KIBERNETIČKA SIGURNOST

Sigurnost više nije posao IT-a, nego dokaziva odgovornost uprave

Zakon o kibernetičkoj sigurnosti i NIS2 direktiva mijenjaju način na koji organizacije moraju upravljati kibernetičkim rizicima. vCISO model pritom postaje jedno od ključnih rješenja za tvrtke koje moraju dokazivo upravljati sigurnošću, usklađenošću, kontinuitetom poslovanja i rizicima trećih strana, ali nemaju vlastitu CISO funkciju ili dovoljno internih kapaciteta.

Sigurnost više nije posao IT-a, nego dokaziva odgovornost uprave
Kristina Oršanić Kopić, savjetnica za kibernetičku sigurnost u Combisu

Zakon o kibernetičkoj sigurnosti i NIS2 direktiva jasno pomiču sigurnost iz domene IT odjela prema upravama i nadzornim strukturama, ističe za ICTbusiness Media – ICTbusiness.info Kristina Oršanić Kopić, savjetnica za kibernetičku sigurnost u Combisu.i dodaje da su ključni i važni subjekti u Hrvatskoj djelomično spremni za nove obveze, ali njihova razina zrelosti još uvijek nije dovoljna za ono što regulatorni okvir očekuje.

Najveća promjena je u tome što uprave više ne mogu samo formalno primati informacije o sigurnosti, nego moraju dokazati da razumiju rizike, nadziru mjere i donose odluke na temelju procjene rizika. Članak 29. ZKS-a u tom smislu uvodi jasan trag odgovornosti, od edukacije članova uprave do dokumentiranja odluka, izvješća, ulaganja i provedbe sigurnosnih mjera. Ona upozorava da se spremnost organizacija najčešće lomi na nedostatku sustavnog upravljanja sigurnošću, manjku stručnih ljudi, zastarjelim procesima i slaboj dokumentacijskoj dokazivosti.

Upravo zato, kako ističe Kristina Oršanić Kopić, vCISO model vidi se kao realan put za organizacije koje nemaju vlastitu CISO funkciju, ali moraju upravljati rizicima, usklađenošću, kontinuitetom poslovanja i rizicima trećih strana.

Combisova vCISO usluga oslanja se na Cynomi AI vCISO platformu, u koju su ugrađeni hrvatski ZKS i prateća Uredba, što organizacijama omogućuje strukturirano, lokalno usklađeno i dokazivo upravljanje sigurnošću. Pritom naglašava kako platforma može automatizirati velik dio administrativnog, dokumentacijskog i revizijskog posla, ali ne može zamijeniti ljudsku prosudbu, odgovornost i poslovno odlučivanje. Posebno upozorava na rizike lanca opskrbe, jer dobavljači, partneri, vanjski servisi i softverske platforme postaju izravni dio sigurnosne izloženosti svake organizacije.

Poruka upravama je jasna: ne ulagati u sigurnost ne znači štedjeti, nego preuzeti buduće troškove prekida poslovanja, kazni, gubitka povjerenja, lošijih uvjeta osiguranja i reputacijskog udara.

Zakon o kibernetičkoj sigurnosti i NIS2 više ne tretiraju kibernetičku sigurnost samo kao tehničko pitanje, nego kao upravljačku odgovornost. Koliko su hrvatske tvrtke, posebno one koje su kategorizirane kao ključni i važni subjekti, stvarno spremne za tu promjenu?

Zakon o kibernetičkoj sigurnosti (transpozicija NIS2 direktive) jasno definira odgovornost članova upravljačkih tijela ključnih i važnih subjekata odnosno čelnika tijela državne uprave, drugih državnih tijela i izvršna tijela jedinica lokalne i područne (regionalne) samouprave za upravljanje mjerama usklađivanja s obvezama utvrđenim ovim Zakonom i provedbenim propisom o zahtjevima kibernetičke sigurnosti te kontrolu njihove provedbe. To je jedini ispravni put da se kibernetička sigurnost više ne smije smatrati isključivo operativnim ili IT pitanjem za kojeg uprave nemaju sluha. U tom kontekstu, spremnost hrvatskih tvrtki – osobito onih koje spadaju u kategoriju ključnih i važnih subjekata – može se ocijeniti kao djelomična, ali još uvijek nedovoljno zrela.

Upravo tu leži najveći izazov, osvješćivanje uprave (zakon tu daje svoj veliki doprinos), ali i jedini mogući način da tvrtke postanu otpornije, konkurentnije i sigurnije u sve kompleksnijem digitalnom okruženju, rekla bih da se time daje najjača poluga da organizacije uspiju integrirati kibernetičku sigurnost u svoje upravljačke i poslovne procese.

Što članak 29. ZKS-a konkretno znači za uprave i nadzorne strukture u tvrtkama koje sada moraju dokazivati da razumiju i nadziru kibernetičke rizike?

Članak 29. ne traži samo da uprave budu informirane o kibernetičkim rizicima već zahtijeva da iste mogu dokazati da ih razumiju i da ih aktivno nadziru. To u praksi znači sudjelovanje u donošenju i odobravanju sigurnosnih politika i mjera, odobravanje sredstava za implementaciju sigurnosnih kontrola u cilju usklađenosti i upravljanja rizicima, redovito razmatranje izvješća o kibernetičkim rizicima i incidentima, donošenje odluka temeljenih na procjeni rizika, dokumentiranje tih aktivnosti (zapisnici, odluke, izvješća). Odgovornost više nije samo implicitna, nego i auditabilna. Jedan od najkonkretnijih aspekata članka 29. jest zahtjev da članovi uprave redovito pohađaju edukacije  iz područja kibernetičke sigurnosti.

To znači kontinuirano podizanje razine znanja uprave, razumijevanje novih prijetnji i regulatornih očekivanja, sposobnost interpretacije sigurnosnih izvještaja.

Za mnoge organizacije to predstavlja značajnu promjenu, jer uvodi obveznu profesionalizaciju upravljačke razine u domeni kibernetičkih rizika.

Jedna od najvažnijih praktičnih implikacija članka 29. jest potreba za stvaranjem jasnog “traga odgovornosti” (accountability trail). U slučaju incidenta ili regulatornog nadzora, organizacija mora moći pokazati koje su odluke donesene, na temelju kojih informacija, tko ih je donio, kako se prati njihova provedba.

U nedostatku takvog dokaza, organizacija i njezina uprava izloženi su regulatornim sankcijama.

Mogli bi zaključiti da članak 29. ZKS-a u biti mijenja pitanje s “imamo li dobre tehničke kontrole?” na “možemo li dokazati da upravljamo kibernetičkim rizicima na zahtijevanoj razini?”.

Za uprave i nadzorne odbore to znači izlazak iz zone formalnosti u područje aktivnog, informiranog i dokazivog upravljanja. Organizacije koje tu promjenu shvate ozbiljno imat će ne samo regulatornu usklađenost, nego i stvarnu otpornost, za razliku od ostalih koje će vrlo brzo osjetiti posljedice, bilo kroz nadzore, incidente i/ili reputacijski gubitak.

Vidite li kod uprava još uvijek pristup da je kibernetička sigurnost posao IT odjela ili se počinje shvaćati kao pitanje kontinuiteta poslovanja, odgovornosti i reputacijskog rizika?

Kod dijela uprava još uvijek je prisutan “tradicionalni” pogled da je kibernetička sigurnost primarno odgovornost IT-a, osobito u organizacijama niže razine zrelosti. Međutim, trend se jasno mijenja, sve više uprava počinje kibernetičku sigurnost doživljavati kao pitanje kontinuiteta poslovanja, upravljačke odgovornosti i značajnog reputacijskog rizika. Ipak, u praksi to još nije vidljivo kako bi Zakon „htio“, i možemo reći da smo trenutno u prijelaznoj fazi između ta dva pristupa.

Gdje se u praksi najčešće lomi spremnost organizacija: u razumijevanju obveza, nedostatku ljudi, nedostatku dokaza, zastarjelim procesima ili u tome što sigurnost nikada nije bila sustavno upravljana?

U praksi se spremnost najčešće lomi na kombinaciji faktora, ali najizraženije na nedostatku sustavnog upravljanja sigurnošću i dokazive dokumentacije. Mnoge organizacije imaju određene tehničke mjere, ali nemaju uređen okvir upravljanja rizicima ni “trag” odluka koji regulator očekuje. Odmah iza toga dolaze manjak stručnih ljudi i procesi koji nisu prilagođeni novim zahtjevima.

vCISO se često opisuje kao način da tvrtka dobije sigurnosno vodstvo bez stalnog zapošljavanja CISO-a. Što taj model u praksi doista rješava, a što ne može riješiti umjesto organizacije?

vCISO model (eksternalizirani CISO i Combis Cynomi AI vCISO platforma) u praksi rješava ključni nedostatak strateškog vodstva – donosi strukturirano upravljanje kibernetičkim rizicima, upravljanje rizicima trećih strana (dobavljača), kontinuitetom poslovanja, donosi i iskustvo, metodologiju i “prevođenje” sigurnosti na razinu uprave (izvještavanje), bez potrebe za zapošljavanjem stalnog CISO-a.

Međutim, ne može riješiti temeljne organizacijske slabosti: nedostatak interne odgovornosti, kulture sigurnosti, operativne discipline i resursa za provedbu. Drugim riječima, vCISO može postaviti smjer i okvir, ali organizacija i dalje mora osigurati provedbu i stvarno upravljanje sigurnošću u svakodnevnom radu kroz cijelu organizaciju i procese.

Kada je vCISO usluga najbolje rješenje za tvrtku koja nema CISO funkciju, a kada je korisnija kao podrška postojećem CISO-u i internom sigurnosnom timu?

vCISO kao kombinacija platforme i konzultantske podrške posebno je dobar izbor za organizacije bez CISO funkcije, jer brzo uspostavlja okvir upravljanja, donosi stručnost i daje upravi ono što najčešće nedostaje – strukturiran pristup i dokazivost.

S druge strane, u zrelijim organizacijama s postojećim CISO-om i timom, vCISO ima veću vrijednost kao pojačanje kroz značajnu automatizaciju dosadašnjeg ručnog provođenja upravljanja rizicima (i rizicima trećih strana), izradom politika i dokumentacije, integracijom sa skeniranjem ranjivosti, brzim pregledom i izradom planova sanacije, povezivanjem odrađenih zadataka s ocjenom usklađenosti - jednom rječju na jednom mjestu uz minimalni ručni unos imamo maksimalni pregled, planiranje, upravljanje i izvještavanje i to uz jasnu dokazivost neophodnu za potvrdu usklađenosti. U oba slučaja vrijedi isto pravilo: vCISO ubrzava i strukturira optimizirajući vrijeme internih resursa koji znaju točno što i kada moraju odraditi uz maksimalnu povezanost svih procesa upravljanja kibernetičkom sigurnošću i dokazivost.

Koliko administrativnog, dokumentacijskog i revizijskog rada platforma stvarno može skinuti s ljudi, a gdje i dalje mora ostati ljudska prosudba o riziku, prioritetima i poslovnim kompromisima?

Kao CISO u bankarskom sektoru godinama sam i sama mapirala kontrole u Excelu, pisala politike u Wordu i ručno pripremala dokaze za revizije, pa iz prve ruke znam koliko taj proces boli bez pravog alata. Platforma značajno smanjuje administrativni teret kroz automatizaciju evidencije, izvještavanje, praćenje kontrola, izradu dokumentacije (politika, BCP planova), izradu planova sanacije, vođene procjene (GAP analize) i pripremu za revizije, koja uključuje interna i vanjska skeniranja i integraciju s alatima za skeniranje ranjivostima i ticketing sustavima kao i s bilo kojim drugi sigurnosnim alatom putem Public API-ja čime “skida” velik dio operativne i dokumentacijske rutine s timova. U praksi to znači automatizaciju do 80% administrativnog posla, od GAP analize do izvještaja za upravu.

Međutim, ključni, rekla bih upravljačko-strateški dio ostaje na ljudima: procjena stvarnog poslovnog rizika, određivanje prioriteta i donošenje kompromisa između sigurnosti, troška i operativne učinkovitosti. Drugim riječima, platforma donosi strukturu i brzinu, ali odluke i odgovornost ostaju na organizaciji.

Kako objasniti razliku između alata koji automatizira procese i odgovornog sigurnosnog vodstva, odnosno zašto vCISO nije “čarobna kutija” koja jednim promptom proizvodi sigurnost?

vCISO platforma može automatizirati procese od prikupljanja podataka, praćenja kontrola, generiranje izvještaja, izrada dokumentacije i povezivanje svih unijetih informacija – ali ne može razumjeti širi poslovni kontekst posebno s aspekta rola i resursa neke organizacije ni donositi odluke o prihvatljivom riziku.

Sigurnosno vodstvo podrazumijeva prosudbu, odgovornost i balansiranje između sigurnosti i poslovnih ciljeva. Zato vCISO nije “čarobna kutija”. Platforma može strukturirati i ubrzati upravljanje sigurnošću, ali stvarna sigurnost nastaje tek kroz odluke ključnih ljudi unutar organizacije.

Combisova vCISO usluga oslanja se na AI platformu Cynomi u koju su ugrađeni hrvatski ZKS i prateća Uredba. Koliko je važno da rješenje poznaje lokalni regulatorni okvir, a ne samo generičke međunarodne standarde?

Važno je da rješenje poznaje lokalni regulatorni okvir, jer upravo on definira konkretne obveze i očekivanja, ono što organizacije stvarno moraju dokazati u praksi. Generički standardi daju dobru osnovu i čine osnovu i lokalnog regulatornog okvira, ali ne pokrivaju specifičnosti poput ZKS-a i pripadajuće Uredbe koja je i sama nastala na kombinaciji više poznatih sigurnosnih standarda.

Platforma usklađena s lokalnim propisima zato značajno smanjuje rizik pogrešne interpretacije i pomaže organizacijama da se fokusiraju na ono što je regulatorno i operativno zaista relevantno. Upravo zato smo kao europski Centar izvrsnosti za vCISO unutar Deutsche Telekom grupe u platformu ugradili hrvatski ZKS i prateću Uredbu, točno po člancima i propisanim mjerama.

Što se konkretno mijenja kada su članci zakona, propisane mjere i revizijski zahtjevi ugrađeni u samu platformu, umjesto da se usklađivanje vodi ručno kroz Excel, Word i odvojene konzultantske dokumente?

Kada su regulatorni zahtjevi ugrađeni u samu platformu, usklađivanje postaje kontinuiran i strukturiran proces, a ne ad hoc aktivnost vođena kroz raspršene dokumente. Time se smanjuju greške, ručni rad i povezivost sadržaja a i ovisnost o pojedinim resursima u organizaciji kojima se znatno štedi vrijeme, dok se automatski stvara i jasan “trag” za reviziju.

U praksi to znači da organizacija s Excel/Word pristupa prelazi na sustavno, provjerljivo i skalabilno upravljanje usklađenošću, gdje je status uvijek vidljiv i dostupan svim dionicima organizacije koji moraju biti uključeni u upravljanje sigurnošću a to su uz IT i vlasnici imovine i poslovnih procesa te uprava.

Kako platforma pretvara procjenu stanja, GAP analizu, registar rizika, BIA, kontinuitet poslovanja i upravljanje trećim stranama u operativni plan koji tvrtka može provoditi i dokazivati?

Cynomi vCISO platforma automatski povezuje rezultate procjene stanja, GAP analize, registra rizika, BIA, planova kontinuiteta poslovanja i upravljanja trećim stranama u jedinstveni kontrolni okvir, mapiran na relevantne norme i regulative. Na temelju toga generira prioritetizirani akcijski plan s jasno definiranim zadacima, odgovornostima, rokovima i ovisnostima, uz kontinuirano praćenje napretka i rizika. Svaka aktivnost je povezana s dokazima (evidence management), audit trailom i metrikama, što omogućuje organizaciji da ne samo provodi plan već i u svakom trenutku dokazivo demonstrira usklađenost i napredak.

Koliko su za reviziju važni sljedivost, centralizirani dokazi, posture score, compliance score i mogućnost da se iz godine u godinu pokaže stvarni napredak, a ne samo jednokratna usklađenost na papiru?

Za reviziju su upravo ti elementi ključni jer omogućuju dokazivu usklađenost, a ne samo deklarativnu. Sljedivost i centralizirani dokazi daju revizoru jasan uvid što je napravljeno, kada i na temelju čega, dok posture i compliance score omogućuju objektivno mjerenje stanja.

Zahtjevi ZKS-a i pripadnih akata (Smjernicama za provedbu samoprocjene kibernetičke sigurnosti (ZSIS)) jasno naglašavaju kontinuirani rast sigurnosne zrelosti, a ne jednokratno ispunjavanje kontrola. Upravo zato su sljedivost, centralizirani dokazi te metrike poput posture i compliance score-a ključni jer omogućuju organizaciji da pokaže kako se njezin sigurnosni sustav razvija kroz vrijeme, a ne samo da je jednom bio “usklađen”.

Regulator izrijekom zahtijeva ne samo ocjenu trenutnog stanja, nego i praćenje trenda odnosno dokaz da se razina zrelosti organizacije povećava kroz vrijeme, što je upravo suština kontinuiranog poboljšanja koje revizija očekuje.

U praksi to znači da revizija više ne gleda samo trenutno stanje, nego i trendove, poboljšanja i sposobnost organizacije da sustavno upravlja rizikom u skladu s regulatornim očekivanjima.

Jedna od najvećih slabih točaka kibernetičke sigurnosti danas je lanac opskrbe, jer gotovo svaka tvrtka ovisi o dobavljačima, partnerima, vanjskim servisima i softverskim platformama. Koliko su hrvatske i regionalne tvrtke svjesne da je rizik trećih strana postao njihov vlastiti rizik?

Svijest o riziku trećih strana u porastu je, ali još uvijek nije na razini koja bi odgovarala stvarnoj izloženosti. Mnoge organizacije razumiju da dobavljači predstavljaju rizik, no u praksi taj rizik često nije sustavno uključen u upravljanje sigurnošću i procjene.

Drugim riječima, koncept da je “rizik dobavljača naš vlastiti rizik” sve se češće prepoznaje, ali operativno upravljanje lancem opskrbe i dalje zaostaje za tom spoznajom jer zahtjeva dodatne resurse u samim organizacijama koje su već ionako potkapacitirane po pitanju kako IT tako još i više sigurnosnih stručnjaka.

Kako vCISO pristup pomaže tvrtkama da sustavno procijene dobavljače, ugovorne obveze, kritične servise i operativne ovisnosti koje mogu ugroziti poslovanje?

vCISO pristup uvodi strukturirani okvir za upravljanje rizikom trećih strana kroz zaseban modul s automatiziranim i vođenim pitanjima te procjenom. Platforma pomaže da se te ovisnosti učine vidljivima i mjerljivima, umjesto da ostanu implicitne. Automatizirane procjene pritom skraćuju vrijeme potrebno za evaluaciju dobavljača za više od 70%.

Istovremeno, rezultati procjene pomažu kroz ekspertizu eksternog CISO-a osigurava se da se rezultati procjena prevedu u konkretne odluke koje dobavljače prihvatiti, gdje pojačati kontrole i kako upravljati operativnim rizicima koji izravno utječu na kontinuitet poslovanja.

Jesu li veće tvrtke u pravilu bolje pripremljene za TPRM ili upravo zbog složenijih lanaca opskrbe imaju veći problem dokazivanja kontrole nad vanjskim rizicima?

Veće tvrtke u pravilu imaju razvijenije TPRM procese i više resursa, pa su formalno bolje pripremljene. Međutim, upravo zbog složenijih i opsežnijih lanaca opskrbe imaju i znatno veći izazov u dokazivanju stvarne kontrole nad svim vanjskim rizicima.

U praksi to znači da su naprednije u pristupu, ali istovremeno izloženije jer kompleksnost ekosustava često nadmašuje sposobnost potpune vidljivosti i kontinuiranog nadzora.

Koliko cyber-osiguranje postaje dodatni pritisak na tvrtke, osobito ako osiguravatelji traže razinu dokaza i mjera koja u praksi može biti stroža od minimalne regulatorne obveze?

Cyber-osiguranje sve više djeluje kao dodatni, često i jači pritisak od samih regulatornih zahtjeva, jer osiguravatelji procjenjuju stvarni rizik i potencijalni gubitak, a ne samo formalnu usklađenost. U praksi to znači da traže konkretnije dokaze, učinkovitije kontrole i kontinuirano upravljanje sigurnošću.

Posljedično, tvrtke se nalaze u situaciji gdje “minimalna usklađenost” više nije dovoljna kako bi dobile policu ili povoljnije uvjete, moraju moći dokazati višu razinu zrelosti.

Na tržištu nedostaje sigurnosnih stručnjaka, CISO profili su rijetki i skupi, a broj obveznika regulative raste. Kako u takvim uvjetima izgleda realan model kibernetičke zrelosti za Hrvatsku, regiju i EU?

Realan model kibernetičke zrelosti u ovim uvjetima sve se više temelji na hibridnom pristupu, kombinaciji interne odgovornosti i eksternih kapaciteta poput vCISO-a, automatiziranih platformi i eksternaliziranog CISOa. Drugim riječima, organizacije ne mogu i ne trebaju sve kompetencije razvijati interno.

U praksi to znači fokus na upravljanje rizicima, prioritizaciju i dokazivu usklađenost, uz pametno korištenje ograničenih resursa. Najzrelije organizacije neće biti one s najvećim timovima, nego one koje uspiju strukturirano upravljati sigurnošću uz kombinaciju ljudi, procesa i tehnologije.

Može li vCISO model postati standardni put za srednje i velike organizacije koje moraju zadovoljiti ZKS, NIS2, GDPR, ISO 27001 ili DORA zahtjeve, ali nemaju mogućnost izgraditi puni interni sigurnosni odjel?

Da, vCISO model postaje standardni put, osobito za srednje i veće organizacije koje su pod pritiskom više regulatornih okvira, a najčešće nemaju kapacitet za puni interni sigurnosni odjel. On omogućuje brzo uspostavljanje upravljačkog okvira, usklađenosti i dokazivosti bez velikih inicijalnih ulaganja u ljude a usput povisuje efektivnost sigurnosnih i IT stručnjaka uz olakšanje upravama da donose pravodobne odluke.

Ipak, to nije zamjena za internu odgovornost, nego optimalan operativni model -kombinacija eksternog vodstva, platforme i interne odgovornosti koja omogućuje održivu razinu sigurnosne zrelosti u realnim tržišnim uvjetima.

Koliko tržište u Hrvatskoj i regiji kasni za regulatornim zahtjevima EU i što će se dogoditi s tvrtkama koje usklađivanje shvate kao formalnost, a ne kao kontinuirano upravljanje rizikom?

Hrvatsko i regionalno tržište objektivno kasni za operativnom provedbom i upravljačkoj zrelosti regulatornih zahtjeva EU, iako je svijest o obvezama u posljednje dvije godine znatno porasla.

Tvrtke koje usklađivanje shvate kao formalnost vrlo brzo će se naći pod pritiskom kroz strože nadzore i stvarne incidente – jer regulativa poput ZKS-a i NIS2 jasno očekuje kontinuirano upravljanje rizikom, a ne jednokratnu “checklist” usklađenost a ni hackeri ne miruju kao što vidimo. Dugoročno, takav pristup rezultira većim troškovima, reputacijskim gubicima i većom izloženošću poslovnim poremećajima.

Kada govorimo o trošku sigurnosti, kako upravama objasniti koliko zapravo košta ne ulagati u sigurnost: kroz prekid poslovanja, kazne, gubitak povjerenja, lošije uvjete osiguranja i propuštene uštede koje se otkriju tek kad se imovina i procesi napokon detaljno mapiraju?

Upravama je najlakše objasniti ulaganje u sigurnost kroz perspektivu ukupnog poslovnog troška rizika a to bi zvučalo ovako, ne ulagati u sigurnost ne znači “uštedjeti”, nego preuzeti nevidljive, ali vrlo konkretne buduće troškove, a to su prije svega - prekid poslovanja, regulatorne kazne, gubitak prihoda i povjerenja na tržištu.

Dodatno, često se zanemaruje da se pravi troškovi otkrivaju tek kada dođe do incidenta ili manje bolno kroz procjene rizika, tada postaje jasno koliko su procesi neučinkoviti i koliko je propuštenih optimizacija. Drugim riječima, ulaganje u sigurnost nije trošak, nego način da se kontrolirano upravlja mnogo većim i skupljim posljedicama ili ljepše rečeno zadrži kompetitivnost i poslovanje.