Organizator Alert konferencije je tvrtka ASEE Hrvatska, a tim povodom s Viktorom Olujićem, članom Uprave ASEE-a, razgovarali smo o tome koliko su hrvatske organizacije spremne na nove sigurnosne izazove – od implementacije regulative do suočavanja s AI-jem, koji više ne djeluje samo za nas, već i protiv nas.

Alert konferencija je u četiri godine izrasla u jednu od ključnih regionalnih platformi za kibernetičku sigurnost. Što je, po vama, najvažnije postignuće ovogodišnjeg izdanja?

Četvrto izdanje Alert konferencije o kibernetičkoj sigurnosti održat će se 15. svibnja u Zagrebu te će ponovno okupiti renomirane stručnjake, predstavnike kompanija i institucija iz Hrvatske i inozemstva. Konferencija Alert je platforma na kojoj se aktivno raspravlja o aktualnostima u domeni kibernetičke sigurnosti i na kojoj se oblikuje sigurnosni diskurs. Na konferenciji okupljamo relevantne domaće i međunarodne stručnjake iz sektora bankarstva, financija, telekoma, javne uprave, kao i tvrtki koje razvijaju rješenja za kibernetičku zaštitu.

Otvoreno ćemo progovoriti o tri ključna izazova s kojima se svi suočavamo: regulativom, koja svake godine postaje sve zahtjevnija, umjetnom inteligencijom, koja se osim u domeni zaštite koristi i za osmišljavanje i provođenje sve naprednijih napada, kao i o generacijskim promjenama što se očituju i u pristupu sigurnosti, jer generacija Z i generacija Alfa dosta drugačije promišljaju o sigurnosti. Odgovor na pitanja o zadržavanju povjerenja u digitalnom društvu nadilazi tehnologiju i postaje multidisciplinarna tema koja zahtijeva suradnju stručnjaka različitih profila. Alert konferencija je upravo takvo mjesto susreta znanja, iskustva i novih ideja različitih stručnjaka.

Koje ste manjkavosti u praksama i (ne)znanju prepoznali kada ste započinjali s Alert konferencijom i koliko su se stvari promijenile do danas? Jesu li tvrtke danas doista svjesne opasnosti i koliko je bitno ulagati u kibernetičku sigurnost i zaštitu?

Prije četiri, pet godina fokus kompanija bio je na zadovoljenju minimalnih sigurnosnih zaštita, kao što je npr. imati antivirus, firewall i slično, te utvaranje da će navedene komponente biti dovoljna zaštita. S obzirom na porast broja napada tijekom korone, kao i zadnjih godina dosta vidljiv porast korištenja AI alata i općenito alata za automatizaciju napada, danas su organizacije svjesne toga da zaštitu trebaju definirati na cijelom opsegu IT okruženja i raditi planove za upravljanjem rizicima, što uključuje kibernetičku sigurnost.

Nažalost, još uvijek postoje organizacije koje smatraju da neće biti napadnute jer za sebe smatraju da su relativno male, da nisu poznate ili da nemaju visokovrijednu imovinu zbog koje bi ih netko napao.

NIS2 (EU-ova direktiva o kibernetičkoj sigurnosti) i DORA (Uredba o digitalnoj operativnoj otpornosti za financijski sektor) postavljaju ozbiljne zahtjeve pred organizacije, osobito u financijskom i infrastrukturnom sektoru. Koliko su, po vašim saznanjima, hrvatske organizacije spremne na njihovu implementaciju? Je li regulativa bila prijeko potrebna?

Vidljiva je velika razlika između tvrtki koje su do sada bile regulirane od određenog nacionalnog regulatora, npr. tvrtke iz financijskog i telekom sektora, i koje su zadnjih desetljeća ulagale u kibernetičku sigurnost, od tvrtki koje nisu imale regulatora i nisu do sada bile primorane ulagati u kibernetičku sigurnost.

Ovim prvima DORA i NIS2 donijeli su manju razliku koju trebaju implementirati u svojim procesima te su oni relativno spremni i znaju kako to trebaju napraviti, a potonje tvrtke pokušavaju 10-20 godina razvoja kibernetičkih zaštita i procesa odraditi unutar godine ili dvije, što predstavlja izniman napor ne samo za timove IT-a ili kibernetičke sigurnosti, nego za cijelu organizaciju, jer upravljanje kibernetičkom sigurnošću nije IT zadatak, nego spada u poslovni rizik i zadatak je cijele organizacije.

Regulativa je ključna da bi se i manji subjekti, koji su dosad izbjegavali implementaciju sigurnosnih mjera zbog njihove složenosti, osvijestili o realnoj prijetnji kibernetičkih napada. Posljedice takvih napada mogu biti izuzetno ozbiljne, a proces oporavka znatno zahtjevniji i skuplji od pravovremene uspostave adekvatnih sigurnosnih procedura.

Koji su najčešći nesporazumi ili pogrešne pretpostavke koje organizacije imaju kad je riječ o usklađivanju s ovom regulativom?

Najčešći nesporazum je da je riječ o 'IT projektu'. Spomenuta regulativa zahtijeva promjene u korporativnom upravljanju, procesima, odgovornostima i edukaciji zaposlenika. To nije projekt koji će odraditi samo jedan tim unutar organizacije, nego zahtijeva suradnju više timova, uključujući timove prava i marketinga. Kolege koji vode takve projekte najvećim izazovom smatraju to što su prepušteni sami sebi, odnosno nemaju sugovornike u ostalim dijelovima organizacije.

Također, često se podcjenjuje potreba za stalnim praćenjem i ažuriranjem IT sustava – jer usklađenost nije status, nego proces.

Postoje li konkretna rješenja koja ASEE razvija ili primjenjuje da bi AI radio za sigurnost, a ne protiv nje?

Da, već dug niz godina razvijamo i poboljšavamo sustave za sprječavanje zloupotreba pri obavljanju financijskih transakcija. Sustavi kao što je ASEE InACT primarno se koriste za sprječavanje vanjskih pokušaja prevare, kada se napadač pokušava predstaviti kao klijent banke, a mogu se istodobno koristiti da zaštite banku od malicioznih zaposlenika, što postaje sve važnija tema uslijed sve većeg rada djelatnika izvan banke i situacija kada do sada korištene metode zaštite više nisu primjenjive.

Tehnike zaštite, kao i nove mogućnosti koje su nam AI modeli donijeli, omogućile su nam da i klijentima banaka dopustimo jednostavnije korištenje bankarskih usluga, odnosno poboljšamo njihovo korisničko iskustvo.

Umjetnu inteligenciju ne trebamo promatrati kao izolirani otok, nego kao jedno od tehnoloških dostignuća, a trebamo ga nastaviti koristiti sa što jasnije definiranim metodama upravljivosti, procjene rizika, kao i strategijskim promišljanjem gdje sve možemo primijeniti AI.

U programu spominjete brainrot, TikTok generaciju i promjene u percepciji sigurnosti. Kako približiti svijest o kibernetičkoj sigurnosti mlađim korisnicima jer oni drugačije doživljavaju digitalni svijet?

Generacija Z odrasla je u digitalnom dobu i navikla je koristiti tehnologiju, mobitele ili internet od najmlađih godina, a generacija Alfa odrasta u doba umjetne inteligencije. Za razliku od starijih generacija, koje su bile sumnjičave prema tehnologiji, računalima, internetu, pa su pri doticaju s njima bile opreznije, mlađe generacije pristupaju tehnologiji kao nečemu što radi pouzdano dobro i pri korištenju su dosta ležerniji, spremniji na dijeljenje dosta više privatnih informacija o sebi.

Da bismo mladim generacijama približili svijest o kibernetičkoj sigurnosti, format edukacije treba biti prilagođen njima, odnosno umjesto tekstova i knjiga, korištenih za starije generacije, edukacija treba biti jednostavna i lako dostupna u vidu kratkih videoformata koji se mogu pregledavati na mobitelu. Također, mora uključivati dozu gejmifikacije, a primjeri koji se koriste u edukaciji moraju biti iz njihove svakodnevnice, a ne stari 100+ godina.

Spomenuli ste da digitalni napadi ne poznaju granice. Kako uopće definirati suverenost u digitalnom prostoru u kontekstu konflikata i hibridnog ratovanja?

Digitalna suverenost zahtijeva da određena nacija ili organizacija održava kontrolu nad svojom digitalnim infrastrukturom, uključujući podatke koje posjeduje, kao i tehnologiju koju koristi.

Pri korištenju tehnologije važno je sagledati gdje su podaci fizički pohranjeni, odnosno tko nam sve sutra može spriječiti pristup do naših podataka, analizirati čiju tehnologiju koristimo i tko su nam pružatelji usluga u oblaku, proizvođači čipova i softvera. Za sve komponente koje čine našu tehnološku platformu, uključujući AI alate koje koristimo, važno je napraviti procjenu koliko su transparentni, upravljivi, tj. auditabilni i koliko su usklađeni s našim nacionalnim i organizacijskim vrijednostima.

Odgovor na pitanje o obrani od hibridnih napada je kompleksniji jer zahtijeva koordinaciju i suradnju multidisciplinarnih timova i organizacija, od različitih državnih agencija, koje uključuju i vojne i policijske resurse, preko upravitelja kritičnom nacionalnom infrastrukturom, do banaka i telekoma, kao i ostalih značajnijih dionika u digitalnom društvu.

Problem hibridnih napada je to što oni često ne idu u smjeru izazivanja ratnih operacija, nego su usmjereni na destabiliziranje i snižavanje dostignute razine digitalne i društvene otpornosti. Obrana od hibridnih napada zahtijeva podizanje razine kibernetičke zaštite na nacionalnom nivou, upravljanje i podizanje medijske pismenosti društva, kao i sprječavanje širenja dezinformacija te osnaživanje demokratskih institucija, uz konstantnu suradnju javnog i privatnog sektora te suradnju unutar članica EU27 i NATO-a.

ASEE radi s najzahtjevnijim i najreguliranijim sektorima. Koje su lekcije što ste iz tih suradnji prenijeli u širi ekosustav kibernetičke sigurnosti?

Financijske institucije su imale sreću, odnosno nesreću da zbog novca i digitalnog ekvivalenta novca koji imaju u svojim IT okruženjima budu najpoželjniji cilj napadača od pojave interneta te su prije svih ostalih organizacija bile primorane početi s implementacijom sustava kibernetičke zaštite. Suradnja s financijskim institucijama donijela nam je mogućnost da istražujemo i pronalazimo metode zaštite koje su najoptimalnije, kako za organizaciju, tj. banku koja ih želi koristiti, tako i za njene klijente.

Vrijeme je pokazalo da se metode zaštite, npr. hardverske i mobilne tokene, koje smo za banke osmislili i implementirali prije 20-ak godina u cilju zaštite pristupa aplikacijama internetskog bankarstva, danas koriste unutar bolnica, vrtića, komunalnih tvrtki i svih ostalih vertikala, jer MFA je postao de facto standard za zaštitu pristupa web aplikacijama preko interneta, kao i za zaštitu udaljenog pristupa u mrežno okruženje organizacije, tzv. VPN.

Suradnja s regulatorima bankarskog i telekom tržišta u različitim zemljama, kao i suradnja s institucijama EU-a, dopustila nam je da o kibernetičkoj sigurnosti ne promišljamo samo kroz prizmu tehnologije i tehnoloških mogućnosti, nego da uvažavamo i različitosti osoba, djelatnika ili krajnjih korisnika, kao i procesa koje ima određena organizacija. Sveobuhvatno razumijevanje složenih aspekata kibernetičke sigurnosti omogućuje ASEE-u da adresira i najsloženije sigurnosne izazove, pružajući klijentima visoku razinu pouzdanosti i sigurnosti u svakom trenutku.

Što vas najviše brine kad je riječ o kibernetičkoj sigurnosti danas i za nekoliko godina?

Najviše zabrinjava činjenica da se sigurnosni izazovi danas više ne mogu promatrati izolirano, ni geografski ni sektorski. U vrijeme globalnih preslagivanja i ratnih sukoba na različitim kontinentima digitalni podaci postaju dostupni napadačima unutar nekoliko sekundi, bez obzira nalazili se serveri 20 ili 20.000 kilometara dalje. To stvara ogromne izazove za stručnjake za kibernetičku sigurnost jer nas fizička udaljenost više ne štiti.

Dodatno zabrinjava činjenica da hakeri sve češće koriste prednosti umjetne inteligencije – gotovo na dnevnoj razini razvijaju nove metode napada, manipulacije i socijalnog inženjeringa. Istodobno, nove generacije korisnika imaju drukčija očekivanja – zahtjevniji su, impulzivniji i sve manje predvidljivi.

Najveći dugoročni rizik je da kao društvo postanemo prespori u odgovoru na ovako dinamične prijetnje te da krenemo u smjeru smanjenog korištenja tehnologije i blagodati koje nam ona donosi.