Zašto je to važno
Kibernetički kriminal projicira se na 10,5 bilijuna dolara godišnje do 2025. (Cybersecurity Ventures). Svaka organizacija — bez obzira na veličinu ili industriju — je meta. Regulatorni okvir se pomaknuo od dobrovoljnih najboljih praksi do obveznih zahtjeva: NIS2 u EU-u i Zakon o kibernetičkoj sigurnosti u Hrvatskoj. Kibernetička sigurnost više nije samo IT pitanje — to je odgovornost na razini uprave.
Vrste kibernetičke sigurnosti
- Mrežna sigurnost — zaštita mrežne infrastrukture od upada
- Aplikacijska sigurnost — zaštita softvera od ranjivosti
- Sigurnost u oblaku — zaštita podataka i aplikacija u cloud okruženjima
- Sigurnost krajnjih točaka — zaštita pojedinačnih uređaja (laptopi, mobiteli, serveri)
- Upravljanje identitetom i pristupom — kontrola tko čemu pristupa
- Sigurnost podataka — enkripcija, sigurnosne kopije, sigurno postupanje s podacima
- Oporavak od katastrofa / kontinuitet poslovanja — održavanje rada tijekom i nakon napada
Česte prijetnje
| Prijetnja | Opis | Utjecaj |
|---|---|---|
| Phishing | Lažni emailovi koji kradu podatke za prijavu | 90%+ povreda počinje ovdje |
| Ransomware | Malware koji šifrira podatke za otkupninu | Prosječni trošak: 1,82M $ |
| Napadi na opskrbni lanac | Kompromitiranje dobavljača | SolarWinds, MOVEit |
| Insajderske prijetnje | Zaposlenici koji zlouporabljuju pristup | 25% povreda uključuje insajdere |
| DDoS | Preopterećenje sustava prometom | Prekid usluge |
Regulatorni okvir u Hrvatskoj
- NIS2 / Zakon o kibernetičkoj sigurnosti — obvezne mjere za bitne i važne subjekte
- GDPR — zaštita osobnih podataka zahtijeva odgovarajuće sigurnosne mjere
- CERT.hr — nacionalni tim za odgovor na računalne sigurnosne incidente
- ENISA — EU Agencija za kibernetičku sigurnost
Izgradnja programa kibernetičke sigurnosti
- Upravljanje — nadzor uprave, uloga CISO-a, sigurnosna strategija
- Procjena rizika — identificiranje imovine, prijetnji, ranjivosti
- Kontrole — tehničke, administrativne i fizičke zaštitne mjere
- Svijest — edukacija svih zaposlenika (ne samo IT-a)
- Detekcija — nadzor mreže, sustavi za otkrivanje upada
- Odgovor — plan odgovora na incidente, redovito testiran
- Oporavak — sigurnosne kopije, plan oporavka
- Usklađenost — mapiranje kontrola na regulatorne zahtjeve
Ključna regulativa
- NIS2 Direktiva (EU 2022/2555) — EU okvir kibernetičke sigurnosti
- Zakon o kibernetičkoj sigurnosti — hrvatsko zakonodavstvo
- ISO/IEC 27001:2022 — standard za upravljanje informacijskom sigurnošću
- ENISA smjernice — EU smjernice za kibernetičku sigurnost