Како да препознаете напад: Фирмите немаат доволно капацитет ниту за новиот закон

Од почетокот на годинава стапи во сила новиот Закон за сајбер безбедност, кој инаку се донесе во јуни 2025 година, а до крајот на јуни годинава би требало да се донесат и сите подзаконски акти. „Блумберг Адрија“ веќе пишуваше за обврските што се воведуваат за сите институции и правни субјекти што обезбедуваат критични услуги, вклучувајќи енергетика, транспорт, здравство, ИКТ, вода, храна и друго, кои се должни да воспостават технички и организациски мерки за заштита, да назначат лице за сајбер-безбедност и да пријавуваат инциденти. Во спротивно, субјектите ризикуваат високи казни за неусогласеност од 1,4 до два отсто од годишниот приход, како и останати прекршочни одредби. 

Паралелно со Македонија, нови закони за безбедност на мрежни и информациски системи се воведуваат и во Албанија, Црна Гора, Србија, Босна и Херцеговина и Косово, додека во Хрватска и Словенија се донесоа пред една година.

Заедничко за сите земји е тоа дека се соочуваат со истите предизвици за имплементирање на законите, смета нашиот соговорник Сашо Кузмановски, консултант за сајбер безбедност и менаџер за развој во „Ко.Некст“ (Co.Next). 

Сашо Кузмановски, консултант за сајбер безбедност и менаџер за развој во „Ко.Некст“ (Co.Next). Компанијата е најголемиот диструбутер за решенија за сајбер безбедност во регионот Адрија, а Кузмановски е одговорен за пазарите во Македонија, Косово и Албанија. Приватна архива

 

„Од перспектива на човек со долгогодишно искуство во enterprise и cybersecurity доменот, краткиот и реален одговор е: не, мнозинството организации, со исклучок на банките, во Македонија во моментов немаат доволен капацитет практично да ги исполнат овие обврски – барем не без сериозна поддршка, фази на имплементација и промена на пристапот кон сајбер-безбедноста.

                      

Сашо Кузмановски од „Ко.Некст“ смета дека за успешно спроведување на законот мора да се обрне внимание на неколку точки: 1. Финансиски капацитет 2. Човечки и експертски ресурси 3. Организациска зрелост 4. Ризик од „формално усогласување“ 5. Централизирани услуги 6. Фазна имплементација 7. Јавни фондови и субвенции

  

Законот е неопходен и позитивен чекор, оценува Кузмановски, но вели дека во актуелната реалност, над 70 проценти од засегнатите субјекти немаат капацитет сами да го спроведат.

„Без централизиран пристап, финансирање и едукација, ќе добиеме усогласување ‘на хартија’, а не вистинска кибер-отпорност“, вели Кузмановски.

Дејан Јовановски, постар менаџер во ПвЦ (PwC) Македонија, управување со ризици и технологии (CISA, ISO 27001 & 22301 Lead Auditor) оценува дека состојбата со сајбер безбедноста во Македонија бележи одреден напредок во последните неколку години (особено поттикнато од усогласувањето со европската регулатива), но претстојат предизвици  поради релативно зголемениот број на инциденти.

Дејан Јовановски, постар менаџер во ПвЦ (PwC) Македонија, управување со ризици и технологии (CISA, ISO 27001 & 22301 Lead Auditor)

 

„Националниот индекс за сајбер-безбедност (NCSI) за 2025 нè позиционира со значителни резултати во борбата против сајбер-криминал (100 отсто) и одговор на инциденти (79 отсто), но бележиме пониски резултати во делот на анализа на сајбер закани и свесност (50 отсто) и сајбер-безбедност на критична инфраструктура (25 проценти)“, посочува Јовановски.

Ако ги земеме предвид реалните капацитети на компаниите сликата е нееднаква, смета Јовановски од ПвЦ. Секторите кои и досега беа под регулаторен надзор (пред сè, телекомуникации, банки и финансиски институции) се очекува да бидат најподготвени, а воедно компаниите од овие сектори располагаат со поголеми буџети. 

„Кај нив веќе постојат процеси за управување со ризици, политики и процедури (вклучително и за управување со инциденти), технички мерки (пр. SIEM, DLP решенија), се спроведуваат постапки за анализа/тестирање на ранливост (пр. vulnerability assessment, penetration testing), планови за континуитет и обуки. За нив новиот закон повеќе би претставувал еволуција отколку револуција. Но, сепак за усогласување со истиот ќе биде потребно да вложат во соодветни ресурси и потребна ќе им биде експертска помош“, вели Јовановски.

 

И двајцата наши соговорници сметаат дека усогласувањето со законот може да биде значително потешко за компаниите со средна големина, дел од јавните институции, и/или компании кои со вакви или слични барања се среќаваат за прв пат. 

„Генерално овие компании имаат лимитирани ресурси и послаба зрелост на контролните механизми. Како некои од предизвиците со кои се соочуваат се застарена инфраструктура, мал буџет за сајбер безбедност, недоволна обука на вработени, недостаток (делумен или целосен) на адекватни сајбер практики итн“, вели Јовановски од ПвЦ.

Усогласеноста не може да се реши само со имплементација на технички мерки, туку бара и своевидна организациска трансформација и адекватно следење на политиките и процедурите - усогласувајќи го управувањето со ризиците, инцидентите, континуитетот во работењето, синџирот на набавки итн. Во голем дел од случаите се препорачува користење на експертска помош, смета Јовановски. 

Ниту институциите не се доволно подготвени

Со новиот закон обврски се воведуваат за сите институции и правни субјекти што обезбедуваат критични услуги, вклучувајќи енергетика, транспорт, здравство, ИКТ, вода, храна и друго, кои се должни да воспостават технички и организациски мерки за заштита, да назначат лице за сајбер-безбедност и да пријавуваат инциденти. 

Консултантот за сајбер безбедност, Сашо Кузмановски, не верува дека овие компании (приватни и државни) имаат доволно капацитет (финансиски, човечки, експертски) за во пракса да ги спроведат законските наложби.

„Реалниот и искрен одговор е: повторно не – најголемиот дел од организациите во Македонија во моментов немаат доволно капацитет практично да ги исполнат обврските од новиот закон.

Според Кузмановски, капацитетот и ресурсите се клучни за успешно спроведување на законот.

1. Финансиски капацитет

Меѓутоа, македонскиот пазар во пракса е структурно различен, вели Кузмановски, посочувајќи дека Буџетите за ИТ безбедност кај државните институции се ограничени, често непрогнозирани и се третираат како „ИТ трошок“, а не како дел од национална отпорност.

„Кај приватниот сектор, дури и компании што спаѓаат во критична инфраструктура (енергетика, вода, храна) работат со минимални маргини, па инвестициите за сајбер безбедност не се приоритет, не се дел од стратешки буџет, туку трошок што се одолжува сè додека не се случи инцидент“, вели нашиот соговорник.

Според Кузмановски, основни решенија како SOC, SIEM или MDR за повеќето се финансиски недостижни, а тие се неопходни. Додека законот бара SOC, SIEM, MDR, BCP, DR, континуирано тестирање, за кои тој вели дека во реалноста мал дел од компаниите имаат средства за сето тоа што.

2. Недостаток од кадар и експертиза

„Во реалноста, во повеќето институции ‘лицето за сајбер-безбедност’ ќе биде истото лице што администрира сервери, печатачи и мрежа, без формално образование во threat management, incident response или compliance“, вели Кузмановски, посочувајќи дека Македонија има драматичен недостиг од кадар за сајбер безбедност, па се случува истите експерти да работат паралелно на повеќе проекти.

„Освен тоа, нема капацитет за 24/7 incident response. Капацитетот не е само недоволен – тој е системски неразвиен“, вели Кузмановски.

3. Ниска организациска зрелост

„Кај нас безбедноста сè уште е технички проблем, а не управувачки и бизнис ризик.
Менаџментот ретко ја гледа сајбер-безбедноста како дел од континуитетот на бизнисот, сè додека не се случи сериозен инцидент, па раководствата реагираат реактивно, не проактивно“, објаснува Кузмановски.

4. Опасност од „усогласување на хартија“

Според нашиот соговорник, најверојатното сценарио е дека во компаниите официјално ќе се назначи формално лице, ќе се напишат политики, а ќе се пријавуваат инциденти само формално, додека реалната заштита ќе остане на ниско ниво, без мониторинг, без response, без тестирање.

„Тоа создава лажно чувство на безбедност и сериозен системски ризик, што е поопасно од никаква заштита“, вели Кузмановски.

Што е реално решение?

Нашиот соговорник смета дека без централизирана државна поддршка, „shared SOC“ услуги, фазна имплементација и јавно финансирање, повеќе од 70 проценти од засегнатите субјекти нема да можат реално да ги исполнат законските обврски.

„Законот е исправен чекор, но капацитетот на пазарот во моментов не е на нивото што законот го претпоставува“, вели Кузмановски.

                      

За да има ефект законот, според Кузмановски, мора да се оди во следна насока: 1. Централизирани услуги Национален или регионален SOC модел. Shared MDR / IR сервиси за повеќе институции. 2. Фазна имплементација - jасно зацртан пат: фаза 1: основна заштита и „asset visibility“ (видливост на средствата што подразбира следење, мониторинг и управување со средствата во реално време во текот на целиот нивен животен циклус, од имплементација до отстранување), фаза 2: мониторинг и одговор на инциденти, фаза 3: целосна НИС 2 зрелост. 3. Јавни фондови и субвенции Без државна поддршка, законот ќе остане на хартија.

  

Неопходен е подолг рок на адаптација

Рокот за имплементација на новите законски обврски за институциите е утврден до крајот на 2027 година, додека за компаниите – суштински и важни субјекти – рокот за усогласување со Законот за безбедност на мрежни и информациски системи е до крајот на 2026 година. Според Кузмановки, ова е недоволен период за имплементација на сите предвидени законски обврски. 

„Периодот формално изгледа доволен, но реално не е доволен за да резултира со високо ниво на заштита.Тој е доволен само за делумна усогласеност – не и за вистинска кибер-отпорност“, вели Кузмановски.

                      

1. Што навистина значи „високо ниво на заштита“? Според Кузмановски, за да се зборува за вистинска заштита, а не за формално исполнување, организациите мора да воспостават: континуиран мониторинг (SOC / MDR), процеси за одговор на инциденти и форензика, континуитет на работење (BCP / DR), класификација на податоци, управување со ризици, континуирана обука и симулации на инциденти. За институции кои денес немаат ниту основно ниво на „asset visibility“, ова е процес од најмалку три-четири години, дури и со силна поддршка. 2. Реалната почетна точка во Македонија Во моментов мнозинството субјекти: немаат целосен попис на ИТ средства, немаат централен логинг, немаат планови за инциденти, немаат обучен кадар. Според Кузмановски, со оваа почетна зрелост, рок до крај на 2026 / 2027 значи дека првата година ќе помине во јавни набавки (тука треба да се расчисти дали можеме да добиеме квалитетно решение ако одиме по принципот дека на јавна набавка секогаш треба да се избере понудувачот со најниска цена), втората во инсталација на основна опрема, атретата во пишување политики. „За операционална зрелост нема да остане време“, вели Кузмановски. 3. Недостаток на луѓе ќе биде најголемата кочница Дури и ако има буџет: нема доволно експерти што можат паралелно да имплементираат кај десетици институции, истите компании и луѓе ќе бидат ангажирани на повеќе проекти, што ќе ја забави реалната имплементација.

  

Сето горенаведено укажува на тоа дека до крајниот рок за адаптација најреалниот исход би бил: усогласеност на документација, назначени лица за сајбер-безбедност и основна техничка заштита, но не и зрела детекција, брз одговор на напади и отпорност на напредни закани, смета Кузмановски, според кого за постигнување високо ниво на заштита би биле потребни најмалку две дополнителни години системска поддршка, централизиран SOC модел и континуирано финансирање.

Обврските за субјектите кои се опфатени со законските измени вклучуваат воспоставување технички и организациски мерки за сајбер-безбедност, именување офицер за сајбер-безбедност, редовно пријавување на инциденти и соработка со надлежните органи. Според Кузмановски, именувањето офицер за сајбер-безбедност е административно најлесната задача и претставува најлесен сегмент за имплементација бидејќи може формално да се исполни без значајни финансиски вложувања и најчесто ќе се решава со прераспределба на постоечки ИТ кадар, без системска обука и без вистинска овластеност во организацијата.

„Овој сегмент е најлесен за имплементација, но и најризичен од аспект на реален ефект, бидејќи ќе создаде илузија дека одговорноста е решена, а суштински капацитет нема“, вели Кузмановски.

Depositphotos

 

Наспроти ова, најкритичен сегмент ќе биде редовното пријавување на инциденти и соработка со надлежните органи бидејќи тоа бара реална техничка детекција, а без SOC, SIEM, MDR нема ни што да се пријави, потоа бара организациска зрелост и јасни процедури, како и култура на транспарентност, која моментално не постои.
Во пракса, поголемиот дел од инцидентите денес воопшто не се детектираат, а тие што се детектираат често се прикриваат поради страв од репутациски и регулаторни последици.

Освен тоа, Кузмановски оценува дека техничките и организациските мерки се со средна тежина, но се клучен предуслов.

„Овие мерки се финансиски тешки и кадровски комплексни, но се предуслов за сите други обврски. Без нив, офицерот за сајбер-безбедност нема алатки, пријавувањето инциденти е формално, а соработката со државните органи е без реална вредност“, вели Кузмановски.

Секоја компанија е потенцијална жртва на сајбер напад

Ова е нешто што е повеќе од јасно и не се однесува само на секторите опфатени со легислативата, туку се однесува буквално на секој субјект, а малите фирми се особено ранливи затоа што немаат сопствени ИТ тимови, немаат резервни системи, а само еден инцидент може целосно да го прекине работењето.

„Во пракса, повеќето напади не таргетираат ‘големи цели’, туку најслаби точки“, вели Кузмановски, посочувајќи дека сајбер-хигиената е бизнис нужност.

Бидејќи еден рансомвер (анг. ransomware) напад денес значи застој на работата од неколку дена, губење на податоци, финансиска штета и губење на доверба кај клиенти. „За мала фирма тоа често значи затворање“.

                      

Минимален пакет за примарна заштита (изводливо и финансиски реално): 1. Основна заштита на крајни уреди ЕDR / Advanced Endpoint Protection , па дури и XDR / Extended Protection and Response, не класичен антивирус. Централно управување. 2. Редовен backup – offline и offsite Автоматски дневни бекапи. Најмалку една копија физички одвоена од мрежата. 3. Multi-Factor Authentication MFA на email, VPN и административни пристапи. 4. Patch management Редовно ажурирање на оперативни системи, апликации и firewall уреди. 5. Основен firewall со IPS Не consumer рутер, туку професионален firewall со: IPS, URL filtering, Application control. 6. Обука на вработените Кратка обука 1–2 пати годишно: фишинг (анг. phishing), злоупотреба на лозинки, сомнителни прикачени фајлови. 7. План за инциденти – макар на една страна Кого се контактира, што се гаси, како се продолжува со работа.

  

„Сајбер-хигиената не е техничка луксузна инвестиција, туку основна бизнис заштита, исто како противпожарен апарат или осигурување. Со релативно мал буџет, секоја фирма може да достигне ниво каде што нема да биде лесна жртва. А токму тоа е целта: да не бидеш најслабата точка во синџирот“, вели Кузмановски.

Средните претпријатија, иако според закон може да имаат различна класификација, се незаменлива алка во економијата и во синџирот за снабдување на големите компании, смета Јовановски. 

„Автоматизираните напади не прават разлика по големина – рансомвер, фишинг, злоупотреба на податоци и украдени лозинки, како и останати закани, нанесуваат сериозни штети и на помалите компании. Истото се однесува и на јавниот сектор“, вели Јовановски, додавајќи дека сајбер безбедноста не е трошок, туку нејзината адекватната имплементација нуди реален бенефит за подобрување на одговорот кон сајбер заканите, води кон зголемена транспарентност и доверба во компаниите. 

Depositphotos

 

Јовановски посочува дека проактивно вложување во организациско и управување со ризици, технички и организациски мерки (вклучително и управување со инциденти), управување со синџирот на набавка, како и континуираното подобрување и зголемувањето на организациската зрелост, ќе придонесе за долгорочен успех во променливото дигитално окружување. 

„Општествен бенефит е зголемена отпорност на критичната инфраструктура (во случај на инцидент / непосакуван настан), обезбедувајќи континуитет на клучните услуги кои се важни за секојдневно функционирање, како и подобра заштита на податоците (персонални и компаниски)“, заклучува Јовановски.

Свесноста – најпотценет но најопасен ризик

Искуството покажува дека често се случува некои компании воопшто и да не знаат дека веќе се нападнати. Напаѓачите денес не влегуваат за да направат штета веднаш, туку за тивко да останат во системот со месеци.

                      

Како да препознаете дека можеби веќе сте компромитирани? Технички симптоми ненадејно забавување на системите без јасна причина, појава на нови администраторски акаунти, логирања надвор од работно време, необјаснет мрежен сообраќај кон непознати IP адреси, деактивиран антивирус или firewall правила што никој не ги сменил, е-пошта испратена од вашиот домен без знаење на корисниците. Бизнис симптоми клиенти добиваат фишинг пораки од ваш домен, добавувачи ве известуваат дека од вас стигнува сомнителна комуникација, исчезнати или изменети податоци. Што веднаш да се направи при сомнеж за напад? Ова е најважниот дел, смета Кузмановски и советува да не се импровизира, туку да се преземат следните чекори: 1. Ограничување на штетата • Исклучете ги компромитираните уреди од мрежа. Не ги бришете системите – ќе ви требаат логови и докази. 2. Активирање на план за инциденти (дури и ако е на хартија): назначете лице кое ја води реакцијата, направете листа на засегнати системи, стопирајте неавторизирани пристапи. 3. Промена на пристапи ресетирајте лозинки за администраторски и критични акаунти, вклучете MFA каде што го немате. 4. Техничка анализа преглед на логови, проверка на endpoint уреди, идентификација на почетната точка на напад. 5. Информирање на надлежните доколку сте опфатени со закон – обврзно пријавување, кај сериозни инциденти – координација со националните органи.

 

  

 

 

„Без мониторинг, обука и план за реакција, организацијата е слепа и кога ќе дознае дека е компромитирана, штетата веќе е направена. Свесноста не значи да знаете дека постои опасност, туку да имате механизам да ја препознаете кога веќе е тука. Без тоа, сајбер-безбедноста е само декларација, не реална заштита“, заклучува Кузмановски.