Širenjem digitalizacije na sva područja društva raste i broj sigurnosnih incidenata u Hrvatskoj. Prema podacima Nacionalnog CERT-a, tijekom 2023. godine prijavljeno je 1876 računalnih sigurnosnih incidenata, što predstavlja porast od 23% u odnosu na prethodnu godinu. Ugroženost digitalnih sustava postaje svakodnevica, a hakeri kontinuirano razvijaju nove metode napada. Financijske štete prouzročene sigurnosnim incidentima mjere se u milijunima kuna, ne računajući nematerijalne gubitke poput narušenog ugleda i povjerenja korisnika.
Za hrvatske tvrtke koje traže rješenja u digitalnoj sigurnosti, koristan izvor informacija nudi se na portalu https://rtbet-hrvatska.com. Nedavno objavljeni članak na ovom portalu analizira trend porasta napada na male poduzetnike.
Sigurnosni izazovi domaćeg gospodarstva
Hrvatski poslovni subjekti suočavaju se s ozbiljnim izazovima u zaštiti svojih digitalnih sustava. Istraživanje koje je provela Hrvatska udruga za informacijsku sigurnost na uzorku od 315 tvrtki pokazalo je zabrinjavajuće stanje. Tek svaka treća tvrtka zapošljava barem jednog djelatnika čiji je primarni posao vezan uz informatičku sigurnost. Brojne organizacije iz nužnosti prepuštaju brigu o sigurnosti vanjskim suradnicima ili pak IT generalističima kojima nedostaje specijalistička edukacija za ovo područje.
Fiskalizacija, digitalizacija zdravstva i razvoj e-građanina donijeli su brojne prednosti, ali i sigurnosne rizike. Nedavni incident u kojem su osobni podaci pacijenata jedne zagrebačke poliklinike postali dostupni neovlaštenim osobama pokazao je ranjivost sustava koji barataju osjetljivim informacijama. Istražitelji su utvrdili kako je do proboja došlo zbog neažuriranog softvera i nepostojanja višeslojne autentifikacije.
Mnoge javne ustanove koriste zastarjelu IT infrastrukturu koja nije dizajnirana za suočavanje sa suvremenim prijetnjama. Računala s operativnim sustavima kojima je istekla podrška proizvođača još uvijek se mogu pronaći u brojnim školama, općinama i manjim zdravstvenim ustanovama. Ministarstvo uprave pokrenulo je projekt modernizacije IT infrastrukture javnog sektora, no implementacija teče sporije od planiranog zbog ograničenih proračunskih sredstava.
Najčešće prijetnje
Ransomware predstavlja najdestruktivniju prijetnju za hrvatske organizacije. Tijekom 2023. godine nekoliko proizvodnih tvrtki i jedna bolnica bili su prisiljeni zaustaviti rad nakon što su njihovi sustavi bili zaključani zlonamjernim softverom. Hakeri su tražili otkupninu u kriptovalutama za ključ za dešifriranje podataka. Troškovi ovakvih napada izuzetno su visoki i uključuju ne samo potencijalnu otkupninu već i dane izgubljene proizvodnje, troškove oporavka sustava te angažiranje vanjskih stručnjaka.
Phishing napadi postaju sve sofisticiraniji. Umjesto očitih prijevara s pravopisnim greškama i generičkim sadržajem, danas su česte vrlo uvjerljive poruke koje oponašaju komunikaciju poznatih institucija. Napadači često detaljno istražuju ciljanu organizaciju, njezinu strukturu i poslovne procese kako bi kreirali što uvjerljiviju poruku. Financijske institucije u Hrvatskoj bilježe porast phishing kampanja koje ciljaju njihove korisnike, navodeći ih na otkrivanje vjerodajnica za internetsko bankarstvo.
Nedovoljna edukacija korisnika ostaje ključni problem. Istraživanje koje je proveo Fakultet elektrotehnike i računarstva na uzorku od 1200 zaposlenika različitih tvrtki pokazalo je da 47% ispitanika nije moglo prepoznati sve phishing poruke u testu. Samo 23% ispitanika redovito mijenja zaporke, a čak 31% priznaje da koristi istu ili vrlo sličnu zaporku za više različitih servisa.
Regulativa i usklađenost
Zakonodavni okvir kibernetičke sigurnosti u Hrvatskoj određen je Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga te Općom uredbom o zaštiti podataka.
Usklađenost s uredbom GDPR pokazala se izazovnom za mnoge hrvatske organizacije. Agencija za zaštitu osobnih podataka provela je tijekom prošle godine 87 nadzora i izrekla kazne u ukupnom iznosu od 1,2 milijuna kuna. Najčešći prekršaji uključuju nedovoljne tehničke i organizacijske mjere zaštite osobnih podataka te neprijavljivanje incidenata narušavanja sigurnosti osobnih podataka.
Prema procjenama stručnjaka, oko 6000 hrvatskih tvrtki morat će uskladiti svoje poslovanje s novim zahtjevima, što će zahtijevati značajna ulaganja u sigurnosne sustave i procese.
Izazovi za gospodarstvo
Troškovi implementacije naprednih sigurnosnih rješenja često su previsoki za njihove proračune, a nemaju ni dovoljno stručnog kadra za upravljanje složenim sigurnosnim sustavima. Istraživanje Hrvatske obrtničke komore pokazalo je da 68% malih tvrtki nema formalno definiranu sigurnosnu politiku, a 72% ne provodi redovite sigurnosne provjere.
Nedavno pokrenuti program “Sigurni u digitalnom svijetu” nastoji adresirati ovaj problem kroz subvencioniranje osnovnih sigurnosnih mjera za mala poduzeća. Program uključuje financiranje antivirusnih rješenja, vatrozida i osnovnih sigurnosnih provjera. Tijekom prve godine, programom je obuhvaćeno 350 tvrtki iz različitih sektora.
Edukacija i razvoj vještina
Prema procjenama strukovnih udruženja, trenutno nedostaje oko 1200 stručnjaka u ovom području. Obrazovni sustav sporo se prilagođava ovim potrebama, iako je nekoliko visokoškolskih ustanova uvelo specijalizirane studijske programe i kolegije iz područja kibernetičke sigurnosti.
Tvrtka Infigo IS pokrenula je akademiju kibernetičke sigurnosti koja kroz intenzivne tromjesečne programe osposobljava polaznike za rad u ovom području. Program kombinira teorijsku nastavu s praktičnim vježbama u laboratorijskom okruženju gdje polaznici uče prepoznavati i odgovarati na stvarne sigurnosne prijetnje.
Budućnost kibernetičke sigurnosti
Sigurnosni izazovi nastavit će se povećavati s daljnjom digitalizacijom društva. Internet stvari donosi posebne rizike jer povezuje milijune uređaja s često manjkavom sigurnosnom zaštitom. Prema predviđanjima analitičara, do 2025. godine prosječno kućanstvo u Hrvatskoj imat će više od 20 povezanih uređaja, od pametnih žarulja i termostata do kućanskih aparata s internetskom vezom.
Kvantno računarstvo predstavlja dugoročnu prijetnju trenutnim kriptografskim metodama. Kada kvantna računala dosegnu dovoljnu razinu razvoja, moći će probiti mnoge današnje enkripcijske algoritme. Hrvatski akademski stručnjaci s Instituta Ruđer Bošković aktivno rade na razvoju post-kvantnih kriptografskih metoda koje će biti otporne na napade kvantnih računala.