Tehnički sažetak
Ključne stavke:

Tekst kritizira naizgled ispravne analize kibernetičkog rizika koje se ne odražavaju na inženjerske odluke i održavanje proizvoda. Prikazuje promjenu paradigme prema pristupu temeljenom na riziku u stvarnom kontekstu uporabe i tijekom cijelog životnog ciklusa.

  • Tipična „procjena kibernetičkog rizika” često se svodi na tablicu low/medium/high: usklađena je s complianceom, ali ne utječe na arhitekturu proizvoda ni na podršku.
  • Pristup EU-a (CRA, MDR, Uredba o strojevima 2023/1230) preusmjerava pitanje na uvjete uporabe i kontrolu rizika tijekom životnog ciklusa.
  • Procjena rizika proizvoda nije IT analiza, pentest niti uvođenje ISO 27001; odnosi se na sposobnost proizvoda i proizvođača da tijekom vremena održavaju sigurnost.
  • Ranjivost (npr. CVE) tehnička je greška; rizik proizvoda proizlazi iz konteksta uporabe, integracije, ponašanja korisnika, upravljanja zakrpama i reakcije na incidente.
  • Pogrešno odabrane zaštitne mjere mogu povećati rizik: MFA u OT-u, automatska ažuriranja u IoMT-u i zaključavanje sučelja u IoT-u stvaraju nove vektore i nuspojave.

U velikoj većini tehnoloških tvrtki proces poznat kao procjena kibernetičkog rizika već postoji. Najčešće je to opsežna tablica, složena matrica ili proračunska tablica u kojoj dominiraju vrijednosti „low”, „medium” i „high”. Taj dokument sadrži dugačak popis generičkih prijetnji, kratke opise mogućih ranjivosti i skup standardnih kontrolnih mjera. Formalno gledano, sve je u redu: dokument je potpun, potpisan od uprave i sigurno arhiviran.

Problem je u tome što u inženjerskoj praksi taj dokument ne mijenja baš ništa.

Ne utječe na arhitekturu uređaja koji se projektira. Ne određuje odluku o načinu isporuke ažuriranja. Ne mijenja model postprodajne podrške niti preispituje odnose s dobavljačima komponenti. To je dokument ispravan s aspekta compliancea, ali potpuno nebitan za stvarno kibernetičko sigurnost proizvoda. No to nije posljedica manjka kompetencija u inženjerskim ili sigurnosnim timovima. Riječ je o problemu koji proizlazi iz temeljno pogrešne polazne točke.

Većina tradicionalnih analiza rizika počinje pitanjem: „Koje se prijetnje mogu pojaviti?”. U međuvremenu, novi regulatorni pristup Europske unije – jasno vidljiv u aktima kao što su Cyber Resilience Act (CRA), medicinske direktive (MDR) ili nova Uredba o strojevima 2023/1230 – nameće potpuno drukčiju perspektivu. Ona počinje pitanjem:

U kojim uvjetima uporabe proizvod može postati nositelj rizika za korisnika, sustav ili tržište – i može li proizvođač taj rizik držati pod kontrolom tijekom cijelog životnog ciklusa?

To je temeljna promjena paradigme. Procjena kibernetičkog rizika u kontekstu proizvoda nije tek još jedna analiza prijetnji IT infrastrukture. Nije ni penetracijsko testiranje niti mehanička primjena smjernica norme ISO 27001. To je dubinska analiza sposobnosti samog proizvoda, kao i njegova proizvođača, da kroz vrijeme održavaju sigurnost u stvarnom operativnom okruženju.

Tehnička ranjivost i rizik proizvoda – razlikovanje u kibernetičkoj sigurnosti

Kako bi procjena rizika prestala biti samo administrativna tablica, a postala inženjerski alat za donošenje odluka, moramo precizno razdvojiti dva pojma koja se na tržištu često sustavno brkaju. Zapamtimo: ranjivost nije isto što i rizik proizvoda.

  • Tehnička ranjivost je konkretna, prepoznatljiva greška u softveru, hardverskoj konfiguraciji ili samom dizajnu. To može biti neispravna validacija podataka, zastarjela programska biblioteka ili propust u mehanizmu autentikacije. Takve se greške evidentiraju u bazama kao što je sustav CVE (Common Vulnerabilities and Exposures). No to je i dalje procjena isključivo na tehničkoj razini.
  • Rizik proizvoda pojavljuje se tek kada se spomenuta ranjivost (ili čak njezin privremeni izostanak) smjesti u surovu stvarnost uporabe.

Taj kontekst uključuje niz varijabli: radno okruženje (otvorena ili izolirana mreža), način integracije s drugim sustavima, ponašanje korisnika, dostupnost sigurnosnih ažuriranja (tzv. patch management) te organizacijsku sposobnost proizvođača da reagira na incidente.

Proizvod na dan lansiranja može nemati nijednu poznatu ranjivost, a ipak stvarati kritičan rizik ako njegov proizvođač nema procese dugoročne podrške. Razumijevanje te razlike dovodi u red cjelokupan inženjerski rad. Upravo se na tome temelji pristup utemeljen na riziku (risk-based approach). Sigurnosne mjere moraju biti razmjerne predvidivim scenarijima zlouporabe, a ne apstraktnom popisu s interneta.

Paradoks zaštite: kada zaštita povećava rizik u IT-u i OT-u

U dizajnu kibernetičke sigurnosti često se polazi od pretpostavke da dodavanje novog „lokota” uvijek smanjuje rizik. Praksa pokazuje da ponekad bude upravo suprotno. Mjera uvedena bez razumijevanja konteksta stvara nove vektore prijetnji.

1. Snažna autentikacija u industrijskom okruženju (OT)

Zamislimo uvođenje višefaktorske autentikacije (MFA) na industrijski stroj. Iz perspektive IT-a to je uzoran korak, no kibernetička sigurnost u industrijskoj automatizaciji je posve drukčija stvarnost. U tvorničkom okruženju uređaj radi 24/7, a servisne intervencije odvijaju se pod vremenskim pritiskom. Kad mreža zakaže, tehničar ne može online autorizirati token. Proizvodnja staje. Ishod? Frustrirani kupac trajno isključuje taj mehanizam i u potpunosti zaobilazi zaštitu. Mjera koja je trebala štititi stvorila je golem operativni rizik.

2. Automatska ažuriranja u medicinskim uređajima (IoMT)

Brzo zakrpavanje ranjivosti smanjuje izloženost napadima, što je u IT svijetu standard. No u svijetu medicinskih uređaja prisilno ažuriranje tijekom zahvata može promijeniti ponašanje sustava ili prekinuti komunikaciju s bolničkom mrežom. U tom slučaju tehnološka zaštita stvara kritičan klinički i regulatorni rizik (kršenje MDR certifikacije).

3. Zatvaranje sučelja u potrošačkoj opremi (IoT)

Proizvođač fizički uklanja lokalne dijagnostičke priključke s pametnog kućnog uređaja kako bi hakerima otežao pristup. U praksi ovlašteni servisi počinju dijagnosticirati kvarove preko nestabilnih sučelja, zaobilazeći enkripciju, a napredni korisnici masovno instaliraju modificirani softver (custom firmware). Rezultat je potpuni gubitak kontrole proizvođača nad vlastitim ekosustavom.

Prava analiza kibernetičkog rizika pita: „Kako će se promijeniti stabilnost, upotrebljivost i sigurnost cijelog ekosustava nakon uvođenja baš ovog mehanizma?”.

5 najčešćih pogrešaka u analizi rizika tehnoloških proizvoda

Procjenjujući procese u tvrtkama koje na tržište plasiraju elektroniku i softver, stručnjaci za kibernetičku sigurnost uočavaju ponavljajuće obrasce.

  1. Preslikavanje korporativnog IT modela u svijet proizvoda. Proizvod nije podatkovni centar. Radi u nepoznatom okruženju, često izvan mreže, a konfiguriraju ga laici. Primjena IT alata na analizu proizvoda završava zanemarivanjem ključnih problema: životnog ciklusa uređaja i izostanka prisilnih ažuriranja.
  2. Analiza apstraktnih prijetnji umjesto stvarnih scenarija. Upisivanje u tablicu fraza poput „neovlašteni pristup” analitički je beskorisno. Analiza se mora temeljiti na konkretnim pitanjima: Tko? Preko kojeg sučelja? S kojim ciljem? S kakvim učinkom?
  3. Ignoriranje životnog ciklusa proizvoda (End-of-Life). Analiza rizika obično se odnosi na trenutak lansiranja. U međuvremenu rizik s vremenom raste – open-source biblioteke zastarijevaju, a dobavljači komponenti prekidaju podršku. Bez uvažavanja modela održavanja, analiza je pogrešna.
  4. Izolacija od razvojnog tima (R&D). Svođenje procjene rizika na checklistu prije audita najkraći je put do katastrofe. Rezultati se moraju vraćati inženjerima kao čvrsti arhitektonski zahtjevi (Secure by Design).
  5. Fetišizacija tehnologije na štetu procedura. Tvrtke ulažu bogatstvo u naprednu kriptografiju, ali ne znaju tko je u organizaciji odgovoran za izdavanje sigurnosne zakrpe (patch) nakon što istraživač prijavi ranjivost (Vulnerability Disclosure Program).

Kako provesti analizu usklađenu s Cyber Resilience Act? 7 inženjerskih koraka

Procjena kibernetičkog rizika mora prestati biti birokratski teret. U nastavku je operativni model iz prakse, usklađen s pristupom EU (među ostalim sa zahtjevima CRA).

  1. Definiraj granice proizvoda. Proizvod nije samo hardver. To su i mobilna aplikacija, oblak, OTA poslužitelji i API sučelja.
  2. Opiši surovu stvarnost okruženja uporabe. Ne opisuj laboratorijsko okruženje. Odgovori na pitanja o stvarnoj internetskoj povezivosti, kompetencijama korisnika i mogućnostima fizičkog pristupa uređaju.
  3. Identificiraj scenarije zlouporabe (Threat Modeling). Odbaci generičke popise. Iskoristi provjerene inženjerske metode i alate za procjenu rizika kako bi se usmjerio na precizne vektore napada prilagođene tvojoj industriji.
  4. Kvantificiraj nefinancijske posljedice. Procijeni rizik zastoja proizvodnje, ugrožavanja zdravlja ili kršenja regulatornih obveza.
  5. Postavi pitanje kontrole. Možeš li kao proizvođač spriječiti, otkriti i brzo reagirati na identificirani scenarij zlouporabe?
  6. Projektiraj proporcionalne zaštitne mehanizme. Odluke o enkripciji ili segmentaciji mreže moraju izravno proizaći iz odgovora danih u prethodnim koracima.
  7. Projektiraj proces održavanja (Lifecycle). Dokumentiraj politiku isporuke sigurnosnih zakrpa, razdoblje podrške i kanale komunikacije s kupcem.

Zaključak: Što bi trebalo ostati nakon kvalitetne procjene rizika?

Završni rezultat ispravne procjene kibernetičkog rizika proizvoda nikada ne bi smio biti tekstom zbijena poema za auditora. Iz ovog rada moraju proizaći opipljivi artefakti: jasna mapa granica sustava, čvrste arhitektonske odluke u R&D-u, odobren proračun za politiku ažuriranja te dosljedan revizijski trag koji dokazuje usklađenost s direktivama EU.

Tehnološki zrela organizacija više ne pita: „Jesmo li 100% sigurni?”. Umjesto toga pita: „Gdje smo točno izloženi i možemo li time upravljati kroz vrijeme?”.

Je li tvoj proizvod spreman za nove regulative?

Sigurnost je proces, a ne jednokratni certifikat. Ako ne želiš da procjena rizika u tvojoj tvrtki bude samo „papirologija”, isplati se djelovati proaktivno. Pogledaj kako u praksi pripremiti proizvod za Cyber Resilience Act (CRA) u razdoblju 2026–2027, prije nego što se pojave službene usklađene norme.

Oceń post

Procjena kibernetičkog rizika proizvoda: Zašto je većina sigurnosnih analiza naizgled ispravna, a u praksi beskorisna?

Jer obično ispunjava zahtjeve usklađenosti (compliance), ali ne utječe na inženjerske odluke: arhitekturu, ažuriranja, postprodajnu podršku ni odnose s dobavljačima. Posljedično, formalno je ispravna, a u praksi bez učinka.

Ne polazimo od popisa apstraktnih opasnosti, nego od uvjeta uporabe u kojima proizvod može postati nositelj rizika te od toga zna li proizvođač taj rizik držati pod kontrolom tijekom cijelog životnog ciklusa. Takav je pristup usklađen s regulatornom perspektivom vidljivom, među ostalim, u CRA, MDR i Uredbi o strojevima 2023/1230.

Tehnička ranjivost je konkretna greška u softveru, konfiguraciji ili dizajnu (npr. propust u autentikaciji) i može se evidentirati, primjerice, kao CVE. Rizik proizvoda pojavljuje se tek u kontekstu stvarne uporabe, integracije, ponašanja korisnika, dostupnosti ažuriranja i sposobnosti proizvođača da reagira.

Ne — pogrešno odabran mehanizam može povećati rizik jer stvara nove vektore operativnih problema. Primjeri iz teksta pokazuju da MFA u OT-u, automatska ažuriranja u IoMT-u ili „zatvaranje” sučelja u IoT-u mogu dovesti do zaobilaženja zaštitnih mjera ili do operativnih i regulatornih rizika.

To uključuje, među ostalim, preslikavanje korporativnog IT modela na svijet proizvoda, oslanjanje na općenitosti umjesto na scenarije („tko, kako, zašto i s kakvim učinkom”) te zanemarivanje životnog ciklusa i problema na kraju životnog vijeka (End-of-Life). Rezultat je analiza koja ne upućuje na stvarne projektne odluke ni na aktivnosti održavanja.

Podijeli: LinkedIn Facebook