17 Februara, 2026
image

Kako direktive Evropske unije mijenjaju koncept zaštite kritične infrastrukture

Zaštita kritične infrastrukture danas podrazumijeva više od ograda i kartica za kontrolu pristupa. Direktive Evropske unije CER i NIS2 predstavljaju temeljni zaokret ka sigurnosnim konceptima zasnovanim na procjeni rizika. Oni integrišu fizičku i tehničku zaštitu, cyber otpornost i sektorsku koordinaciju te pretvaraju zakonsku usklađenost u stvarnu operativnu otpornost

Piše: Mirza Bahić; E-mail: redakcija@asadria.com

Kako se evropska kritična infrastruktura suočava sa sve složenijim i međusobno zavisnim prijetnjama, integrisani pristup novi je način na koji sektor ključnih usluga predviđa, amortizira i rješava potencijalne poremećaje u radu. Energetski i vodovodni sistemi, zdravstvo, transport i komunikacije međusobno su blisko povezani, što znači da poremećaj u jednom sektoru može brzo izazvati lančane posljedice u drugima. Nedavni incidenti i promjenjivi sigurnosni scenariji pokazali su koliko su ove vitalne instalacije ranjive na ciljane napade, prirodne nepogode i tehničke kvarove, kao i koliko brzo se lokalni problemi mogu pretvoriti u sistemski rizik.

Zašto minimalni zahtjevi više nisu dovoljni

Kao odgovor na to, Direktiva EU o otpornosti kritičnih subjekata (CER/RCE) uvodi minimalne i harmonizirane zahtjeve za zaštitu kritične infrastrukture i tako jača ulogu tehničke zaštite uz postojeće kibernetičke i IT okvire. Umjesto da se zaštita ponovo posmatra isključivo kroz prizmu formalne zakonske usklađenosti, ova direktiva naglašava potrebu za proaktivnim i međusektorskim mjerama koje obuhvataju sve predvidive rizike i osiguravaju kontinuitet pružanja ključnih usluga. Redovne procjene rizika i planiranje otpornosti imaju centralnu ulogu u tom procesu jer omogućavaju operaterima da rano identifikuju slabosti i ojačaju sposobnost da izdrže napade i oporave se od poremećaja u radu.

Efikasna zaštita u takvim uslovima zahtijeva pažljivo usklađivanje strukturalnih, tehničkih i organizacijskih mjera. Rješenja iz oblasti tehničke zaštite, poput zaštite perimetra, kontrole pristupa, protivprovale i vatrodojave te videonadzora, moraju biti koordinisana s robusnim mjerama cyber sigurnosti kako bi se uspostavio sveobuhvatan zaštitni okvir prilagođen specifičnom profilu rizika po kritična okruženja.

Istovremeno, zaštita vitalnih instalacija više se ne može posmatrati kao isključiva odgovornost pojedinačnih operatera. Rastuća složenost prijetnji i međusektorska zavisnost pretvorile su zaštitu kritične infrastrukture u zadatak za cijelo društvo. On, pri tome, zahtijeva blisku saradnju javnih institucija, sigurnosnih organa, operatera infrastrukture i specijaliziranih pružalaca sigurnosnih usluga. Samo kroz zajedničku odgovornost i kontinuirano prilagođavanje promjenjivim prijetnjama kritična infrastruktura može ostati sigurna i dugoročno otporna. U praksi, ovaj pomak ka dijeljenoj odgovornosti sada se prevodi u jasnije osnovne obaveze i konkretnije razumijevanje pitanja kako treba izgledati fizička zaštita za objekte od visokog značaja i ključne usluge.

Integracija tehničke i cyber sigurnosti je zahtjev

U posljednjih nekoliko godina Evropska unija donijela je dva ključna regulatorna okvira s ciljem jačanja zaštite kritične infrastrukture: Direktivu o otpornosti kritičnih subjekata (CER/RCE) i Direktivu NIS2. Zajedno, ove direktive imaju za cilj osigurati kontinuitet pružanja ključnih usluga u kriznim situacijama i unaprijediti otpornost na fizičke i cyber prijetnje. Njihovi efekti bi trebali nadilaziti pojedinačne lokacije i utjecati na šire ekonomske i operativne lance vrijednosti.

Direktiva CER uspostavlja zajednički okvir za fizičku zaštitu i otpornost kritičnih subjekata u sektorima kao što su energija, transport, finansije, zdravstvo, vodovodni sistemi, komunikacije i javna uprava. Ona obuhvata prirodne nesreće, tehničke kvarove, ljudske greške i sabotažu, uz podizanje tehničke zaštite s nivoa pojedinačne lokacije na strateški zahtjev u pogledu otpornosti koji nadopunjuje postojeće cyber i IT obaveze.

U fokusu CER okvira je upravljanje zavisnim odnosima između objekata kritične infrastrukture. Poremećaj u jednom sektoru, poput energetike, može brzo utjecati na druge, uključujući vodosnabdijevanje, transport i komunikacije. Zbog toga direktiva promoviše međusektorske ciljeve usmjerene na sprečavanje poremećaja, ograničavanje njihovih posljedica i što bržu obnovu ključnih funkcija nakon incidenta.

Paralelno s tim, Direktiva NIS2 uspostavlja minimalnu osnovu za cyber sigurnost na nivou EU. Njena primjena ne odnosi se samo na tradicionalne operatere kritične infrastrukture već i na širi krug ključnih i važnih subjekata, uključujući dijelove proizvodnog i digitalnog sektora. NIS2 od organizacija zahtijeva uvođenje sveobuhvatnih mjera cyber sigurnosti i upravljanja rizicima na nivou cijele organizacije, uključujući prijavljivanje incidenata i odgovarajuće upravljačke mehanizme.

Zajednički, direktive CER i NIS2 jasno ukazuju na jedan pravac, prema kojem otpornost sve više zavisi od integracije tehničke i cyber sigurnosti. Za operatere kritične infrastrukture to znači napuštanje izoliranih mjera i prelazak na koordinisane zaštitne koncepte. Sami koncepti će povezati perimetarsku zaštitu, kontrolu pristupa, detekciju, videonadzor i upravljanje alarmima sa sigurnim mrežnim arhitekturama i kontrolisanim udaljenim pristupom. Za ponuđače sigurnosnih rješenja i sistem-integratore to naglašava potrebu za ekspertizom koja obuhvata i fizičku zaštitu i kibernetički otpornu sistemsku arhitekturu.

Koncept prije sistema

Zaštita kritične infrastrukture zahtijeva sigurnosne sisteme koji odgovaraju aktuelnoj situaciji na polju tehnologija. One moraju biti projektovane i održavane tako da budu otporne na manipulacije, upade i sabotažu, uz paralelnu otpornost na fizičke i cyber prijetnje. Mjere poput kvalitetne autentifikacije za kontrolu pristupa, sigurnih komunikacijskih kanala i pouzdanih alarmnih sistema danas jesu neophodne, ali sama tehnička sposobnost nije dovoljna.

Za operatere kritične infrastrukture, ovo znači da je neophodno razviti sveobuhvatan sigurnosni koncept prije implementacije pojedinačnih sistema. Takav koncept predstavlja okvir za efikasnu primjenu sigurnosne tehnologije i osigurava da se elektronska rješenja ne uvode izolovano, već kao dio cjelokupne strategije zaštite objekata. Efikasan sigurnosni koncept integriše strukturne, organizacijske i kadrovske mjere. Fizičke barijere poput perimetara, vrata i prozora moraju biti usklađene s organizacijskim procedurama, uključujući protokole eskalacije i intervencije. Istu harmonizaciju potrebno je provesti s obukom i odgovornostima sigurnosnog osoblja. Tek kada svi ovi elementi funkcionišu zajedno, sigurnosne mjere mogu ostvariti svoj ukupni potencijal.

Ključno je naglasiti da utvrđeni sigurnosni koncept nije statičan dokument. On omogućava procjenu i prioritetizaciju rizika, ali se mora redovno preispitivati i ažurirati. Promjene u prijetnjama, strukturi objekata ili načinu korištenja mogu učiniti ranije pretpostavke nevažećim. U okruženju kritične infrastrukture, razvoj metoda napada i promjenjivi profili rizika zahtijevaju kontinuiranu procjenu i unapređenje mjera zaštite kroz strukturiran proces upravljanja rizicima.

Nakon što se sigurnosni koncept uspostavi i uključi u kontinuirano upravljanje rizicima, fokus se pomjera na minimalne zahtjeve fizičke zaštite koji se ponavljaju kroz različite sektore i lokacije, kao i na njihovu praktičnu primjenu u pojedinim sigurnosnim disciplinama.

 

Kada proizvod postane dio napada

Fokus na cyber sigurnosti više nije ograničen na mreže i operativne procese, već se sve više širi na sigurnost samih proizvoda. Proizvođači, instalateri i korisnici sigurnosnih tehnologija moraju osigurati da uređaji i softver koji se koriste u okruženjima kritične infrastrukture ispunjavaju sve strožije zahtjeve u pogledu cyber otpornosti. Dok se okviri CER i NIS2 prvenstveno fokusiraju na organizacijsku i operativnu otpornost, Akt o kibernetičkoj otpornosti uvodi dodatni tehnički sloj kroz definiranje osnovnih zahtjeva cyber sigurnosti za digitalne proizvode. Njegov cilj je osigurati da se hardver i softver projektuju, razvijaju i održavaju na siguran način tokom cijelog životnog ciklusa.

U skladu s ovim pristupom, cyber sigurnost ne smije biti ispuštena iz vida od samog početka, što se radi kroz sigurne razvojne prakse i podrazumijevane sigurnosne postavke. Od proizvođača se očekuje proaktivan pristup upravljanju ranjivostima i blagovremena isporuka sigurnosnih ažuriranja. Transparentnost, pri tome, postaje ključni zahtjev, naročito kroz primjenu softverskih listi materijala (SBOM), koje operaterima i integratorima omogućavaju uvid u zavisnosti i procjenu izloženosti rizicima od trećih strana.

Jačanjem sigurnosti na nivou proizvoda, Akt o kibernetičkoj otpornosti podržava šire ciljeve otpornosti i pomaže operaterima kritične infrastrukture da ispune obaveze vezane za sigurnost lanca snabdijevanja i upravljanje rizicima.

 

Minimalni okvir fizičke zaštite u praksi

Mjere fizičke zaštite obuhvataju sisteme vanjske zaštite perimetra za fizičku zaštitu i detekciju, kao i sisteme kontrole pristupa. Cyber sigurnost objekata uključuje zaštitu pristupa i kontrolu ulaza i izlaza, prilaznih puteva, rampi, barijera i brava. Sistemi za detekciju upada, vatrodojavu i videonadzor obuhvataju zaštitu objekata i terena, kao i rano otkrivanje incidentnih situacija. Istovremeno, sistemi za upravljanje vanrednim situacijama odnose se na upravljanje krizama, primjenu organizacijskih mjera te na prediktivni pregled sigurnosne situacije i ukupnog stanja sistema.

Zaštita perimetra kao prva linija odbrane

Vanjska perimetarska zaštita najudaljeniji je sloj efikasnog sigurnosnog koncepta. Ona obično kombinuje mehaničke barijere s elektronskom detekcijom i tako stvara prvu liniju odbrane prije nego što napadač i dođe do objekata ili kritičnih resursa. Mehaničke mjere poput ograda, zidova ili barijera definišu i štite granicu lokacije, dok elektronski sistemi perimetarske detekcije nadziru vanjske prostore i omogućavaju rano otkrivanje pokušaja upada.

Cilj zaštite perimetra je odvraćanje, detekcija, usporavanje i dokumentovanje neovlaštenog pristupa. Rano upozorenje tokom prilaska ili pokušaja nasilnog ulaska znatno produžava vrijeme otpora i omogućava kontrolisanu reakciju. U praksi se elektronska detekcija upada na perimetru gotovo uvijek kombinuje s videonadzorom kako bi se potvrdili događaji, razdvojile stvarne prijetnje od lažnih i podržalo donošenje informisanih odluka.

Primarna funkcija vanjske perimetarske zaštite je stalno očuvanje integriteta granica lokacije. Sistemi moraju biti prilagođeni konkretnim fizičkim karakteristikama perimetra, bilo da je riječ o ogradama, zidovima, opkopima ili prirodnim barijerama, kao i usklađeni s ukupnim ciljevima zaštite i procijenjenim prijetnjama po objekte.

U okruženjima kritične infrastrukture zahtjevi za perimetarsku zaštitu znatno su viši nego u standardnim komercijalnim ili industrijskim objektima. Scenariji napada ne ograničavaju se samo na preskakanje ili rezanje ograda, već uključuju provlačenje ispod prepreka, probijanje barijera, zadržavanje u blizini perimetra i druge tehnike s ciljem izbjegavanja detekcije. Zbog toga sistemi zaštite perimetra moraju ostati jednako efikasni protiv šireg spektra metoda upada i ostati otporni na pokušaje ometanja ili zaobilaženja detekcije.

Da bi bila djelotvorna, perimetarska zaštita mora osigurati pouzdanu ranu detekciju, otpornost na manipulacije i kontinuitet rada koji je dovoljan za blagovremenu verifikaciju i intervenciju. Njena uloga nije samo signalizacija alarma nego i podrška pristupu po kojem operateri moraju dobiti potrebno vrijeme i informacije za adekvatnu reakciju prije nego što incident eskalira.

Kontrola pristupa mora ukloniti naslijeđene rizike

Sistemi kontrole pristupa imaju centralnu ulogu u zaštiti kritične infrastrukture jer regulišu i nadziru pristup osjetljivim zonama. Njihova osnovna funkcija je osigurati da samo ovlašteno osoblje može ući u sigurnosno relevantne zone, uz  jasno evidentiranje ostvarenog pristupa i pokušaja neovlaštenog ulaska. Za operatere kritične infrastrukture, savremena kontrola pristupa ne svodi se samo na ograničavanje ulaza već i na odgovornost, sljedivost i kontrolisanu reakciju.

Istovremeno, efikasna zaštita zahtijeva sistematsko uklanjanje tzv. naslijeđenih rizika. Mehanički ključevi mogu biti izgubljeni, kopirani ili proslijeđeni bez ovlaštenja, što kreira trajne ranjivosti koje je teško otkriti, a skupo sanirati. Korištenje izgubljenog ili ukradenog ključa najčešće ne ostavlja nikakav trag, čime se narušavaju i sigurnost i mogućnost revizije. Elektronski sistemi kontrole pristupa rješavaju ove nedostatke kroz podršku za strogo definisana ovlaštenja, evidentiranje događaja te višefaktorsku i biometrijsku verifikaciju. Tokom cijelog životnog ciklusa sistema, oni se, zahvaljujući nižim operativnim i troškovima zamjene, često pokažu kao isplativije rješenje u odnosu na isključivo mehaničke sisteme.

Osim regulisanja ulaza, savremeni sistemi kontrole pristupa podržavaju i automatizirane reakcije tokom incidentnih situacija. U zavisnosti od scenarija, oni mogu blokirati pristup opasnim zonama, otključati vrata, otvoriti unaprijed definisane izlaze i aktivirati alarme radi podrške evakuaciji i hitnim intervencijama. U okruženjima kritične infrastrukture, ova direktna veza između odluka o pristupu i upravljanja incidentima od ključnog je značaja za očuvanje sigurnosti i kontinuiteta rada.

Detekcija upada kao zaštita od sabotaže

Sistemi za detekciju upada (IAS) i dojavu prepada (HAS) imaju ključnu ulogu u zaštiti vitalne infrastrukture jer omogućavaju brzu detekciju i reakciju na vanredne događaje. U okruženjima visokog rizika, njihova svrha izlazi izvan okvira osnovne detekcije neovlaštenog ulaska u neku zonu i obuhvata rano upozorenje, verifikaciju i koordinisanu intervenciju radi zaštite osjetljivih resursa i operacija.

U kontekstu kritične infrastrukture, detekcija upada manje je usmjerena na klasične krađe, a znatno više na prepoznavanje namjernih pokušaja ometanja ili prekida rada. Zbog toga vrijeme detekcije i reakcije moraju biti precizno usklađeni. Postrojenja poput trafostanica jasno ilustruju ovaj rizik. Dovoljan je samo jedan čin sabotaže, poput oštećenja kablovskog snopa, da dođe do posljedica koje daleko nadilaze finansijski gubitak jer bi u toj situaciji došlo do prekida u napajanju bolnica, komunalnih sistema i drugih ključnih usluga. U takvim scenarijima, alarmni sistemi prvenstveno služe za rano otkrivanje sabotaže i ciljanih napada, kao i pokretanje trenutne reakcije sigurnosnih službi ili nadležnih organa.

Sistemi za dojavu prepada nadopunjuju automatsku detekciju i omogućavaju osoblju da diskretno aktivira alarm u situacijama akutne prijetnje. Panik-tasteri ili mobilni prekidači omogućavaju zaposlenima da pokrenu ciljanu reakciju u slučajevima prisile, nasilja ili neposredne opasnosti. To je posebno važno u javno dostupnim prostorima, kontrolnim sobama i operativnim centrima.

S obzirom na sigurnosno okruženje u kojem se nalazi kritična infrastruktura, sistemi moraju biti projektovani uz pretpostavku da će napade počiniti profesionalci, uključujući organizovane kriminalne i ekstremističke grupe. Efikasna zaštita zato ne zavisi samo od sposobnosti detekcije već i od otpornosti na manipulacije i namjerne pokušaje zaobilaženja sistema. Kombinovanje različitih metoda detekcije može povećati otpornost sistema, ali su pravilno projektovanje, zaštita ključnih komponenti i profesionalna instalacija jednako važni kako bi sistem pouzdano funkcionisao u trenucima kada je to najpotrebnije.

Videonadzor je alat za verifikaciju i odvraćanje

Kako bi se osigurala dugoročna sigurnost kritične infrastrukture, sistemi videonadzora u kombinaciji s drugim sigurnosnim tehnologijama moraju pružiti dodatnu vrijednost. Pri tome, oni moraju omogućiti vidljivost osjetljivih ili kompleksnih prostora s udaljenih lokacija. Događaji na terenu, uključujući i one na više lokacija istovremeno, danas se moraju pratiti i snimati u realnom vremenu, čime se znatno unapređuje situacijska svijest.

Kada su pametno integrisani s ostalim sigurnosnim sistemima, umreženi sistemi videonadzora imaju značajan potencijal za prevenciju i ranu intervenciju. Potencijalni počinioci mogu se otkriti u vrlo ranoj fazi krize, a u nekim slučajevima i prije nego što dođu do osjetljivih zona. To operaterima omogućava proaktivan, a ne reaktivan odgovor na kriznu situaciju.

Ukoliko je videonadzor dopunjen dvosmjernom audiokomunikacijom, kontrolni i servisni centri mogu se direktno obratiti osobama na licu mjesta. U mnogim slučajevima, već ova vrsta udaljene intervencije dovoljna je da odvrati počinioca od ulaska i daljeg kretanja unutar zaštićenog prostora.

Zbog mogućih posljedica kvarova ili napada, zahtjevi za sisteme videonadzora u okruženjima kritične infrastrukture znatno su strožiji nego u standardnim komercijalnim ili industrijskim primjenama. Sistemi stoga moraju biti projektovani, implementirani i održavani na nivou koji odgovara višem nivou prijetnji i važnosti održavanja radnog kontinuiteta ovih okruženja.

Kada sekunde odlučuju

Svaka organizacija zavisi od jasno strukturiranog komunikacijskog koncepta koji podržava svakodnevne operacije i omogućava efikasan odgovor na poremećaje u radu. Takvi incidenti mogu biti tehničke prirode i direktno ugroziti sigurnost i zdravlje zaposlenih. Jasne komunikacijske strukture i preventivne mjere imaju ključnu ulogu u ograničavanju njihovog utjecaja.

U okruženjima kritične infrastrukture, planiranje komunikacije mora uzeti u obzir vanjske prijetnje i kompleksne scenarije napada. Priroda mogućih poremećaja, način izvođenja napada i razmjer potencijalne štete moraju se procjenjivati kroz strukturiran proces upravljanja rizicima, a ne na osnovu općih pretpostavki.

Svaki incident zahtijeva pravovremene odluke o odgovarajućim protivmjerama. To uključuje procjenu dostupnosti komunikacijskih sistema tokom događaja, definisanje prioriteta, otvaranje hitnih komunikacijskih kanala i zadržavanje operativne sposobnosti u slučaju nestanka napajanja. Donošenje odluka je otežano kada se incidenti preklapaju, naprimjer kada se požarni alarm aktivira paralelno sa sigurnosnim upozorenjem ili tokom koordinisanog napada na više sistema.

Ovi izazovi naglašavaju važnost sistema za upravljanje vanrednim i opasnim situacijama, koji omogućavaju informisano, proporcionalno i pravovremeno odlučivanje. U mnogim organizacijama koje upravljaju kritičnom infrastrukturom, ovakvi sistemi služe za ubrzavanje pružanja odgovora, smanjenje neizvjesnosti i ograničavanje štete u kriznim situacijama.

Vrijeme reakcije ima presudan utjecaj na ukupni obim posljedica incidenta. Brža detekcija, verifikacija, donošenje odluka i koordinacija s nadležnim službama omogućavaju ranije uvođenje protivmjera i skraćuju trajanje poremećaja.

Iako automatizirani odgovori mogu znatno smanjiti vrijeme reakcije, oni nose i određene rizike. Lažni alarmi mogu pokrenuti neadekvatne mjere, dok paralelni incidenti mogu dovesti do konfliktnih reakcija ako se kontekst i proporcionalnost ne procijene pravilno. U praksi, najefikasniji način za smanjenje vremena reakcije bez povećanja rizika jeste dobro osmišljena i održavana komunikacija tokom cijelog događaja jer samo ona omogućava verifikaciju, situacijsku svijest i koordinisano djelovanje.

Alarmi bez slabe karike

Sigurnosni sistemi u okruženjima kritične infrastrukture moraju ponuditi najviši nivo pouzdanosti i otpornosti. Prijenos alarma, mrežna povezanost i mehanizmi udaljenog pristupa posebno su osjetljivi segmenti kritične infrastrukture, jer njihov kvar može ugroziti čak i robusne zaštitne mjere.

Otpornost u ovom kontekstu podrazumijeva sposobnost sistema da ostanu operativni uprkos cyber napadima, tehničkim kvarovima ili zagušenjima mreže. To zahtijeva redundantne komunikacijske puteve, sigurne mrežne komponente i kontinuiran nadzor kako bi se osigurala trajna dostupnost i integritet alarmnih komunikacija. Tehnologije za prijenos alarma moraju biti projektovane tako da izdrže sabotažu i slučajna oštećenja, uz odgovarajuću fizičku zaštitu i rezervne izvore napajanja. Sa stanovišta cyber sigurnosti, rješenja za prijenos alarma i udaljeni pristup moraju slijediti principe sigurnosti ugrađene u dizajn, uz oslanjanje na ojačane protokole i mehanizme koji štite od napada uskraćivanja usluge (DoS) i neovlaštenog pristupa.

Udaljeni pristup sigurnosnim sistemima ima važnu operativnu ulogu, ali i uvodi dodatne rizike. Zbog toga odgovornost za sigurnost infrastrukturnog objekta mora biti jasno definisana, uz primjenu odgovarajućih kontrolnih mjera koje osiguravaju integritet, dostupnost i odgovornost tokom cijelog životnog ciklusa sistema.

Rizikom vođena zaštita od požara

U okruženjima kritične infrastrukture, vatrodojavni sistemi moraju biti projektovani ne samo u skladu s građevinskim propisima već i kako bi mogli podržati jasno definisane ciljeve zaštite. Pored standardne detekcije na nivou cijelog objekta, ovo podrazumijeva i ciljano nadziranje visokorizičnih zona kao što su tehničke prostorije, postrojenja, instalacijski prostori, kućišta za opremu i ormari. Detekcija požara u ovim kontekstima često je tijesno povezana sa sistemima za gašenje i pravilima za automatsko aktiviranje mjera za ranu intervenciju prije eskalacije incidenta. Pri tome, izbor detekcijske tehnologije treba biti zasnovan na procjeni rizika, a ne na standardiziranim šemama instalacije. U zavisnosti od okruženja, to može uključivati aspiracijske detektore dima za nadzor opreme i transformatorskih prostora, linearne sisteme detekcije za velike ili kompleksne prostore, kao i video ili termalne sisteme nadzora kada je potrebna rana vizuelna potvrda situacije ili detekcija toplote. Zaštita razvodnih kutija, serverskih ormara, energetskih sistema i rezervnih izvora napajanja zahtijeva visok nivo specijalističke ekspertize jer kvarovi u ovim segmentima mogu imati dalekosežne operativne posljedice.

Sigurnost ne završava na perimetru

Sigurnost je snažna koliko i njena najslabija karika, a u složenim i međusobno povezanim sistemima ta komponenta se često nalazi upravo u lancu snabdijevanja. Zbog toga se od proizvođača sve češće očekuje da prate i dokumentuju porijeklo kako digitalnih tako i fizičkih komponenti koje se koriste u njihovim proizvodima. Softverske komponente, uključujući biblioteke trećih strana i open-source elemente, moraju se evidentirati i kontinuirano procjenjivati s aspekta sigurnosnih ranjivosti. To se može postići kroz uvođenje obaveze za dobavljače da prijavljuju i otklanjaju sigurnosne propuste, ali i kroz interne procese kroz koje se integrisane komponente redovno analiziraju i provjeravaju.

Ista logika važi i za hardverske komponente. U okruženjima kritične infrastrukture, zabrinutost zbog skrivenih funkcija  ili neovlaštenih tokova podataka dovela je do pojačanog nadzora nad određenim komponentama i dobavljačima. Mreže i povezani uređaji čine osnovu savremenih sigurnosnih sistema, a slabost u bilo kojem dijelu lanca može kompromitovati cjelokupno rješenje. Zbog toga je transparentnost lanca snabdijevanja postala jedan od ključnih elemenata upravljanja rizicima.

Uloga specijaliziranih kompanija

Efikasna zaštita kritične infrastrukture u velikoj mjeri zavisi od profesionalne ekspertize. Operaterima su potrebni kvalifikovani partneri koji razumiju i tehničke i operativne zahtjeve visokorizičnih okruženja, te su u stanju da rezultate procjena rizika pretoče u odgovarajuću sigurnosnu arhitekturu.

Postoji jasan rizik oslanjanja na prividno povoljna, “gotova” rješenja koja ne uzimaju u obzir specifične prijetnje po konkretne lokacije i realne operativne uslove na terenu. Takvi pristupi često rezultiraju sistemima koji ne pružaju potreban nivo zaštite, pri čemu se njihove slabosti otkrivaju tek nakon incidenta ili tokom inspekcije.

Osim pravilnog projektovanja i instalacije sistema, redovno održavanje je ključno kako bi sigurnosni i zaštitni sistemi dugoročno mogli pouzdano funkcionisati. Neadekvatno planiranje, pogrešan izbor proizvoda ili nedovoljno održavanje često dovode do kvarova koji narušavaju ukupnu otpornost sistema. Izbor kompetentnih i certificiranih specijaliziranih kompanija stoga predstavlja jednu od ključnih odluka za operatere kritične infrastrukture.

Prilika za integratore

Za ponuđače sigurnosnih rješenja i sistem-integratore, regulatorni razvoj jasno potvrđuje potrebu da se razmišlja izvan okvira pojedinačnih proizvoda. Rješenja tehničke zaštite moraju biti ugrađena u holističke koncepte zaštite i usklađena sa sigurnim mrežnim arhitekturama i konceptom cyber otpornosti.

Sistemi poput kontrole pristupa više se ne mogu posmatrati izolovano. Oni moraju biti integrisani s platformama za nadzor, upravljanje alarmima i planiranje u vanrednim situacijama kako bi se omogućili koordinisani odgovori i ispunili zahtjevi u pogledu otpornosti i regulatorne usklađenosti.

Istovremeno, od pružalaca rješenja sve se češće očekuje da preuzmu savjetodavnu ulogu i operaterima ponude procjene zasnovane na riziku, kao i prilagođena rješenja. To uključuje ne samo odgovor na aktuelne prijetnje već i predviđanje budućih trendova, uz integraciju organizacijskih mjera poput obuke osoblja, politika pristupa i intervencijskih procedura. Na taj način, sigurnosna tehnologija postaje sastavni dio šire strategije otpornosti, a ne samo njena izolirana tehnička implementacija.

Od minimalnih zahtjeva do stvarne otpornosti

Direktive CER i NIS2 nisu uvele samo nove minimalne standarde nego i redefinisale koncept zaštite kritične infrastrukture. U okruženju u kojem jedan oštećeni kablovski snop može ostaviti bolnice bez napajanja, a cyber napad na energetski sektor paralisati transport, tradicionalni pristup izolovanim sigurnosnim mjerama više nije održiv.

Stvarna otpornost na napade na kritičnu infrastrukturu zahtijeva temeljnu promjenu perspektive, odnosno prelazak s reaktivnog ispunjavanja zakonskih obaveza na proaktivno upravljanje rizicima koje integriše tehničku i cyber sigurnost i sektorsku koordinaciju. To znači i napuštanje stava da se uvijek ide na najjeftinije rješenje koje zadovoljava minimume i prihvatanje činjenice da je zaštita kritične infrastrukture dugoročna investicija u kontinuitet rada ovih sistema i društvenu stabilnost.

Kritična infrastruktura može postati otporna na prijetnje današnjice i sutrašnjice samo kroz integrisani pristup u kojem sigurnost nije projekat koji se završava instalacijom, nego kontinuirani proces koji se prilagođava i unapređuje.

Related Posts

Alarm Automatika: Nova razina komfora uz Ajax alarmni sustav

Autor

Optimizacija svjetla u videonadzoru

Autor

Eccos: Kibernetička sigurnost u drugoj cijevi tunela Učka

Autor

IZDANJA

Global Security d.o.o.

Hasiba Brankovića 3, 71000 Sarajevo, Bosna i Hercegovina
Tel: +387 (0)33/788-985
Fax: +387 (0)33/788-986
Web site: www.asadria.com
Marketing: marketing@asadria.com
Pretplata: pretplata@asadria.com
PDV broj: 201142740001
Identifikacioni broj: 4201142740001
ISSN 1986-5

Magazin a&s Adria – stručni magazin za kompletna sigurnosna rješenja – mjesečna je publikacija licencirana od strane kompanije Messe Frankfurt New Era Business Media za Adriatic regiju: Bosnu i Hercegovinu, Crnu Goru, Hrvatsku, Kosovo, Makedoniju, Sloveniju i Srbiju.