Sigurnost infrastrukture je spiralni proces neprestanoga djelovanja na njenom poboljšanju

Miljenko Filipović, predstojnik ureda za korporativnu sigurnost HEP-a

Filipović: Zaštita i otpornost Hrvatske elektroprivrede među najvažnijim su preduvjetima ostvarenja strateških ciljeva korporacije. Samo visoka razina sigurnosti može jamčiti stabilnost i uspješnost poslovanja naše tvrtke, kontinuitet usluge svim našim korisnicima, uvjete za funkcioniranje i razvoj ukupnog hrvatskog gospodarstva te osobnu sigurnost svih građana

 

Miljenko Filipović je predstojnik Ureda za korporativnu sigurnost Hrvatske elektroprivrede. Spomenuti Ured objedinjuje sve segmente sigurnosti, od tjelesne do kibernetičke, pa smo s njime razgovarali o stanju sigurnosti unutar nacionalne energetske tvrtke koja se bavi proizvodnjom, distribucijom i opskrbom električnom energijom, kao i distribucijom i opskrbom kupaca toplinskom energijom i prirodnim plinom.

Posljednjih mjeseci, ali i godina, svjedočimo sve većem broju napadu na kritične infrastrukture brojnih država, a posebno razvijenih država Zapada. Smatrate li da smo trenutno u najizazovnijem razdoblju što se tiče zaštite i obrane kritične infrastrukture?

Evidentan je trend rasta broja uspješno izvršenih kibernetskih napada na industrijske kontrolne sustave posljednjih godina. Posebice je to registrirano u javnosti posljednjih mjeseci kada su mediji širom svijeta objavili razmjere šteta i detalje napada na kritične infrastrukture najrazvijenijih država. Razdoblje u kojemu se nalazimo i ono pred nama je u svakom slučaju izazovno, posebice stoga jer se zapravo nalazimo tek na početku, slobodno možemo reći ere neprestanih i rastućih kibernetičkih prijetnji i napada usmjerenih ciljano prema kritičnoj infrastrukturi i prema industrijskim kontrolnim sustavima općenito.

Koliko vrsta ugroza napadi na kritičnu infrastrukturu mogu prouzročiti možda najbolje pokazuje primjer iz savezne države Florida, kada je u veljači ove godine, napad na sustav opskrbe pitkom vodom gotovo završio tragično. Koji je, prema vašem mišljenju, najranjiviji sektor kritične infrastrukture i zašto?

Svi su sustavi i sektori ranjivi, a najranjiviji je onaj koji je u određenom periodu i u određenim uvjetima u fokusu najsposobnijih i najbolje opremljenih napadača. Stoga je od izuzetne važnosti, posebice za vlasnike kritične infrastrukture integrirati svoj sustav upravljanja informacijskom i kibernetičkom sigurnošću sa sveobuhvatnim sustavom domovinske kibernetičke sigurnosti, a koji, integriran u paneuropski sigurnosni prostor može dati odgovarajući te pravovremeni odgovor i na najsloženije Advanced Persistent Threat (tzv. APT) napade državno sponzoriranih i u pravilu najsposobnijih napadačkih organizacija.

Prema najavama iz MUP-a trebalo bi doći do izmjene Zakona o kritičnoj infrastrukturi, s obzirom da Zakon donesen 2013. nije u potpunosti zaživio, odnosno nikada nije točno određeno koje su to kritične infrastrukture u RH. Što očekujete od novog Zakona? Mislite li da će novi Zakon donijeti poboljšanje u djelu razvoja otpornosti i zaštite kritične infrastrukture?

S optimizmom očekujemo napredak i poboljšanja u dijelu razvoja otpornosti i zaštite kritične infrastrukture donošenjem izmjena Zakona o kritičnoj infrastrukturi, posebice u području fizičke sigurnosti temeljem izuzetno dobrih iskustava u prethodne dvije i pol godine s primjenom Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (ZKS). Naime, ZKS je jednoznačno odredio pružatelje ključnih usluga za funkcioniranje društva i gospodarstva Republike Hrvatske. ZKS je u potpunosti upotrebljiva osnova te dorečen i zaokružen zakonodavni okvir za provedbu aktivnosti i mjera zaštite i obrane kritičnih sustava od prijetnji iz kibernetičkoga prostora. Jednaka su nam očekivanja od primjene izmijenjenoga Zakona o kritičnoj infrastrukturi u području njegovog obuhvata.

Hrvatska elektroprivreda je jedna od najvažnijih, ako ne i najvažnija, tvrtki energetskog sektora u RH te s gotovo 2,5 milijuna korisnika predstavlja kritičnu infrastrukturu neophodnu za nesmetano djelovanje cijele države. Koliko je zaštita i otpornost tvrtke važan cilj u HEP-u?

Zaštita i otpornost Hrvatske elektroprivrede među najvažnijim su preduvjetima ostvarenja strateških ciljeva korporacije. Samo visoka razina sigurnosti može jamčiti stabilnost i uspješnost poslovanja naše tvrtke, kontinuitet usluge svim našim korisnicima, uvjete za funkcioniranje i razvoj ukupnog hrvatskog gospodarstva te osobnu sigurnost svih građana. Zato se u okviru korporativnoga upravljanja rizicima poslovanja organiziraju, provode i nadziru aktivnosti i mjere zaštite te povećanja i provjera otpornosti na promjenjive i u pravilu rastuće prijetnje i ugroze.

Digitalna transformacija neizbježan je fenomen globaliziranog svijeta te je aktualna pandemija pokazala koliko su internet i umreženost neizbježni. Kakav digitalna transformacija ima utjecaj na Hrvatsku elektroprivredu i sigurnosne standarde vezane uz zaštitu infrastrukture?

Digitalna transformacija gotovo u potpunosti poslovne procese i tijekove podataka temelji na primjeni informacijsko-komunikacijskih tehnologija te time poslovanje čini itekako ovisnim o sigurnosti i raspoloživosti informacijsko-komunikacijske infrastrukture. Digitalna transformacija značajno povećava potrebu za primjenom provjerenih sigurnosnih standarda i najboljih sigurnosnih praksi s ciljem osiguranja kontinuiteta poslovanja i neometanoga odvijanja poslovnih i tehnoloških procesa te ostvarenja strateških ciljeva poslovanja.

Uvježbanost i pripremljenost često je ključ uspjeha protiv napada. Održava li HEP simulacije napada, kako kibernetičkih tako i fizičkih, te provodi li se obuka operatora za slične scenarije?

U procesu uskladbe poslovanja i procesa Hrvatske elektroprivrede sa Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalni usluga, ZKS-om, provedene su pripremne radionice s ciljem obuke relevantnih posada i osoblja svih distribucijskih područja HEP-Operatora distribucijskoga sustava na cijelom području Republike Hrvatske te u svim proizvodnim područjima i pogonima - elektranama HEP-Proizvodnje. Neposredno nakon provedenih radionica, provedene su simulacijske vježbe u svim navedenim organizacijskim jedinicama u koje je sukladno ulozi definiranoj ZKS-om bio uključen i Zavod za sigurnost informacijskih sustava Republike Hrvatske (ZSIS).

Surađujete li s državnim institucijama iz područja sigurnosti i zaštite, s ciljem poboljšanja sigurnosti infrastrukture?

Uz spomenuti Zavod za sigurnost informacijskih sustava Republike Hrvatske (ZSIS RH) i nadležni nam Computer Emergency Rersponse Team Zavoda za sigurnost informacijskih sustava Republike Hrvatske (CERT ZSIS-a RH), intenzivna je komunikacija i uspješna suradnja s Ministarstvom gospodarstva i održivog razvoja koje je naše nadležno sektorsko tijelo u okviru provedbe ZKS-a. Surađujemo i s Nacionalnim CERT-om čije izuzetno korisne i profesionalne video uratke i e-brošure koristimo za svakodnevne aktivnosti i kampanje osvješćivanja korisnika informacijskoga sustava Hrvatske elektroprivrede. Uspješno i obostrano korisno komuniciramo s relevantnim tijelima Ureda Vijeća za nacionalnu sigurnost (UVNS-a) i MUP-a RH.

U Republici Hrvatskoj 2020. godine, nakon 25 godina, došlo je do napada na zgradu Vlade i Sabora te je čin okarakteriziran kao teroristički. Koliko je terorizam opasna prijetnja po HEP, s obzirom na geostrateški značaj tvrtke?

Budući da je Republika Hrvatska članica EU i članica NATO-a, a s obzirom na dinamične, često nepredvidive događaje i promjene u svijetu i općenito sve izazovnija vremena, ne možemo isključiti mogućnost terorističkih napada i na našem području, a samim time i na infrastrukturu HEP-a.

Prirodne nepogode uzrokovale su teške posljedice na području Zagreba i okolice te u Sisačko-moslavačkoj županiji. Reakcija HEP-a bila je izvrsna te su potresom pogođena područja u najkraćem roku ponovno dobila opskrbu električnom energijom. Kako se tvrtka priprema za takav oblik opasnosti po infrastrukturu?

HEP je u svojoj povijesti više puta bio izložen različitim kriznim okolnostima. S obzirom na to da se radi o tvrtki koja je od izuzetnog nacionalnog značaja, jasno je da moramo u svakom trenutku biti spremni djelovati i odgovoriti na te razne krize. HEP sve svoje radnike konstantno šalje na usavršavanja i edukacije i svakodnevno radi na poboljšanju svojih sustava, te se jako puno ulaže u sigurnost, a na taj način osigurava kontinuitet poslovanja i sigurnu opskrbu potrošača.

Posljednjih nekoliko godina dolazi do transformacije korištenja energenata na razini cijele Europske unije, a trend je zabilježen i u Hrvatskoj. Ukoliko elektrifikacija prijevoza postane još značajnija, HEP bi mogao preuzeti ključnu ulogu u opskrbi prometa energijom, stoga se postavlja pitanje koliko će se morati poboljšati sigurnost infrastrukture?

Osnovni zadatak, misija sigurnosti u poslovnom okruženju je omogućiti opravdani poslovni zahtjev na siguran način. Posebice to vrijedi za informacijsku i kibernetičku sigurnost u uvjetima kada nadolazeće tehnologije u energetskom sektoru, u sektoru prometa i ostalim segmentima života i gospodarstva unose neočekivane i disruptivne zahtjeve. U svakom slučaju, sigurnost infrastrukture je spiralni proces neprestanoga djelovanja na njenom poboljšanju.

(Kruno Balent, Dražen Najman)