Ono što CISO-e najviše brine nisu hakeri, nego neizbježnost proboja

· Sanja Ledinek

Ono što CISO-e najviše brine nisu hakeri, nego neizbježnost proboja

Pokušajte se danas staviti u kožu jednog CISO-a. Proračuni za kibernetičku sigurnost rastu, nove tehnologije poput umjetne inteligencije i računalstva u oblaku uvode se gotovo bez pauze, a upravni odbori imaju sve veća očekivanja. Na papiru zvuči kao idealna situacija. U praksi? Više kao maraton bez ciljne linije. Mnogi CISO-i priznaju da troše više novca nego ikad, ali osnovna načela smanjenja rizika ne prate brzinu kojom se mijenjaju prijetnje. Sustavi postaju složeniji, površina napada se stalno širi, a obrambena učinkovitost ne raste proporcionalno. Prevladava osjećaj da se radi više i brže nego ikad – ali da su napadači uvijek korak ispred.

Sve češće se pojavljuje i još jedna, puno mračnija spoznaja: sljedeći proboj je gotovo siguran. Čak 84 % CISO-a vjeruje da je samo pitanje vremena kada će njihova organizacija biti uspješno napadnuta. Ključno pitanje više nije hoće li se napad dogoditi, nego hoće li tim na vrijeme shvatiti što se događa i uspjeti ograničiti štetu. Upravo taj mentalitet „kršenje je neizbježno” sve više oblikuje način na koji se planiraju budžeti, zapošljavaju ljudi i pripremaju krizni scenariji.

Pritisak, iscrpljenost i opasne praznine

Pritisak ne dolazi samo iz tehnologije. CISO-i su zaglavljeni između stalnih incidenata, gomile alata i uprava koje traže jasne odgovore na sve apstraktnije rizike. Nije rijetkost da priznaju kako su blizu potpunog sagorijevanja i ozbiljno razmišljaju o napuštanju pozicije. U takvom okruženju, komunikacija prema vrhu organizacije često nije potpuna. Napadi su sve češći i ozbiljniji, ali jaz u percepciji između CISO-a i poslovnog vodstva i dalje je velik. Mnogi tvrde da rukovoditelji podcjenjuju stvarnu opasnost kibernetičkih prijetnji, kao i rizik koji dolazi iznutra. Ta neusklađenost otežava pripremu za realne, a ne teorijske scenarije napada.

Posebno osjetljiva točka ostaje ljudski faktor. Većina organizacija već je bila pogođena socijalnim inženjeringom putem aplikacija poput WhatsAppa ili Signala, ali gotovo nitko ne provodi simulacije napada na tim kanalima. Zaposlenici ih svakodnevno koriste, dok sigurnosni timovi često nemaju povjerenja u vlastitu sposobnost otkrivanja prijetnji na tim platformama. Lov na tehničke ranjivosti uz istovremeno zanemarivanje ljudskog rizika postaje sve češći paradoks.

AI, GenAI i problem koji još nema rješenje

Umjetna inteligencija danas je neizbježna tema u rasporedu svakog CISO-a – i kao prilika i kao prijetnja. Generativna AI posebno izaziva zabrinutost zbog mogućeg curenja osjetljivih podataka kroz javne alate. Umjesto potpune zabrane, većina organizacija pokušava postaviti određene „ograde”, dopuštajući kontroliranu upotrebu, iako ni same nisu sigurne koliko su te mjere zaista učinkovite. Problem je što tehnologija ponovno ide brže od strategije. Ulaganja u AI, cloud i nove platforme rastu, dok sigurnosna infrastruktura i upravljanje tim rizicima zaostaju. Čak 85 % organizacija priznaje da je njihov pristup kibernetičkoj sigurnosti i dalje reaktivan – fokusiran na gašenje požara umjesto na prevenciju.

GenAI dodatno razotkriva jaz u znanju, resursima i strategiji. Dok uprave vide AI kao pokretač inovacija, CISO-i i operativni timovi često nemaju jasne smjernice kako tim rizicima upravljati. U isto vrijeme, kibernetički kriminalci sve učinkovitije koriste AI – od deepfakeova do masovnog, visoko personaliziranog phishinga – čime se ravnoteža snaga dodatno naginje na njihovu stranu.

Uloga CISO-a se mijenja, ali izazovi ostaju

U moru alata, prijetnji i neizvjesnosti oko AI-a, mnogi CISO-i prisiljeni su redefinirati svoj pristup. Penetracijsko testiranje, sigurnost opskrbnog lanca, OT sigurnost i integracija obavještajnih podataka o prijetnjama postaju prioriteti. No i dalje postoji veliki izazov: kako apstraktne tehničke rizike pretvoriti u konkretne poslovne odluke koje menadžment može razumjeti. Svijetla točka je što se uloga CISO-a postupno jača. Sve više njih izravno izvještava izvršnog direktora, sudjeluje na sjednicama upravnih odbora i dobiva stvarni strateški glas. Organizacije također prilagođavaju politike kako bi smanjile osobni pravni rizik za CISO-e, dok istovremeno povećavaju ulaganja u krizne vježbe – kao priznanje da više nije pitanje hoće li se napad dogoditi, nego koliko smo spremni kada se dogodi.

Tamo gdje tvrtke ubrzano provode digitalnu transformaciju i uvode umjetnu inteligenciju, ova priča zvuči vrlo poznato. Ključno pitanje ostaje isto: ulažemo li zaista u smanjenje stvarnog rizika ili samo kupujemo kratkoročni osjećaj sigurnosti?

DRUGE NOVOSTI