Što nam Diverto izvješće govori o stvarnom stanju informacijske sigurnosti?

Izvješća temeljena na stvarnim operativnim iskustvima imaju posebnu vrijednost. Jedno od takvih je i Diverto izvješće o stanju informacijske sigurnosti, koje donosi pregled trendova, slabosti i obrazaca napada u suvremenim organizacijskim okruženjima. Iako je nastalo iz perspektive tvrtke koja djeluje na međunarodnom tržištu, mnogi zaključci iz izvješća itekako su relevantni i za hrvatski kontekst.

Sigurnost više nije samo tehničko pitanje

Jedna od važnijih poruka izvješća jest da se kibernetički rizik danas sve manje može promatrati isključivo kao tehnički problem IT odjela. Sigurnost sve više postaje pitanje upravljanja, otpornosti poslovanja i organizacijske odgovornosti. Napadači više ne traže samo tehničke ranjivosti u sustavima. Sve češće koriste slabosti u procesima, identitetima, ovlastima, konfiguracijama i organizacijskom nadzoru. Drugim riječima, problem često nije samo u tome što je sustav ranjiv, nego što organizacija nema dovoljno dobru vidljivost, jasnu odgovornost i sposobnost pravodobnog reagiranja. Za uprave, menadžment i vlasnike poslovnih procesa to znači da kibernetička sigurnost više nije tema koju je moguće delegirati bez aktivnog razumijevanja rizika.

Identitet postaje glavna napadna površina

Posebno je važno istaknuti poruku da se moderna kibernetička borba sve više vodi oko identiteta. Kompromitirani korisnički računi, slabe lozinke, nedovoljno zaštićena autentikacija i nepravilno upravljanje privilegiranim pristupima postali su među najčešćim ulaznim točkama za napadače. To je izuzetno važna poruka i za hrvatske organizacije, osobito u okruženju u kojem su hibridni rad, udaljeni pristup, cloud usluge i vanjski dobavljači postali svakodnevica. U takvom okruženju više nije dovoljno “štititi mrežu”; potrebno je aktivno štititi korisnike, pristupe i digitalne identitete.

U praksi to znači da organizacije trebaju ozbiljno preispitati:
- kako upravljaju korisničkim računima
- gdje i kako koriste višefaktorsku autentikaciju
- kako kontroliraju privilegirane pristupe
- koliko brzo mogu detektirati kompromitiran identitet
- imaju li jasne procedure za ograničavanje širenja incidenta

Vidljivost i dalje ostaje jedan od najvećih problema

Još jedna važna poruka izvješća odnosi se na nedovoljnu vidljivost nad vlastitim sustavima i okruženjem.

Mnoge organizacije i dalje nemaju potpunu sliku o tome:
- koje sve digitalne resurse posjeduju?
- koji su im servisi izloženi prema internetu?
- tko im ima pristup?
- gdje se nalaze kritične ovisnosti?
- koji su segmenti infrastrukture nedovoljno dokumentirani ili slabo nadzirani?

Bez te osnovne vidljivosti, teško je govoriti o zrelosti kibernetičke sigurnosti. Ne može se učinkovito štititi ono što se ne poznaje dovoljno dobro. To je posebno važno u okruženjima gdje se sve više isprepliću IT, cloud, operativna tehnologija, vanjski partneri i različite digitalne platforme. Upravo ta složenost često stvara “slijepe točke” koje napadači vrlo uspješno koriste.

Otpornost je važnija od formalne usklađenosti

Regulatorni okvir u Europi i Hrvatskoj postaje sve zahtjevniji. Organizacije se sve više usmjeravaju na usklađivanje sa zakonima, uredbama i sektorskim obvezama, što je razumljivo i potrebno. No jedna od vrijednijih poruka ovakvih izvješća jest podsjetnik da usklađenost sama po sebi nije isto što i sigurnost. Organizacija može imati dokumente, procedure i formalno uređene obveze, a da pritom i dalje nije dovoljno spremna za stvarni incident.

Zato fokus treba biti na operativnim pitanjima:
- koliko brzo možemo otkriti prijetnju?
- koliko brzo možemo ograničiti širenje napada?
- možemo li održati kontinuitet poslovanja?
- znamo li tko donosi odluke u incidentu?
- imamo li uvježbane scenarije i jasne odgovornosti?

Drugim riječima, pravo pitanje nije samo jesmo li usklađeni, nego jesmo li stvarno spremni.

Što iz ovoga mogu naučiti hrvatske organizacije?

Iz perspektive HIKS-a, vrijednost ovakvog izvješća nije samo u brojkama i trendovima, nego u poruci koju šalje tržištu: kibernetička sigurnost mora se graditi kao kontinuirana sposobnost, a ne kao jednokratni projekt.

Za hrvatske organizacije to znači nekoliko vrlo konkretnih prioriteta:
- Prvo, potrebno je jačati upravljačku razinu razumijevanja kibernetičkog rizika.
- Drugo, treba ulagati u bolju vidljivost nad sustavima, identitetima i izloženošću.
- Treće, sigurnost se mora povezati s kontinuitetom poslovanja i operativnom otpornošću.
- Četvrto, organizacije moraju razvijati kulturu u kojoj sigurnost nije prepreka poslovanju, nego njegov preduvjet.

Upravo će one organizacije koje uspiju povezati tehnologiju, procese i odgovornost biti otpornije na sve složenije prijetnje.

Zaključno

Diverto izvješće o stanju informacijske sigurnosti korisno je zato što podsjeća na jednostavnu, ali često zanemarenu istinu: najveći rizici ne nastaju samo zbog naprednih napadača, nego i zbog nedovoljne vidljivosti, sporog reagiranja, slabog upravljanja i pretpostavke da će se incident dogoditi nekome drugome. U tom smislu, izvješće ne treba čitati samo kao pregled trendova, nego kao poziv na ozbiljnije promišljanje o stvarnoj razini otpornosti vlastite organizacije.