Chat with us, powered by LiveChat

SREDNJA RAZINA

Kibernetička sigurnost (cyber sigurnost)

Kibernetička sigurnost označava skup mjera i tehnologija kojima se štite informacijski sustavi, podaci i digitalni procesi od neovlaštenog pristupa, napada i gubitka podataka. U digitalnom poslovanju posebno je važna jer omogućuje sigurnu razmjenu eRačuna, zaštitu financijskih informacija i neprekidan rad poslovnih sustava.

TUMAČENJE IZ ZAKONA

„kibersigurnost” znači sve aktivnosti koje su nužne za zaštitu od kiberprijetnji mrežnih i informacijskih sustava, korisnika tih sustava i drugih osoba na koje one utječu;

Članak 2., točka 1., Uredbe (EU) 2019/881

Što je kibernetička sigurnost (cyber security)?

Kibernetička sigurnost (cyber security) označava skup mjera, tehnologija i procedura kojima se štite informacijski sustavi, podaci i digitalni procesi od neovlaštenog pristupa, napada, zlouporabe i gubitka podataka.

U suvremenom digitalnom poslovanju predstavlja temelj stabilnog i sigurnog funkcioniranja sustava jer omogućuje zaštitu financijskih informacija, identiteta korisnika i kontinuitet poslovnih aktivnosti. Kako se sve veći dio poslovanja počeo odvijati digitalno, raste i izloženost različitim vrstama kiberprijetnji, zbog čega je sigurnost strateški preduvjet poslovanja.

Posebno je važna u kontekstu eRačuna i fiskalizacije, gdje se svakodnevno razmjenjuju osjetljivi podaci koji zahtijevaju visoku razinu zaštite. Kibernetička sigurnost obuhvaća tehničke mjere poput enkripcije i kontrole pristupa, organizacijske mjere poput definiranih sigurnosnih politika i edukacije zaposlenika, kao i operativne aktivnosti poput kontinuiranog nadzora sustava i pravovremenog odgovora na incidente. Cilj svih ovih mjera je smanjiti rizik, spriječiti sigurnosne incidente i osigurati pouzdano digitalno okruženje u kojem poslovni procesi mogu neometano funkcionirati.

  

Vrste kibernetičkih napada u poslovanju

kiberneticki napad icon 3

Phishing

kiberneticki napad icon 4

Malware (uključuje ransomware)

kiberneticki napad icon 1

DDoS napadi

kiberneticki napad icon 2

Hakerski napadi

Kibernetičke prijetnje u digitalnom poslovanju obuhvaćaju različite vrste napada kojima je cilj neovlašten pristup sustavima, krađa podataka, prekid rada ili izravna financijska šteta. Kako se poslovni procesi sve više oslanjaju na digitalne sustave, napadi postaju sve sofisticiraniji, a njihove posljedice značajnije, od operativnih zastoja do gubitka povjerenja klijenata i partnera.

Jedna od najčešćih prijetnji je phishing, oblik prijevare u kojem napadači pokušavaju navesti korisnike da otkriju osjetljive podatke poput lozinki, pristupnih podataka ili financijskih informacija, najčešće putem lažnih e-mailova ili web stranica. Sličan princip koristi i socijalni inženjering, gdje se manipulacijom zaposlenika pokušava zaobići sigurnosne procedure.

Malware obuhvaća različite vrste zlonamjernog softvera koji može oštetiti sustav, pratiti aktivnosti korisnika ili omogućiti neovlašten pristup podacima. Unutar ove kategorije posebno se ističe ransomware, koji zaključava pristup sustavu ili podacima te zahtijeva otkupninu za njihovo ponovno otključavanje, čime predstavlja izravan operativni i financijski rizik za poslovanje.

DDoS napadi usmjereni su na dostupnost sustava, na način da velikim brojem zahtjeva preopterećuju infrastrukturu kako bi onemogućili normalan rad aplikacija i servisa. U kontekstu eRačuna i digitalnih servisa, takvi napadi mogu uzrokovati prekide u obradi i razmjeni dokumenata.

Pojam hakerski napad obuhvaća širi spektar aktivnosti kojima napadači pokušavaju iskoristiti ranjivosti sustava, uključujući neovlašten pristup, izmjenu podataka ili preuzimanje kontrole nad sustavima. U poslovnom okruženju posebno su rizični napadi usmjereni na financijske procese, poput presretanja komunikacije ili izmjene podataka na računima, što može dovesti do izravnih financijskih gubitaka.

Razumijevanje ovih prijetnji prvi je korak u njihovom prepoznavanju i sprječavanju te predstavlja osnovu za uspostavu učinkovitog sustava kibernetičke sigurnosti.

Sigurnosne mjere za zaštitu podataka i sustava

Zaštita podataka i informacijskih sustava temelji se na kombinaciji tehničkih, organizacijskih i operativnih mjera koje zajedno čine cjelovit sigurnosni okvir. Sigurnost ne ovisi o jednoj tehnologiji ili alatu, već o načinu na koji je cijeli sustav postavljen, upravljan i nadziran kroz vrijeme.

Na tehničkoj razini, osnovne mjere uključuju enkripciju podataka tijekom prijenosa i pohrane, korištenje sigurnih komunikacijskih protokola, višefaktorsku autentifikaciju te strogu kontrolu pristupa sustavima i podacima. Redovito ažuriranje sustava i softvera također je nužno kako bi se smanjila izloženost poznatim ranjivostima.

Organizacijske mjere podrazumijevaju definirane sigurnosne politike, upravljanje korisničkim ovlastima i kontinuiranu edukaciju zaposlenika. Ljudski faktor i dalje predstavlja jednu od najvećih sigurnosnih slabosti, zbog čega je važno osigurati da korisnici prepoznaju potencijalne prijetnje i postupaju u skladu s definiranim procedurama.

Operativne mjere uključuju kontinuirani nadzor sustava, detekciju i odgovor na sigurnosne incidente te planove oporavka u slučaju prekida rada ili gubitka podataka. Sigurnosni sustav mora biti sposoban ne samo spriječiti napad, već i pravovremeno reagirati i osigurati kontinuitet poslovanja.

U kontekstu digitalnog poslovanja, važno je naglasiti da sigurnost ne počinje pojedinačnim elementima poput certifikata, već cjelokupnom arhitekturom sustava koja mora biti pouzdana, skalabilna i otporna na svakodnevne operativne i sigurnosne izazove.

Kibernetička sigurnost u eRačunima i fiskalizaciji

Kibernetička sigurnost u sustavima eRačuna i fiskalizacije odnosi se na cjelokupni sustav kroz koji podaci prolaze, od izdavanja i razmjene do pohrane i obrade. Budući da se radi o osjetljivim financijskim i poslovnim podacima, sigurnost mora biti ugrađena u samu arhitekturu sustava.

To znači da sigurnost počinje sustavom koji je dizajniran da izdrži svakodnevne operativne i sigurnosne izazove. eRačuni, kao strukturirani i strojno čitljivi dokumenti, prolaze kroz više točaka obrade i razmjene, zbog čega svaki segment sustava mora biti zaštićen.

U tom kontekstu, informacijski posrednik je odgovoran subjekt koji mora osigurati integritet, sigurnost i dostupnost sustava u svakom trenutku. Odabir nepouzdanog ili nedovoljno sigurnog rješenja može značiti izloženost podataka, operativne prekide ili čak izravne financijske gubitke.

Sigurnost takvih sustava temelji se na kombinaciji međunarodnih standarda, regulatornih okvira i internih sigurnosnih praksi. Primjerice, standardi poput ISO/IEC 27001 definiraju sustavni pristup upravljanju informacijskom sigurnošću kroz kontrolu pristupa, procjenu rizika i kontinuirano unaprjeđenje sustava, dok ISO 9001 osigurava stabilnost i kvalitetu procesa. Uz to, sigurnost komunikacije temelji se na enkripciji putem SSL/TLS certifikata koji štite podatke tijekom prijenosa i sprječavaju njihovo presretanje.

Uz tehničke i organizacijske mjere, sustavi za razmjenu eRačuna moraju biti usklađeni i s relevantnim regulatornim okvirima, koji dodatno definiraju sigurnosne standarde obveze.

eracuni meta

Važno je naglasiti da posljedice sigurnosnih incidenata u ovakvim sustavima mogu biti izuzetno ozbiljne — od višesatne nedostupnosti sustava do gubitka podataka, financijske štete i narušavanja poslovanja. Upravo zato sigurnost nije pitanje cijene ili dodatne opcije, već temeljni kriterij pri odabiru informacijskog posrednika.

Sustavi koji su razvijeni s fokusom na sigurnost uključuju kontinuirani nadzor, višeslojne mehanizme zaštite, redovite sigurnosne provjere i jasno definirane procedure upravljanja incidentima. U takvom okruženju, korisnici mogu biti sigurni da njihovi podaci ostaju zaštićeni, a poslovni procesi stabilni i predvidivi.

Zakonski okvir kibernetičke sigurnosti u Hrvatskoj i EU

Kibernetička sigurnost u Europskoj uniji i Hrvatskoj definirana je kroz regulatorni okvir koji propisuje obveze za organizacije koje upravljaju informacijskim sustavima i obrađuju osjetljive podatke.

Na razini EU, temeljni regulatorni okvir čini NIS2 direktiva, koja značajno proširuje opseg i zahtjeve u odnosu na prethodnu regulativu. NIS2 propisuje obvezu implementacije naprednih sigurnosnih mjera, kontinuirano upravljanje rizicima, obvezno prijavljivanje incidenata te odgovornost upravljačkih struktura za kibernetičku sigurnost. Poseban naglasak stavlja se na subjekte od ključnog značaja, među koje spadaju i pružatelji digitalnih usluga te sustavi koji podržavaju financijske i poslovne procese.

Dodatno, za financijski sektor uvedena je DORA regulativa (Digital Operational Resilience Act), koja definira standarde digitalne otpornosti. DORA zahtijeva visoku razinu dostupnosti sustava, jasno definirane planove kontinuiteta poslovanja i oporavka od katastrofa, redovita testiranja otpornosti te strogo upravljanje ICT rizicima. Za organizacije koje sudjeluju u razmjeni eRačuna i platnim procesima, DORA predstavlja ključni okvir za osiguravanje stabilnosti i pouzdanosti sustava.

Na nacionalnoj razini, Hrvatska je ove zahtjeve implementirala kroz Zakon o kibernetičkoj sigurnosti, kojim se definiraju obveze subjekata, nadležna tijela i mehanizmi nadzora. Zakon dodatno razrađuje zahtjeve za upravljanje incidentima, sigurnosne kontrole i obvezu izvještavanja, čime se osigurava usklađenost s europskim standardima i povećava razina otpornosti nacionalne digitalne infrastrukture.

Uz navedeno, važnu ulogu imaju i horizontalni propisi poput GDPR-a, koji uređuje zaštitu osobnih podataka, te eIDAS uredbe koja definira pravni okvir za elektroničku identifikaciju i usluge povjerenja. Ovi propisi zajedno čine regulatorni ekosustav koji osigurava povjerenje u digitalne transakcije i razmjenu podataka.

regulative

Za poslovne subjekte, to znači da kibernetička sigurnost više nije samo tehničko pitanje, već regulatorna obveza koja zahtijeva sustavan pristup, kontinuirano ulaganje i suradnju s pouzdanim partnerima. Odabir informacijskog posrednika koji je usklađen s relevantnim standardima i regulativama direktno utječe na sigurnost, zakonitost i kontinuitet poslovanja.

Moglo bi vas zanimati...

Mala i srednja poduzeća često su primarna meta napada jer imaju slabije sigurnosne sustave u odnosu na velike organizacije. Napadači ih ciljaju upravo zato što očekuju nižu razinu zaštite.

Napadi se mogu dogoditi u vrlo kratkom vremenu, često u nekoliko minuta. No, stvarna šteta se često otkriva tek danima ili tjednima kasnije.

Ne. Antivirus je samo jedan dio sigurnosnog sustava. Bez dodatnih mjera poput kontrole pristupa, enkripcije i nadzora sustava, zaštita nije dovoljna.

U praksi, troškovi su često veći od samog napada.

Da. Ljudska pogreška jedan je od najčešćih uzroka sigurnosnih incidenata, primjerice klik na phishing e-mail ili korištenje nesigurnih lozinki.

Sigurnosne provjere trebale bi biti kontinuirane, uz redovite audite i testiranja. Jednokratna provjera nije dovoljna u dinamičnom digitalnom okruženju.

Brzina reakcije ključna je za smanjenje štete. Sustavi koji imaju definirane procedure i automatizirani odgovor značajno smanjuju posljedice napada.

Sigurnost je kontinuirani proces. Kako se prijetnje razvijaju, sustavi i mjere zaštite moraju se stalno nadograđivati i prilagođavati.