Posebni problem s aspekta informacijske sigurnosti je – neprovođenje kurikularne reforme. Naime, Strategijom obrazovanja, znanosti i tehnologije bilo je predviđeno da se kroz kurikularnu reformu sadržaje vezane za kibernetičku sigurnost uvrsti već u programe ranog i predškolskog odgoja, a za osnovnu i srednju školu su predviđeni i posebni predmetni i međupredmetni sadržaji. »Kako bi što prije započela provedba ovih mjera, potrebno je u idućem razdoblju intenzivirati aktivnosti na kurikularnoj reformi«, stoji u izvješću Vijeća za kibernetičku sigurnost.

Sumiranje stanja

U hrvatskoj javnosti se o ovim opasnostima dosad uglavnom raspravljalo na osobnoj razini, čisto da se zapamti da najbolja šifra koja će štititi osobne podatke nije »šifra«, »1234« ili ime kućnog ljubimca.No, kako se EU »naoružava« u bitki protiv informatičkih ugroza, tako i Hrvatska mora institucionalno pokušati osigurati svoju informacijsku infrastrukturu.

»Hrvatska nije bila ciljem velikih napada na kritičnu infrastrukturu za razliku od brojnih drugih država, uključujući i članice EU-a, ali takav napad u bliskoj budućnosti se ne može isključiti«, stoji u izvješću Nacionalnog vijeća za kibernetičku sigurnost o provedbi Akcijskog plana za provedbu Nacionalne strategije kibernetičke sigurnosti u prošloj godini i time se, manje-više, sumira stanje u kojem se zemlja nalazi. Ne može se to, pojašnjavaju stručnjaci za ovu problematiku, usporediti s potencijalnom opasnošću od terorističkog napada – jer Hrvatska kao relativno mala i ne pretjerano ključna zemlja u globlanom poretku teško može biti atraktivnom metom.Informacijski sustavi su, naime, umreženi globano i uglavnom slabo vode računa u nacionalnim granicama, stoga se hakerski i ini napadi itekako prelijevaju preko granica nacionalnih jurisdikcija.

Sam izvještaj koji je Vlada usvojila krajem rujna obojen je oprezno optimističnim tonovima u pogledu skore budućnosti, no vrlo precizno ukazuje i na ključne probleme radi kojih sigurnosni stručnjaci u Hrvatskoj sigurno imaju nemiran san.

Primjerice, država još nije definirala što je to uopće kritična infrastruktura koju bi trebalo posebno štititi. Definirani su tek, Odlukom Vlade iz 2013. godine, sektori u kojima se ona nalazi, »ali je izostalo definiranje konkretnih infrastruktura u tim sektorima te samim tim dodatni sigurnosni zahtjevi prema istima«, kako se kaže u izvješću.

Nadalje, Hrvatska do svibnja iduće godine mora u potpunosti provesti europsku Direktivu o mrežnoj i informacijskoj sigurnosti. Kako je krajnji rok udaljen tek sedam mjeseci, u okviru Vijeća je formirana posebna radna skupina za provedbu NIS direktive.

Konkretna rješenja

Kako doznajemo, do kraja ovog mjeseca radit će na na analizi stanja, a onda idu s konkretnim rješenjima. U financijskom sektoru, primjerice, neće morati puno intervenirati, tamo je posloženo i 95 posto od potrebnih uvjeta, dok će mnogo više posla – kao i u većini europskih zemalja izuzimajući Francusku i Njemačku, biti u željeznicama i cestovnom prometu. »Trebali bi uspjeti«, odgovor je koji se može dobiti na pitanje o tome hoće li se EU direktiva uspjeti provesti do svibnja. Problema, međutim, ima i sa samom komunikacijom u slučaju sigurnosnih incidenata. Kako se kaže u Izvješću, »nisu ispunjeni preduvjeti oko izvješćivanja dionika unutar sektora«, nije donosena taksonomija, definicije, protokoli… Na tome će sigurno Vijeće za kibernetičku sigurnost morati poraditi idućih mjeseci. Kako će reći dobri poznavatelji situacije – državna uprava funkcionira kao sustav zatvorenih silosa, a na Vijeću je da takvu situaciju pokuša prerezati i cijelu državnu administraciju uključiti u zajednički, zaštićeni sustav.

Vrijeme svakako istječe. Kako ono za implementaciju EU direktive, tako i ono koje nas dijeli od kibernetičkog napada kakav se »u bliskoj budućnosti ne može isključiti«.