Već je odavno svima jasno kako kibernetička sigurnost odavno nije tema samo za IT odjel. Svi su upleteni, svi imaju odgovornost, svih se tiče i baš zato je važno govoriti o regulativi, otpornosti i svemu što se veže na to. Činjenica je da broj incidenata raste, a oni utječu na financijske gubitke, pa i na povjerenje korisnika. Hrvatska u tome nije izolirana, ona je kao članica Europske unije također meta napada koji su sve temeljitiji i usmjereniji, a o kakvim je prijetnjama riječ i kako se braniti, govorilo se na konferenciji Poslovnog dnevnika Cyber Security.
Koliko su napadi stvarni i razorni, sve je osvijestio Tomislav Vazdar, predsjednik Uprave Riskorije. Kaže kako smo u rujnu prošle godine svjedočili prvom velikom, orkestriranom napadu s pomoću agenata.
“To je bio napad kojeg smo se pribojavali prije 20 godina, a dogodio se s pomoću stroja. Napadnuto je više od 30 organizacija svijeta”, pojašnjava pa dodaje kako inače 80 do 90 posto napada organizira stroj, dok je ostalo rad čovjeka. Za konkretni slučaj daje podatak kako je napad trajao 10 dana, a u tom procesu čovjek je aktivno sudjelovao 20 minuta.
Regulativa kaska
U tome moramo biti svjesni činjenice da regulativa nikada ne prati tehnološki napredak, a napadač više nema lice, nije osoba s alatima. “Agentski AI sustavi percipiraju okolinu, zaključuju o preprekama, djeluju u više koraka i uče iz neuspjeha, bez ljudske intervencije.”
Napadi su godinama napredovali, a Vazdar ih je vremenski podijelio u faze po čemu se vidi koliko su uistinu postali sofisticiraniji, ruku pod ruku s tehnologijom. Od 1990. do 2020. godine u fokusu je bio čovjek s alatima i ručni napadi, od 2022. do 2024. počinje generativni AI kao pojačalo, odnosno napadi se oslanjaju na internetske prijevare i zlonamjerne kodove, dok treću fazu, koja je počela 2025. i traje, obilježava agentska anatomija, odnosno napadi s pomoću agenata potpomognuti umjetnom inteligencijom.
Da su napadi sve češći, potvrđuju i statistički podaci. Naime, rast “deepfake” prijevara u tri godine bilježi porast veći od dvije tisuće posto.
Osim toga, agencija Europske unije za kibernetičku sigurnost (ENISA) kaže kako je više od 80 posto internetskih napada napravljeno s pomoću umjetne inteligencije koja je otvorila neka sasvim nova vrata.
Nastavno na sve te bojazni, postoje i brojne regulative kao što su europski AI Act, NIS2 i DORA koji se preklapaju u upravljanju rizicima, incidentima i odgovornosti uprave, a Vazdar kaže kako to preklapanje nije teret, nego prilika.
No, važno je reći kako modernu kibernetičku obranu oblikuje umjetna inteligencija, a sigurnu primjenu AI-ja omogućuje kibernetička sigurnost. “Agentski napadi zaobilaze kontrole građene za ljudske protivnike. Obrana se seli s prepoznavanja poznatog na prepoznavanje namjere, a u 2026. godini temelji se baš na analizi namjere ponašanja.”
Kompetentan, ali nepouzdan
Sve to povlači bitna pitanja, a posebice – znamo li gdje su naši podaci, gdje su AI sustavi i možemo li to dokazati?
“Svaki upit zaposlenika javnom AI alatu je prijenos podataka, pitanje je samo je li ugovoren. Otpornost koja se ne može dokazati – ne postoji”, kaže Vazdar pa dodaje kako Zakon o kibernetičkoj sigurnosti ne traži samo provedbu 13 sigurnosnih mjera nego i njihovu provjerljivost, a otpornost postaje nešto što se mjeri i dokazuje. “U 2026. pitanje nije jeste li usklađeni, nego možete li to dokazati regulatoru, revizoru i napadaču.”
Zbog svega toga, ono što se svaka organizacija mora zapitati jest zna li koje sustave stvarno koristi, jesu li oni u registru imovine i rizika te mogu li u roku od tjedan dana dokazati kontrole nad njima. Ako je odgovor na sve “da”, kaže, spremni ste za 2026. godinu, a svaki “ne” je novi projekt na kojemu morate poraditi.
Istina je da je umjetna inteligencija ušla u sve pore našeg života, ali ponekad nas zna i zavarati, zato je ključno da znamo što točno i s čime radimo. “Algoritam je kompetentan, ali nepouzdan suradnik. U sekundi sažme 200 stranica, a povremeno samouvjereno izmišlja. Što je sposobniji, teže je uočiti kada griješi.”
Tu je uloga čovjek ključna, a to propisuje i AI Act u članku 14. u kojemu stoji da “visokorizični sustavi moraju biti projektirani za učinkovit ljudski nadzor, uz svjesnost automatizacije pristranosti. Odluka mora imati ime i prezime.”
No, stvari će biti još i teže jer se u budućnosti očekuje pojava kvantnih računala, a postkvantna kriptografija je rizik koji stručnjaci čekaju kao sljedeći korak u ovoj priči. “Podaci ukradeni danas čekaju kvantno računalo sutra, a 2030. godina je ključna za kvantno računarstvo.”
Naime, zbog eksponencijalne računalne snage, kvantna računala moći će probiti današnje standardne enkripcije, a do 2030. se provodi masovna globalna tranzicija na postkvantnu kriptografiju kako bi se zaštitili osjetljivi podaci i financijske institucije.
Nacionalni institut za standarde i tehnologiju stoga je 2024. objavio okvir za kibernetičku sigurnost, odnosno postkvantne standarde, a po tome prvi korak nije tehnologija, nego plan jer napadi će biti brzinom stroja, a odgovornost će se snositi brzinom čovjeka. “Organizacijama zato treba jedan sustav upravljanja kibernetičkim i AI rizikom, koji je dokaziv, mjerljiv i s imenom iza svake odluke.”
Tko je odgovoran?
Kako pak kompanije upravljanju tim rizicima u AI eri i tko kod njih snosi odgovornost, o tome se govorilo u panelu. Marko Teklić koordinator je informacijsko-komunikacijskih rješenja u A1 te kaže kako oni rješenja imaju. “Prije 10 godina donijeli smo stratešku ključu odluku i kupili nezavisnog pružatelja cloud usluge. Možemo garantirati da podaci nikada neće napustiti prostor Europske unije.”
Riko Luša, voditelj odjela za kibernetičku sigurnost u Končar – Digitalu, ističe da moramo paziti na koji način koristimo vlastite sustave i prepoznati je li i on pod napadom. “Znamo da se ti modeli unaprjeđuju iz mjeseca u mjesec. Ako koristite neki sustav predugo, počinje zaboravljati i halucinirati, to znači da morate ugraditi sigurnosne mehanizme za njihov dobar rad. Morate pratiti kako rade i dokazati da to čine ispravno”, kaže pa dodaje da on na AI gleda kao na alat, a ne kao na umjetnu inteligenciju, a “svaki alat je dobar ovisno o tome kako ga koristite.” Ipak, AI je danas standard stoga pojašnjava da bez umjetne inteligencije kompanije zaostaju, a ona je korisna u razvoju i pružanju novih usluga. Nismo joj sasvim prepušteni pa Luša kaže da smo u nekim segmentima malo konzervativni i ne želimo pustiti AI u sve strukture.
U cijeloj ovoj priči veliku ulogu imaju osiguranja od kibernetičkih napada. Kakvo je stanje u Hrvatskoj i koliko su tvrtke toga svjesne, pojasnio je generalni menadžer u GrECu Andrej Krvavica.
“Zapadnije zemlje su malo ispred nas, ali se poprilično smanjuje ta razlika posljednjih godina. Imamo tu i taj regulatorni dio koji gura i stavlja to u prvi plan. Činjenica je da se kibernetički incidenti događaju svaki dan, nisu svi zvučni, ali organizacije postaju biti svjesne da trebaju napraviti nešto više u tim zadnjim koracima”, rekao je Krvavica pa pojasnio kako izgleda osiguranje u slučaju napada. Naime, trenutačna osiguranja su u fazi da se ne pokriva uzrok AI-ja, već se gledaju posljedice i koja polica to može pokriti. “Ako je profesionalni propust, profesionalna je odgovornost. Ako je uzrok loše upravljanje sustavom, tu je onda osiguranje odgovornosti menadžera. Postoje različite vrste osiguranja koje se preklapaju i ima puno rizika koje pokrivaju.”
Specijalizirana pokrića
Kada je riječ o budućnosti, kaže da će se sve više detaljnije propisati, odnosno bit će detaljnija pokrića specificirana za AI uzroke pa stoga očekuje i širenje tržišta. “Za sada su kibernetički napadi pokriveni bez obzira na to koji je uzrok. U budućnosti će možda biti specijalizirani produkti koji će štititi od određenih slučajeva.”
No, kao i u svemu, svi uvijek traže krivca s imenom i adresom. Postavlja se pitanje odakle dolazi veća prijetnja – je li veći rizik kibernetički napad izvana ili da zaposlenici koriste AI bez jasnih pravila. Teklić ističe da je tu edukacija ključna te je zaposlenicima potrebno omogućiti znanje kako bi mogli odgovorno rukovati svim alatima.
“Uvijek možete imati privatnog agenta, za kojeg znate da neće služiti za treniranje trećeg sustava. S obzirom na to, uz sve izazove koji postoje s AI-jem, uvijek postoji neko rješenje.” Kada je pak riječ o samim napadima, najčešće svi pomisle na curenje podataka. No, u nekim sektorima stvarni napad može se odnositi i na zastoj ili poremećaj proizvodnje.
Luša je pojasnio kako se Konačar nosi s time. “Odvajamo koncepte IT-ja i OT sigurnosti (sigurnost operativne tehnologije, op.ur.). Ovi potonji se brinu o sigurnom načinu implementacije tehn logija i to je jedna veća razina. Kada govorimo o implementaciji IT tehnologija, gleda se da ugradimo siguran način rada. Osim toga, AI Act propisuje kako koristiti modele AI tehnologije, što znači da moramo omogućiti zaustavljanje tih sustava i omogućiti da se prebace na ručno upravljanje”, kaže. Za kraj dodaje kako je područje koje se tiče AI usluga danas vrlo izazovno jer prebrzo raste, a “teško je upravljati brzinom čovjeka onim sustavom koji radi brzinom računala.” U tome je stoga važno gledati što implementiramo u svoj rad i organizaciju.
Bilo kako bilo, novi izazovi digitalnog okruženja su veći. Organizacije istodobno trpe pritisak sve složenijih napada, strožih propisa i nužnosti jačanja operativne otpornosti što u konačnici stavlja veći naglasak na konkretne modele zaštite. Ono čega svi postaju biti svjesni jest da je kibernetička sigurnost pitanje sadašnjosti, a ne budućnosti, a prvi stup obrane već je ta svijest.
