Kibernetički napad na INA-u traje već 6 dana!

In Sve vijesti, Zanimljivostiby stankocerin

Postoji opravdana bojazan da hrvatski operateri ključnih usluga nisu spremni na kibernetičke napade.  INA se već šesti dan muči sa oporavkom IT servisa.

INA Grupa je na korporativnim stranicama objavila priopćenje u kojem javnost izvještava o kibernetičkom napadu na svoje IT sustave. Priopćenje je objavljeno 16. veljače, odnosno dva dana nakon što je napad već započeo.

Kao stručno glasilo, ne želimo špekulirati o uzrocima evidentnog narušavanja dostupnosti INA IT servisa. To prepuštamo žutom tisku. S profesionalne strane, bitno je zamijetiti nekoliko stvari.

INA je dio kritične infrastrukture

Nema nikakve sumnje da je INA, kao vodeća naftna industrija u zemlji dio ključne nacionalne infrastrukture, te je kao takva obveznik primjene Direktive 2016/1148 Europskog parlamenta i Vijeća EU o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava, tzv. NIS. Hrvatska primjenu ove direktive regulira Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18).

Kao takva, INA je dužna implementirati niz sigurnosnih mehanizama kojima je krajnji cilj upravo osigurati kontinuitet pružanja usluge. Trajanje incidenta jasno ukazuje na nedovoljnu pripremljenost za upravljanje kritičnim IT incidentima. 

Uzevši u obzir veličinu, značaj, financijski i kadrovski kapacitet INA-e, moramo se zapitati što bi se dogodilo u slučaju koordiniranog kibernetičnog napada na kritičnu nacionalnu infrastrukturu? Dobavljače energije, vode, sanitarnih usluga, transporta, hrane, medicinskih usluga, telekomunikacija… 

Upravljanje zaštitom osobnih podataka

Iako to trenutno nije u prvom planu, obzirom da se radi o IT servisima namijenjenim građanima, velika je vjerojatnost da je došlo i do povrede osobnih podataka, što bi INA-u potencijalno izložilo kaznama u skladu sa GDPR uredbom.  

Lekcija za pamćenje

Kibernetički napad se može dogoditi svakome. Hoćete li na njega biti spremni, ovisi isključivo o tome koliko ste proaktivno vodili računa o takvom slučaju. Ova zaštita kreće i završava na dobro dizajniranom sustavu upravljanja rizikom informacijske sigurnosti.