Autor: Goran Račić, Infigo IS
Ruku na srce, velik dio EU direktive i tko zna čega sve nas ne dotiče previše. A pod nama mislimo na nas, ljude, šljaku, ljude koji tipkaju nešto za posao pa nešto tipkaju iz zadovoljstva. Te se direktive kroz zakone prenose na države članice i još uvijek nas, ljude, ne pogađaju previše – da, pazi se da se ne krši zakon i tu nekako stvari završavaju.
Ne, postoje neki događaji koje bismo, ovaj put kao informatičari, trebali malo pažljivije gledati. U Infigo IS-u bavimo se sa svime što ima veze s IT sigurnošću, a to znači da naš konzultantski dio itekako pazi na nove zakone, propise, direktive i što već ne, kako bi ostatak tvrtke osigurao da ne rade stvari koje nisu po zakonu ili se ne poklapaju s propisima. Što je vrlo važno za naš sektor.
Kada je 2016. godine usvojena NIS (The Network and Information Systems) direktiva, za koju smo kao država članica imali par godina da je „pretočimo“ u naše zakone, svi su pomalo sa strahom gledali što donosi. NIS je bio jedan od velikih koraka kojim je EU pokušala podići razinu sigurnosti kritičnog sustava – drugim riječima, otežati i spriječiti bilo koga da kolektivno isključuje struju, vodu, komunikacije… Bitne stvari za funkcioniranje društva, kritičnu infrastrukturu, morala (sigurno ) osnažiti .
Pokazalo se da je EU malo preoptimističan u razmišljanju o tome što su kritični sustavi jer smo dobili direktivu NIS 2, koja je izvorno izbacila iz prometa, a do kraja ove godine u Hrvatskoj očekujemo novi zakon temeljen na ono što se spominje u dva.
NIS 2 donosi mnogo toga, ako želite utrošiti par sati na čitanjesamo daj, ali glavno je da se broj sektora koji uključuje broj poreznih obveznika povećava nekoliko puta (procjenjuje se da raste više od tri puta) i da su sigurnosni zahtjevi sveobuhvatniji.
Što su te direktive ikad napravile za nas?
Da li to ima ikakvog smisla, tj. kako je prošlo u originalu? Pa, neloše. Pružatelji kritičnih usluga morali su poboljšati sigurnost, to je uvijek dobro. SOA (Sigurnosno-obavještajna agencija) je 2019. uspostavila Centar za kibernetičku sigurnost, a SOA i ZSIS (Zavod za sigurnost informacijskih sustava) izgradili su sustav SK@UT koji služi za otkrivanje, rano upozoravanje i zaštitu od državno sponzoriranih napada koji su, nažalost, , svake godine u porastu.
NIS 2 bi, kada se pretoči u hrvatske zakone, trebao nastaviti takav trend – sve kritično i važno treba dodatno osigurati mjerama koje nadilaze tri glavne komponente sigurnosti (ljudi, procesi i tehnologija). SOA, koja ovaj put koordinira prenošenje direktive u zakon, predlaže da se njihov Centar za kibernetičku sigurnost transformira u Nacionalni centar za kibernetičku sigurnost – kažu da je to logično jer su najkompletniji nacionalni resursi za kibernetičku sigurnost.
Ruku na srce, Infigo IS ima svoj SOC (Security Operations Center) koji koristimo kako za interne potrebe tako i za “iznajmljivanje” svoje sigurnosne stručnosti tvrtkama diljem Europe, pa vam iz prve ruke možemo reći koliko je zahtjevno uspostavljanje SOC-a. Na nacionalnoj razini izgradite tako neki sigurnosni centar od nule, u vremenu kada ne možete dopustiti da nekoliko sekundi bez konstantnog nadzora IT sustava, to je vjerojatno suludo teško.
Dobro, što mi možemo imati od toga?
No što tvrtke u Hrvatskoj mogu imati od nove direktive? Dosta toga. Zapravo, ne od same direktive nego i od ostatka nastojanja EU da poboljša sigurnost diljem Unije. Jedan od aktova, Zakon o kibernetičkoj sigurnosti EU-a, omogućio je stvaranje okvira za kibersigurnosnu certifikaciju proizvoda, usluga i procesa. Na još uvijek šturom webumožete vidjeti o čemu se radi, no sažetak svega je da će uskoro tvrtka imati mogućnost certificirati svoje proizvode za određenu sigurnosnu razinu. Takvim će se onda ogromnim certifikatom moći javljati na natječaje diljem Unije koja je i isplativo tržište – svaka domaća razvojna tvrtka trebala bi početi pratiti kako taj projekt napreduje jer bi se uskoro trebao pojaviti prvi dio sheme za certifikaciju, ICT proizvodi od hardvera do softvera.
U sljedećih par godina trebali bismo vidjeti sličnu certifikaciju za usluge u oblaku i 5G tehnologije.
U idućih nekoliko godina EU će snažno forsirati kibernetičku sigurnost, i sve što je vezano uz nju, pa ne bi bilo loše pratiti što se događa u toj sferi. Mi u Infigo IS to stvarno želimo.
Više o temiIzvor:Bug.hr