O programu i ključnim temama razgovarali smo s Antonijom Vojnović, programskom direktoricom Arene i voditeljicom Odjela za upravljanje, rizike i usklađenost u Spanu te Hrvojem Englmanom, programskim direktorom Arene i Spanovim voditeljem informacijske sigurnosti. Span Arena održat će se od 20. do 22. svibnja u Poreču.
P: Koja je glavna ideja programa Span Arene ove godine – što želite da sudionici ponesu kao ključnu poruku?
Antonija Vojnović: Važno je razumjeti rizike kibernetičke sigurnosti i shvatiti kako se ne može sve riješiti implementacijom jednog ili više tehničkih rješenja. Želimo razvijati svijest o kibernetičkoj sigurnosti, načinu na koji se upravlja rizicima te kako osigurati usklađenost s pravnim okvirima koji oblikuju sigurnosno okruženje današnjice. Zakoni nam mogu i trebaju pomoći u identifikaciji rizika, jasnom definiranju odgovornosti i u smanjenju ranjivosti implementacijom definiranih mjera sigurnosti. Tehničko rješenje je jedan dio ublažavanja rizika, ali kad dodamo proceduru i jasno definiramo što se kako radi i tko je odgovoran – dodatno smanjujemo rizik.
P: Program je strukturiran kroz različita predavanja i razine. Kako bi sudionik trebao odabrati što pratiti – i kome je Arena namijenjena?
Hrvoje Englman: Program je zamišljen tako da se u njemu mogu pronaći i menadžeri, i sigurnosni inženjeri, i ljudi iz IT operacija. Razine (General / Advanced / Deep Dive) pomažu da odmah znate očekuje li se osnovno razumijevanje ili dublje tehničko predznanje. Najbolji pristup je unaprijed definirati 2–3 teme koje su vam najkritičnije (npr. cloud, incident response, regulativa) i oko toga složiti raspored.
Antonija Vojnović: Konferenciju preporučujemo i ljudima koji nisu u operativi nego su na kontrolnim funkcijama, npr. CISO-ima, DPO-ima, GRC stručnjacima, pravnicima. U fokusu će biti i primjena Zakona o kibernetičkoj sigurnosti u svakodnevnom poslovanju te izazovi i mogućnosti koje proizlaze iz europskih certifikacijskih shema i drugih relevantnih politika Europske unije. Naš cilj je pokazati kako se zahtjevi pretvaraju u konkretne kontrole, alate i procese.
P: U programu se vidi i vrlo praktičan dio – primjerice, predavanje Copilot Escape Room: Who Let ‘Everyone’ into SharePoint?, tema sigurnog upravljanja API-jima te večernji Capture the Flag izazov. Zašto vam je važno da konferencija ima ovaj hands-on sloj?
Hrvoje Englman: Zato što se sigurnost ne uči samo slušanjem nego i iskustvom. Primjeri poput navedenih su realni scenariji: jedna pogrešna dozvola ili preširoka grupa može postati incident. Slično je i s API-jima – oni su temelj modernih sustava, ali često postanu „slijepa točka” u kontrolama. A CTF i slični izazovi omogućuju da sudionici u sigurnom okruženju uvježbaju način razmišljanja napadača i obrambene korake, te odmah prepoznaju gdje su rupe u procesima i konfiguracijama.
P: Među istaknutim temama su i šira slika kibernetičkog kriminala – od predavanja From Curiosity to Cybercrime: The Rising Threat of Teenage Hacking Gangs do Forward to the Past and Back to the Future: Cybercrime in 2025 and Beyond. Što publika može očekivati od tih poruka?
Hrvoje Englman: Očekujemo vrlo konkretan „reality check”. Danas je ulazak u kibernetički kriminal lakši – alati, tutorijali i infrastruktura su dostupniji nego ikad, a motivacija varira od znatiželje do ozbiljnog profita. S druge strane, napadi postaju organiziraniji i brži. Za organizacije to znači da obrana mora biti dosadna i dosljedna: jasne politike, kontrolirani pristupi, segmentacija, detekcija i odgovor, te vježbanje scenarija.
P: U programu je i tema forenzike – “Forensic Adventures: Where Hackers Hide and Investigators Hunt”. Koje su najčešće greške koje organizacije rade prije nego što se incident dogodi?
Hrvoje Englman: Najčešće je problem što se forenzike „sjeti” tek kad je kasno. Ako nemate uređenu evidenciju imovine, kvalitetno prikupljanje i čuvanje logova, jasno definirane odgovornosti i minimalno uvježbane procedure, u incidentu gubite dragocjene sate. Druga česta greška je oslanjanje na pojedince umjesto na proces: kad ključna osoba nije dostupna, odgovor se usporava. Zato stalno naglašavamo osnovne preduvjete – telemetriju, retention, playbookove i redovite tabletop vježbe.
P: Kad se kaže GRC, mnogima to zvuči kao „papiri i procedure”. Kako GRC izgleda u praksi – i gdje organizacije najčešće griješe?
Antonija Vojnović: U praksi, GRC je „operativni sustav” za sigurnost: jasna pravila, jasna odgovornost i dokazivost da se kontrole zaista provode. Najčešće greške su dvije krajnosti – ili se sve svede na dokumente bez stvarnih mjera sigurnosti, ili se radi odlična tehnička implementacija bez jasnih objašnjenja koji rizik se obrađuje i bez procedura kako bi se proces odvijao uvijek na isti način i ljudi educirali. Dobar GRC povezuje politiku, procese i tehnologiju: tko je vlasnik rizika, koje su kontrole adekvatne i potrebne, kako se mjeri napredak i kako se upravlja iznimkama. I o tome ćemo govoriti na Areni.
P: U fokusu su i Zakon o kibernetičkoj sigurnosti. Što biste savjetovali društvima koja se tek sada hvataju u koštac s usklađenosti – odakle krenuti, a što izbjeći?
Antonija Vojnović: uvijek imam potrebu prvo razjasniti kako usklađenost nije projekt – to nije nešto što ćemo napraviti sada i nikad više. Usklađenost je proces, krenite pragmatično: ako ne znate od kud biste krenuli - napravite gap-analizu u odnosu na zahtjeve zakona i/ili ISO standarda i preporuke pretvorite u vremenski plan s vlasnicima aktivnosti i prioritetima. Identificirajte ključne poslovne procese, imovinu, dobavljače - pa napravite procjenu rizika. Procjena rizika će vam, ako je napravite sukladno zakonu i najboljim praksama, pokazati gdje gori i od kud treba krenuti.
Dodala bih, kako taman kad završite s procjenom rizika i “ugasite” najveće požare, možete krenuti iz početka - jer sigurno se nešto u međuvremenu promijenilo. Pokušajte da tehnička rješenja ne budu sama sebi svrha nego ih popratite s procedurom – edukacijom ljudi, i u cijelu priču uključite vanjske suradnike (dobavljače). Nemojte zaboraviti, pravnici su na vašoj strani, ugovori se također trebaju revidirati i dopuniti sa sigurnosnim zahtjevima koje imate prema svojim dobavljačima, vanjskim suradnicima. Što izbjeći? Kupovinu kila tehničkih rješenja i ad-hoc pristup sigurnosti. Jer ćete potrošiti puno novca i još više vremena, a dobit ćete lažni osjećaj sigurnosti.
P: Najavili ste i masterclassove koji prethode konferenciji. Što sudionici mogu očekivati i koga posebno izdvajate među predavačima?
Hrvoje Englman: Na konferenciju nam već treću godinu dolazi Paula Januszkiewicz dok prvi put u Hrvatsku dolaze Sami Laiho i Joe Slowik. Svi troje su vrhunski stručnjaci koji će polaznicima prenijeti praktične alate i strategije koji se mogu primijeniti u stvarnom okruženju. Masterclassovi će se održati dva dana uoči konferencije na istoj lokaciji.
P: Što biste izdvojili kao najveću vrijednost za sudionike izvan samih predavanja?
Hrvoje Englman: U praksi, najviše se pamte razgovori „između redaka”: razmjena iskustava s ljudima koji su prošli slične incidente, usporedba pristupa i alata te kontakti koji kasnije ubrzaju suradnju. Zato nam je važan i društveni dio programa te izazovi poput “Capture the Flag” – oni prirodno povezuju ljude koji rješavaju probleme, a ne da samo slušaju o njima.
P: Koje trendove u kibernetičkoj sigurnosti vidite kao ključne u idućih 12–18 mjeseci – i što bi društva trebala napraviti već danas?
Hrvoje Englman: Dvije stvari se posebno ubrzavaju: napadi koji koriste automatizaciju i AI za skaliranje (npr. realističniji phishing i brže izviđanje sustava) te rast kompleksnosti okruženja – identitet, cloud i dobavljački lanac postaju najčešće „mjesto loma”. Zato bih tvrtkama preporučio tri vrlo konkretna koraka: prvo, urediti upravljanje identitetima; drugo, standardizirati vidljivost i odgovor; i treće, ozbiljno shvatiti rizik dobavljača – ne samo ugovorom, nego provjerama i jasnim sigurnosnim zahtjevima. Trendovi se mijenjaju, ali osnove koje smanjuju štetu ostaju iste.
Antonija Vojnović: Pored AI-ja, jedan od većih izazova će svakako biti sigurnost u lancu opskrbe. Mislim da većina društava još uvijek nije svjesna rizika koji im prijeti u dobavljačkom lancu. Pitanje je kada su ugovori zadnji put revidirani, koje su odgovornosti vezano uz sigurnost prenesene na dobavljače i vanjske suradnike. Još jedna stvar, koju većina voli zaboraviti, jest osnova sigurnosti – upravljanje digitalnim identitetima i pravima pristupa. Na koji način se dodjeljuju odnosno kreiraju i ažuriraju digitalni identiteti, na kojim principima se dodjeljuju prava pristupa? Kada ste zadnji put napravili reviziju prava pristupa? Sigurnost je očuvanje povjerljivosti, cjelovitosti i dostupnosti podataka – a osnova je tko ima koju razinu pristupa/ovlasti.