Stara izreka kaže da hakeru treba sreća samo jednom, a da nama koji u poslu koristimo informacione tehnologije treba svaki put. EU regulatori (od milošte često nazivani i birokrate) davno su shvatili da je oslanjanje na faktor sreće neodrživo u uslovima gde celokupno savremeno društvo, javni sektor, privreda i infrastruktura danas praktično ne mogu da funkcionišu bez IT podrške.

U to da ni kod nas rezultati oslanjanja na sreću u sajberbezbednosti ne mogu biti mnogo bolji uverili smo se prethodnih godina, kada je u par zasebnih incidenata s radom privremeno prestalo nekoliko javnih veoma značajnih i korišćenih digitalnih usluga u Srbiji.

EU je 2024. godine donela unapređenu NIS2 direktivu, koja je kod nas našla primenu u novom Zakonu o informacionoj bezbednosti (ZIB) iz 2025. godine. Cilj je da se unapredi otpornost i sajberbezbednost celokupne EU zone i smanji rizik od posledica sajbernapada, sve sa zakonskom prinudom nad kritičnim i važnim entitetima u državi. Za nas ne manje bitno, poslovanje sa EU firmama bi nam bilo otežano ili onemogućeno da nema u Srbiji usklađenog ZIB.

Ako niste do sada već proverili da li se nalazite na listi subjekata koji su obuhvaćeni novim ZIB, u vašem je interesu da to što pre uradite. Lista je znatno proširena u odnosu na stari ZIB i sada uključuje i proizvodnju hemikalija, hrane, računara i elektronike i optike, električne opreme, mašina i uređaja, ekomerc provajdere, medicinske opreme, IT usluge itd. U slučaju da već znate da se zakon odnosi i na organizaciju u kojoj radite, ovaj tekst je namenjen upravo vama. Pokušaću da sažmem praktična očekivanja od vas i moguća rešenja za svakog odgovornog da u svojoj firmi obezbedi usklađenost sa odredbama ZIB.

Odakle početi?

Prva velika raskrsnica za sve buduće stratege za implementaciju i praktičare jeste ISO 27001 (ili DORA u finansijskom sektoru) standard. Jednostavno rečeno, ako imate ISO 27001 standard uveden u vašu firmu, završili ste okvirno 60 odsto posla usklađivanja – NIS2 i ZIB su nadogradnja na ISO 27001, a ne njegova zamena. Najveće razlike su obaveze registracije organizacija na koje se zakon odnosi u nadležnom Ministarstvu za poslove informacione bezbednosti, zatim obaveze prijave i izveštavanja o incidentima i, naravno, i na kaznenu odgovornost organizacija i odgovornih lica u njima u slučaju nepoštovanja odredbi ZIB.

Prvi korak je svakako da utvrdite vaš sadašnji stepen usklađenosti sa zahtevima ZIB. Sajberbezbednost najbolje rezultate postiže u firmama u kojima je jasno definisano kako ona doprinosi ukupnim ciljevima organizacije. Kada utvrdite obim neusklađenosti sa ZIB zahtevima, uzimajući u obzir kontekst i ciljeve vaše organizacije, najpraktičnije je definisati program sajberbezbednosti koji se sastoji od nekoliko projekata i od redovnih aktivnosti koje ćete sprovoditi da zadržite bezbednost i usklađenost na zahtevanom nivou.

Ključni elementi dobre bezbednosti

Pre svega, to je dobro upravljanje rizicima. Mere koje organizacija preduzima da se zaštiti od rizika moraju koštati manje od očekivane koristi koju zaštita pruža. Iz ovoga sledi da moramo dobro razumeti naše rizike i verovatnoću da se rizični događaj desi, znati posledicu štetnog događaja po firmu, po zainteresovane strane, kupce, dobavljače. Nije namera NIS2 direktive niti naših zakonodavaca da nametnu teret organizacijama nesrazmeran rizicima i njihovoj veličini – upravo je suprotno, i podzakonska akta koja još uvek nisu doneta u vreme pisanja ovog teksta sigurno će ovo uzeti u obzir.

Password

Sledeće po značaju su politike i procedure. Najbitnije su politike za informacionu bezbednost, zatim politike u vezi s pravilima ponašanja zaposlenih, politike za upravljanje rizicima, politike za kontrolu prava pristupa, upravljanje lozinkama i drugim mehanizmima za autentifikaciju korisnika, politike za backup itd.
Da bismo sve ovo sproveli u praksi, potrebne su nam i određene tehničke kontrole, odnosno alati za njihovo sprovođenje.

Za veće organizacije, poželjan je neki sistem za upravljanje dokumentacijom (DMS). On znatno olakšava zajedničku izradu, kontrolu, odobravanje, distribuciju, pronalaženje, reviziju i arhiviranje svih potrebnih dokumenata a može olakšati i praćenje drugih zadataka koji su u vezi sa usklađenošću sa ZIB. Savremene platforme kakve su MS Power Platform i SharePoint omogućavaju korisnicima koji su pretežno u Microsoft ekosistemu da se skoro potpuno oslobode administrativnih zadataka i svoje vreme fokusiraju na suštinu i kvalitet dokumentacije i poslova koje treba da obave.

Rešenje za bezbednosne logove

Zakonom je propisano i da je potrebno da organizacija ima sistem za čuvanje podataka o događajima od značaja za bezbednost – što u većim organizacijama znači neko SIEM rešenje, kakav je holandski ELASTIC. Fleksibilna SIEM rešenja omogućavaju da se prikupljaju na centralno mesto logovi s praktično neograničenog broja Windows i Linux servera, radnih stanica, endpoint zaštite, cloud servisa, mrežne opreme i aplikacija (Firewall, VPN, DNS – sve što ima syslog), aplikacija za autentifikaciju (Entra ID, LDAP, AD itd).

Centralizacija logova nam omogućava uvid u zbivanja na mreži s jednog mesta, analizu podataka pomoću nekog od AI/ML modela, učenje „navika“ korisnika i brzo uočavanje anomalija, pa i automatizaciju alarma i odgovora na pretnje upotrebom neke od savremenih low code – no code platformi. Rešenje kakvo je ELASTIC omogućava i da pratimo brojne druge aplikacije i da lako uočavamo uska grla u resursima i problematične servise preko modula koji se zove Observability.

Moramo dobro razumeti naše rizike i verovatnoću da se rizični događaj desi, znati posledicu štetnog događaja po firmu, po zainteresovane strane, kupce, korisnike, dobavljače i druge partnere

Dobra endpoint antivirusna ili u novije doba EDR zaštita već dugo godina se podrazumeva. ESET je jedan od proizvođača s dugom tradicijom i odličnim odnosom performansi, bezbednosti i kvaliteta. U paketu ESET endpoint zaštite kakva je Elite, možete naći ne samo vrhunsku endpoint zaštitu najnovije generacije već i module za automatsko praćenje ranjivosti i instalaciju zakrpa na vašim radnim stanicama i serverima, što je takođe jedna od obaveza po novom ZIB.

U slučaju potrebe, mi vam kao partner možemo pomoći savetovanjem, implementacijom DMS sistema, implementacijom ELASTIC SIEM rešenja i ESET Endpoint EDR zaštite, izradom izveštaja za monitoring, automatizacijom odgovora na pretnje, analizom i pomoći za uklanjanje detektovanih pretnji i ponajviše našom jako dobrom lokalnom podrškom, pomognutom proizvođačima gde je potrebno.

Svim javnim i privatnim organizacijama koje su značajno neusklađene sa zahtevima novog ZIB, ove obaveze mogu izgledati nedostižne pa čak i zastrašujuće. Ali ako se usklađivanje vrši po najboljoj praksi, rezultat mora biti dobar – jako retko, na primer, čujete da je neka banka pretrpela uspešan sajbernapad. Možda i zbog toga što banke bezbednost shvataju ozbiljno. Dakle, sajberhigijena u skladu s mogućnostima organizacije i utvrđenim rizicima pre je dobra nego loša stvar, čak i bez EU direktiva.

Jer, kako kaže jedna druga hakerska izreka: Gde nema logova, tu nema ni zločina!

Autor teksta: Bojan Miljković, direktor, Extreme d.o.o.

Tekst preuzet sa: Novi Zakon o informacionoj bezbednosti – šta nas čeka u praksi? | PC Press