Скривена криза која вреба у свакодневној технологији: Зашто наше дигиталне одбране и даље не успевају

• Cybernapadi i ransomware raste dok uređaji i dalje dolaze sa starim, lako iskorišćenim bezbednosnim propustima.
• „Sigurno po dizajnu“ znači da bi sajber bezbednost trebala biti ugrađena u tehnologiju, a ne prepuštena korisnicima—ipak, mnoge kompanije ne uspevaju da usvoje ovaj pristup zbog slabih tržišnih podsticaja.
• Ključna rešenja koja dobijaju podršku uključuju pravne kazne za nemarne firme, jasnije vladine smernice, veću transparentnost proizvoda, zahteve za bezbednost u lancu snabdevanja i podizanje standarda sajber osiguranja.
• Odgovornost kroz regulaciju i potražnju potrošača može podstaći sigurnije proizvode i prave promene u tehnološkoj industriji.
• Trajna digitalna bezbednost zahteva promenu odgovornosti—bezbednost mora biti podrazumevana karakteristika, a ne naknadna misao, dok se oslanjanje društva na povezanu tehnologiju produbljuje.

Iza svakog svetlucavog ekrana—na vašem stolu, u vašem automobilu, u vašem džepu—bura bespravne borbe se odvija. Sajber kriminalci istražuju spojeve naših uređaja, tražeći propuste. Ali dok napadi rastu i naslovi o ransomware-u se množe, jedna tvrdoglava istina ostaje: naša tehnologija je i dalje previše laka za provaljivanje. Uprkos širokim obećanjima i hrabrim vladinim inicijativama, digitalni svet se drži ranjivosti starih decenijama, izlažući milione svakim klikom.

Zašto tehnološke kompanije ne mogu izgraditi sigurnije proizvode od samog početka? Nije da im nedostaje znanja. Širom sveta, agencije poput američke Agencije za sajber bezbednost i infrastrukturu i britanskog Nacionalnog centra za sajber bezbednost viču sa krovova o „sigurnom po dizajnu“—ideji da digitalna bezbednost ne bi trebala biti na teretu svakog korisnika, već bi trebala biti ugrađena u uređaje i softver na kojima se oslanjamo. Ipak, poznati bezbednosni propusti opstaju u proizvodima koje koriste neke od najvećih svetskih organizacija. Rezultat? Talasi napada koji preplavljuju čitave industrije, obično iskorišćavajući ranjivosti koje su programeri mogli (i trebali) da zatvore.

Na nedavnom samitu o sajber bezbednosti u Velikoj Britaniji, izbio je upečatljiv konsenzus među vodećim stručnjacima: prepreka nije tehnologija, već tržišne sile. Današnji softverski ekosistem je prepun talenta i tehničke stručnosti, ali ekonomski podsticaji zaostaju daleko iza. Kompanije koje ulažu resurse u robusnu bezbednost ne vide trenutne nagrade na kasi. Oni koji štede često se suočavaju sa malo više od opomene, dok njihovi kupci snose troškove kada dođe do povreda.

Kako možemo preokrenuti situaciju? Pet strategija dobija podršku:

1. Prave posledice za nemarnost. Neki lideri tvrde da firme koje plasiraju proizvode sa nepažnjom i dobro poznatim propustima—poput poznate SQL injekcije—zaslužuju više od javnog sramoćenja. Trebalo bi da se suoče sa pravnim kaznama i visokim novčanim kaznama, odražavajući pravila viđena u britanskom Zakonu o bezbednosti proizvoda i telekomunikacione infrastrukture, gde lenje podrazumevane lozinke sada mogu skupo koštati proizvođače. Ali ne slažu se svi. Protivnici se boje „bezbednosti preko advokata,“ upozoravajući da bi to moglo izazvati beskrajne tužbe bez stvarnog poboljšanja rezultata.
2. Jasne, delotvorne smernice od vlada. Bezbednosni standardi trebaju zube, ali i transparentnost i jednostavnost. Telo kao što je britanski NCSC i Kanadski centar za sajber bezbednost imaju za cilj da destiluju najnovije obaveštajne pretnje u upotrebljive kodekse prakse—dajući upravnim odborima i izvršnim direktorima poverenje da investiraju u bezbednost. To je priručnik koji zahteva kontinuirane ažuriranja dok se sajber rizici razvijaju.
3. Osvežavanje crne kutije. Transparentnost je nedovoljno cenjeno oružje. Ako bi kupci mogli lako da uporede koje marke ulažu u bezbednost—i koje štede—tržište bi počelo da se naginje. U 2024. godini, SAD su uvele Obećanje o sigurnosti po dizajnu za proizvođače softvera, podstičući javnu posvećenost najboljim praksama. Velika Britanija postavlja nezavisne laboratorije za verifikaciju tvrdnji dobavljača, nudeći kupcima informisani, uporedni izbor. Kada kupci zahtevaju bolju bezbednost, tržište odgovara.
4. Pritisak lanca snabdevanja. Neke industrije, poput američke odbrane, postavile su visoke bezbednosne standarde za dobavljače, oblikujući lanac snabdevanja. Druge, kao što su telekomunikacije, zaostaju. Sa globalnom trgovinom koja je povezanija nego ikada, moćni kupci mogu postaviti očekivanja—prinuđujući dobavljače da ispune standarde.
5. Rastuća senka sajber osiguranja. Kako napadi rastu, osiguranje je postalo obavezno za mnoge firme. Osiguravači podižu standarde, zahtevajući osnovne stvari poput višefaktorske autentifikacije pre nego što napišu policu. Ovi zahtevi tiho postavljaju minimalni standard, podstičući organizacije na bolje navike. Osiguravači bi mogli i dalje ići dalje, objavljujući izveštaje o najlošijim prekršiocima i najčešćim greškama, naoružavajući javnost znanjem.

Ulozi ne mogu biti veći. Naše bolnice, elektroenergetske mreže, gradovi, pa čak i igračke za decu zavise od mreža koda punih zamki. Posledice zanemarivanja se šire kroz društvo: razarajući hakerski napadi, otete sisteme i izgubljeno poverenje.

Kompanije, vlade i pojedinci moraju odbiti da se zadovolje tehnologijom sa greškama iz prošlosti. Zahtevajte više od dobavljača, nagradite one koji bezbednost ugrađuju u svoje planove, i podržite hrabre politike koje će odgovorne aktere držati odgovornima.

Velika digitalna transformacija će biti nedovršena osim ako bezbednost ne postane fundamentalna kao dugme za napajanje. Sledeće poglavlje zavisi ne samo od briljantnog inženjeringa, već i od spremnosti svakog aktera—proizvođača, kupaca, regulatora—da insistiraju da bi sajber bezbednost trebala biti podrazumevana karakteristika, a ne luksuzni dodatak.

Za više informacija o tome kako agencije rešavaju digitalne pretnje širom sveta, posetite CISA i NCSC.

Ključna poruka: San o tehnologiji „sigurnoj po dizajnu“ ostaje nedovršen—ne zbog nedostatka veštine, već zbog nedostatka kolektivne volje. Ako zahtevamo više, tržište će odgovoriti. Ali vreme ističe.

9 Šokantnih razloga zašto je vaša tehnologija još uvek nesigurna (i kako se zaštititi danas)

# Zašto je naša tehnologija još uvek tako ranjiva? Iznenađujući uvidi, rešenja i šta možete učiniti

Uprkos stalnim naslovima o sajber napadima i rastućem horu koji zahteva proizvode „sigurne po dizajnu“, većina naših uređaja—od pametnih telefona do kritične infrastrukture—ostaje alarmantno laka za hakovanje. Razgovor se obično fokusira na visoko profilisane ransomware napade, ali osnovni problemi su dublji, vođeni tržišnim dinamikama, zastarjelim procesima i mešovitim podsticajima.

Hajde da dublje zaronimo u ono što izvorni članak nije obuhvatio, proširimo stvarna rešenja, trendove u industriji i pružimo vam trenutne, delotvorne preporuke kako da zaštitite sebe i svoju organizaciju.

—

Sakrivene činjenice: Šta treba da znate

1. Tehnička rešenja postoje—pa zašto se ne koriste?
Mnoge osnovne najbolje prakse u bezbednosti, kao što su validacija unosa, podrazumevani firewall-ovi koji odbijaju, i sigurni mehanizmi ažuriranja, su dobro poznate i široko dostupne. Ključni problem nije nedostatak znanja—često su to troškovi i pritisci brzine koji primoravaju kompanije da brzo plasiraju proizvode, ponekad ignorišući poznate ranjivosti ([Microsoft Security Blog](https://www.microsoft.com/)).

2. Sigurno kodiranje retko se podstiče
Uprkos decenijama upozorenja, studije pokazuju da se timovi za softver retko mere po tome koliko ranjivosti postoji u njihovom kodu ([SANS Institute](https://www.sans.org/)). Umesto toga, metrički podaci se i dalje vrte oko brzine i isporuke funkcija.

3. Bug nagrade naspram duga o greškama
Programi nagrađivanja za greške (gde se istraživačima plaća za pronalaženje propusta) su otkrili hiljade grešaka u široko korišćenim proizvodima. Međutim, mnogi kritični propusti opstaju godinama, a ne reaguje svaki dobavljač brzo na objave.

4. Rastući labirint usklađenosti
Regulatorni okviri kao što su GDPR, CCPA i predstojeća NIS2 direktiva primoravaju kompanije da ozbiljnije shvate sajber rizike, ali ponekad dovode do „odrađivanja posla“ umesto značajnih poboljšanja.

5. AI kao dvosekira
AI alati se sada koriste kako za automatizaciju testiranja bezbednosti, tako i od strane napadača za brže pronalaženje ranjivosti. Prema CISA, trka se ubrzava.

—

Kako da postupite: Šta možete (i vaša organizacija) odmah učiniti?

Korak 1: Zahtevajte transparentnost

– Insistirajte na politikama otkrivanja ranjivosti od dobavljača.
– Pitajte koje bezbednosne okvire prate (npr. ISO 27001, SOC 2).

Korak 2: Implementirajte osnovne zaštite

– Uvek omogućite višefaktorsku autentifikaciju (MFA).
– Održavajte softver/firmver ažuriranim.
– Uklonite ili promenite sve podrazumevane lozinke.
– Redovno proveravajte pristup korisnika i opozovite nepotrebne dozvole.

Korak 3: Usvojite kontrole rizika u lancu snabdevanja

– Koristite alate poput Softverskog računa materijala (SBOM) za praćenje porekla koda ([OpenSSF](https://openssf.org/)).
– Kupujte samo od dobavljača koje su proverili nezavisni laboratoriji.

—

Primeri iz stvarnog sveta

– Zdravstvo: Ransomware napadi na bolnice ometaju negu pacijenata, ali većina potiče od loših politika lozinki i zastarelih sistema.
– Kritična infrastruktura: Hakerski napad na Colonial Pipeline (2021) iskoristio je jednu kompromitovanu lozinku bez MFA.
– IoT uređaji: Ranjivosti pametnih igračaka dovele su do zloupotrebe podataka—ali potezi Velike Britanije i EU podstiču bolje osnovne zaštite zakonom.

—

Kontroverze, ograničenja i pitanja bez odgovora

– Kazna za nemarnost: Pravne kazne mogu obeshrabriti inovacije ili dovesti do „odrađivanja posla“ u bezbednosti koje promašuje duh zaštite.
– Povratna reakcija na transparentnost: Prisiljavanje kompanija da otkriju sve incidente može izložiti trgovačke tajne ili pomoći hakerima.
– Da li je sajber osiguranje štaka? Kritičari tvrde da može omogućiti kompanijama da prebacuju rizik umesto da rešavaju osnovne probleme.

—

Karakteristike, specifikacije i cene: Proizvodi „sigurni po dizajnu“

– Tražite uređaje/softver koji su sertifikovani prema standardima poput „Cyber Essentials“ (Velika Britanija) ili validirani od strane NCSC.
– Proizvodi sa redovnim OTA (preko vazduha) ažuriranjima i konfigurisanim bezbednosnim karakteristikama kao što je hardverski podržana kriptografija mogu koštati više unapred, ali smanjuju troškove povreda na duži rok.

—

Trendovi u industriji i predikcije

– Do 2025. godine, Gartner predviđa da će 60% organizacija koristiti sajber rizik kao primarni faktor u partnerstvima sa trećim stranama.
– Arhitektura bez poverenja—nikada automatski ne verujte unutrašnjem/spoljašnjem saobraćaju—postaneće novi standard ([Gartner](https://www.gartner.com/)).
– SAD i EU razmatraju obavezne „bezbednosne oznake“ na potrošačkim uređajima (slično oznakama o hranljivim sastojcima).

—

Pregled prednosti i nedostataka

Prednosti proizvoda „sigurnih po dizajnu“

– Manje poslovnih prekida usled napada.
– Konkurentska prednost na tržištima svesnim bezbednosti.
– Niže premije osiguranja.

Nedostaci

– Povećani troškovi razvoja unapred.
– Duže vreme do tržišta.
– Kontinuirani troškovi usklađenosti.

—

Bezbednost i održivost

Održiva sajber bezbednost uzima u obzir ne samo odgovor na incidente, već i bezbednost tokom životnog ciklusa proizvoda—od dizajna do odlaganja. E-otpad (uređaji koji više nisu podržani sigurnosnim ažuriranjima) ostaje veliki, često zanemareni rizik.

—

Recenzije i poređenja

– Apple vs. Android: Apple-ov zatvoreni ekosistem smanjuje određene rizike, ali obe platforme se suočavaju sa problemima bezbednosti u lancu snabdevanja.
– Microsoft Windows vs. ChromeOS: Fokusirani dizajn ChromeOS-a oko web/cloud operacija pruža jednostavniju površinu za napade, ali ograničava podršku za nasleđene aplikacije.

—

Najvažnija pitanja na odgovore

P1: Zašto nemamo minimalne bezbednosne standarde za sve uređaje?
Globalna regulativa zaostaje za inovacijama; međutim, novi zakoni u SAD-u, Velikoj Britaniji i EU sustižu.

P2: Mogu li kupci odmah donositi pametnije izbore?
Da! Birajte dobavljače koji objavljuju bezbednosne standarde, pružaju sertifikate trećih strana i imaju transparentne politike ažuriranja.

P3: Šta je sa nasleđenim IT—starim, ali kritičnim sistemima?
Segmentirajte starije sisteme, onemogućite nepotrebni pristup mreži i prioritetizujte ažuriranje ili zamenu najranjivijih.

—

Odmah korisni saveti

– Promenite sve podrazumevane lozinke i omogućite MFA na svakom nalogu—odmah.
– Pre kupovine tehnologije, pitajte dobavljača za njihov poslednji izveštaj o bezbednosnoj proceni.
– Pretplatite se na obaveštenja o pretnjama od CISA i NCSC za najnovije najbolje prakse.

—

Preporuke za akciju

– Insistirajte na „sigurnom po dizajnu“ kao na nepregovarajućem u ugovorima o nabavci.
– Nagradite dobavljače za brzo ažuriranje i odgovorne programe otkrivanja.
– Zalažite se za jaču edukaciju o bezbednosti na svakom nivou—krajnji korisnici, izvršni direktori i programeri.

—

Imate više moći nego što mislite. Svaki zahtev koji postavite za sigurnijom tehnologijom—svaki put kada postavite teška pitanja—približava nas svetu u kojem sajber bezbednost nije naknadna misao. Za više saveta i zvanične smernice, posetite CISA ili NCSC danas.

Ne čekajte sledeći napad—napravite bezbednost svojim podrazumevanjem odmah.