'Gotovo svatko je barem čuo za kibernetičku sigurnost i njenu važnost. No ponašanje većine zaposlenih u javnom i privatnom sektoru, kao i značajnog dijela stanovništva, odudara od nekih osnovnih načela sigurnosti u cyber svijetu. Veliki je problem to što uopće nismo svjesni koliko malo znamo', ističe Zoran Kežman, izvršni direktor novootvorenog Span centra kibernetičke sigurnosti, prvi tog tipa u jugoistočnoj Europi, kojim su Hrvatska i regija dobile (prijeko potreban) centar izvrsnosti za razmjenu znanja i iskustava na području kibernetičke sigurnosti
'Dug niz godina Span pomaže velikim svjetskim tvrtkama i organizacijama u podizanju otpornosti na kibernetičke prijetnje konzaltingom i implementacijom naprednih tehnoloških rješenja. Isto tako, pomogli smo mnogima u rješavanju vrlo zahtjevnih sigurnosnih incidenata. No ljudski faktor je bio i ostao najkritičnija komponenta, jer u tom području kronično nedostaje stručnjaka, ali i svijesti i poznavanja osnovnih načela kibernetičke sigurnosti netehničkog osoblja.
Više od 80 posto svih uspješnih napada rezultat je ljudske greške ili nepoduzimanja odgovarajućih poteza. Upravo zato je edukacija kritična, jer će pripravnost i uvježbanost svake osobe u organizaciji biti presudne za to hoće li netko biti najslabija karika ili najjači stup obrane od kibernetičkih prijetnji', kaže Kežman. Kako bi adresirali tu nestašicu i slabosti, odlučili su se za pokretanje centra, a od same ideje do realizacije prošlo je manje od godinu dana.
Suradnja sa Cybergymom
Centar je lociran u Zagrebu, a njegovo opremanje i uređenje u cijelosti su Spanova investicija. Kežman kaže da je, pored najnovije informatičke opreme koja se koristi za izvođenje vježbi te za doživljaj stvarnih kibernetičkih napada, opremljen najmodernijom audio i vizualnom opremom, što olakšava izvođenje treninga i pruža niz mogućnosti za hibridni način rada njihove organizacije. Što se tiče trenera koji izvode treninge, okosnicu čini više od deset Spanovih stručnjaka iz različitih domena informacijske i kibernetičke sigurnosti.
Pokrenuli su ga s izraelskom tvrtkom Cybergym, a koja ima više od deset godina iskustva u izvođenju treninga i pružanju rješenja na tom području. Cybergymovi stručnjaci sudjelovat će u treninzima u formi takozvanog crvenog tima, onog koji izvodi stvarne napade uživo, na stvarnoj IT infrastrukturi i u realnom vremenu. Cilj je tog partnerstva stvoriti dodatne stručnjake te generalno podići nivo znanja i vještina iz kibernetičke sigurnosti i kod ljudi koji nemaju prethodno tehničko predznanje.
Osim treninzima, razmjenu znanja i iskustava ostvarit će organizacijom webinara, stručnih konferencija i skupova te pozivanjem renomiranih svjetskih stručnjaka kako bi pomogli u podizanju svijesti i stjecanju odgovarajućih znanja i vještina iz područja kibernetičke sigurnosti.
Kežman ističe da na nivou Europske unije ne postoje jasna mjerila ni ujednačena istraživanja koja bi pokazala gdje su sve slabosti tvrtki na tom području i koliko su one velike. Stoga ističe da je potreba za poznavanjem i pridržavanjem osnovnih načela kibernetičke sigurnosti sve veća i sve urgentnija zbog sve veće ovisnosti o informatičkoj i komunikacijskoj tehnologiji u mnogobrojnim aspektima našeg društva.
'Slično je i s ulaganjima. Samo manji dio tvrtki i organizacija ulaže u potrebne tehnologije, u procese i u znanja ljudi kojima podižu razinu svoje otpornosti na kibernetičke prijetnje, a znatno je veći broj onih koje tome ne polažu dovoljnu pozornost, kao da se radi o problemu koji se događa nekom drugom i negdje drugdje', naglašava Kežman.
Dvije ključne karakteristike treninga
Treninzi će se održavati u samom centru, a Kežman je izdvojio njihove dvije ključne karakteristike. Prva je ta da su strukturirani i prilagođeni za svaki pojedini profil zaposlenika u organizaciji, počevši od menadžmenta, preko općih zaposlenika bez nekog tehničkog predznanja, do IT specijalista i osoblja koje se bavi kibernetičkom sigurnošću u organizaciji. 'To će pomoći da svaka osoba bude osposobljena na odgovarajući način kako bi cijela organizacija bila sigurnija', kaže direktor.
Druga bitna karakteristika treninga ta je da na njima dominira praktična komponenta u odnosu na onu teorijsku. Kežman kaže da je osnovna ideja da polaznici steknu praktična znanja i vještine te da ih mogu primijeniti odmah po povratku s treninga u svojim organizacijama. Ta praktična komponenta manifestira se kroz razne vježbe, kao što je naprimjer analiza računala zaraženog malicioznim kodom, te kroz izloženost stvarnim kibernetičkim napadima koji se događaju uživo, pri čemu polaznici uče o različitim kibernetičkim prijetnjama i kako se obraniti od njih. Duljina treninga razlikuje se ovisno o profilu polaznika i temama, a kreće se od jednodnevnih do onih koji se protežu i na osam do deset tjedana. Treninzi su otvoreni za sve, no najveći interes vjerojatno će pokazati tvrtke i organizacije iz privatnog i javnog sektora.
'Suvremeni ratovi više se ne vode samo klasičnim oružjem'
Kako prijetnje postaju sve ozbiljnije, kako ih je sve više i događaju se u svakom dijelu svijeta koji je povezan s internetom, tako se ovaj problem kroničnog nedostatka stručnjaka dodatno povećava. Prema projekcijama, iduće dvije godine nedostajat će 3,5 milijuna stručnjaka za kibernetičku sigurnost.
'No, kao što sam ranije spomenuo, to je samo dio problema. Svatko od nas, bez obzira je li stručnjak ili ne, treba biti svjestan kibernetičkih prijetnji i načina na koji se s njima treba nositi. Za rješenje ovih problema ključna je najprije svijest o samom problemu i njegovoj veličini. Zatim treba osigurati resurse i metodologiju kojima će se problem učinkovito riješiti i u tome će presudnu ulogu igrati sve obrazovne institucije, uključujući naš centar', ističe Kežman.
Kibernetička sigurnost došla je do izražaja i uslijed ruske invazije na Ukrajinu, premda je, uz ekonomska i geopolitička događanja, djelomice ipak ostala u sjeni. Kežman podsjeća da se suvremeni ratovi ne vode više samo klasičnim oružjem i vojnim snagama, nego da značajnu ulogu imaju i obavještajne informacije, propaganda i drugi vidovi hibridnog ratovanja.
'Nekada ste morali poslati oružane snage da zauzmu neki dio ključne infrastrukture kako biste onesposobili protivnika i ostvarili određene ratne ciljeve. Danas to možete napraviti kibernetičkim putem i bez ispucanog metka onesposobiti značajne dijelove kritične infrastrukture kao što su energetski sustavi, pitka voda i slično', pojašnjava Kežman.
Cilj: ustanova za obrazovanje odraslih
'Budući da svijet u kojem živimo postaje sve više digitalan i da ogroman dio vremena provodimo u njemu i kao pojedinci i kao zaposlenici, kibernetička sigurnost nešto je na što moramo jako paziti i što treba biti osnova našeg ponašanja u tom svijetu. Naš je cilj da pomognemo u tome i tvrtkama i pojedincima te da u sljedeće dvije godine prerastemo u ustanovu za obrazovanje odraslih koja će pružati programe formalnog obrazovanja za osposobljavanje i usavršavanje na području kibernetičke sigurnosti', zaključuje Kežman.