Za neometano i optimalno funkcioniranje društva, države su definirale koja je infrastruktura kritična infrastruktura. Kada govorimo o važnosti kritične infrastrukture govorimo o najmanje dva aspekta: o zaštiti sustava kritične infrastrukture i o zaštiti sustava posredstvom kojih se kritična infrastruktura isporučuje.
Pojačan razvoj računalnih tehnologija, posebno u posljednjih petnaestak godina, i sve veća ovisnost o informacijskim tehnologijama, za kritičnu su infrastrukturu otvorili jedan sasvim novi prostor – kibernetički prostor. S jedne strane, razvoj tehnologije je poslovanje učinilo bržim i efikasnijim, a s druge strane i potencijalno ranjivijim. Koliko je zaštita kritične infrastrukture važna govori nam i činjenica da je Europska unija izglasala obvezujuću NIS direktivu (Network and Infromation Security) za sve članice. Tako je i Hrvatska sukladno NIS direktivi u srpnju 2018. godine proglasila “Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga”. Iste je godine, sjetimo se, stupila na snagu i zakonska obveza implementacije GDPR-a u poslovanju.
Što je kritična infrastruktura?
Kako bi, prvenstveno, svakodnevni život tekao neometano, prijeko je potrebna isporuka energenata (električne energije, plina, naftnih derivata), rad hitnih službi i sustava (policija, vatrogasci, zdravstveni sustav), prijevoz (zračni, željeznički, vodni, cestovni), opskrba pitkom vodom. U kritičnu infrastrukturu možemo još dodati i bankarstvo (novčani tokovi, bankomatska mreža, kartično plaćanje) te digitalne usluge (e-Građani…). Vidljivo je da su uz resurse neophodne za život uključeni gotovo svi resursi i usluge potrebni za neometano poslovanje. Svi navedeni sustavi, odnosno infrastrukture trebaju jamčiti neprekinutost isporuke usluga. Iako se NIS direktiva i Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga odnose na kibernetički aspekt isporuke dobara i usluga, jednako je važan i tehnički aspekt o kojem ovisi isporuka usluga.
Hrvatska i kritična infrastruktura
Godina koja je iza nas u najmanju je ruku posebna i jedinstvena prvenstveno zbog krize uzrokovane globalnom pandemijom koronavirusa. Međutim, uz pandemiju na globalnoj, ali i na domaćoj poslovnoj sceni bilježi se povećana stopa kibernetičkog kriminala. Pandemija je donijela sa sobom poplavu lažnih vijesti koje su dodatno širile paniku među stanovništvom, ali povećana je i stopa napada na kritičnu infrastrukturu.
Još u veljači 2020. godine najveći nacionalni proizvođač naftnih derivata postao je žrtva kibernetičkih kriminalaca. Naime, vještim ransomeware napadom kibernetički kriminalci kriptirali su velik dio računala i serverskih poslužitelja gospodarskog subjekta čime je poslovanje bilo znatno otežano. Kriptiranjem računalnih sustava i poslužitelja unutar kompanija cjelokupno poslovanje može biti izgubljeno u nepovrat ako se infrastruktura ne štiti na pravilan način.
Rujan i listopad 2020. posebno su značajni kada je u pitanju kritična infrastruktura. Početkom rujna bilježimo očitovanje jednog od alternativnih davatelja usluga mobilne telefonije kako su neko vrijeme bili pod kibernetičkim napadima, ali posljedica za poslovanje i podatke korisnika nije bilo. Samo nekoliko tjedana poslije, jedan od vodećih davatelja usluga stalnom pristupu internetu bilježi smetnje pri isporuci usluga i korisnici tri dana otežano pristupaju internetu. Ovdje razlog nije bio kibernetički napad, već globalna tehnička poteškoća globalnog davatelja međunarodnih internetskih linkova. Navedena dva primjera, mogli bismo reći, ne bi bila toliko značajna da krajem rujna, uslijed tehničke poteškoće, kod najvećeg nacionalnog davatelja telekomunikacijskih i internetskih usluga nije došlo do kompletnog ispada usluga telefonije na nacionalnoj razini. Navedena tehnička poteškoća za posljedicu ima nedostupnost hitnih službi (DUZS, policija, vatrogasci, hitna pomoć) i u javnosti postavlja pitanje treba li kritična infrastruktura biti naslonjena na samo jednog davatelja telekomunikacijskih usluga, odnosno treba li kritična infrastruktura u potpunosti ovisiti o uslugama privatnog trgovačkog društva?
Mogući scenarij
Bilo da se radi o kibernetičkom napadu ili tehnološki uzrokovanoj smetnji, poslovanje može biti ugroženo koliko traje i nedostupnost usluge ili servisa. Zamislimo da se dogodi jak kibernetički napad na davatelja usluge elektroenergetske mreže i da su industrijska računala koja upravljaju elektroenergetskim sustavom nedostupna 72 sata. Bez isporuke električne energije gotovo nijedan sustav ne može raditi ispravno (a rijetki su gospodarski subjekti koji mogu proizvesti dovoljno električne energije za potrebe poslovanja). Većina gospodarstva će stati, dijelu kućanstava i tvrtki prestaje raditi npr. grijanje, dio industrijskih postrojenja staje s radom, trgovine ne mogu funkcionirati, uslijed nedostupnosti informacijskih sustava logistika ne može funkcionirati, sustav isporuke je onemogućen ili otežan… Društvo i gospodarstvo prestaju funkcionirati.
Poduzetnici i kritična infrastruktura
Poduzetnici kao nositelji privatnog gospodarskog sektora nisu obveznici usklađenja prema NIS direktivi (ukoliko njihove usluge nisu dijelom vezane uz isporuku usluga kritične infrastrukture). Kod poduzetnika je svaki dio infrastrukture kritična infrastruktura. Kako bi neometano poslovali, cjelokupni sustavi moraju ispravno funkcionirati. Dok je kod (većinom) javnih poduzeća NIS direktiva obveza i temelj, privatni sektor, kako bi opstao, mora osigurati svoju infrastrukturu od potencijalnih kibernetičkih napada, ali isto tako i osigurati neprekinutost poslovanja neovisno o uslugama trećih strana (npr. davatelja telekom usluga ili tvrtkama koje isporučuju električnu energiju…). Privatni sektor mora biti spreman analizirati svoje poslovanje i predvidjeti rizik. Isti taj rizik potrebno je iskazati u novčanim jedinicama kako bi u svakom trenutku znali koliko je pogođeno poslovanje uslijed eventualne neoperativnosti.
