Iako se mnogima činilo kako su kibernetičke prijetnje nešto apstraktno i kako se one događaju negdje drugdje, realnost je zapravo da na njih nitko nije imun. Primjerice, Hrvatska je u prošloj godini zabilježila 38 državno sponzoriranih kibernetičkih napada. Mete više nisu samo državne institucije, nego i bolnice, logističke tvrtke, hotelski lanci i male agencije. Jedan od takvih napada dogodio se u lipnju prošle godine na KBC Zagreb, u kojem su napadači zaključali i eksfiltrirali medicinske podatke. Ovaj incident pokazao je koliko takav kibernetički napad može paralizirati ključne sustave, ali i izravno ugroziti živote, te koliko je važna nova NIS2 direktiva i zašto je važan 24-satni nadzor, otkrio nam je Siniša Staničić, direktor ICT prodaje i rješenja u A1 Hrvatska.
Globalni trendovi
Globalni trendovi u području kibernetičke sigurnosti pokazuju da prijetnje postaju sve sofisticiranije, dok se njihova učestalost i financijski učinak ubrzano povećavaju, a nove izazove donosi i generativna umjetna inteligencija. Primjerice, 29 % organizacija već je prijavilo napade koji ciljaju AI infrastrukturu, dok se 62 % susrelo s deepfake napadima kroz socijalni inženjering. Treba naglasiti kako je površina napada, odnosno attack surface, sve šira. Fortinet bilježi više od 30.000 novih sigurnosnih ranjivosti prijavljenih u 2024. godini, što jasno potvrđuje da digitalna izloženost raste, a s njom i potreba za snažnijim, integriranim pristupom kibernetičkoj sigurnosti.
– Prijetnje su danas u digitalnom svijetu sve češće i sve razornije. Najviše problema tvrtkama zadaju ransomware, uvjerljive phishing prijevare, napadi na mreže i lance opskrbe te pogrešne postavke u cloud okruženjima. Istovremeno, s razvojem umjetne inteligencije napadi postaju sofisticiraniji i zahtijevaju sustavan odgovor – ističe Staničić te objašnjava kako nova NIS2 direktiva postavlja nove standarde za poslovanje u cijeloj Europskoj uniji. Ova direktiva obuhvaća mnogo širi spektar subjekata nego prije – od zdravstva i prometa do energetike, IT-ja, telekoma i javnih usluga. Svaka organizacija koja pruža ključne ili važne usluge sada mora dokazati da sustavno upravlja rizicima, provodi procjene, ima plan kontinuiteta poslovanja i sustav za brzo prijavljivanje incidenata.
– Nova NIS2 direktiva donosi strože zahtjeve za sigurnost mrežnih i informacijskih sustava te obvezuje velik broj tvrtki, ne samo iz javnog sektora, nego i iz područja energetike, financija, prometa, zdravstva i digitalnih usluga. Mnoge organizacije sada prvi put moraju sustavno pristupiti kibernetičkoj sigurnosti i uvesti jasne procedure zaštite i prijave incidenata.
Ono što je ključno, uprava društva mora preuzeti odgovornost za sigurnost informacijskih sustava kako bi se osiguralo da se oni pravilno nadgledaju. U slučaju neusklađenosti kazne će biti značajne: do 10 milijuna eura ili 2 % godišnjeg prometa, ovisno o tome što je veće. Nadalje, svi sigurnosni projekti moraju biti uključeni u budžete za 2026. godinu, a nepostojanje konkretnih rješenja više nije opcija – ni zakonska, ni poslovna.
Pripremite se na vrijeme
Da biste procijenili koliko je vaša organizacija spremna, pokušajte odgovoriti na nekoliko jednostavnih pitanja.
U kibernetičkom svijetu vrijedi jedno ključno pravilo: nije pitanje hoće li se napad dogoditi, već kada i koliko brzo ćete ga otkriti. Upravo zato sve više organizacija prelazi iz faze reaktivne obrane u fazu stvarne, proaktivne zaštite – odnosno iz faze papira u fazu stvarne sigurnosti. U toj tranziciji važnu ulogu imaju partneri koji razumiju i tehnologiju i regulatorni okvir.
– A1 pomaže tvrtkama da se usklade s NIS2 direktivom, odnosno Zakonom o kibernetičkoj sigurnosti, kroz tehničku i savjetodavnu podršku. Naš tim stručnjaka provodi detaljne procjene rizika i sigurnosne audite, izrađuje planove usklađenosti te pomaže u uvođenju tehničkih i organizacijskih mjera koje direktiva i Zakon zahtijevaju. Kombinacijom stručne podrške, tehnologije i edukacije naš je cilj tvrtkama omogućiti da NIS2 ne doživljavaju kao administrativno opterećenje, nego kao priliku da ojačaju svoju kibernetičku otpornost i zaštite poslovanje – objašnjava Siniša te ističe kako je važan dio pripreme za NIS2 i edukacija zaposlenika o sigurnosnim rizicima. Upravo zato A1 provodi phishing simulacije i digitalne edukacije kako bi se povećala svijest o sigurnosnim rizicima i smanjio ljudski faktor, koji je vrlo često najslabija karika u lancu zaštite.
U A1 Hrvatska smatraju da sigurnost počinje preventivom i kontinuiranim nadzorom. Zato nude cjelovita sigurnosna rješenja, poput svog Sigurnosno operativnog centra (A1 SOC), koji omogućuje 24-satni nadzor, detekciju i brz odgovor na incidente.
Srce kibernetičke zaštite
Sigurnosni operativni centar, odnosno A1 SOC, omogućuje stalni nadzor nad sustavima, detekciju i prijavu incidenata u skladu s propisima. Tvrtke tako ispunjavaju zakonske obveze prijave sigurnosnih incidenata.
– A1 SOC srce je naše kibernetičke zaštite. Riječ je o timu stručnjaka koji 24 sata dnevno, sedam dana u tjednu prate, analiziraju i reagiraju na sve sumnjive aktivnosti u mrežama i sustavima naših korisnika. Ovaj sustav u stvarnom vremenu obrađuje ogromne količine podataka koje prikupljaju sigurnosni sustavi – od mrežnih uređaja do servera i aplikacija, te uz pomoć napredne analitike i umjetne inteligencije prepoznaje obrasce koji ukazuju na potencijalni napad. Kada se uoči prijetnja, sustav automatski pokreće alarm, a naši stručnjaci reagiraju odmah i rade dubinsku provjeru incidenta. Ako se radi o stvarnom napadu ili sumnjivoj aktivnosti, obavještavaju korisnika o incidentu kako bi se izolirao kompromitirani dio sustava i spriječilo širenje napada.
Osim detekcije i reakcije, SOC pomaže tvrtkama i u preventivnom dijelu. Kroz redovita izvješća i savjetovanja korisnici dobivaju jasnu sliku o stanju svoje sigurnosti i prijetnjama koje su uspješno spriječene. Kombinacijom napredne tehnologije, stručnog znanja i stalnog nadzora, A1 SOC omogućuje tvrtkama da na vrijeme prepoznaju rizike, spriječe gubitak podataka i nastave poslovati bez prekida.
Nova usluga Phish&Learn
Phish&Learn usluga osmišljena je za jačanje otpornosti zaposlenika na prijetnje socijalnog inženjeringa. Riječ je o kontroliranim simulacijama stvarnih phishing, smishing i vishing napada, u kojima zaposlenici u sigurnom okruženju uče prepoznati sumnjive poruke i reagirati na njih na ispravan način. Cilj nije „uhvatiti“ zaposlenike u pogrešci, već povećati njihovu svijest i razviti sigurnosnu kulturu unutar organizacije.
– Osim tehničkih mjera poput upravljane mrežne sigurnosti, EDR rješenja i penetracijskih testova, provode i phishing simulacije te nude digitalne edukacije za podizanje svijesti zaposlenika. Time ciljano smanjuju rizik od klikanja na naizgled sigurne poveznice koje često omogućuju ulaz napadačima – ističe Staničić.
Usluga uključuje potpuno upravljane kampanje od strane A1 tima ili mogućnost samostalnog upravljanja od strane korisnika, interaktivne videoedukacije na hrvatskom jeziku te automatiziranu „just-in-time“ obuku koja se aktivira odmah nakon što zaposlenik nasjedne na simulirani napad. Namijenjena organizacijama svih veličina, posebice onima iz reguliranih sektora poput bankarstva, zdravstva i javnih institucija, usluga dokazano povećava otpornost zaposlenika, a kontinuiranom edukacijom stopa klikanja na takve lažne e-mailove može se smanjiti i do 90 %.
Sadržaj nastao u suradnji s A1 Hrvatska.