Nacionalni program upravljanja kibernetičkim krizama ključan je alat za osiguranje sigurnosti naše zemlje u digitalnom dobu. Kibernetičke prijetnje danas su neizbježne, a njihova potencijalna šteta može imati ozbiljne posljedice na sektore poput energetike, zdravstva, financija i komunikacija. U svijetu gdje se oslanjamo na digitalne tehnologije, kibernetička sigurnost postaje temelj nacionalne sigurnosti. Danas se i ratni sukobi sve više prebacuju u kibernetički prostor. U takvom okruženju, zaštita kritičnih nacionalnih infrastruktura postaje prioritet.
Naš nacionalni program pruža solidan okvir za brzo reagiranje i minimalizaciju gubitaka, međutim njegova uspješnost ovisit će o njegovoj operativnoj provedbi. Kao i kod svakog ambicioznog projekta, postoje izazovi koje je potrebno adresirati.
Gubici uzrokovani kibernetičkim incidentima mogu biti enormni. Ako kibernetički napad paralizira rad kritične infrastrukture, to može izazvati lančane reakcije koje pogađaju cijelo gospodarstvo. Vidimo da program uključuje velik broj odgovornih subjekata koji moraju brzo i učinkovito surađivati, a nažalost svjedočimo situacijama u Hrvatskoj u kojima upravo suradnja između različitih institucija nije na odgovarajućoj razini. Uz to, transparentno upravljanje krizama i pravovremena komunikacija s javnošću jačaju povjerenje građana u sigurnost kritičnih sustava, koje je u Hrvatskoj, zbog učestalih incidenata kibernetičke sigurnosti, ionako već poljuljano.
Najnoviji primjer koji nas podsjeća na važnost ove teme dolazi iz Slovačke, gdje je registar nekretnina pogođen ransomware napadom. Usluge su bile obustavljene, uredi zatvoreni, a mnoge javne usluge koje ovise o registru nekretnina bile su nedostupne. Banke su obustavile obradu hipoteka, a poslovanje nekretninama potpuno je stalo. Četiri dana nije bilo službenih informacija, što je dovelo do špekulacija o sigurnosnim kopijama podataka, opsegu utjecaja incidenta i vremenu oporavka. Ovaj slučaj je klasičan primjer lošeg upravljanja incidentima i loše komunikacije s javnošću.
Rana identifikacija prijetnji, brza razmjena pouzdanih informacija te objektivna procjena sigurnosnih rizika su presudni. Prevencija je najučinkovitija kada se rizici kibernetičke sigurnosti pravovremeno prepoznaju i adresiraju. Procjene rizika trebaju se provoditi s namjerom njihove stvarne identifikacije i smanjenja, a ne samo radi zadovoljenja regulatornih zahtjeva ili izvješćivanja uprave. Uz to, redovito testiranje organizacijskih i tehničkih sigurnosnih kontrola omogućava otkrivanje ranjivosti prije nego što postanu ozbiljan problem.
Suradnja s privatnim sektorom u provedbi programa je također ključna, a istovremeno zahtjevna. Privatne tvrtke, posebno one koje upravljaju kritičnom infrastrukturom, imaju vlastite sigurnosne protokole koji se ponekad teško usklađuju s nacionalnim standardima. Potrebno je graditi povjerenje i osigurati da privatni sektor prepozna važnost suradnje s državnim tijelima.
Smatram da je po pitanju izgradnje ovog povjerenja dobro nastaviti smjerom u kojem je krenula Sigurnosno obavještajna agencija tijekom donošenja Zakona o kibernetičkoj sigurnosti – što više otvorenih susreta predstavnika SOA-e odnosno Nacionalnog centra za kibernetičku sigurnost sa privatnim sektorom, stručnjacima i zainteresiranom javnošću, to bolje.
Ono najvažnije u kontekstu provedbe programa upravljanja kibernetičkim krizama je da operativne procedure koje će se slijedom njega definirati budu praktične i provedive. U stvarnim kriznim situacijama, složene procedure koje nitko neće čitati, unaprjeđivati ili slijediti kad je to stvarno potrebno, nisu korisne. Pojednostavljenje procedura osigurava bržu i učinkovitiju reakciju, što je u krizama presudno. Kako bi se to postiglo, potrebno je osigurati obučene stručne timove, a ne samo formalno imenovane uloge i odgovornosti, te procedure donesene "reda radi" u okviru prevelikih i često neučinkovitih „radnih skupina“.
Redovita obuka ključnog osoblja i podizanje svijesti o kibernetičkim prijetnjama, osiguranje adekvatne tehničke infrastrukture i resursa, te razvijanje planova kontinuiteta poslovanja i strategija za oporavak dodatni su elementi koji doprinose otpornosti sustava. Investicije u navedeno moraju biti provedene na osnovu rezultata objektivne procjene rizika, ne na osnovu slatkorječivih obećanja dobavljača IT rješenja i usluga, ili često upitno opravdanih i sumnjivih javnih nabava.
Nacionalni program postavlja dobre temelje, ali njegova uspješnost ovisit će o sposobnosti ključnih sudionika da osiguraju učinkovitu koordinaciju, definiraju praktične i provedive procedure, provedu objektivne procjene rizika i redovito testiraju sigurnosne kontrole, te osiguraju dobro obučene timove i jasnu komunikaciju s javnošću kad se kriza ipak dogodi.