Uoči jubilarnog 20. Dana integracije, koji se ove godine održava pod temom „NIS2: izazov ili prilika?", donosimo pregled ključnih izazova kibernetičke sigurnosti i razloga zašto usklađivanje s direktivom može biti više od regulatorne obveze.
Kibernetički napadi danas su jedna od najrealnijih prijetnji poslovanju. Ransomware napadi zaključavaju podatke i traže otkupnine od više milijuna eura. Phishing kampanje iskorištavaju ljudsku pogrešku kao ulaznu točku u sustave. Napadi na kritičnu infrastrukturu, energetske mreže, bolnice i prometne sustave pokazali su koliko digitalni incident može paralizirati rad cijelih organizacija. Takvi scenariji više nisu iznimka nego svakodnevna operativna stvarnost.
Prema podacima ENISA-e (European Union Agency for Cybersecurity), izvješće za period od srpnja 2023. do lipnja 2024. obuhvaća više od 11.000 incidenata diljem Europske unije, a DDoS i ransomware napadi zajedno čine više od polovine svih zabilježenih događaja. Europa je u tom periodu zabilježila porast ransomware napada od 60%. U takvom okruženju više nije pitanje hoće li se incident dogoditi, nego kada i kolika će biti njegova cijena.
Kada se napad dogodi, cijena je visoka
Posljedice sigurnosnog incidenta rijetko su ograničene samo na tehnički problem. Prema IBM Cost of a Data Breach izvješću, prosječni trošak jednog sigurnosnog incidenta u 2024. dosegao je 4,88 milijuna dolara, a samo oporavak od ransomware napada u prosjeku košta dodatnih 1,53 milijuna dolara, ne uračunavši iznos otkupnine. Financijska šteta dolazi u nekoliko valova: oporavak sustava i podataka, pravne obveze prema regulatorima, moguće odštete klijentima i partnerima te kazne propisane zakonima. Uz to dolazi i reputacijska šteta, a gubitak povjerenja kupaca i poslovnih partnera često ima dugotrajnije posljedice od samog incidenta.
Za organizacije koje upravljaju složenim IT i OT sustavima svaki sat zastoja znači izravan financijski gubitak i poremećaje u lancima opskrbe. Prosječno trajanje zastoja zbog ransomware napada iznosi 24 dana. Upravo zato kibernetička sigurnost više nije samo tehničko pitanje koje rješava IT odjel. Ona postaje strateška tema uprava i menadžmenta.
Što je NIS2 i koga se tiče
NIS2 direktiva uvodi obvezne sigurnosne standarde za organizacije od ključnog značaja za društvo i gospodarstvo: energetiku, promet, zdravstvo, financije, digitalnu infrastrukturu i proizvodnju, a njezin utjecaj širi se i na dostavljačke lance. Hrvatska je početkom 2024. donijela Zakon o kibernetičkoj sigurnosti i time prenijela NIS2 u nacionalni pravni okvir. Ključna novina jest proširena odgovornost uprava, uz mogućnost osobnih sankcija za ozbiljne propuste u usklađenosti.
NIS2 kao prilika za jačanje poslovanja
Za mnoge organizacije NIS2 na prvi pogled izgleda kao još jedan regulatorni teret. U praksi se često pokaže da upravo taj proces otkriva ranjivosti koje su godinama ostale neprimijećene.
Organizacije koje NIS2 promatraju isključivo kao regulatornu obvezu često se fokusiraju na formalno ispunjavanje zahtjeva. Takav pristup rijetko dovodi do stvarnog povećanja sigurnosti. S druge strane, organizacije koje proces usklađivanja iskoriste kao priliku dobivaju mnogo više.
Stipan Bago, direktor usluga Integra Group, to opisuje iz vlastitog iskustva: „U više od 35 godina rada naučili smo da svaka velika regulatorna promjena može postati prekretnica. Ne postoji 'čarobno rješenje' koje se može jednostavno implementirati, svaki poslovni subjekt ima svoje specifičnosti. Naš fokus je pomoći organizacijama da regulatorne zahtjeve pretvore u stvarnu operativnu otpornost – da ne zadovolje samo formu, nego zaista budu spremne na incidente." Proces otkriva stvarne slabosti sustava, uvodi jasnije sigurnosne postupke i jača kontinuitet poslovanja. Dugoročno to znači veću otpornost na napade i veću razinu povjerenja partnera i klijenata.
Proces usklađivanja zahtijeva strukturiran pristup
Proces usklađivanja obično započinje procjenom postojeće razine sigurnosti i identifikacijom ključnih rizika. Na temelju toga definiraju se prioriteti i uvode konkretne mjere: upravljanje pristupom sustavima poput višefaktorske autentifikacije i kontrole pristupa mreži, sustavi za nadzor sigurnosnih događaja, zaštita i oporavak podataka te kontinuirano održavanje sigurnosnih mehanizama.
Jednako važan dio čine ljudi. Bez edukacije zaposlenika i razvoja sigurnosne kulture ni napredna tehnologija ne može ukloniti ljudsku pogrešku kao jednu od najčešćih ulaznih točaka napada.
Kibernetička sigurnost nije jednokratni projekt. Prijetnje se razvijaju, tehnologija napreduje, a regulatorni okvir postaje sve zahtjevniji. Aleksandar Tivadar, vodeći cyber security inženjer Integra Group, primjećuje obrazac koji se ponavlja: „U praksi često vidimo istu situaciju: kada uprava preuzme aktivnu odgovornost za sigurnost, sigurnosni alati prestaju biti trošak i postaju investicija. Oni koji NIS2 vide samo kao administrativnu obvezu propuštaju priliku, dok oni koji ga shvate kao poticaj za promjene dobivaju stabilnije procese, otpornije poslovanje i veće povjerenje partnera." Riječ je o procesu kontinuiranog unaprjeđenja.
Konferencija koja donosi konkretna iskustva iz prakse
Upravo s ciljem otvaranja rasprave i razmjene praktičnih iskustava organizira se ovogodišnji jubilarni 20. Dan integracije. Tema za 2026. godinu je „NIS2: izazov ili prilika?", a fokus je na konkretnim rješenjima, implementacijskim pristupima i iskustvima iz prakse.
Program konferencije uključuje predavanja stručnjaka: Stipana Bage, Damira Hamidovića, Ivana Miklenića i Ivana Bumbaka, koji će kroz primjere iz stvarnih projekata predstaviti kako organizacije mogu strukturirano pristupiti sigurnosti i usklađivanju s NIS2.
Ove godine obilježava se i dvojni jubilej: 20. izdanje konferencije Dan integracije i 35 godina djelovanja Integra Group.
Konferencija će se održati u četiri grada:
Rijeka – 19. svibnja
Osijek 21. svibnja
Split – 26. svibnja
Zagreb – 28. svibnja
Za organizacije koje će uskoro morati uskladiti svoje sustave s novim pravilima, pitanje više nije treba li reagirati nego kako to učiniti učinkovito i dugoročno održivo. Pridružite nam se i zajedno raspravimo kako NIS2 pretvoriti iz regulatornog izazova u temelj otpornog poslovanja.
Detaljan program i prijave: https://www.integragroup.hr/dan-integracije/
HPE širi samoupravljive mreže prema enterprise okruženjima nije samo još jedna objava iz globalnog tehnološkog ciklusa, nego signal smjera u kojem se telecom tržište razvija u idućem razdoblju. ComputerWeekly opisuje HPE-ov razvoj self-driving mrežnih funkcija kroz Mist i Aruba rješenja.
AI se dugo promatrao prvenstveno kroz leću centraliziranog podatkovnog centra, ali realni svijet sve brže pokazuje da se velik dio korisnih odluka mora donositi lokalno. U tvornicama, prometu, lukama, energetskim sustavima i obrambenim aplikacijama nema uvijek vremena, povezivosti ni regulatorne slobode da se sve šalje prema udaljenom cloudu.
Google i financijska kompanija Blackstone potpisali su sporazum o zajedničkom ulaganju radi stvaranja američke AI cloud kompanije. Novi subjekt trebao bi ojačati proizvodnju i dostupnost specijaliziranih AI čipova pretraživačkog diva.
