Kibernetički štit 2019

Kibernetički štit 2019 simulacijska je vježba za uvježbavanje rješavanja kibernetičkih incidenata te jačanje sigurnosne svijesti i sigurnosne kulture tijela sustava domovinske sigurnosti te tijela obveznika Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i digitalnih davatelja usluga

Druga vježba Koordinacije za sustav domovinske sigurnosti, pod nazivom Kibernetički štit 2019, provedena je 27. ožujka u Ministarstvu obrane Republike Hrvatske. Okupila je članove Koordinacije na čelu s potpredsjednikom Vlade i ministrom obrane Damirom Krstičevićem. Vježba je provedena u sklopu prve ovogodišnje sjednice Koordinacije za sustav domovinske sigurnosti, a uz članove Koordinacije sudjelovala su tijela i subjekti koji su obveznici Zakona i Uredbe o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, a u ulozi promatrača nazočili su i predstavnici drugih institucija.

Kibernetički štit 2019 nastavak je vježbe Kibernetički štit 2018, ali ipak drukčiji. Najveće promjene u odnosu na prošlogodišnju vježbu nastale su donošenjem Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga u srpnju prošle godine. Zakonom su prepoznati kriteriji za određivanje operatora ključnih usluga, incidenata koji imaju znatan učinak, obveza nadležnih sektorskih tijela te su propisani postupci pri rješavanju incidenata koji imaju znatan učinak, kao i postupci izvješćivanja.

 “Bilo bi iznimno loše za nas da se u godinu dana nije ništa promijenilo i da nisu postignuta nikakva poboljšanja u sustavu zaštite od kibernetičkih prijetnji. Najveće su promjene nastale donošenjem Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga u kolovozu prošle godine,” naglasio je u uvodnom obraćanju ministar Krstičević. “Moramo biti svjesni kako se sigurnosna paradigma promijenila u svijetu, pa tako i u našem okružju. Zasigurno su jedna od najvećih prijetnji današnjice, uz terorizam, učestali kibernetički napadi na nacionalnu kritičnu infrastrukturu. Mi se kao društvo moramo stalno pripremati na cijeli spektar potencijalnih ugroza i opasnosti, pa tako i na kibernetičke napade. Moramo raditi na obuci korisnika informacijskih sustava, prilagođavati informacijsko-komunikacijsku arhitekturu, primjenjivati napredne tehnike zaštite te neprekidno podizati svijest o sigurnosnoj kulturi i punoj primjeni Zakona o informacijskoj sigurnosti kao i Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga. U slučajevima kad se kibernetički napad i dogodi, moramo imati uređen sustav koji će sukladno propisanim procedurama postupanja umanjiti posljedice takvog štetnog događaja,” zaključio je ministar.

Uvodne informacije o Zakonu dao je Rober Žunac, ravnatelj Zavoda za sigurnost informacijskih sustava (ZSIS). Naglasio je da se Zakonom uređuju postupci i mjere za postizanje visoke zajedničke razine kibernetičke sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, nadležnosti i ovlasti nadležnih sektorskih tijela, jedinstvene nacionalne kontaktne točke, tijela nadležnih za prevenciju i zaštitu od incidenata (CSIRT) i tehničkog tijela za ocjenu sukladnosti, nadzor nad operatorima ključnih usluga i davateljima digitalnih usluga. Cilj Zakona je osigurati provedbu mjera za postizanje visoke zajedničke razine kibernetičke sigurnosti u davanju usluga koje su od posebne važnosti za odvijanje ključnih društvenih i gospodarskih aktivnosti, uključujući funkcioniranje digitalnog tržišta.

Nositelj vježbe bio je Samostalni sektor za informacijske i komunikacijske sustave MORH-a, čiji je načelnik brigadir Bruno Bešker ujedno direktor vježbe. Realizator je Glavna planska skupina, u koju su bili uključeni predstavnici Ureda Predsjednice RH, Ureda predsjednika Vlade RH, Ureda Vijeća za nacionalnu sigurnost, Sigurnosno-obavještajne agencije i Vojne sigurnosno-obavještajne agencije, Zavoda za sigurnost informacijskih sustava, Nacionalnog CERT-a, Ministarstva mora, prometa i infrastrukture, Središnjeg državnog ureda za razvoj digitalnog društva te MORH-a i Hrvatske vojske.

Brigadir Bešker istaknuo je kako su, u odnosu na 2018., zahvaljujući novom Zakonu o kibernetičkoj sigurnosti ove godine uspostavljene značajne mjere kibernetičke sigurnosti. Naime, prepoznati su operatori ključnih usluga, kriteriji za utvrđivanje incidenta koji ima znatan učinak, obveze nadležnih tijela, postupak rješavanja incidenta koji ima znatan učinak te, naposljetku, i postupak izvješćivanja. Objasnio je kako je glavni cilj vježbe podizanje svijesti o kibernetičkoj sigurnosti svih sudionika s posebnim naglaskom na operatore ključnih usluga, davatelja digitalnih usluga, nadležna sektorska tijela, jedinstvenu nacionalnu kontaktnu točku i tijela nadležna za prevenciju i zaštitu od incidenata, čiji su predstavnici i glavni sudionici vježbe.

Kibernetički štit 2019 simulacijska je vježba koja je imala oblik tzv. vježbe za stolom (“Table Top Exercise”). Riječ je o vježbi kod koje sudionici, raspravljajući o pojedinim pitanjima, analiziraju i rješavaju zajedničke probleme. Tijekom vježbe proigravale su se obveze i postupci prilikom pojave kibernetičkih incidenata koji su propisani Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga. Kibernetička djelovanja usmjerena su prema operatorima ključnih usluga i davateljima digitalnih usluga u Republici Hrvatskoj. Na taj način napadač može prouzročiti najveću štetu uz najmanje ulaganje resursa, odnosno ostvariti najbolji omjer uloženih resursa i postignute štete.

Okosnicu scenarija vježbe činili su kibernetički incidenti sa znatnim učinkom koji se događaju kod operatora ključne usluge – Hrvatske kontrole zračne plovidbe (HKZP) te davatelja digitalne usluge – Sveučilišnog računskog centra (Srce). Scenariji incidenta podrazumijevali su napad na zračni promet te ispad usluge nacionalnog središta za razmjenu internetskog prometa za 80 posto njegovih članica, a u njima su aktivno sudjelovali HKZP i Srce, predstavnici nadležnih sektorskih tijela – Ministarstva mora, prometa i infrastrukture te Središnjeg državnog ureda za razvoj digitalnog društva, dvaju nadležnih CSIRT (Computer Security Incident Response Team) tijela – Zavoda za sigurnost informacijskih sustava i Nacionalnog CERT-a te jedinstvene nacionalne kontaktne točke – Ureda vijeća za nacionalnu sigurnost.

Državni tajnik Središnjeg državnog ureda za razvoj digitalnog društva Bernard Gršić kao predstavnik nadležnih sektorskih tijela obveznika Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga izjavio je da je jedna od ključnih stvari u idućem razdoblju za sve dionike Zakona (operatori ključnih usluga i davatelji digitalnih usluga, nadležna sektorska tijela te nadležni CSIRT-i), osigurati dostatne ljudske resurse za kvalitetnu provedbu Zakona: odgovarajuću sistematizaciju radnih mjesta, kvalitetnu popunu i edukaciju, kao i mjere za zadržavanje ključnog IT kadra.

Zavod za sigurnost informacijskih sustava proveo je tijekom pripreme za vježbu, u skladu sa specifičnim ciljem iz Godišnjeg plana rada Koordinacije za sustav domovinske sigurnosti “Razvitak sposobnosti kibernetičkog djelovanja u okviru sustava domovinske sigurnosti”, simulaciju kibernetičkih napada. Ravnatelj ZSIS-a Rober Žunac predstavio je na kraju vježbe rezultate simulacije kibernetičkih napada.

U kontekstu rastućih opasnosti od kibernetičkih napada i nužnosti unapređenja svih sastavnica sustava domovinske sigurnosti, ministar Krstičević istaknuo je važnost ustrojavanja Zapovjedništva za kibernetički prostor kao nove sposobnosti Hrvatske vojske. Zapovjedništvo će biti od strateškog interesa za Hrvatsku jer će njegovim ustrojavanjem, objasnio je ministar, Hrvatska ući u četvrtu dimenziju ratovanja – cyber prostor.

Pripremili Željko Stipanović, Bruno Bešker

snimio Mladen Čobanović