NIS2 je stigao. Koliko su zapravo sigurni kriptografski ključevi koji štite vaše poslovanje?

Većina organizacija svoje podatke smatra najvrjednijim digitalnim resursom. Međutim, iz perspektive današnjih napadača često postoji još privlačnija meta – kriptografski ključevi koji štite identitete, certifikate, aplikacije i pristup kritičnim sustavima.

Upravo zato, kako se približava puna primjena NIS2 direktive i novih nacionalnih obveza u području kibernetičke sigurnosti, sve više organizacija preispituje koliko su njihovi sustavi doista otporni na suvremene prijetnje. Iako se najveći dio rasprava posljednjih mjeseci usmjerio na upravljanje rizicima, prijavu incidenata i sigurnost lanca vrijednosti, u pozadini se otvara tema o kojoj se još uvijek nedovoljno govori – koliko su zapravo sigurni kriptografski ključevi koji štite digitalno poslovanje?

“Većina modernih poslovnih sustava danas funkcionira zahvaljujući kriptografiji. Digitalni certifikati, elektronički potpisi, autentikacija korisnika, enkripcija podataka i sigurna komunikacija između sustava ovise o kriptografskim ključevima. Oni predstavljaju temelj digitalnog povjerenja”, objašnjava Ivan Galić, cyber security stručnjak iz Alfateca.

Rizik se javlja onda kada se zaštita kriptografskih ključeva u organizacijama doživljava isključivo kao tehnički zadatak IT odjela. No u praksi, to je pitanje koje nadilazi samu tehnologiju jer može izravno utjecati na stabilnost poslovanja, povjerenje korisnika, ugled organizacije i ispunjavanje regulatornih obveza.

Sigurnosni incidenti u posljednjih nekoliko godina jasno pokazuju promjenu u načinu djelovanja napadača. Njihov fokus više nije uvijek na samim podacima, već sve češće na digitalnim identitetima, certifikatima i sustavima koji upravljaju kriptografskim ključevima. Kompromitacijom privatnog ključa napadač može preuzeti identitet legitimnog korisnika ili sustava, izdavati certifikate, zaobići postojeće sigurnosne mehanizme i doći do informacija koje bi trebale ostati zaštićene.

Takvi incidenti rijetko ostaju ograničeni samo na tehničku razinu. Njihove posljedice mogu uključivati narušeno povjerenje korisnika, prekide u poslovanju, regulatorne sankcije i dugoročnu reputacijsku štetu, što za organizaciju često predstavlja veći izazov od samog sigurnosnog događaja.

Uz to, upravljanje certifikatima i kriptografskim ključevima postaje sve zahtjevnije. Današnje organizacije često imaju stotine ili tisuće certifikata raspoređenih kroz cloud okruženja, podatkovne centre, poslovne aplikacije, SaaS platforme i brojne uređaje povezane na mrežu.

Dodatni izazov predstavlja i skraćivanje životnog vijeka SSL/TLS certifikata. Ono što je nekad bila administrativna aktivnost koja se provodila povremeno danas postaje kontinuirani operativni proces. Certifikate treba pratiti, obnavljati, rotirati ključeve i osigurati da nijedan kritični sustav ne ostane bez valjanih sigurnosnih mehanizama.

“Zbog toga organizacije sve više ulažu u centralizirano upravljanje certifikatima i kriptografskim ključevima. Takav pristup pruža bolju preglednost, smanjuje mogućnost ljudske pogreške i olakšava usklađivanje s regulatornim zahtjevima.” kaže Galić.

No vidljivost je tek prvi korak.Ako organizacija zna gdje se njezini ključevi nalaze, sljedeće pitanje glasi: kako ih štiti?

“Tradicionalni pristup, u kojem se ključevi pohranjuju unutar aplikacija ili na poslužiteljima zaštićenima prvenstveno softverskim mehanizmima, više ne pruža razinu sigurnosti koju zahtijevaju današnje prijetnje. Moderni napadači vrlo dobro razumiju vrijednost kriptografskih ključeva i svjesni su da kompromitacija jednog ključa može otvoriti vrata cijelom sustavu.” nastavlja Galić.

Zbog toga sve više organizacija usvaja koncept hardware root of trust. Taj pristup podrazumijeva da se najosjetljiviji sigurnosni elementi štite na hardverskoj razini, odvojeno od ostatka IT okruženja.

U praksi tu funkciju najčešće imaju Hardware Security Module (HSM) sustavi. Njihova uloga nije ograničena samo na sigurnu pohranu ključeva. HSM sustavi omogućuju stvaranje posebno zaštićenog okruženja u kojem se kriptografski ključevi generiraju, koriste i čuvaju kroz cijeli njihov životni ciklus.

Takva infrastruktura danas čini važan temelj brojnih sustava digitalnog povjerenja, od infrastrukture javnih ključeva i digitalnih potpisa do sustava za upravljanje identitetima, enkripcijskih platformi i cloud servisa.

Alfatec već više od tri desetljeća surađuje s tvrtkom Thales na projektima zaštite kritičnih sustava i digitalnih identiteta. Jedno od najpoznatijih rješenja u tom području je Thales Luna HSM, koji organizacijama omogućuje uspostavu hardware root of trust te zaštitu kriptografskih ključeva u skladu sa suvremenim sigurnosnim i regulatornim zahtjevima.

Takva rješenja danas koriste financijske institucije, telekomunikacijski operateri, državne institucije, zdravstvene organizacije i drugi sustavi u kojima je povjerenje temelj svakodnevnog poslovanja.

Važnost zaštite kriptografskih ključeva dodatno raste u kontekstu NIS2 direktive i hrvatskog Zakona o kibernetičkoj sigurnosti. Nova regulativa od organizacija zahtijeva dokazivo upravljanje rizicima i zaštitu kritičnih sustava.

Istodobno, Europa sve snažnije otvara pitanje digitalnog suvereniteta. Organizacije više ne žele samo zaštititi podatke. Žele zadržati kontrolu nad vlastitim identitetima, certifikatima, kriptografskim ključevima i sigurnosnom infrastrukturom na kojoj počiva njihovo poslovanje.

Upravo zato digitalni suverenitet i cyber otpornost danas postaju dvije strane iste medalje.

Organizacije koje imaju potpunu kontrolu nad svojim kriptografskim resursima spremnije su odgovoriti na sigurnosne incidente, regulatorne zahtjeve i sve sofisticiranije prijetnje koje dolaze iz digitalnog okruženja.

“Onaj tko će čekati prvi incident da pokrene proces usklađivanja, platit će puno više od bilo koje regulatorne kazne. Cijena se često mjeri izgubljenim povjerenjem korisnika, reputacijom i prekidima poslovanja”, upozorava Galić.

Možda je upravo to i najvažnija poruka koju donosi NIS2. Usklađenost nije cilj sama po sebi. Ona je prilika da organizacije preispitaju temelje na kojima počiva njihova digitalna sigurnost.

A kada se dođe do samih temelja, vrlo brzo postaje jasno da se povjerenje u digitalnom svijetu ne gradi samo na pravilnicima i procedurama već na realnoj sposobnosti da zaštitimo ono što napadači danas najviše traže - naše podatke.