Odbor za digitalizaciju i sajber bezbednost

Digitalizacija i sajber bezbednost su među strateškim ciljevima Nemačko-srpske privredne komore. Digitalizacija nije samo proces transformacije, već i neophodnost za rast, razvoj i ostanak konkurentnih kompanija i ekonomije uopšte.

Zato je u utorak, 10. oktobra, održan KICK OFF sastanak za ovaj odbor, na kojem je 30 učesnika imalo priliku da definiše kako će odbor u budućnosti funkcionisati. Učesnici su uvideli da, uprkos različitim industrijama iz kojih dolaze, dele mnoge zajedničke izazove i teme. Sjaber napadi, krađa i curenje podataka su neki od najvećih izazova s kojima se kompanije suočavaju. Fišing e-pošta, napadi malvera i SQL ubrizgavanje su samo neki od primera sajber  napada s kojima se kompanije skoro svakodnevno suočavaju. Podizanje svesti o sajber sigurnosti, njenom značaju i odgovarajućim merama prilikom sajber napada biće neke od tema koje će odbor obrađivati.

Na ovom sastanku, Zoran Jovanović, RC-RS DI S-REG iz kompanije Siemens, izabran je za predsednika odbora, dok je Saša Vračar, glavni pravni zastupnik kompanije Sixsentix, izabran za njegovog zamenika. Važnost ove teme prepoznala je kompanija Sky Express, stručnjaci za sajber bezbednost koja je podržala ovaj događaj. Sledeći sastanak će se održati online 5. decembra.

Dogovoreni termini za 2024. godinu su svaki poslednji utorak u mesecu od 10 hdo 12 h, osim tokom Jula i Avgusta ili zbog nekih vandrednih okolnosti. Teme koje su predložene da se obrade tokom godine su:

1. Operational Technology (OT) Network: Značaj, koncept, arhitektura sistema,
2. Digitalna transformacija u diskretnim industrijama,
3. Digitalna transformacija u procesnim industrijama,
4. Nove tehnologije u digitalnoj transformaciji industrijskog preduzeća: Edge, Predictive Maintenance, Artificial Intelligence, Energy Management Systems, Overall Equipment Effectiveness, Digital Twin, Simulation,
5. Cyber security, step by step: Značaj, koncept, arhitektura sistema,
6. Standard IEC62443: Cyber security za OT Network,
7. Standard ISO27001: Cyber security za IT Network,
8. Poseta kompaniji članici AHK (ili online prezentacija): Dobra praksa za digitalnu transformaciju, primeri,
9. Poseta kompaniji članici AHK (ili online prezentacija): Dobra praksa za cyber security, primeri,
10. Seminar sa lokalnim regulatornim telima: cyber security, NIS2 direktiva,
11. Dobra praksa kompanija iz regiona/Nemačke.

Sastanak Odbora je održan online. Tema sastanka je bila Operational Technology (OT) Network: Značaj, koncept, arhitektura sistema. Zoran Jovanović, Siemens i Vladan Đokić, Dornier Group su prezentovali.

Istaknut je značaj OT i IT integracije, kao i koliko je važno da svaka kompanija radi na optimizaciji. Najveći benefiti ove optimizacije su brzina, održivo poslovanje (operacije), povećanje kvaliteta, veća fleksibilnost, veća efikasnost. Takođe, predavači su istakli koliko je drugačiji fokus, i kako se na oba nivoa postavljaju različita pitanja. Za IT je bitno kako da se zaštiti korisnik, uređaji i aplikacije, kako da se poboljša korisničko iskustvo, kao i kako da se postigne trasnparetnost korisnika, uređaja i aplikacija. Za IT sektor je dostupnost 24/7 na niskom nivou, integritet na sredini, a poverljivost podataka na visokom nivou.

Sa druge strane OT-u je važno kako da poveća produktivnost, kako da se obezbedi transparetnost u OT procesima, kao i kako da se zaštiti OT okruženje od sajber bezbednosti. Za razliku od IT-a, OT-u je poverljivost podataka na niskom nivou, a dostupnost podataka na visokom nivou.

Sastanak odbora je održan u prostorijama Nemačko-srpske privredne komore. Predavanje na temu bezbednost podataka & prekogranična saradnja u kontektsu GDPR-a je držao Saša Vračar, glavni pravni zastupnik kompanije Sixentix.

Diskutovalo se o razlikama između EU regulative i RS regulative za GDPR-a, kao i koji su izazovi sa kojima se kompanije suočavaju po pitanju sajber bezbednosti i GDPR regulativa. Istaklo se kako je veliki izazov što Srbija nije na “beloj listi” i koji bi trebali da budu sledeće koraci kako bi se ta razlika premostila.

Odbor za digitalizaciju i sajber bezbednost je zajedno sa kompanijom Sky Express-om organizovao vebinar za sve članove Nemačko-srpske privredne komore na temu „Edukacija o sajber bezbednosti: tradicionalni ili moderan pristup?”

Cilj vebinara, na kome je prisustvovalo 70 ljudi, je bio da se podigne svest o značaju sajber bezbednosti, s obzirom da su kompanije svakodnevno na meti sajber napada, a i dalje je u najvećem broju slučajeva ljudska greška uzrok istog. Svi mi zavisimo od pametnih telefona, računara, interneta što u poslovne, što u privatne svrhe, i ovom prilikom je bilo važno da se napomene da bezbednost podataka, pažljivo korišćenje interneta i pretraga, nisu više samo odgovornost IT stručnjaka, već svakog pojedinaca.

Koncept „sajber higijene” (korišćenje jakih lozinki, dvofaktorska autentifikacija, redovno ažuriranje softvera, oprez pri (ne)otvaranju neobičnih/sumnjivih mejlova, backup podataka, fizička zaštita uređaja, obaveštavanje i razgovor o incidentima ukoliko se desi nešto, edukacija i podizanje svesti, sigurno ponašanje onlajn) i značaj njegove primene su istaknuti kao nešto što može da pomogne u sprečavanju sajber napada i očuvanju digitalne bezbednosti.

Više nije dovoljno da se sporadično razgovara o tome i da se kompaniju nadaju da se njima neće tako nešto desiti. Gubitak i/ili javno objavljivanje poverljivih informacija mogu svaku kompaniju da koštaju njihove reputacije, gubitak klijenata i finansijski trošak.

Važno je promeniti pristup sajber bezbednosti, da bude moderniji, kako bi se promenila i podigla svest o toj temi, kompanija zaštitila, a i svaki pojedinac. Edukacija mora bude kontinuirana, neophodno je da se održavanju simulacije i vežbe, da bezbednosne mere budu prilagođene korisniku, da se radi na kulturi sajber bezbednosti, kao i da se redovno radi ažuriranje sistema.

Tema šestog sastanka Odbora za digitalizaciju i sajber bezbednost: Kako se digitalna transformacija odvija u velikim kompanijama i gde su izazovi.

Digitalnu transformaciju kompanije Gebrüder Weiss je predstavio proces menadžer Milorad Milanović uz podršku Branislava Jovića, IT.  Kompanija je skoro godinu dana interno sprovodila projekat “New Work” koji je podrazumevao prebacivanje celokupnog poslovanja na cloud sistem, obučavanja zaposlenih i stvaranje nove interne strukture za čuvanje i korišćenje dokumenata. Paralelno sa internim projektom, sprovodio se i projekat za klijente kompanije myGW portal.

myGW portal omogućava klijentima da prate svoje pošiljke, zatraže ponudu za transport robe, preuzmu celokupnu dokumentaciju vezanu za svoj transport, kao i da vide kolika je bila emisija CO2 njihovog transporta. Ono što je zanimljivo je da digitalne promene, bilo interne bilo eksterne, izazivaju određenu emotivnu reakciju kod korisnika i ta kriva se sastoji od: šoka, straha, odbijanja, frustracije, emotivnog prihvatanja, testiranja i grešaka, preorijentacije i integracije odnosno konačnog korišćenja (cf. Kübler-Ross, 2014).

Tema sedmog sastanka Odobra za digitalizaciju i sajber bezbednost bila je Direktiva Evropske unije za sajber bezbednost – NIS2 (The Network and Information Systems Directive 2). Zoran Jovanović iz Siemens-a je predstavio izmene koje ona donosi ona. Cilj direktive je da se postigne zajednički visok nivo sajber bezbednosti u okviru Evropske Unije, a sa njenom primenom će se početi od 17. oktobra 2024. godine. Svi sajber napadi će morati da budu prijavljeni u roku od 24 sata od trenutka kada su primećeni. U roku od 72 sata se šalje detaljan izveštaj, a finalni u roku od mesec dana. Ukoliko kompanije ne budu poštovale propisane procedure, finansijske kazne su postavljene izuzetno visoko (u zavisnosti od veličine komanije od 7 do 10 miliona ili 1.4% do 2% godišnjeg globalnog  prometa). Trenutna analiza poslovnih procesa u kompanijama pokazuje da će IT sektori u većoj meri biti spremni za početak primene ove direktive, ali ne i Operational Technology (OT).  

U drugom delu sastanka Darko Šehović, Rukovodilac centra za prevenciju incidenta u IKT sistemima finansijskih institucija (CERT) je govorio o uticaju NIS2 direktive na kompanije u Srbiji koje sarađuju sa kompanijama iz Evropske unije. Neophodne su izmene i dopune Zakona o informacionoj bezbednosti u cilju usklađivanja sa direktivom 2555/2022 tzv. NIS2, aktom o sajber bezbdnosti EU 2019/881, i to u delu koji se odnosi na sertifikaciju u oblasti sajber bezbednosti, unapređenje institucionalnog i organizacionog okvira i kapaciteta.  

Osmi sastanak odbora za digitalizaciju i sajber bezbednost se održao onlajn. Učesnici sastanka su imali mogućnost da saznaju od direktora kompanije “Tehnološko partnerstvo”, Save Živanovića,  više na temu korporativne bezbednosti i Zero Trust-a. Glavni koncept iza modela bezbednosti nultog poverenja je “nikad ne veruj, uvek proveraj” što znači da korisnicima i uređajima ne treba verovati automatski, čak i ako  su povezani na mrežu sa dozvolom, kao što je korporativni LAN, pa čak i ako su prethodno verifikovani. Korporativna infrastruktura se sastoji od mnogih delova (ruteri, serveri, kontrolni sistemi, računari i mobilni telefoni), što je čini prilično složenom. Kada tome dodate infrastrukturu koja je godinama građena, često brzo prilagođavana promenama i promenama unutar kompanije, različite nivoe održavanja ili nedostatak održavanja, kao i ljudski faktor – možete videti da je IT struktura većine kompanija veoma ranjiva. Uvođenjem koncepta nultog poverenja u IT infrastrukturu, kompanije dobijaju malo više sigurnosti i vremena da reaguju i zaštite svoje podatke u slučaju napada.