Fiskalizacija 2.0 otvorila je novo poglavlje digitalne transformacije države, ali i potpuno promijenila percepciju uloge informacijskih posrednika. Ono što je do jučer bilo percipirano kao tehnički servis danas se tretira kao dio kritične infrastrukture. Paralelno s time, NIS2 donosi znatno strože zahtjeve u pogledu upravljanja rizicima, odgovornosti uprava i operativne otpornosti sustava. U tom kontekstu prestaje biti dovoljno imati dokumentaciju i osnovne tehničke kontrole. U fokus dolaze ljudi, procesi i sposobnost reagiranja u stvarnim incidentima. Upravo o toj razlici između formalne usklađenosti i stvarne sigurnosti razgovaramo za ICTbusiness Media – ICTbusiness.info s jednim od vodećih domaćih stručnjaka za računalnu sigurnost Alenom Delićem. Njegova analiza otvara pitanja koja nadilaze IT i ulaze u samu srž korporativnog upravljanja.
U kontekstu Fiskalizacije 2.0 informacijski posrednici se u praksi pozicioniraju kao dio ključne državne digitalne infrastrukture. Smatrate li da su informacijski posrednici formalno i regulatorno jasno prepoznati kao ključni ili važni subjekti prema NIS2 okviru?
Zakon o kibernetičkoj sigurnosti izričito navodi da se u kategoriju ključnih subjekata razvrstavaju informacijski posrednici u razmjeni elektroničkog računa među poduzetnicima, neovisno o njihovoj veličini. Operativno postoje koraci koji se provode kako bi pojedini subjekt bio kategoriziran i kako bi mu se formalno adresirale pripadajuće obveze i rokovi, no oko same činjenice prepoznavanja posrednika kao ključnih subjekata nema nikakvih nejasnoća.
Tko u praksi donosi odluku o njihovoj klasifikaciji i prema kojim kriterijima?
Nadležno sektorsko tijelo koje je u ovom slučaju Nacionalni centar za kibernetičku sigurnost. Poznato mi je i da u praksi već postoje posrednici koji su zaprimili obavijest o provedenoj kategorizaciji, kao i oni kojima je već nastupila obveza izvještavanja o incidentima, što znači da su obavijest zaprimili još prošle godine.
Postoji li rizik neujednačene primjene NIS2 obveza među posrednicima različite veličine i tržišne snage?
Moramo biti realni i govoriti bez etiketa. Sigurnosne mjere koje propisuju Zakon (i povezana Uredba) nisu ni „samo papir“ ni „samo tehnika“. One su kompleksna kombinacija tehničkih i organizacijskih zahtjeva. To u praksi znači imati ljude, procese i resurse kako bi, na primjer, bili sposobni pravovremeno detektirati i reagirati na incidente, održavati kontinuitet usluga, upravljati dobavljačima ili pak redovito testirati sustave.
Iz sigurnosne perspektive problem nije u tome da manji subjekti nužno rade „lošije“, nego u tome da je stvarna provedba ovih mjera pitanje kapaciteta: može li organizacija zahtjeve pretvoriti u svakodnevnu praksu i održavati ih kontinuirano. Manjima je često teže postići istu razinu operativne otpornosti bez proporcionalno većeg troška po zaposleniku i po prihodu, upravo zato što su zahtjevi kompleksni i zahtijevaju stalnu disciplinu, a ne jednokratni projekt ili dokumentaciju.
U konačnici, veličina nije garancija kvalitete, ali kapacitet jest preduvjet da obveze ne ostanu samo na papiru.
Kako će se spriječiti situacija da veliki ključni subjekti (npr. banke ili državne agencije) de facto postanu regulatori koji nameću nerealne uvjete malim softverskim tvrtkama, gušeći inovacije i konkurenciju?
Dobavni lanci i sigurnosni zahtjevi globalno nisu riješeni i bilo bi naivno praviti se da jesu. U praksi često vidimo da "veliki igrači" vrlo odlučno traže stroge mjere od svojih dobavljača, a istovremeno nemaju realan kapacitet to dosljedno kontrolirati jer su današnji sustavi ekstremno povezani i ovise o velikom broju dobavljača tako da umjesto povećanja razine sigurnosti imamo povećanje broja papira (ili e-papira).
Istodobno, sigurnost kod manjih dobavljača još uvijek nije dovoljno prepoznata kao ozbiljan poslovni i operativni rizik. Mišljenja sam da imamo još puno mjesta gdje zahtjeve prema manjima moramo podizati, a pozivanje na gušenje inovacija često vidim kao izgovor.
Hoće li država ponuditi subvencije ili "lakši put" usklađivanja za manje IT tvrtke koje su tehnološki kritične, ali financijski ograničene?
Ako država nastavi smjerom kojim je krenula, odgovor je: da, hoće. Europska unija, a time i Hrvatska, već su prepoznale da se otpornost ne može graditi samo propisima, nego i kroz ciljanu podršku onima koji su tehnološki kritični, a financijski ograničeni. Upravo je krajem prošle godine CARNET završio poziv za dodjelu bespovratnih sredstava za unaprjeđenje kibernetičke sigurnosti mikro, malih i srednjih poduzeća, što je dobar signal da postoji svijest o potrebi takvih mehanizama.
NIS2 značajno podiže zahtjeve u pogledu upravljanja kibernetičkim rizicima, sigurnosti opskrbnog lanca i odgovornosti uprave. Koliko su informacijski posrednici u Hrvatskoj stvarno spremni ispuniti sve organizacijske i tehničke zahtjeve NIS2, a ne samo osnovne tehničke kontrole?
Kad govorimo o spremnosti općenito, istraživanja tržišta pokazuju da velik dio organizacija još nema temeljne preduvjete operativne sigurnosti. Posrednici nisu izolirani od tog konteksta, pa se samo temeljem toga može očekivati da je spremnost neujednačena. S druge strane, Zakon i Uredba predviđaju period usklađivanja, no ako si ne lažemo, subjekt osnovan prije nekoliko mjeseci, bez ozbiljnijih ulaganja i bez ljudi, teško može danas imati stvarno provedene, operativne sigurnosne mjere.
Koja su područja u praksi trenutno najslabija - upravljanje rizicima, kontinuitet poslovanja, sigurnost dobavljača ili incident response?
Gotovo da bih mogao birati sve od ponuđenog. U praksi su sva navedena područja izazov, ali tipično se najviše izazova ima kod nadzora sustava, upravljanju incidenata i sigurnosti dobavljača, jer su posrednici čvorište između više sustava i svaka slabost se brzo prelije ostale. Upravljanje rizicima i kontinuitet poslovanja su također kritični, no kod mnogih su formalno bolje pokriveni nego što su operativno testirani u stvarnim scenarijima.
Vidite li već sada razliku između deklarativne usklađenosti i stvarne operativne otpornosti sustava?
Da, i to je jedna od ključnih razlika koju ćemo tek sve jasnije vidjeti u praksi. Deklarativna usklađenost znači da postoje neke politike i procedure kao dokazi da je nešto propisano. Operativna otpornost znači da sustav u stvarnom incidentu može izdržati udar, da se incident detektira na vrijeme, da postoji jasna eskalacija, da se šteta ograniči, da se usluga održava ili brzo oporavi i da se sve to može dokazati kroz zapise. Najveći problem je što se deklarativna usklađenost može postići relativno brzo, dok se operativna otpornost gradi kroz vrijeme.
Očekujete li porast premija za D&O (Directors and Officers) osiguranja ili čak odbijanje osiguravatelja da pokriju rizike vezane uz NIS2 kazne?
Organizacije koje mogu dokazati da sigurnosne mjere stvarno žive u operativi imat će bolju pregovaračku poziciju. Ipak, ono što mnogi zaboravljaju, svako takvo osiguranje neće automatski (a ponekad uopće) pokriti štete od kibernetičkih incidenata ni regulatorne posljedice.
Kako definirate granicu između "lošeg upravljanja sigurnošću" i sofisticiranog napada kojeg ni najbolje mjere ne bi zaustavile?
Kad postoji dokazivo upravljanje sigurnošću, incident je proboj razmjerne obrane. Kad toga nema, incident je samo ogledalo lošeg upravljanja i vlastitih propusta. Volio bih da u idućim mjesecima ne dobijemo previše primjera ove druge kategorije.
NIS2 uvodi osobnu odgovornost članova uprave za zanemarivanje obveza kibernetičke sigurnosti. Jesu li uprave informacijskih posrednika i IT tvrtki uopće svjesne razine osobne i financijske odgovornosti koju preuzimaju?
Dio jest, no još uvijek nedovoljno. I dalje se često vidi refleks da je sigurnost samo i isključivo IT tema, nešto što se delegira prema dolje, a onda se očekuje da će dokumenti i alati riješiti stvar. U praksi se razina svijesti najbrže promijeni tek kad dođe do incidenta.
Kako bi se kibernetička sigurnost trebala integrirati u korporativno upravljanje, interne kontrole i revizijske procese?
Tako da prestane biti jednokratni projekt i postane dio upravljanja.
Može li NIS2 u praksi promijeniti strukturu ulaganja i prioritete menadžmenta u IT i sigurnosne projekte?
Da, i već mijenja. Kad sigurnosne mjere postanu obveza, a ne preporuka, upravljačke razine prirodno (iako ponekad reaktivno i sporo) preusmjeravaju ulaganja i otvaraju prostor za nove procese. Sigurnosno regulirane djelatnosti poput financija i telekomunikacija u prosjeku su zrelije jer su godinama živjele s nadzorom, obveznim kontrolama i „disciplinom dokazivanja“. To nije jamstvo da su im incidenti nemogući, ali znači da su procesi, ljudi i budžeti za sigurnost ranije postavljeni kao standard, a ne kao iznimka.
Kako će regulator osigurati proporcionalnost kazni za hrvatske IT tvrtke kojima bi kazna od 10 milijuna eura značila trenutni stečaj?
Ako se poslovni subjekt teškim nemarom ili ponavljanim ignoriranjem sigurnosnih obveza dovede do incidenta koji ugrožava kontinuitet kritične usluge ili napravi štetu društvu i gospodarstvu, onda je legitimno pitanje: trebamo li mi tugovati nad njegovom kaznom ili nad posljedicama koje je proizveo? Proporcionalnost je važna, ali ona ne može postati sinonim za toleriranje neodgovornosti. Nadležne institucije moraju imati mehanizme da primijene takvu proporcionalnost.
Koji je mehanizam žalbe i vještačenja u slučaju spora oko toga jesu li poduzete "primjerene mjere"?
U nadzoru i odlukama nadženih tijela ne raspravlja se sviđa li se nekome vaša sigurnost, nego postoji li logična i dokaziva veza između rizika, propisanih mjera i stvarne provedbe tih mjera. Ako ostane spor oko toga jesu li mjere bile primjerene i provedene, postoji sudska zaštita.
Kazne prema NIS2 mogu se izricati i bez stvarnog incidenta, primjerice zbog nepostojanja propisanih mjera ili kašnjenja u prijavi. Koliko je tržište svjesno da regulatorni rizik više nije vezan samo uz „hakiranje“, već i uz proceduralne propuste?
To je zapravo dobar pristup, jer čekanje incidenta znači da reagiramo tek nakon štete. Logika sigurnosnih mjera je upravo suprotna: obveznik mora sustavno upravljati sigurnošću, provoditi propisane mjere i moći to dokazati, a nad tim upravljanjem postoji vanjska kontrola kroz nadzor i reviziju. Time se sigurnost prestaje tretirati kao “događaj” i postaje kontinuirani proces što je jedini realan način da se smanji rizik i posljedice, a ne samo da se nakon incidenta traži krivac. Još imamo prostora da se ta svijest, posebno kod upravljačkih razina, poveća-
Kako bi eventualne korektivne mjere, poput pojačanog nadzora ili privremene zabrane usluga, utjecale na kontinuitet Fiskalizacije 2.0 i povjerenje korisnika?
U ovom trenutku pojačan nadzor bih prije vidio kao preventivnu mjeru, i iskreno, bio bih zadovoljan da ga ima više. Ne zato da se nekoga “lovi”, nego zato da se ranije uoče slabosti i da se sustav stabilizira prije nego što šteta nastane. Pritom ne smijemo zaboraviti da ovo nije samo nadležnost Porezne uprave ili Nacionalnog centra za kibernetičku sigurnost. U sustavu postoji više nadležnih tijela, svatko sa svojim ovlastima, odgovornostima i rokovima, a neke se u javnosti često previdi. Primjerice, Agencija za zaštitu osobnih podataka može postupati s obzirom na obradu osobnih podataka koju provode različiti dionici na tržištu.
Postoji li scenarij u kojem bi problemi jednog većeg informacijskog posrednika mogli imati sistemski učinak na cijeli sustav?
Da, i to zbog logike arhitekture samog sustava. Ako neki posrednik ima određeni tržišni udio i kroz njega prolazi dio razmjene računa, njegov ozbiljan prekid ili kompromitacija može uzrokovati lančani učinak, uključujući zastoj u razmjeni i fiskalizaciji, prekide u poslovnim procesima poduzetnika koji ovise o određenom posredniku, ali i pritisak na alternativne kanale koji možda nisu dimenzionirani za naglo preuzimanje opterećenja.
Ima li nacionalno nadležno tijelo (npr. CERT/STI) dovoljno kapaciteta za obradu i analizu tisuća prijava incidenata u realnom vremenu ili će to postati "groblje podataka"?
U posljednjih nekoliko godina nadležna tijela kontinuirano povećavaju svoje kapacitete i dosad se pokazalo da su, kako se popularno kaže, spremna odgovoriti na izazove. Svako dodatno ulaganje, i u ljude i u tehnologije, treba gledati pozitivno jer bez toga nema kvalitetne obrade prijava ni korisne povratne informacije prema tržištu.
Dodatno, ne smijemo zaboraviti suradnju javnog i privatnog sektora. U sigurnosti se upravo taj model pokazao kao jedan od učinkovitijih: brža razmjena informacija, zajedničko učenje iz incidenata i podizanje razine otpornosti cijelog ekosustava, ne samo pojedinačnih subjekata.
Što točno definira "značajan incident" u kontekstu fiskalizacije – je li to prekid rada od 5 minuta ili gubitak podataka, i tko donosi tu procjenu u kritičnom trenutku?
Značajan incident se ne definira samo minutama, nego učinkom prema kriterijima iz Uredbe. U kontekstu razmjene eračuna ili fiskalizacije to znači da prekid od pet minuta može biti beznačajan, a može biti i ozbiljan, ovisno o tome koliko je korisnika pogođeno i koliko dugo, je li došlo do narušavanja dostupnosti ili kvalitete usluge te posebno je li narušena povjerljivost, cjelovitost ili autentičnost podataka. Uredba ide vrlo konkretno: značajnost se utvrđuje kroz pragove vezane uz nedostupnost usluge i broj pogođenih korisnika, kroz događaje poput neovlaštenog pristupa ili izmjena kritičnih podataka/konfiguracija, kroz financijske gubitke iznad definiranih pragova, kroz znatnu štetu drugim osobama te i kroz ponavljajuće incidente koji pojedinačno možda nisu značajni, ali kumulativno postaju značajni. Inicijalnu prijavu incidenta temeljem tih kriterija identificira i prijavljuje subjekt.
Fiskalizacija 2.0 oslanja se na kompleksan ekosustav državnih sustava, informacijskih posrednika, podatkovnih centara i ERP rješenja. Je li postojeći model dovoljan za dugoročnu otpornost sustava u kontekstu NIS2 i CER direktive, koje traže i kibernetičku i operativnu otpornost?
Model može biti dobar i održiv, ali samo ako ga provedemo kao sustavnu disciplinu, a ne kao jednokratno usklađivanje. Ako ostane na razini “svatko neka se snađe”, dobit ćemo formalnu usklađenost, a stvarnu nesigurnost.
Hoće li se u budućnosti morati dodatno centralizirati ili standardizirati sigurnosni zahtjevi za posrednike?
Osnovni zahtjevi su već definirani. Za posrednike i arhitekturu sustava ima smisla dodatno precizirati tehničke detalje na državnoj razini. To je najbolji način da izbjegnemo situacije u kojima različiti dokumenti ili specifikacije proizvedu različita tumačenja.
Može li NIS2, umjesto kočnice, dugoročno postati katalizator konsolidacije tržišta i profesionalizacije cijelog ekosustava eRačuna?
Da, to je vrlo realan scenarij. Konsolidacija se može dogoditi tako da dio obveznika jednostavno odustane od tog segmenta poslovanja jer ne želi ili ne može kontinuirano ulagati u traženu razinu sigurnosnih mjera. Isto tako, ako ne zadovolje tražene razine, mogu završiti pod korektivnim mjerama ili sankcijama koje ih u praksi prisile da prestanu pružati takve usluge.
Kako se tretira situacija gdje informacijski posrednik koristi Public Cloud (npr. Azure, AWS) – tko je tada odgovoran za fizičku sigurnost prema CER direktivi, hrvatska tvrtka ili globalni provider?
Posrednik ostaje odgovoran za svoj dio priče: za odabir vanjskih dobavljača, postavljanje sigurnosnih zahtjeva, ugovorne obveze i kontinuiranu kontrolu. Istodobno, naravno da se može i treba osloniti na sposobnosti dobavljača. Upravo zato dobavljač i jest dobavljač, jer ima skalirane procese, stručnost i kontrolne mehanizme koje pojedinačni subjekt često ne može izgraditi sam, pa i u odnosu na regulatorne zahtjeve.
Hoće li doći do integracije nadzora kako bi se izbjeglo administrativno dupliciranje za subjekte koji su obveznici obje direktive?
Cilj nadzora nije proizvodnja papira, nego mjerljiva otpornost sustava, i to se postiže koordinacijom, zajedničkim kriterijima i razmjenom nalaza između nadležnih tijela. Tek ćemo vidjeti u budućnosti koliko je to moguće.
