Nama je, naravno, to izuzetno zanimljivo jer konačno imamo zakon, direktive i smjernice kojima možemo poslovodstvima tvrtki objasniti što za svaku tvrtku znači njihov informacijski sustav, što znači osiguravanje tog najbitnijeg i najvrjednijeg resursa bilo kojeg poslovanja — neovisno o tome ima li tvrtka 3 ili 300 zaposlenika.

IT sigurnost je odgovornost svih nas

Nije bitno jeste li vlasnik, ključna osoba u tvrtki ili zaposlenik — odgovornost svih nas je zaštititi najvrjedniju imovinu koju tvrtka posjeduje, a to je informacija!

Osobno nisam osoba od javnih istupa, pisanja po društvenim mrežama, a još manje komentiranja, ali nakon 20+ godina iskustva u IT-u, nebrojeno odrađenih prodajnih sastanaka, preko 300 digitalno transformiranih biznisa iz svih djelatnosti, osjećam potrebu podijeliti svoje iskustvo.

Kroz rad sam doslovno gledao poduzetnike kako, bez pretjerivanja, plaču dok nas pozivaju da ih spasimo nakon havarije u kojoj su izgubili sve: dijeljene dokumente, privatne datoteke, baze podataka poslovnih aplikacija, pa čak i .pst datoteke sa svojim mailovima.

Bez ikakve dileme mogu reći da i danas 80% biznisa iz sektora tvrtki s 1 do 30 zaposlenih vrlo slabo ili nikako ne upravlja najbitnijim dijelom svog poslovanja — IT-em.

Zašto IT nije samo “trošak”?

IT je danas svima kramp i lopata s kojom obavljamo svakodnevni rad, ali većini je to i dalje neplanirani trošak, nešto što se „samo od sebe događa“, nešto što se uopće sustavno ne vodi, niti se o tome razmišlja, a kamoli planira.

Najčešće izjave koje čujemo su:

“Pa ovako funkcioniramo već 10 godina i nikada nam se ništa dogodilo.”

“Mi smo mali… tko će nas napasti… kome smo mi zanimljivi.”

“Pa ova računala nas služe već 7 godina.”

“Naravno da imamo backup (Kolega ga napravi svakih par mjeseci).”

“Originalne licence su skupe.”

Ključna pitanja za vaše poslovanje

Moja pitanja za vas su sljedeća:

– Jeste li ikada izračunali koliko iznosi financijski gubitak jednog dana u kojem vaš informacijski sustav nije dostupan i gdje niti jedan zaposlenik ne može odraditi niti jedan zadatak (Bruto trošak plaće svakog djelatnika + svi ostali dodaci po djelatniku + svi ostali troškovi poslovanja / brojem radnih dana u mjesecu, ostali nemjerljivi gubitci poput propuštenih prilika (primjer iz prakse…takva situacija se dogodila baš na zadnji dan prijave tendera od 0,5 mil EUR na koju se ta tvrtka radi nedostupnosti IT sustava nije prijavila), narušenih odnosa s dobavljačima/kupcima, poremećajima u lancima opskrbe itd

– Upravljate li u svojoj kompaniji sa svim rizicima?  Ako i ne upravljate, jeste li ih bar sve detektirali? Mi smo osobno prije x godina u jednom trenu saznali da sve tvrtke moraju imati zaštitu na radu, i da su kazne velike…čim smo saznali angažirali smo tvrtku koja se time bavi i „riješili“ taj rizik.

– Jeste li svjesni koji rizik predstavlja IT sustav koji je sporadično vođen (postoji neki kolega u firmi koji se „kuži“ u računala, kada imamo potrebu pozovemo Đuru, Peru ili Štefa koji nam dođe popraviti trenutačni problem…)

– Jeste li sigurni da je sve i jedna informacija koju posjedujete u tvrtki sigurna i nepovrediva i to u realnom vremenu

– Ima li vaša tvrtka podatke pohranjene i na udaljenoj lokaciji, izvan fizičkih granica tvrtke? Potresi, požari i poplave nisu rijetkost.

– Imate li „Disaster recovery plan“ ili u prijevodu… Znate li što učiniti i koliko vam vremena treba da nastavite poslovanje nakon IT havarije?

– Koliko su vaši podaci sigurni od neovlaštenog pristupa i interno i eksterno? Jeste li na nekom javnoj natječaju ili nekoliko njih za redom izgubili posao od konkurenta, i to za manje od 1% ukupne ponuđene cijene?  Imate li bežičnu mrežu u uredu na kojoj su dostupni i svi ostali uređaji (pisači, računala, dijeljeni direktoriji)? Kada ste zadnji puta promijenili lozinku od elektroničke pošte?  Imate li uopće lozinku za ulaz u računalo? Zaključavate li računalo kada se maknete s radnog mjesta? Koristite li dvostruku autentifikaciju?

– Jesu li vaši zaposlenici dovoljno obučeni da mogu prepoznati elektroničku poruku koja je stigla od lažnog pošiljatelja?

– Biste li prepoznali razliku između, primjerice, „procudo.hr“ i „procubo.hr“?

– Ovakvih pitanja ima još bezbroj…

Zašto je ovo važno?

Ovaj članak napisao sam u želji da pomognem, osvijestim i educiram prenoseći vlastito iskustvo. Mi kao tvrtka pozivani smo u pomoć u bezbroj situacija u kojima su se ljudi nakon gubitka svih podataka hvatali za glavu, snalazili na način da su od dobavljača, kupaca, partnera, kućnih računala i prastarih backupova pokušali rekonstruirati svoje poslovanje i nekako nastaviti dalje.

Kibernetički napadi nisu nešto što se događa tu i tamo, nekome drugome. Moderni napadi su sofisticirani i ciljani. Današnji napadi nisu virusi od prije 10 godina gdje se na računalu promijeni pozadina na desktopu. Kibernetički napadi događaju se svakodnevno u cijelom svijetu, pa tako i u Hrvatskoj. 

Kibernetički napadi su svakim danim sve sofisticiraniji, i u najčešće dolaze putem elektroničke pošte na potpuno gramatički ispravnom hrvatskom jeziku. Cilj napada je oduzimanje svih informacijskih resursa i zaustavljanje poslovanje tvrtke, s ciljem novčane ucijene u zamjenu za dekripcijski ključ, s kojim možete otključati vaše zaključane podatke.

Naše iskustvo pokazuje da od 100% tvrtki koje plate otkupninu, njih samo 40% dobije dekripcijski ključ. Plaćanjem se samo potiče takve organizacije da napadaju još jače, a i materijalno ih se osnažuje. To su organizacije uglavnom iz Azije i naše vlasti su apsolutno i totalno nemoćne u borbi protiv toga.

NIS2 nije trošak, već prilika!

Da se vratim na temu…ne gledajte na NIS2 kao na još jedan propis i namet poduzetnicima, već na priliku koja će vas natjerati da svoje poslovanje podignete na višu razinu, da ga zaštite i da ostavite izuzetno malu mogućnost da bilo kakav vanjski utjecaj može utjecat na budućnost poslovanja, vas, vaše obitelji, vaših zaposlenika i njihovih obitelji, kupaca, dobavljača i partnera. Ako vi zaštite sebe, zaštitit ćete i ostale povezane sustave s kojima ste svakodnevno u interakciji.

IT kao trošak tvrtke danas uz moderne alate više nije skup, i tvrtka od 3 zaposlenika može imati identičnu sigurnost, mobilnost, učinkovitost kao i tvrtka od 50 zaposlenika.

Osigurajte svoje poslovanje dok ne bude prekasno!

Bruno Bardić 

Procudo d.o.o.

The post Kibernetička sigurnost u praksi appeared first on Procudo.

Europska komisija ulaže više od 210 milijuna eura u jačanje kibernetičke sigurnosti, digitalnih kapaciteta i tehnologije. Ova značajna investicija ima za cilj povećati otpornost digitalne infrastrukture širom Europe.

NIS2 Direktiva je ključna u osiguravanju sigurnije digitalne budućnosti, te naglašava potrebu za suradnjom među državama članicama i privatnim sektorom kako bi se učinkovito odgovorilo na kibernetičke prijetnje.

Zašto je to važno za vaše poslovanje?

Povećana sigurnost podataka: Implementacija novih sigurnosnih standarda.

Suradnja i podrška: Bolja koordinacija i podrška između sektora.

Održivi razvoj: Jačanje povjerenja u digitalne usluge.

Od listopada 2024 godine, svi poduzetnici u Europskoj uniji, uključujući Hrvatsku, moraju implementirati europske direktive o kibernetičkoj sigurnosti NIS2.

Ova direktiva, često nazivana “GDPR za kibernetičku sigurnost”, donosi nove obveze ne samo za sektore koji pružaju digitalne usluge i ključne digitalne infrastrukture, poput pružatelja javnih elektroničkih komunikacijskih mreža i usluga ili podatkovnih centara, već također uključuje javni sektor i dio privatnog sektora.

Tko to treba implementrati?

Sektori visoke kritičnosti:

Energija (električna energija, centralizirano grijanje i hlađenje, nafta, plin i vodik)

Prijevoz (zračni, željeznički, vodeni i cestovni).

Bankarstvo; infrastrukture financijskog tržišta.

Zdravlje, uključujući proizvodnju farmaceutskih proizvoda, uključujući cjepiva.

Voda za piće.

Otpadne vode.

Digitalna infrastruktura (internetska razmjena točaka;

Pružatelji DNS usluga;

Registri naziva vršnih domena

Pružatelji usluga računalstva u oblaku;

Pružatelji usluga podatkovnog centra;

Mreže za isporuku sadržaja

Davatelji usluga povjerenja; pružatelji javnih elektroničkih komunikacijskih mreža i javno dostupnih elektroničkih komunikacijskih usluga).

Upravljanje uslugama IKT-a (pružatelji usluga kojima se upravlja i pružatelji upravljanih sigurnosnih usluga), javna uprava i svemir.

Ostali ključni sektori:

Poštanske i kurirske usluge; gospodarenje otpadom; kemikalije; hrana; proizvodnja medicinskih proizvoda, računala i elektronike, strojeva i opreme, motornih vozila, prikolica i poluprikolica te ostale prijevozne opreme; digitalni pružatelji (internetska tržišta, internetske tražilice i platforme za usluge društvenih mreža) i istraživačke organizacije.

Koje su to mjere za upravljanje rizicima operatera ključnih usluga i davatelja digitalnih usluga?

Operateri ključnih usluga moraju provoditi tehničke i organizacijske mjere za upravljanje rizicima koje uključuju:

Utvrđivanje rizika od incidenata

Sprječavanje, otkrivanje i rješavanje incidenata

Ublažavanje učinka incidenata na najmanju moguću mjeru

Davatelji digitalnih usluga dužni su osigurati:

Sigurnost sustava i objekata

Rješavanje incidenata

Upravljanje kontinuitetom poslovanja

Praćenje, reviziju i testiranje

Sukladnost s međunarodnim standardima

Kako se vi možete pripremiti za što kvalitetniju i pravoremenu implementaciju ovih mjera?

Edukacija zaposlenika – tvrtke često ulažu u skupa hardverska rješenja zaštite, kao vatrozidi (firewalls), a zaboravljaju na činjenicu da je najslabija karika u IKT sustavu ljudska komponenta. Educirajte svoje zaposlenike! Za najbolje rezultate edukacija zaposlenika bi se trebala provoditi sustavno i kontinuirano, minimum 3 puta godišnje.  Edukacija se može provoditi online webinarima, kratkim upitnicima i testovima, ili kampanjama lažnih mailova kojima je cilj utvrditi budnost i otpornost zaposlenika na prevare i lažno predstavljanje.

Zatražite ponudu: it-rjesenja@procudo.hr

Uvođenje dvostruke autentifikacije za mail sustav – pojačava se otpornost na krađu pristupa mail sustavu korisnika

Zatražite ponudu: it-rjesenja@procudo.hr

Nadgledanje cjelokupne infrastrukture kompanije uz pomoć raznih alata na tržištu – s ovim pristupom dobije se kompletan uvid u IKT infrastrukturu i može se na vrijeme djelovati, ako se primijete propusti u sigurnosti radnih stanica, cloud infrastrukture, poslužitelja i ostalih servisa.

Zatražite ponudu: it-rjesenja@procudo.hr

Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga:

https://narodne-novine.nn.hr/clanci/sluzbeni/2018_07_64_1305.html

Ne čekajte zadnji tren za pripremu i implementaciju NIS2 direktive, javite nam se i saznajte kako vam možemo pomoći: it-rjesenja@procudo.hr

The post Jeste li spremni za provedbu NIS2 direktive? appeared first on Procudo.