»Čez 10 let lahko pričakujemo 30.000 napadov letno.«

Ali podjetja pogosto prijavijo incidente ali jih raje zamolčijo?

Tudi slednje se dogaja. Imamo partnerje iz tujine, ki nam sporočajo o incidentih in tudi o tem, ali je med napadenimi kdo iz Slovenije. Ko se takšnemu podjetju javimo, se na nas obrnejo z vprašanjem, kako to vemo. Včasih, sicer zelo redko, nas vprašajo celo, kakšno pravico imamo to sploh vedeti.

Po naši oceni žrtve prijavijo tretjino napadov, dve tretjini napadov pa ostane zamolčanih. V Sloveniji je letno prijavljenih 5.000 napadov, zato ocenjujemo, da jih je skupaj okoli 15.000. Seveda niso vsi napadi enako usodni. Nekateri imajo manjšo, drugi večjo težo.

Koliko napadov pa bo v Sloveniji čez deset let?

To število raste od 5 do 10 odstotkov na leto. Torej lahko čez deset let pričakujemo okoli 30 tisoč napadov letno. V letu 2008 smo imeli 300 prijavljenih napadov, zdaj se bližamo številki 5.000. Nove uredbe in direktive bodo povečale število zavezancev, ki bodo morali poročati o incidentih. To bo zahtevalo tudi večanje naših kapacitet.

Ali se zna zgoditi, da bodo zaradi porasta napadov na infrastrukturo, dobavne verige, energetsko varnost itn., ti varnostni standardi postal celo pogoj za poslovanje na nekaterih trgih?

Zagotovo. Že zdaj se pripravljajo sistemi, ki bodo zahtevali certificiranje z digitalnimi elementi. Mislim, da se ta dikcija uporablja v Cyber Resilience Act (uredbi o digitalni odpornosti). Najbolj pogosto se v povezavi s tem za primerjavo omenja avtomobilska industrija, pa tudi bančni sektor.

Fizična elektronska naprava, ki gre na trg, mora pred tem dobiti oznako CE, počasi bo tako tudi za programsko opremo in druge naprave z digitalnimi elementi. To bo pomenilo, da je bila testirana na določene standarde. Predvidevam, da pa bodo razlike, če gre za produkte, ki se uporabljajo v kritični infrastrukturi, ali pa za bolj širšo potrošnjo.

* Izbrano iz intervjujev v izdajah Podjetne Slovenije v letu 2025