INTERVJU: Hrvatska normizacija suočava se s izazovima informacijske i kibernetičke sigurnosti

   Kako je došlo do suradnje s Hrvatskim zavodom za norme? 

mr. sc. Igor Liščić: Počeci suradnje s Hrvatskim zavodom za norme sežu unazad dvadesetak godina, kada sam bio zaposlen u Plivi d.d. Ova se suradnja intenzivirala posljednjih nekoliko godina kada sam se uključio u rad više tehničkih odbora kao predstavnik Hrvatskoga mjeriteljskog društva čiji sam dugogodišnji član.
 

   Inicijator ste osnivanja tehničkog odbora HZN/TO 582, Informacijska sigurnost i upravljanje kontinuitetom poslovanja. Što očekujete od predsjedanja Odborom?

mr. sc. Igor Liščić: Od odbora općenito, pa tako i od svoje uloge u njemu, u prvom redu očekujem da ćemo osigurati i promovirati veću dostupnost i primjenu normi iz područja informatičke i kibernetičke sigurnosti i upravljanja kontinuitetom poslovanja te da ćemo na taj način utjecati i na podizanje razine svijesti o brizi o informatičkoj sigurnosti u Hrvatskoj. Uz to se nadam da ćemo se, s obzirom na razvijenost informatičke djelatnosti u Hrvatskoj, s vremenom i aktivno uključiti u rad odgovarajućih radnih tijela na međunarodnoj razini.

   Kao stručnjak, koje prednosti vidite u sudjelovanju u radu ovakvog odbora? Pokazalo se da sudjelovanjem u normizaciji sudionici mogu ostvariti niz prednosti.
mr. sc. Igor Liščić: Prvi je razlog uključivanja u rad odbora mogućnost praćenja razvoja međunarodnih i europskih normi iz područja rada odbora, što svakom stručnjaku pomaže da bude bolji i učinkovitiji u svojoj djelatnosti. Najbolji primjer je novo izdanje norme ISO 27002:2022 na međunarodnoj razini (na europskoj razini ova verzija još nije prihvaćena i još je vrijedeća norma EN ISO/IEC 27002:2017, kao i HRN EN ISO/IEC 27002:2017 na nacionalnoj razini), zbog čega će doći do promjena u normi ISO 27001:2013. U konačnici će ove promjene, koje su veoma značajne, zahtijevati dodatne aktivnosti svih organizacija koje su certificirane prema zahtjevima norme ISO 27001:2013
(HRN EN ISO/IEC 27001:2017). Također, uključenjem u rad odbora dobiva se pristup određenoj bazi znanja iz područja rada te se tako članovima odbora omogućava učenje i razvoj. I konačno, a mislim da je to zadatak za „odlikaše“, preko rada u nacionalnom odboru otvara se mogućnost sudjelovanja u radnim skupinama na međunarodnoj razini. Time se ostvaruje i osobna korist za članove odbora koji se odluče na ovaj korak, prije svega kroz ostvarivanje kontakata s vodećim stručnjacima u određenom području. S druge strane, sudjelovanje u ovim radnim skupinama pridonosi boljoj međunarodnoj prepoznatljivosti i Hrvatskog zavoda za norme, a isto tako i Republike Hrvatske.

   Novoosnovani tehnički odbor HZN/TO 582, Informacijska sigurnost i upravljanje kontinuitetom poslovanja pripremat će norme i tehničke specifikacije, smjernice i druge normativne dokumente u područjima: sustava upravljanja informacijskom sigurnošću, kibernetičkom sigurnošću i zaštitom osobnih podataka, tehnika namijenjenih osiguranju informacijske i kibernetičke sigurnosti specifičnih zahtjeva koji se odnose na informacijsku i kibernetičku sigurnost, a koji su povezani s određenim procesima i djelatnostima. Teme su vrlo važne jer se europska normizacija ovoga područja susreće s mnogim izazovima i preprekama, uglavnom povezanim s razlikama u zakonodavstvu različitih država.
mr. sc. Igor Liščić: Mislim da je dovoljno samo letimično pogledati naslove članaka u različitim medijima da bi se shvatilo koliko su teme povezane s informatičkom i kibernetičkom sigurnosti te zaštitom osobnih podataka postale važne u našim životima. Snažan razvoj informatičkih tehnologija već je do sada temeljito promijenio mnoge naše navike, a u budućnosti će vjerojatno učiniti još više. Ovakav razvoj, osim pozitivnih promjena koje donosi, potiče i otvara velik broj mogućnosti za različite kriminalne aktivnosti koje su donedavno bile nepoznate. Sve to postavlja izuzetno složene zahtjeve pred zakonodavce i organizacije koje se bave normizacijom. Istovremeno je potrebno osigurati sigurnost i privatnost pojedinaca, zaštititi poslovne subjekte sa što manjim utjecajem na njihovo poslovanje, i to sve u uvjetima stalnih i snažnih tehnoloških promjena. Prema mome mišljenju, u budućnosti će biti neophodno osigurati veoma intenzivnu suradnju na međunarodnoj razini, prije svega na usklađivanju u području zakonodavstva. Isto tako, pri postavljanju i prilagodbi okvira kibernetičke i informatičke sigurnosti i zaštite privatnosti bit će potrebno sinergijsko djelovanje koje će uključivati tehnološke, organizacijske, pravne i druge (sociološke, psihološke) aspekte.

   Jeste li se aktivno uključili u rad radnih skupina tehničkih odbora na europskoj razini normizacije?
mr. sc. Igor Liščić: Za sada se još nisam stigao uključiti u rad radnih skupina tehničkih odbora na europskoj razini normizacije, najviše zbog velikog broja obaveza, ali to planiram učiniti u dogledno vrijeme. Posebno sam zainteresiran za područje upravljanja kontinuitetom poslovanja za koje smatram da će u budućnosti, nažalost i zbog raznih neželjenih događaja i situacija kojima smo svjedoci zadnjih godina i mjeseci, biti posebno važno.

   Nedavno su prihvaćene norme niza ISO/IEC 20000. Koliko su prema Vašem mišljenju ove norme važne za poslovanje u Hrvatskoj?
mr. sc. Igor Liščić: Norme niza HRN ISO/IEC 20000 zanimljive su prije svega organizacijama koje pružaju različite informatičke usluge svojim korisnicima. S obzirom na broj informatičkih tvrtki u Hrvatskoj, očekuje se zanimanje za ove norme, a prihvaćanjem ovih međunarodnih normi u zbirku hrvatskih normi osigurat će se veća dostupnost organizacijama u Hrvatskoj. To nam je bila i namjera kad smo se odlučili prihvatiti ih kao hrvatske norme. Naglasio bih da ove norme, kao i ostale norme u području upravljanja kvalitetom, potiču procesni pristup realizaciji zahtjeva, a u njihovim najnovijim izdanjima olakšana je integracija s drugim normama sustava upravljanja, u prvom redu s
HRN EN ISO 9001:2015 i HRN EN ISO/IEC 27001:2017.

   Kibernetički kriminalitet ugrožava osobnu sigurnost, sigurnost organizacija i sigurnost država. Prema istraživanju Accenturea, multinacionalne IT tvrtke, čak je 43 % kibernetičkih napada usmjereno na male kompanije, dok se njih 14 % spremno zaštititi od tih napada (godigital.hrvatskitelekom.hr).
mr. sc. Igor Liščić: Mislim da ovi podaci samo potvrđuju potrebu za sustavnim pristupom upravljanja informacijskom i kibernetičkom sigurnošću, kao i upravljanja kontinuitetom poslovanja. Za razliku od velikih poslovnih sustava, manje organizacije najčešće ne mogu osigurati velika financijska sredstva za zaštitu vlastitog poslovanja. Radi toga su upućene na procjenu i analizu sigurnosnih rizika kojima su izložene te uvođenje tehničkih i organizacijskih mjera primjerenih rizicima i vlastitim mogućnostima. Primjena normi koje pokrivamo kroz rad ovog odbora predstavlja odličan alat za realizaciju ovih aktivnosti.