Kibernetička sigurnost: kako se zaštiti u doba sve učestalijih digitalnih prijetnji?
Članci
U doba ubrzane digitalizacije, pravne osobe se suočavaju s rastućim rizikom od kibernetičkih prijetnji. Listopad je mjesec podizanja svijesti o kibernetičkoj sigurnosti pa je stoga idealno vrijeme da osvijestimo važnost zaštitnih mjera koje propisuje Zakon o kibernetičkoj sigurnosti te osiguramo njihovu implementaciju.
Prema izvješćima nacionalnog tijela zaduženog za nadzor i odgovaranje na kibernetičke incidente (CERT), broj prijavljenih kibernetičkih incidenata u Hrvatskoj 2023. godine iznosio je 1.236. Iako statistika za 2024. godinu još nije dostupna, u ovoj godini moguće je očekivati porast, sudeći prema brojnim slučajevima phishinga i ransomwarea o kojima u zadnje vrijeme često možemo čitati u medijima.
Zakon postavlja okvir koji identificira „ključne“ i „važne“ subjekte, uključujući društva iz sektora temeljne društvene infrastrukture (telekomunikacije, energetika, transport, vodovod, financije i zdravstvo) te one čija veličina ili tehnološka složenost nadilaze okvire malih poduzeća. Radi se o društvima čiji bi prekidi rada mogli imati značajan utjecaj na društvenu i ekonomsku stabilnost. U takvom korporativnom okruženju, direktori i osobe ovlaštene za zastupanje odgovorni su prvenstveno za provođenje aktivne preventivne kibernetičke zaštite, koja podrazumijeva osiguravanje redovite edukacije zaposlenika te provođenje samoprocjene sigurnosnih sustava svakih nekoliko godina. Neprovođenje takvih aktivnosti može rezultirati visokim novčanim kaznama koje dosežu do 1,4 % godišnjeg prometa, što predstavlja dodatnu motivaciju za primjenu sigurnosnih mjera.
Kibernetički napadi često ugrožavaju i osobne podatke pa je kibernetička sigurnost usko povezana s Uredbom o zaštiti osobnih podatka (GDPR). Uredba zahtijeva tehničke i organizacijske mjere zaštite osobnih podatka, poput enkripcije, pseudonimizacije i redovitog testiranja sustava. U slučaju povrede podataka, takav incident se mora prijaviti AZOP-u unutar 72 sata, a kazne za nepoštivanje tog roka mogu iznositi čak do 20 milijuna eura ili 4% globalnog godišnjeg prihoda.
No, što treba učiniti ako ipak dođe do napada? Tada je direktor dužan prijaviti incident Nacionalnom CERT-u, a ako su osobni podaci ugroženi, sve je potrebno prijaviti i AZOP-u te slijedi interna istraga, procjena štete i obavještavanje oštećenih osoba (ako su podaci zaista kompromitirani). Potom je nužna revizija sigurnosnih politika kako bi se spriječili budući incidenti. Polica osiguranja protiv kibernetičkih napada može biti dodatna zaštita ako dođe do incidenta, a o čemu možete saznati više u našem ranijem članku.[1]
Mjesečna kampanja osviještenosti o kibernetičkoj sigurnosti podsjeća nas da uz kvalitetnu pripremu i provođenje zakonskih mjera poslovni subjekti mogu značajno smanjiti rizik i štete od napada, istovremeno osiguravajući stabilnost i sigurnost u digitalnom okruženju.
Prema izvješćima nacionalnog tijela zaduženog za nadzor i odgovaranje na kibernetičke incidente (CERT), broj prijavljenih kibernetičkih incidenata u Hrvatskoj 2023. godine iznosio je 1.236. Iako statistika za 2024. godinu još nije dostupna, u ovoj godini moguće je očekivati porast, sudeći prema brojnim slučajevima phishinga i ransomwarea o kojima u zadnje vrijeme često možemo čitati u medijima.
Zakon postavlja okvir koji identificira „ključne“ i „važne“ subjekte, uključujući društva iz sektora temeljne društvene infrastrukture (telekomunikacije, energetika, transport, vodovod, financije i zdravstvo) te one čija veličina ili tehnološka složenost nadilaze okvire malih poduzeća. Radi se o društvima čiji bi prekidi rada mogli imati značajan utjecaj na društvenu i ekonomsku stabilnost. U takvom korporativnom okruženju, direktori i osobe ovlaštene za zastupanje odgovorni su prvenstveno za provođenje aktivne preventivne kibernetičke zaštite, koja podrazumijeva osiguravanje redovite edukacije zaposlenika te provođenje samoprocjene sigurnosnih sustava svakih nekoliko godina. Neprovođenje takvih aktivnosti može rezultirati visokim novčanim kaznama koje dosežu do 1,4 % godišnjeg prometa, što predstavlja dodatnu motivaciju za primjenu sigurnosnih mjera.
Kibernetički napadi često ugrožavaju i osobne podatke pa je kibernetička sigurnost usko povezana s Uredbom o zaštiti osobnih podatka (GDPR). Uredba zahtijeva tehničke i organizacijske mjere zaštite osobnih podatka, poput enkripcije, pseudonimizacije i redovitog testiranja sustava. U slučaju povrede podataka, takav incident se mora prijaviti AZOP-u unutar 72 sata, a kazne za nepoštivanje tog roka mogu iznositi čak do 20 milijuna eura ili 4% globalnog godišnjeg prihoda.
No, što treba učiniti ako ipak dođe do napada? Tada je direktor dužan prijaviti incident Nacionalnom CERT-u, a ako su osobni podaci ugroženi, sve je potrebno prijaviti i AZOP-u te slijedi interna istraga, procjena štete i obavještavanje oštećenih osoba (ako su podaci zaista kompromitirani). Potom je nužna revizija sigurnosnih politika kako bi se spriječili budući incidenti. Polica osiguranja protiv kibernetičkih napada može biti dodatna zaštita ako dođe do incidenta, a o čemu možete saznati više u našem ranijem članku.[1]
Mjesečna kampanja osviještenosti o kibernetičkoj sigurnosti podsjeća nas da uz kvalitetnu pripremu i provođenje zakonskih mjera poslovni subjekti mogu značajno smanjiti rizik i štete od napada, istovremeno osiguravajući stabilnost i sigurnost u digitalnom okruženju.