijeta odražavati u digitalnom, pa tako i u području informacijsko-kibernetičke sigurnosti”, procjenjuju stručnjaci Diverta.
Ukupan broj ovih napada po mjesecima, pak, ne mogu otkriti do javne objave izvješća uz koju će biti održano i nekoliko panel rasprava o trendovima, aktualnim prijetnjama, zakonodavnom okviru, percepciji i razini sigurnosti na hrvatskom tržištu.
Košturjak pritom napominje da je glavni motiv napadača i dalje financijski što kompanijama može prouzročiti, osim reputacijske, i značajnu financijsku štetu.
Da te posljedice u Hrvatskoj nisu zanemarive potvrđuju i aktivnosti Agencije za zaštitu osobnih podataka. Naime, upozorava Košturjak, ovo je nadzorno tijelo za zaštitu osobnih podataka izreklo sedam kazni u iznosu većem od 8,2 milijuna eura. “Uspoređujući sve prethodne godine, navedeno predstavlja 230 posto više izrečenih kazni, a prema iznosu, AZOP je izrekao dvije od 15 najviših kazni u 2023. godini na području EU-a”, napominje tehnički direktor Diverta.
Što se tiče kategorije incidenata, otkriva Košturjak, najviše je kompromitacije poslužitelja i to 34 posto. “Što se sektora tiče najviše je incidenata bilo u području digitalne infrastrukture i javnih komunikacija”, navodi stručnjak.
Prijetnja je, dakle, uistinu mnogo, i na njih treba biti spreman. Ključno je, kažu stručnjaci Diverta, identificirati ranjivosti sustava. Ipak, tješi da se sve veći broj tvrtki, iako je taj broj i dalje nedovoljan, odlučuje za provođenje Purple teaming vježbi. Diverto je lani, kaže Košturjak, proveo mnogo veći broj takvih vježbi nego 2022. Riječ je, naime, o vježbi tijekom koje tim organizacije (koji je obrambeni) i tim Diverta (napadački) blisko surađuju kako bi unaprijedili kibernetičku sigurnost dijeljenjem informacija i znanja.
Također, napominje Košturjak, temelj za postizanje otpornosti organizacija u suočavanju s izazovima sve sofisticiranijih kibernetičkih prijetnji je dobra priprema, poznavanje konteksta, krajolika prijetnji i uvježbanost timova. Za to je, pak, iznimno važno pratiti i analizirati prijetnje, a Diverto to radi putem Sigurnosno-operativnog centra (SOC), koji ima ključnu ulogu u postavljanju temelja stabilnosti i pouzdanosti informacijskih resursa organizacije.
“Jednom identificirane kibernetičke ranjivosti moguće je analizirati i utvrditi poslovni utjecaj iskorištavanja istih. Zaključci ovakvih analiza predstavljaju pouzdan temelj za optimalnu raspodjelu ulaganja u informacijsku i kibernetičku sigurnost”, kaže Košturjak.
Nakon što smo prošle godine svjedočili brojnim incidentima kibernetičkih napada (Hrvatski autoklub, Hrvatske vode, hakiran Instagram profil Grada Dubrovnika...), a ove godine i veliki napad na Hanfu, agenciju koja je zadužena za nadzor financijskih usluga, dok o daleko brojnijima ništa ne znamo, jasno je da bi kompanije prijetnje trebale shvaćati mnogo ozbiljnije nego što je to danas slučaj. Također, upozorava Košturjak, strojno učenje, veliki jezični modeli i umjetna inteligencija donijet će još veće izazove.
Vlado Koštunjak: Broj organizacija koje troše 10 posto i više IT budžeta na informacijsku i kibernetičku sigurnost porastao je s 14,3 u 2022. na 15,9% u 2023.