Ulaganje u sigurnost donosi strateške prednosti

Jedan od prioritetnih koraka koji bi tvrtke trebale napraviti je provođenje GAP analize kako bi se utvrdilo zatečeno stanje u odnosu na zahtjeve direktive NIS2, a sama analiza identificira potrebne mjere za usklađivanje, pojašnjava za ICTbusiness.info Siniša Staničić, direktor odjela ICT prodaje i rješenja u A1 Hrvatska.

Prema njegovim riječima radi se o do sada najopsežnijoj EU regulativi, koja za cilj ima povećati sigurnost mreža i informacijskih sustava odnosno smanjiti rizik od kibernetičkih prijetnji i povećati otpornost organizacija diljem Europe na kibernetičke napade.

Implementacija sigurnosnih mjera zahtijeva početna ulaganja, kako u tehnologiju, tako i u procese i edukaciju zaposlenika, međutim, dugoročno gledano, ovakva ulaganja predstavljaju stratešku prednost, zaključuje Staničić.

Kako NIS2 direktiva mijenja pristup kibernetičkoj sigurnosti u EU?

NIS2 direktiva propisuje strože zahtjeve za upravljanje rizicima te obveze izvještavanja o incidentima, a predviđa i visoke kazne za neusklađenost. Radi se o do sada najopsežnijoj EU regulativi, koja za cilj ima povećati sigurnost mreža i informacijskih sustava odnosno smanjiti rizik od kibernetičkih prijetnji i povećati otpornost organizacija diljem Europe na kibernetičke napade.

NIS2 proširuje popis sektora i subjekata koji podliježu propisima. Obuhvaća tvrtke u energetici, transportu, zdravstvu, financijama, digitalnim uslugama i mnogim drugim sektorima, pri čemu primjena mjera ovisi o tome radi li se o ključnim subjektima ili pak o važnim subjektima.

Za poduzetnike u Hrvatskoj direktiva podrazumijeva poboljšanje kibernetičke sigurnosti, odnosno implementaciju mjera poput jačanja sigurnosti mreža, upravljanja incidentima kao i povećanja kontrole pristupa podacima. Regulativa predviđa visoke novčane kazne za neusklađenost, što može značajno utjecati na poslovanje tvrtki, posebice onih koje posluju u sektorima ključnima za funkcioniranje društva i gospodarstva.

Koje su glavne obveze organizacija prema NIS2 direktivi?

Jedan od prioritetnih koraka koji bi tvrtke trebale napraviti je provođenje GAP analize kako bi se utvrdilo zatečeno stanje u odnosu na zahtjeve direktive. Sama analiza identificira potrebne mjere za usklađivanje. Potom je tu i A1 Sigurnosni operativni centar koji korisnicima omogućuje nadzor krajnjih točaka, ali i kvalitetnu reakciju u slučaju napada.

Poduzetnici u Hrvatskoj trenutno zaprimaju obavijest o kategorizaciji te imaju period od godinu dana da se usklade s NIS2 direktivom i krenu s izvještavanjem o incidentima i to od trenutka zaprimanja kategorizacije. Osim financijskih sankcija koje sam spomenuo, ne treba zanemariti da neusklađenost s direktivom može dovesti i do gubitka povjerenja klijenata i poslovnih partnera. Naime, prema direktivi tvrtke moraju javno izvještavati o sigurnosnim incidentima koji značajno utječu na pružanje njihovih usluga, što može narušiti reputaciju.  

Kako A1 Hrvatska pomaže organizacijama u ispunjavanju zahtjeva NIS2 direktive?

Korisnicima nudimo širok spektar sigurnosnih rješenja, poput firewalla, data centra i multifaktorske autentifikacije, koja im omogućuju učinkovitu prilagodbu NIS2 direktivi. Među njima se izdvaja A1 Sigurnosni operativni centar (SOC), koji osigurava kontinuirani nadzor IT sustava i zaštitu od kibernetičkih prijetnji. Ovo rješenje nudi neprekidan nadzor svih komponenti IT sustava, uključujući mrežni promet, servere i aplikacije, kao i naprednu detekciju svih vrsta prijetnji. U sklopu SOC-a, A1 redovito ispostavlja sigurnosne izvještaje s preporukama za poboljšanje zaštite te daje stručne preporuke i stalnu, 24/7 podršku za poboljšanje sigurnosne strategije.

Uz to, pružamo i uslugu Automatskog penetracijskog testiranja, koje identificira ranjivosti i aktivno pokušava iskoristiti otkrivene sigurnosne slabosti, uz simulaciju. Za razliku od klasičnih testova ranjivosti, koji samo pronalaze sigurnosne propuste i daju preporuke za njihovo otklanjanje, ovo rješenje ide korak dalje te provodi dubinsku analizu sigurnosnih pravila i alata unutar sustava.

Testiranje se provodi brzo i jednostavno, bez potrebe za dodatnim prilagodbama sustava, a nakon završetka korisnicima su odmah dostupni detaljni izvještaji s prioritetnim preporukama za otklanjanje ranjivosti. Također, platforma se kontinuirano ažurira kako bi mogla detektirati i najsuvremenije prijetnje, čime se osigurava visoka razina zaštite.

Kako se organizacije mogu zaštititi od rastućih kibernetičkih prijetnji?

Temeljita analiza i testiranje sigurnosti kompanije, poput automatskog penetracijskog testiranja, prvi je korak jer organizacijama omogućuju da identificiraju i adresiraju ranjivosti te da poduzmu mjere zaštite od kibernetičkih prijetnji. Nakon uspostavljanja sigurnosnih politika nužno je osigurati i redovite sigurnosne provjere, uspostaviti kontrolirani pristup i zaštitu podatkovnih centara, odnosno infrastrukture. Naravno, organizacije ne smiju zanemariti ni ljudski faktor, odnosno kontinuiranu edukaciju zaposlenika. 

Sigurnosni rizici ovise o sektoru. Upravo zato A1 Sigurnosni operativni centar nudi analizu postojeće IT infrastrukture i sigurnosnih zahtjeva, nakon čega se prilagođava specifičnim potrebama i postojećim sustavima korisnika, bez ometanja poslovanja. Po završetku implementacije, A1 SOC odmah preuzima aktivno praćenje i odgovara na incidente, a redovitim provođenjem testova osigurava se potpuna operativnost i učinkovitost sustava. Brzo izvještavanje o sigurnosnim incidentima omogućuje organizacijama da se bolje pripreme za kibernetičke prijetnje i poduzmu potrebne mjere zaštite, odnosno osiguravaju brzu reakciju i smanjuju potencijalnu štetu.

Kakav je dugoročni utjecaj NIS2 direktive na poslovnu zajednicu?

Implementacija sigurnosnih mjera zahtijeva početna ulaganja, kako u tehnologiju, tako i u procese i edukaciju zaposlenika. Međutim, dugoročno gledano, ovakva ulaganja predstavljaju stratešku prednost. Naime, govorimo o sustavnom smanjenju kibernetičkih rizika, boljoj zaštiti podataka i osiguravanju kontinuiteta poslovanja. NIS2 direktivu tako se može promatrati i kao priliku jer će ona omogućiti organizacijama da pokažu visoku razinu otpornosti, koja je u sektorima poput financija i zdravstva ključna. Tu ne treba ni zanemariti da će organizacije koje već danas počnu graditi kulturu kibernetičke sigurnosti biti u boljoj poziciji za prilagodbu budućim zahtjevima.

Kako NIS2 direktiva mijenja ulogu uprave tvrtke u osiguravanju kibernetičke sigurnosti, i koje su potencijalne posljedice za upravu u slučaju nepoštivanja direktive?

NIS2 traži da Uprava društva bude uključena u upravljanje rizicima, što podrazumijeva i mogućnost individualne odgovornosti u slučaju ozbiljnih propusta. Uprava će morati odobravati mjere za upravljanje rizicima te nadgledati njihovu provedbu. Ukratko, kibernetička sigurnost postaje temeljni dio upravljanja, odnosno dio šire poslovne strategije.