Question

Kako se može podići razina kibernetičke sigurnosti tvrtki?

Answer 1

Za podizanje kibernetičke sigurnosti tvrtki potreban je višeslojan pristup koji obuhvaća sve razine organizacije. Ključnu ulogu imaju tehnološka rješenja kao što su antivirusni sustavi, enkripcija podataka i alati za kontinuirani nadzor mreže s ciljem identifikacije sumnjivih aktivnosti. Osjetljivi podaci trebaju biti šifrirani kako bi ostali zaštićeni i u slučaju neovlaštenog pristupa, dok redovite sigurnosne kopije pohranjene izvan primarnih lokacija smanjuju rizik od gubitka podataka uslijed fizičkih katastrofa ili napada.

Jedan od ključnih elemenata kibernetičke sigurnosti je edukacija zaposlenika o važnosti zaštite podataka i pravilnom korištenju sigurnosnih alata poput VPN-a i višefaktorske autentifikacije. Potrebno je uspostaviti stroge sigurnosne politike vezane uz složenost i redovitu promjenu lozinki, kao i ograničiti pristup podacima i sustavima prema ulogama zaposlenika, čime se dodatno smanjuje mogućnost sigurnosnih propusta.

Answer 2

Kibernetičke prijetnje postaju sve sofisticiranije, stoga je nužno da poslovni sektor, institucije i akademska zajednica podignu razinu sigurnosti, a glavna uloga NKS-a je da svojim aktivnostima olakša taj proces, zaključak je to događanja posvećenih kibernetičkoj sigurnosti i implementaciji novog regulatornog okvira, koja su 24. i 25. ožujka 2025. godine održana u Centru izvrsnosti Splitsko-dalmatinske županije u Splitu.

Nacionalno koordinacijsko središte za industriju, tehnologiju i istraživanja u području kibernetičke sigurnosti (NKS) u suradnji s Nacionalnim centrom za kibernetičku sigurnost (SOA), i uz podršku Centra za izvrsnost Splitsko-dalmatinske županije, Hrvatske udruge poslodavaca (HUP) i Županijske komore Split (HGK), okupilo je niz IT stručnjaka, malih i srednjih poduzetnika, predstavnika javnih institucija i akademske zajednice koji su pokazali značajan interes za kibernetičku sigurnost, saznali kako se prilagoditi novim zakonskim zahtjevima i kako zaštiti poslovanje od kibernetičkih prijetnji.

^{CyberMeetup Split}
Nacionalni centar za kibernetičku sigurnost (SOA) predstavio je ključne izmjene Zakona o kibernetičkoj sigurnosti i pripadajuće Uredbe, dok su stručnjaci iz Nacionalnog CERT-a govorili o najčešćim vrstama kibernetičkih napada te načinima zaštite. U protekloj godini najviše je zabilježeno phishing napada, zatim slijede poslovne prijevare, scam, iznude, kompromitacije korisničkih računa te ransomeware, koji sve više pogađaju tvrtke u Europskoj uniji.

Ljudska greška uzrok je 86 posto napada, a 14 posto uspješnih napada događa se zbog manjkavosti tehnologije. U Hrvatskoj se svakoga dana prosječno dogodi pet ozbiljnih kibernetičkih napada, što ukazuje na ozbiljnost problema jer oni mogu uzrokovati gubitak podataka, financijske štete i prekid poslovanja. Prema podacima Ministarstva unutarnjih poslova (MUP) u Hrvatskoj su tijekom 2023. godine prijavljeni kibernetički napadi uzrokovali štetu od 10,5 milijuna eura.

S porastom prijetnji stroža je i regulativa pa je tako Zakonom o kibernetičkoj sigurnosti u nacionalno zakonodavstvo prenesena EU NIS2 direktiva (Direktiva (EU) 2022/2555 o mjerama za visoku zajedničku razinu kibernetičke sigurnosti širom Unije). Njime se uspostavlja novi sustav upravljanja kibernetičkom sigurnošću, definiraju nadležna tijela u području kibernetičke sigurnosti te njihove zadaće i ovlasti. Zakonom se utvrđuju sektori, podsektori i vrste subjekata među kojima će se kategorizirati subjekti koji će morati provoditi mjere upravljanja kibernetičkim sigurnosnim rizicima i imati obvezu prijavljivanja značajnih kibernetičkih incidenata.

“Interaktivni dio CyberMeetup-a otvorio je prostor za razgovor o potrebama u području kibernetičke sigurnosti i razmjenu ideja, a prikupljene informacije predstavljaju vrijedan doprinos oblikovanju budućih aktivnosti NKS-a, kojima se nastoji odgovoriti na potrebe primarno malih i srednjih poduzeća, ali i akademske zajednice i javnih ustanova, s ciljem unapređenja kibernetičke sigurnosti na svim razinama”, istaknula je Vlatka Marčan, voditeljica NKS-a i pomoćnica ravnatelja CARNET-a, dodajući kako će se daljnja suradnja nastaviti kroz aktivnosti Zajednice stručnjaka za kibernetičku sigurnost u koju se mogu uključiti svi pravni subjekti popunjavanjem prijavnog obrasca na mrežnim stranicama NKS-a.

^{Vlatka Marčan, voditeljica NKS-a i pomoćnica ravnatelja CARNET-a}
CyberMeetup-ovi poput ovoga u Splitu i ranije održanog u Osijeku, organizirat će se diljem Hrvatske u suradnji sa županijama i drugim regionalnim i lokalnim tijelima te stručnim udruženjima.

S ciljem jačanja nacionalne kibernetičke sigurnosti i otpornosti, ulaganja u kibernetičku sigurnost i razvoj inovativnih rješenja koja će unaprijediti kibernetičku sigurnost u Hrvatskoj i Europskoj uniji, NKS razvija ključne inicijative: uspostava Zajednice kibernetičkih stručnjaka, platforme za razmjenu znanja i iskustava, povezivanje sektora i jačanje suradnje, edukacije poput radionica, treninga i programa usmjerenih na podizanje razine znanja u području kibernetičke sigurnosti te financijsku podršku.

Naime, NKS pruža  informacije o aktualnim EU i nacionalnim natječajima kroz koje je moguće ostvariti financijsku potporu u svrhu razvoja područja kibernetičke sigurnosti. Raspisivat će i nacionalne pozive za dodjelu financijskih sredstava za unapređenje kibernetičke sigurnosti, ali i pružati podršku prilikom prijave na natječaje.

^{CyberMeetup Split}

Podsjetimo, Vlada Republike Hrvatske 2023. godine donijela je Odluku o određivanju nacionalnog koordinacijskog središta za industriju, tehnologiju i istraživanja u području kibernetičke sigurnosti, a tom je Odlukom Hrvatska akademska i istraživačka mreža – CARNET imenovana kao NKS.

Jedan od ključnih rezultata rada NKS-a u 2024. godini bio je odobrenje Europske komisije za provedbu kaskadnog financiranja ukupne vrijednosti 7,87 milijuna eura u području kibernetičke sigurnosti, koje će omogućiti pružanje financijske potpore tvrtkama, istraživačkim organizacijama i startupovima kako bi se ubrzao razvoj i primjena naprednih sigurnosnih rješenja. Ovim korakom Hrvatska se dodatno pozicionirala kao predvodnica u jačanju europskog ekosustava kibernetičke sigurnosti.

Foto: Hrvatska akademska i istraživačka mreža - CARNET

Answer 3

Pet poteza koji će podići razinu kibernetičke sigurnosti svake organizacije

Živimo u povezanom svijetu. S tehnologijom koja postaje sve sofisticiranija, vještine kriminalaca često nadmašuju sposobnosti stručnjaka za sigurnost unutar organizacija i tvrtki, što dokazuje i broj uspješnih napada. Povećavanjem važnosti kibernetičke sigurnosti, raste i potražnja za kvalificiranim inženjerima. Tvrtke i organizacije trebaju ljude koji su savladali vještine osiguravanja mreža i zaštite sustava, računala i podataka od napada, štete i/ili neovlaštenog pristupa.

Prijetnje su prošle godine rasle alarmantnom brzinom pa se očekuje da će godišnji troškovi kibernetičkog kriminala u cijelom svijetu doseći 10,5 bilijuna USD do 2025. godine, u odnosu na 3 bilijuna USD prije 10 godina. Dodatno, globalna zdravstvena situacija u posljednjih nekoliko godina također je utjecala na promjenu poslovnog modela – jer se gotovo svi procesi odvijaju online. Organizacije su se morale transformirati gotovo preko noći kako  bi mogle nastaviti funkcionirati. Neke su zadržale kontinuitet tako što su u potpunosti preselile procese online  u roku od nekoliko tjedana, stvarajući veliku potražnju za poslovnim procesima prilagođenima online načinu rada. Kako se procesi i funkcije digitaliziraju, nedostatak dubinske analize i provedbe sigurnosnih mjera može stvoriti neželjene sigurnosne rizike. Sigurnosni timovi bili su prisiljeni prilagoditi se novim paradigmama, pronaći nove načine za sortiranje prijetnji i pojednostaviti alate i procese – i to brzo. Došlo je vrijeme kada se svaka tvrtka ili organizacija treba braniti, kao i stvoriti kulturu sigurnosti te modernizirati svoj pristup kako bi osigurala svoju zaštitu.

U okruženju u kojem tvrtke djeluju djelomično ili potpuno online, ključno je pitanje kako zaštiti poslovni sustav dok se istovremeno potiču produktivnost i suradnja. Tvrtke svakoga dana moraju biti korak ispred prijetnji, a u tome im može pomoći sljedećih pet poteza.

1. Omogućavanje multifaktorske autentifikacije (MFA) da bi se smanjilo 99,9% napada na digitalne identitete – poslovni sustavi mogu pomoći u sprječavanju nekih napada zabranom upotrebe loših lozinki, blokiranjem naslijeđene provjere autentičnosti i edukacijom zaposlenika o krađi identiteta. Međutim, jedna od najboljih stvari koje zaposlenici mogu učiniti jest uključiti MFA jer na taj način aktiviraju dodatnu barijeru i sloj sigurnosti koji napadačima nevjerojatno otežava dolazak do cilja. Za većinu usluga MFA je besplatan. Osnovne značajke multifaktorske autentifikacije besplatno su dostupne svim Microsoft 365 korisnicima.
2. Omogućavanje i implementacija Zero-Trust modela unutar organizacije - Zero-Trust arhitektura smanjuje rizik u svim okruženjima uspostavljanjem snažne provjere identiteta, potvrđivanjem usklađenosti uređaja prije odobravanja pristupa i osiguravanjem najmanje privilegiranog pristupa samo eksplicitno ovlaštenim resursima. Načela Zero-Trust modela su: eksplicitno provjerite sve, koristeći pristup s najmanjim privilegijama i uvijek pretpostavljajući upad u računalni sustav.
3. Upravljanje cjelokupnom digitalno imovinom - ublažavanjem efekta Shadow IT-ja – Shadow IT je skup aplikacija, usluga i infrastrukture koje su razvijene i kojima se upravlja izvan definiranih standarda tvrtke. Ovakva rješenja oduvijek su postojala u poslovanju, ali je njihov broj narastao kada su različiti timovi unutar organizacija počeli brzo prelaziti na SaaS usluge. Nakon što se otkriju i njima se pravilno upravlja, to će dovesti do mnogo sigurnijeg poslovnog okruženja.
4. Osiguranje svake krajnje točke – kada se govori o krajnjim točkama, uvijek se misli na zaštitu svih krajnjih točaka. To ne uključuje samo uređaje timova koji rade temeljem ugovora, uređaje partnera i „gostujuće“ uređaje, već i sve aplikacije i uređaje koje koriste zaposlenici za pristup radnim podacima, bez obzira na to tko je vlasnik uređaja. Microsoft Defender nudi široku skalu rješenja za različite tipove korisnika, koja će im pomoći da brzo i učinkovito zaustave napade te ojačaju obranu svih digitalnih resursa i aplikacija.
5. Uspostava upravljanja sigurnosnim stanjem u cloudu temeljenog na umjetnoj inteligenciji - glavni cilj tima za sigurnost u cloudu koji radi na upravljanju stanjem je kontinuirano izvještavanje i poboljšanje sigurnosnog stanja organizacije fokusiranjem na ometanje uspjeha potencijalnog napadača. Umjetna inteligencija i sigurnosna rješenja u cloudu pomažu u ranom otkrivanju i upravljanju prijetnjama kako bi se održala sigurnost unutar organizacije.

Gradeći nove principe djelovanja na područjima računalne i informacijske sigurnosti, clouda i integriranog pristupa zaposlenicima, svaka tvrtka i organizacija trebala bi holistički razmišljati o sigurnosti i rješavanju najizazovnijih problema s kojima se današnji svijet suočava, poput lozinki, decentralizirane identifikacije, propisa o podacima i drugih izazova. Novi svijet rada zahtijeva nove pristupe sigurnosti. Cilj svake organizacije trebao bi biti što jednostavniji pristup u sve složenijem svijetu kako bi se osigurala sigurnost za sve.

Ako želite znati više o temi posjetite Microsoft blog o sigurnosti ili pogledajte Microsoft Digital Defense Report.

Više regionalno relevantnih članaka možete pronaći na CEE Multi-Country News Center.