S obzirom na „Pošast 21. stoljeća“ kako volimo nazivati općeprisutne prijetnje kibernetičke sigurnosti, apeliramo na sve pravne subjekte u državnom, javnom i privatnom sektoru, posebice one koji se novim Zakonom o kibernetičkoj sigurnosti (NN14/2024) nalaze u popisu ključnih i važnih subjekata iz Priloga I. i II. Zakona o kibernetičkoj sigurnosti, da s punom ozbiljnošću prouče nedavno donesenu:

 

Uredbu Vlade RH o kibernetičkoj sigurnosti (NN135/2024):

https://narodne-novine.nn.hr/clanci/sluzbeni/2024_11_135_2217.html

 

Kako bismo motivirali čitatelje na čitanje Uredbe, posebice rukovoditelje i odgovorne osobe u državnim, javnim i privatnim subjektima (ključni i važni subjekti) u nizu gospodarskih sektora, izdvajamo:

 

֍ Osobe odgovorne za upravljanje mjerama upravljanja kibernetičkim sigurnosnim rizicima su članovi upravljačkih tijela ključnih i važnih subjekata odnosno čelnici tijela državne uprave, drugih državnih tijela i izvršnih tijela jedinica lokalne i područne (regionalne) samouprave

 

֍ Obveznici dostave podataka za kategorizaciju subjekata i obveznici dostave podataka za vođenje posebnog registra subjekata dužni su imenovati osobu za kontakt odgovornu za dostavu podataka.

 

֍ Za osobu za kontakt odgovornu za dostavu podataka mora biti:

− imenovana osoba iz reda članova upravljačkog tijela subjekta

− imenovana osoba iz reda državnih dužnosnika u tijelima državne uprave i drugim državnim tijelima ili

− imenovano izvršno tijelo jedinice lokalne i područne (regionalne) samouprave.

 

֍ Osoba za kontakt odgovorna za dostavu podataka odgovorna je za pravodobnu dostavu točnih i potpunih podataka i obavijesti o promjenama podataka sukladno člancima 20. i 23. Zakona te odredbama ove Uredbe.

 

֍ Osoba za kontakt odgovorna za dostavu podataka dužna je imenovati najmanje dvije osobe ovlaštene za operacionalizaciju dostave podataka i obavijesti o promjenama podataka iz članaka 20. i 23. Zakona.

 

֍ Obveznici dostave podataka za kategorizaciju subjekata i obveznici dostave podataka za vođenje posebnog registra subjekata dužni su nadležnom tijelu za provedbu kategorizacije subjekata odnosno nadležnom tijelu za vođenje posebnog registra subjekata, bez odgode, a najkasnije u roku od osam dana od dana zaprimanja zahtjeva iz članka 20. stavka 1. i članka 23. stavka 2. Zakona, dostaviti podatke o imenovanoj osobi za kontakt odgovornoj za dostavu podataka i osobama ovlaštenima za operacionalizaciju dostave.

 

֍ U svrhu podizanja razine kibernetičke sigurnosti subjekata koji nisu kategorizirani kao ključni ili važni subjekti i ne provode dobrovoljne mehanizme kibernetičke zaštite iz članka 50. Zakona, subjekata koji tek započinju s uvođenjem mjera upravljanja kibernetičkim sigurnosnim rizicima ili predstavljaju mikro ili mali subjekt malog gospodarstva s ograničenim resursima i znanjem u pitanjima upravljanja kibernetičkim sigurnosnim rizicima, središnje državno tijelo za kibernetičku sigurnost priprema i na svojim mrežnim stranicama objavljuje preporuke za provođenje dobre prakse kibernetičke sigurnosti.

 

֍ Incidenti koji uzrokuju ili mogu uzrokovati ozbiljne poremećaje u funkcioniranju usluga su incidenti:

– koji negativno utječu na dostupnost usluge ili narušavaju kvalitetu usluge ili

– imaju ili mogu imati negativan učinak na autentičnost, cjelovitost ili povjerljivost pohranjenih, prenesenih ili obrađenih podataka ili usluga.

 

֍ Ključni i važni subjekti dužni su nadležni CSIRT obavijestiti o svakom značajnom incidentu, i to:

– rano upozorenje o značajnom incidentu

– početnu obavijest o značajnom incidentu

– privremeno izvješće o značajnom incidentu

– izvješće o napretku

– završno izvješće o značajnom incidentu.

 

֍ Rano upozorenje o značajnom incidentu ključni i važni subjekti dužni su dostaviti nadležnom CSIRT-u, bez odgode, a najkasnije u roku od 24 sata od trenutka saznanja za značajan incident.

 

֍ Početnu obavijest o značajnom incidentu ključni i važni subjekti dužni su dostaviti nadležnom CSIRT-u, bez odgode, a najkasnije u roku od 72 sata od trenutka saznanja za značajan incident.

 

֍ Završno izvješće o značajnom incidentu ključni i važni subjekti dužni su dostaviti nadležnom CSIRT-u najkasnije u roku od 30 dana od dana dostave početne obavijesti o značajnom incidentu ili najkasnije u roku od 30 dana od posljednje dostavljenog izvješća o napretku.

 

֍ Nadležni CSIRT dužan je bez odgode, a najkasnije u roku od 24 sata od primitka ranog upozorenja o značajnom incidentu, dostaviti subjektu početne povratne podatke o incidentu. Uz početne povratne podatke o incidentu, nadležni CSIRT dostavit će ključnom i važnom subjektu smjernice i operativne savjete o provedbi mogućih mjera ublažavanja incidenta, ako je subjekt to zatražio.

 

֍ Ključni i važni subjekti su dužni, bez odgode, a najkasnije u roku od 72 sata od saznanja za značajan incident, na jasan i lako dokaziv način, o značajnom incidentu obavijestiti primatelje svojih usluga na koje bi takav incident mogao utjecati.

 

֍ U slučaju pojave ozbiljne kibernetičke prijetnje, ključni i važni subjekti dužni su primatelje svojih usluga, na koje bi takva prijetnja mogla utjecati, obavijestiti o svim mogućim mjerama zaštite ili pravnim sredstvima koje mogu uporabiti u svrhu sprečavanja ili naknade uzrokovane štete te, po potrebi, obavijestiti primatelje usluga i o samoj ozbiljnoj kibernetičkoj prijetnji.

 

֍ Ključni i važni subjekti dužni su koristiti nacionalnu platformu za prikupljanje, analizu i razmjenu podataka o kibernetičkim prijetnjama i incidentima kao primarni način dostave obavijesti.

 

֍ Ključni i važni subjekti dužni su u roku od osam dana od primitka obavijesti imenovati osobu odgovornu za administriranje računa subjekta na nacionalnoj platformi (u daljnjem tekstu: administrator).

  • Ključni i važni subjekti dužni su administratora imenovati iz reda svojih zaposlenika.
  • Ključni i važni subjekti mogu imenovati do dva administratora.
  • Podatke o imenovanim administratorima, uključujući promjene osoba administratora ili pojedinih podataka o imenovanim administratorima, ključni i važni subjekti unose u nacionalnu platformu

 

֍ Ključni i važni subjekti dužni su u roku od osam dana od primitka obavijesti iz članka 95. stavka 2. ove Uredbe imenovati osobe ovlaštene za provedbu obavještavanja.

 

֍ Ključni i važni subjekti mogu korisnike nacionalne platforme imenovati iz reda svojih zaposlenika ili zaposlenika vanjskog davatelja povezanih usluga u subjektu.

 

֍ Subjekt će u okviru provedbe mjera upravljanja kibernetičkim sigurnosnim rizicima:

 

  • uspostaviti, dokumentirati i održavati aktivnim uloge i odgovornosti za kibernetičku sigurnost sukladno veličini subjekta i njegovoga mrežnog i informacijskog sustava te prema potrebi provesti ažuriranje uspostavljenih uloga i odgovornosti u subjektu. S obzirom na veličinu subjekta, uloge u pitanjima kibernetičke sigurnosti mogu biti dodijeljene osobama unutar subjekta s dediciranim ulogama isključivo u pitanjima kibernetičke sigurnosti (posebne uloge) ili ih se može dodijeliti zaposlenicima u okviru njihovih postojećih uloga u subjektu

 

  • imenovati dediciranu osobu koja je za razinu cijelog subjekta operativno odgovorna za kibernetičku sigurnost i kojoj je osiguran adekvatan pristup osobama odgovornim za provedbu mjera u subjektu

 

֍ Općenito na svim mrežnim i informacijskim sustavima koji nemaju mogućnost više-faktorske autentifikacije (MFA) ili za korisničke račune na kojima MFA nije tehnički moguć:

  • minimalna duljina je 14 znakova koji moraju predstavljati kombinaciju velikih i malih slova, znamenki te specijalnih znakova.
  • Lozinka za korisničke račune s privilegiranim pravima pristupa mrežnom i informacijskom sustavu treba biti duga najmanje 16 znakova,
  • Lozinke za servisne račune najmanje 24 znaka, koristeći ranije opisano pravilo o kombinaciji velikih i malih slova, znamenki i specijalnih znakova.
  • Za korisničke račune, uključujući one s privilegiranim pravima pristupa i servisne račune, za koje je uključena provjera drugog faktora, duljina lozinke može biti kraća, ali ne kraća od 8 znakova, ukoliko je to tehnički izvedivo, vodeći pri tome računa o potrebi korištenja ranije opisanog pravila o kombinaciji velikih i malih slova, znamenki i specijalnih znakova.

 

֍ Subjekt je dužan:

  • provoditi korištenje metoda autentifikacije (lozinke, digitalni certifikati, pametne kartice, biometrija i sl.) koje su u skladu sa stanjem razvoja tehnologije i koristiti jedinstvena autentifikacijska sredstva (nešto što korisnik zna kao lozinka ili pin, nešto što korisnik posjeduje kao pametni telefon ili token, te nešto što korisnik jeste kao otisak prsta, prepoznavanje lica i sl.)
  • zahtijevati inicijalnu promjenu osobnih pristupnih podataka (lozinke i PIN) prilikom prvog korištenja korisničkog računa, kao i u slučaju postojanja sumnje da su osobni pristupni podaci kompromitirani
  • zabraniti spremanje lozinki u web-preglednike
  • osigurati zaključavanje korisničkih računa nakon prekomjernih neuspjelih pokušaja prijave (account lockout), uz mogućnost automatskog otključavanja nakon razumnog vremenskog perioda radi sprječavanja napada uskraćivanjem usluge
  • ugasiti neaktivne korisničke sjednice nakon unaprijed određenog perioda neaktivnosti gdje to poslovni proces dopušta i
  • zahtijevati posebne vjerodajnice za pristup privilegiranim ili administratorskim korisničkim računima

 

֍ Primjena MFA je potrebna na VPN pristupu, SaaS alatima dostup­nim s Interneta itd. Potrebno je osigurati da se korisnička imena i lozinke korištene na servisima s dvofaktorskom autentifikacijom ne koriste na drugim servisima bez dvofaktorske autentifikacije.

 

֍ Osigurati korištenje osnovnog antivirusnog alata na svim radnim stanicama i koristiti alate za otkrivanje i odgovor na kibernetičke prijetnje na krajnjim točkama (EPP/EDR), s prikladnom razinom automatskog odgovora na prijetnje, u svrhu napredne zaštite na svim radnim stanicama i poslužiteljima.

 

֍ Osigurati pravovremenu i cjelovitu primjenu sigurnosnih zakrpa na kompletnoj programskoj i sklopovskoj imovini subjekta, čim iste bude primjenjive

 

֍ Osigurati stvaranje zapisa o svakoj prijavi i aktivnosti na kritičnom mrežnom i informacijskom sustavu radi osiguravanja forenzičkog traga, a pri tome treba koristiti alate i procese za praćenje i bilježenje aktivnosti na mrežnom i informacijskom sustavu subjekta u svrhu otkrivanja sumnjivih događaja koji bi mogli predstavljati incident te postupanja kojim će se umanjiti potencijalni učinak incidenta. Dnevničke zapise je potrebno čuvati pohranjene najmanje zadnjih 90 dana

 

֍ Svake godine provesti sveobuhvatan pregled svih definiranih mjera zaštite mreže kako bi se osiguralo da su one i dalje učinkovite i relevantne. Ovaj pregled uključuje procjenu trenutnih kibernetičkih prijetnji, ranjivosti i promjena u poslovnom okruženju koje bi mogle utjecati na uspostavljene mjere zaštite. Na temelju rezultata pregleda, provodi se ažuriranje tehničkih mjera zaštite kako bi se odgovorilo na nove izazove i rizike, osiguravajući stalnu usklađenost s najboljim praksama i zahtjevima. Svi rezultati i promjene koje se predlažu moraju se dokumentirati i odobriti od strane osoba odgovornih za provedbu mjera.

 

֍ Razvijati, održavati, dokumentirati i implementirati pravila sigurnosti lanca opskrbe koja uključuju minimalne zahtjeve za pojedine vrste svojih izravnih dobavljača i pružatelja usluga, a posebno onih koji subjekte opskrbljuju IKT uslugama, IKT sustavima ili IKT proizvodima te proces provjere sigurnosti svojih izravnih dobavljača i ponuđenih usluga koje se tiču kritičnih mrežnih i informacijskih sustava

 

֍ U ugovorima o poslovnoj suradnji odnosno nabavi ili pružanju usluga (Service Level Agreement – SLA) definirati sigurnosne zahtjeve za svoje izravne dobavljače i pružatelje usluga, koji su usklađeni s kibernetičkim sigurnosnim politikama subjekta.

 

֍ Razviti i dokumentirati postupke za postupanje s incidentima, što uključuje definiranje uloga, odgovornosti i procedura za praćenje, sprječavanje, otkrivanje, analizu, zaustavljanje incidenta i odgovor na njega, oporavak od incidenta te evidentiranje i interno prijavljivanje incidenata u jasno definiranim vremenskim okvirima.

 

֍ Provoditi jednom godišnje vježbe postupanja sa simuliranim incidentima u svrhu provjeravanja djelotvornosti uspostavljenih procedura za praćenje, analizu i odgovor na incidente. Provođenje vježbi subjekt je dužan dokumentirati na isti način kao i stvarne incidente, uz jasnu napomenu u dokumentaciji koja nastaje u okviru provedbe vježbe da se ne radi o stvarnom incidentu već o vježbi.

 

֍ Razviti detaljne planove za oporavak od katastrofa (DRP) i kontinuitet poslovanja (BCP). Na osnovu rezultata procjene rizika i plana kontinuiteta poslovanja, plan subjekta za pričuvno kopiranje podataka i redundancije treba biti razvijen, održavan i dokumentiran.

 

֍ Provoditi testiranje planova kontinuiteta poslovanja najmanje jednom godišnje. Planovi kontinuiteta poslovanja se moraju testirati kroz vježbe i revidirati periodički, nakon incidenata, promjena u operacijama ili procijenjenim rizicima. Provođenje testiranja planova kontinuiteta poslovanja mora biti dokumentirano kako bi se nedvosmisleno utvrdilo potrebna unaprjeđenja uočena tijekom provedbe testiranja.

 

֍ Implementirati redundanciju za kritične mrežne i informacijske sustave i kritične podatke. Prilikom implementacije subjekt mora razmotriti opcije ulaganja u vlastitu redundanciju ili angažman treće strane da pruži potrebnu redundanciju i to dokumentirati.

 

֍ Osigurati osnovne fizičke mjere zaštite kao što su odgovarajuće fizičke barijere, brave, sigurnosne kamere i kontrole pristupa. Za definirane sigurnosne perimetre u kojima se nalaze mrežni i informacijski sustavi i druga povezana oprema, potrebno je postaviti tehničku zaštitu kako bi se osigurao pristup prostorima ovisno o procjeni rizika subjekta

 

Ovo je samo mali izvadak obveza i mjera koje ova Uredba jasno utvrđuje.

 

#gdprcroatia