Tema šestog izdanja Foruma ICT društvo održanog u petak bili su globalni rizici i sigurnost u IT-u i energetskom sektoru.
Nakon kraćeg obraćanja organizatora Anđelka Milardovića, kraće predavanje održao je konzultant Marko Rakar. On je podsjetio kako postoji niz institucija i tvrtki koje su prije 10-15 godina bile nedostupne napadačima jer nisu bile ni priključene na Internet, a danas su cijelo vrijeme online. Prošao je kroz primjere nekih raznih cyber napada i ranjivosti, a potom se zadržao na europskog NIS 2 direktivi.
Ona propisuje kreiranje mehanizama koji pomažu da se očvrsne infrastruktura europskih javnih ustanova, a po njegovom mišljenju Hrvatska joj je pristupila neozbiljno, jer je za zakon vezan uz NIS2 odgovorno Ministarstvo branitelja koje po Rakarovom mišljenju nema ni pravni ni tehnološki kadar za tako stručan zakon.
Osim toga hrvatski National Cyber Security smješten je u SOA-i, što je izuzetak među europskim državama i potencijalni problem jer je SOA organizacija kojoj je tajnost značajan princip, što bi moglo napraviti probleme u komunikaciji i provođenju nekih mjera.
Rakar je upozorio i kako je jako širok obuhvat ustanova i tvrtki koje su obveznici zakona, zbog čega se ne slaže s procjenom Ministarstva branitelja da će utjecaj zakona na tržišno natjecanje biti zanemariv. Za usporedbu, u Češkoj je broj subjekata koji su obvezni izvještavati NIS 2 direktivom porastao s 400 na 6000.
Važno je imati backup
Lucijan Carić u svom kratkom predavanju najviše pozornosti posvetio je važnosti backupa. Osim što pojedinci i tvrtke ne shvaćaju njegovu važnost dok ne izgube podatke, iznenađenja su moguća i kod onih koji imaju backup jer se zna dogoditi da backup nastrada skupa s originalom kao u slučaju rušenja World Trade Centera, a nekad se čak dogodi i da profesionalne kompanije izgube podatke (dijela) svojih korisnika kao što se Carboniteu dogodilo 2009. godine.
Problem može biti i format u kojem se čuvaju podaci- Ako su oni komprimirani ili kriptirani, čak i malo oštećenje može napraviti veliki problem u pristupu. Istaknuo je i kako je cijena arhiviranja sad puno pristupačnija nego prije, a na raspolaganju je i cijeli niz različitih vrsta servisa i opreme na koju se podaci mogu spremiti. YouTube primjerice sve svoje podatke arhivira na magnetske trake.
Kad je u pitanju backup u širem smislu i kad su u pitanju oni kojima je dostupnost backupa potrebna odmah, i tu su moguće rzaličite vrste problema. Nekad se zanemari stanje generatora koji treba osigurati struju u slučaju njezina nestanka, a nekad UPS ne može podržati jako puno opreme koja troši puno električne energija.
Na kraju svog predavanja, Carić je zaključio kako su tvrtke poput Googlea sasvim dovoljno pouzdane jer su podaci u njihovim data centrima redundantno zaštićeni.
Sigurnost ovisi o najslabijoj karici, a to je najčešće zaposlenik
Uslijedilo je kraće predavanje Karolja Skale o mogućoj novoj industrijskoj revoluciji, a potom i prvi od tri panela. Njega je moderirao Tomislav Makar iz tvrtke Tminus10, a u njemu su sudjelovali glavna operativna direktorica Diverta Ines Šarić, Combisov voditelj grupe za zaštitu od kibernetičkih napada Goran Živković i direktor poslovne jedinice za IT i ispitnu okolinu Ericssona Nikola Tesla Branko Dronjić.
Govoreći o učestalosti i vrsti napada, Šarić je rekla kako su oni u Hrvatskoj isti kao i oni u svijetu - na prvom mjestu je phishing, a na drugome su DDoS napadi. Oni su učestali, jer su lako dostupni.
Moderator Makar komentirao je i kako se sigurnosti ne posvećuje dovoljno, a jedan od primjera je i natječaj za milijunski sustav za naplatu cestarina u kojem je sigurnost sustava opisana s tek dvije-tri rečenice. Ipak, Šarić kaže kako se svijest kod kompanija podigla, a u tome je pomogla i NIS direktiva. prije nekog vremena najviše su na sigurnost pazile financijske tvrtke, nakon njih slijede telekomi, a sad i mnoge druge tvrtke.
Sigurnost često ovisi o najslabijoj karici, a to je često najnepažljiviji zaposlenik.
"Ne vidim kompaniju koja može reći da je bullet proof" - rekao je Živković koji je rekao kako je ipak napor koji je potreban za napad proporcionalan ulaganjima tvrtke u sigurnost.