Europske direktive, lokalni zakoni i novi zahtjevi usklađenosti otvorili su važan prostor za ozbiljnije upravljanje kibernetičkim rizicima, ali su istodobno na domaće tržište donijeli mnogo nesigurnosti, površnih tumačenja i parcijalnih rješenja, pojašnjava za ICTbusiness Media - ICTbusiness.info Antonija Vojnović, voditeljica Odjela za upravljanje, rizike i usklađenost u Spanu. Prema njezinu tumačenju, problem nije u samoj regulativi, nego u načinu na koji je tržište pokušava razumjeti i pretvoriti u konkretne projekte. „Donijele su nam cijeli kaos na tržište“, kaže Vojnović, upozoravajući da je Hrvatska malo tržište na kojem mnogi pokušavaju ponuditi jedno rješenje za sve probleme.
Upravo je ta logika, prema njezinu mišljenju, jedan od najvećih izazova. Usklađivanje s pravilima ne može se svesti na kupnju softvera, hardvera ili gotovog paketa. „Rješenje koje rješava sve probleme nije točno“, ističe Vojnović. Dodaje da se kompanije ne usklađuju izravno s direktivama, nego s lokalnim zakonima koji ih prenose u nacionalni okvir. To je, smatra, prva razina razumijevanja koja često izostaje u tržišnoj komunikaciji.
Regulativa je ipak pokrenula važnu promjenu. Uprave i odgovorne osobe počele su ozbiljnije razmišljati o osobnoj i poslovnoj odgovornosti, uključujući mogućnost kazni, smjena i reputacijskih posljedica. „Malo su se ljudi prepali i malo je krenulo razmišljanje“, kaže Vojnović. To smatra pozitivnim pomakom, ali upozorava da rokovi za usklađivanje ne znače da se sigurnost može riješiti jednokratno. „Nećeš pokrpati servere i završiti zauvijek“, naglašava, podsjećajući da regulativa traži kontinuirano i periodično provođenje mjera.
Najveći problem vidi u tome što dio korisnika sigurnost i usklađenost i dalje promatra kao projekt s početkom i krajem, umjesto kao trajni proces upravljanja rizicima. U praksi to znači da se kupuju pojedinačna rješenja, često bez edukacije, bez svijesti o procesima i bez jasnog razumijevanja što se zapravo štiti. „Ljudi shvate da su dobili mačka u vreći tek u trenutku kada dođe do incidenta“, upozorava Vojnović. Tek će nadzori, dodaje, pokazati koliko su organizacije stvarno spremne i koliko su ranije odluke bile smisleno povezane s rizicima.
Posebno upozorava na razliku između formalne kupnje tehnologije i stvarne sigurnosne zrelosti. Softver ili hardver sami po sebi nisu dovoljni ako iza njih ne stoje procesi, edukacija, svijest zaposlenika i sposobnost upravljanja incidentima. „Kupovali su samo nekakve softvere ili hardvere, bez edukacije i bez procesa“, kaže. U takvom okruženju nadzori bi mogli imati važnu ulogu jer dodatno osvještavaju organizacije prije nego se dogodi ozbiljan sigurnosni incident.
Kada incident ipak nastupi, dinamika se naglo mijenja. Tada, kaže Vojnović, odjednom postoje budžeti, odluke se donose brzo, a svi su spremni odmah nešto potpisati. No takav pristup nosi novi rizik jer panika rijetko donosi dobru sigurnosnu arhitekturu. „Kad dođe do incidenta, onda je kasno“, ističe. Zato tvrtkama, osobito manjima, treba partner koji ih neće gurati prema kupnji samo zato da nešto proda, nego saveznik koji će ih voditi kroz regulativu, rizike i prioritetne korake.
Za financijski sektor, koji je već snažno reguliran, očekuje se drugačija razina pripremljenosti, ali izazovi su posebno izraženi kod mikro i malih tvrtki koje često ne razumiju zašto su uopće kategorizirane kao važne. One mogu razvijati softver, hardver ili usluge za veće europske sustave i tek naknadno shvatiti da imaju značaj za širi lanac opskrbe. „Ti mali će imati problem: odakle novci, gdje su prioriteti i tko će im biti saveznik“, kaže Vojnović. Ako imaju dobre osnove u GDPR-u, dodaje, novi zahtjevi mogu biti nadogradnja, a ne potpuno novi početak.
U širem smislu, ona regulativu ne promatra kao prepreku razvoju, nego kao pokušaj da se podaci, rizici i odgovornost stave u uređeniji okvir. Ključ je u razumijevanju da je upravljanje rizicima svakodnevna poslovna disciplina, a ne samo tehnička obveza. „Kad ujutro izlazite iz stana, upravljate rizikom“, kaže Vojnović. Zato budućnost usklađenosti i kibernetičke sigurnosti vidi u edukaciji, razgovoru i postupnom podizanju zrelosti, osobito među manjim organizacijama. Bez toga će tržište i dalje tražiti prečace, a sigurnost će se ozbiljno shvaćati tek onda kada incident već pokaže cijenu odgađanja.
