Osmislili ste Povelju o povjerenju za kibernetičku sigurnost. Što je njezin glavni cilj?
– Digitalni svijet mijenja sve. Milijarde uređaja međusobno su povezane preko interneta stvari. To predstavlja velik potencijal za sve nas, ali i velik rizik. Tu Povelja o povjerenju ulazi u priču. Kako bi išle ukorak s neprestanim napretkom u digitalnom gospodarstvu i prijetnjama koje proizlaze iz kriminalne aktivnosti, velike industrijske tvrtke potpisale su Povelju o povjerenju s ciljem definiranja i provedbe načela koja mogu pomoći da digitalni svijet postane sigurnije mjesto. Zajedno želimo ostvariti tri važna cilja: 1. zaštititi podatke pojedinaca i tvrtki, 2. spriječiti štetu koja može biti nanesena ljudima, tvrtkama i infrastrukturi, 3. uspostaviti čvrste temelje na kojima se može graditi povjerenje u umreženom digitalnom svijetu.”
Povelja se temelji na deset načela. Možete li nam ih malo detaljnije objasniti?
– Poveljom se ocrtava deset područja povezanih s kibernetičkom sigurnošću u kojima moramo početi djelovati. Njome se traži da se odgovornost za kibernetičku sigurnost preuzme na najvišim razinama vlasti i poslovanja, što bi značilo da bi vlade trebale uvesti odgovarajuće resorno ministarstvo, dok bi tvrtke trebale zaposliti direktore za informacijsku sigurnost. Poveljom se od tvrtki također traži da uvedu obveznu neovisnu provjeru kritične infrastrukture i rješenja koju bi provodila treća strana. To je posebno važno tamo gdje može doći do opasnih situacija, kao kad je riječ o autonomnim vozilima ili o robotima sutrašnjice, koji će tijekom proizvodnih procesa biti u izravnom doticaju s ljudima. U budućnosti bi funkcije zaštite podataka trebale biti unaprijed implementirane kao dio tehnologija, dok bi propisi povezani s kibernetičkom sigurnošću trebali biti dijelom sporazuma o slobodnoj trgovini. Potpisnici Povelje također traže da se u razvoj razumijevanja kibernetičke sigurnosti ulože veći napori u vidu obuke i stalnog obrazovanja, kao i međunarodnih inicijativa.
Naravno, svih je deset načela važno, no meni je najdraža ideja odgovornosti duž cijeloga digitalnog lanca opskrbe. Tu smo posve jasni i zauzimamo odvažan stav – ne vjerujemo u puke izjave o namjerama kojima tako često svjedočimo. Želimo pravila koja se temelje na procjeni rizika te jasno definirane i obvezujuće zahtjeve povezane sa zaštitom u sklopu interneta stvari. To znači strogo upravljanje identitetima i pristupom, sigurno šifriranje te, prije svega, neprestanu zaštitu tijekom cijeloga razumnog životnog ciklusa proizvoda. Stoga krećemo s popisom temeljnih zahtjeva za sve naše dobavljače.”
Inicijativa je pokrenuta ove godine. Kad je riječ o potrebi za Poveljom, na koliko ste razumijevanja naišli kod drugih tvrtki i koliko partnera imate?
– Tako je. Povelju o povjerenju predstavili smo u veljači 2018. godine na Konferenciji o sigurnosti u Münchenu, a otad smo je još nekoliko puta predstavili javnosti diljem svijeta. To je privuklo mnogo pozornosti i pobudilo snažan interes za našu inicijativu. Zašto? Naša su načela jasno izražena, precizna su i zato su naišla na odjek među brojnim menadžerima u velikim tvrtkama. I, da, druge tvrtke pokazuju razumijevanje za našu zabrinutost i dijele naš interes, što je vidljivo i iz kvalitete tvrtki koje su je dosad potpisale.
Od veljače Povelju je potpisalo 16 globalnih tvrtki, a taj ih dokument sad aktivno vodi u budućnost. Među tvrtkama potpisnicama nalaze se AES, Airbus, Allianz, Atos, Cisco, Daimler, Dell, Enel, IBM, NXP, SGS, Deutsche Telekom, Total i TÜV Süd. Ali to nije sve: Povelja se intenzivno razmatra na razini G7, EU i na nacionalnim razinama, što također obogaćuje politički dijalog i tako osnažuje najveću vrijednost našeg vremena: povjerenje!
Kako Povelja funkcionira u praksi? Možete li nam dati neki primjer?
– Prava snaga Povelje o povjerenju ne leži samo u tome da se inicijativa pokreće sa samoga vrha organizacija i da povezuje više različitih sektora, nego i u tome da se njezina provedba temelji prije svega na načelu da bi predvodnici vlastitim djelovanjem trebali postaviti primjer i biti uzor. Budući da je kibernetička sigurnost postala prioritetom uprava brojnih organizacija, provedba načela koja se izlažu u Povelji, kao i nužni zaokreti koje ona donosi, ne razmatraju se tek kao mogućnost, nego se implementiraju kao bitan element digitalnog poslovanja budućnosti.
Kako bi uputili na taj prioritet, ključni su akteri (najčešće CEO-ovi organizacija) bili prisutni na pokretanju inicijative na Konferenciji o sigurnosti u Münchenu u veljači 2018. godine te su usto i dalje izravno uključeni u redovne sastanke Odbora Povelje o povjerenju, koju zasad vrlo uspješno promiču i razvijaju. Našim CEO-ovima podršku pritom pruža 12 takozvanih radnih skupina, koje s njima rade na konkretnoj provedbi načela, primjerice, na stvaranju popisa temeljnih zahtjeva.
Kolika je važnost kibernetičke sigurnosti u kontekstu Industrije 4.0, posebno u području energije i ostalih ključnih infrastruktura?
Vrlo velika! Dopustite da kratko objasnim. Digitalizacija predstavlja najveću i najradikalniju transformaciju u povijesti industrije. Stvarni i virtualni svijet spajaju se – digitalni blizanci, robotika, veliki podaci i umjetna inteligencija unose revoluciju u svijet proizvodnje. I dok broj uređaja i strojeva povezanih s internetom stvari raste, rastu i rizici: samo 2017. godine kibernetički su napadi diljem svijeta proizveli štetu od 500 milijardi eura. U nekim europskim zemljama ta šteta doseže 1,6 posto BDP-a. Te brojke pritom uopće ne uzimaju u obzir nevjerojatnu nematerijalnu štetu – gubitak povjerenja u digitalne tehnologije. A upravo je to posljedica koju su za sobom ostavili incidenti poput napada WannaCry, NotPetya, Meltdown i Spectre te nedavnog Facebookova skandala s osobnim podacima.
Možete li zamisliti kakve bi onda bile posljedice uspješnih napada na kritičnu infrastrukturu? Što bi se dogodilo kad bi informatički sustavi koji povezuju naše domove, bolnice, zračne luke, tvornice i električnu mrežu i upravljaju njima jednostavno zakazali? Pitanje je kako možemo zaštititi svoje gospodarstvo i svoje društvo – i, u konačnici, više od sedam milijardi ljudi na ovom planetu – od takvih napada. Odgovor je jasan: prvo moramo shvatiti da su prijetnje u digitalnom svijetu stvarne i da dovode stvarni svijet u opasnost. Zatim moramo shvatiti da na te prijetnje možemo odgovoriti samo zajednički – združivanjem snaga i ulaganjem velikih kolektivnih napora. Zato smo u Siemensu pokrenuli inicijativu Povelje o povjerenju.
Kako se vi u Siemensu brinete za sigurnost svojeg poslovanja i za sigurnost svojih korisnika?
Mi u Siemensu kibernetičku sigurnost shvaćamo vrlo ozbiljno – tako je već više od 30 godina. Budući da smo tvrtka koja ostvaruje prihod od 5,2 milijarde eura na temelju programa i digitalnih usluga i da smo već povezali više od milijun uređaja sa svojom platformom MindSphere, naša je potreba za razinom sigurnosti koja ide ukorak s našim digitalnim portfeljem iznimno velika. Što točno činimo? Na primjer, razvili smo koncept industrijske sigurnosti koji nazivamo „Dubinska obrana“ („Defense in Depth“). Tri su temeljna koraka potrebna za zaštitu industrijskih postrojenja. Prvi korak obuhvaća opću sigurnost pogona – drugim riječima, fizički pristup pogonu te organizacijske mjere poput sigurnosnih pravila i nadzora nad pogonom da bi se uočile anomalije koje mogu upućivati na kibernetički napad. Drugi korak, mreže mjera zaštite, obuhvaća instalaciju vatrozida i šifriranje prijenosa podataka. Treći je korak usredotočen na integritet sustava – drugim riječima, cilj je trećeg koraka zaštita pojedinačnih terminala i sustava od neovlaštenog pristupa te neovlaštenih izmjena. Potencijalni napadači stoga uvijek moraju svladati kombinaciju nekoliko prepreka, što je mnogo teže i zahtijeva više vremena od jednostavnog probijanja pojedinačnih mjera zaštite. To je samo jedan primjer kako možemo uspješnije zaštititi vlastito poslovanje, ali i poslovanje svojih klijenata.
