Kibernetički napadi sve su učestaliji bilo da se radi o onima kojima je cilj financijska korist ili pak onima koji žele destabilizirati pojedine računalne sustave, a time i pojedine segmente društva i države. Istovremeno sigurnosnih stručnjaka nema dovoljno. O kibernetičkim prijetnjama, zaštiti i stručnjacima razgovarali smo sa Zlatanom Morićem, voditeljem katedre za kibernetičku sigurnost na Algebri.
Kibernetička sigurnost jedan je od najvećih izazova s kojima se susreću pojedinci i tvrtke u današnje vrijeme. Koliko je svijest o tome prodrla u mainstream?
Kibernetička sigurnost jedan je od najvećih izazova s kojima se suočavaju pojedinci i tvrtke danas. Stalnim povećanjima broja napada, a samim time i medijskim eksponiranjem posljedica, svijest o važnosti sigurnosti i o potrebi poduzimanja mjere zaštite računalnih sustava i podataka od različitih vrsta kibernetičkih napada postaje sve veća. Međutim, i dalje postoji velik broj ljudi i tvrtki koji nisu dovoljno upoznati s kibernetičkom sigurnošću ili joj ne pridaju dovoljno pažnje što ih čini podložnijima napadima koji mogu završiti blokiranjem računala ili kritičnih poslovnih sustava neke organizacije, a često i ucjenama.
Budući da su napadi sve češći i sofisticiraniji, važno je da se svi educiraju o kibernetičkoj sigurnosti i poduzimaju odgovarajuće mjere zaštite. To uključuje korištenje sigurnosnih tehnologija kao što su antivirusni programi, vatrozidi i sl. te redovito ažuriranje operacijskih sustava. Također je važno da se korisnici educiraju o sigurnosnim pravilima i dobrim praksama zaštite, primjerice kako osmisliti sigurnu lozinku, kako prepoznati šalje li vam neku neočekivanu poruku zaista pošiljatelj koji stoji u mailu, zašto vam čak i samo otvaranje PDF-a ili sličnih dokumenata dobivenih sumnjivim e-mail porukama može zablokirati računalo ili što sve mogu zlonamjerni ljudi napraviti s vašim podacima... Siguran sam da je znanje o mogućim posljedicama jedan od najvažnijih faktora koji može utjecati na proširenje svijesti o potrebi za kibernetičku sigurnost.
Mislite li da je svijest o opasnostima nadišla donedavno popularne odgovore poput: ‘Nemam što skrivati, neće mene hakirati’ ili ‘Nebitni smo, mali smo’. Kako se riješiti te zablude?
Razina svijesti o kibernetičkoj sigurnosti kod pojedinaca se s vremenom poboljšala, ali još uvijek postoji određen broj ljudi koji misle da njihovi podaci nisu zanimljivi hakerima. Međutim, treba imati na umu da svatko može biti meta napada bez obzira na važnost podataka koje posjeduje. Svi koji misle da su nezanimljivi griješe jer kontinuirano postoji maliciozni interes koji seže od kriminalnih skupina do onih koji žele destabilizirati pojedinu organizaciju ili čak društvo. Primjer koji se, nažalost, dosta često događa “malima” jest zaključavanje svih podataka na disku korištenjem specijalnih softvera, tzv. ransomwarea. Pitanje je koliko vam vrijedi ponovo dobiti pristup svojim dokumentima i privatnim fotografijama koje niste pravovremeno pohranili na neki vanjski medij.
Kada govorimo o napadima na sigurnost, ima li tu promjena ili su i dalje najčešći napadi kojima je cilj stjecanje financijske koristi?
Financijska korist i dalje predstavlja glavni motiv za napade, iako postoje i drugi motivi, kao što su sabotiranje ili hakiranje računalnih sustava radi pristupa osjetljivim informacijama, destabilizacija pojedinih organizacija simultanim napadom s velikog broja kompromitiranih računala i slično. Prema izvješćima iz 2021. godine, financijska korist bila je glavni motiv za 43 posto kibernetičkih napada, dok je 26 posto napada bilo usmjereno na špijuniranje, a 21 posto napada bilo je usmjereno na sabotiranje ili uništavanje računalnih sustava ili podataka. Interesantno je da, primjerice, hakerske skupine koje sponzorira Sjeverna Koreja svojim napadima pridonose s čak oko 10 posto BDP-u te zemlje.
Jesu li se svi kriminalci preselili u online svijet? U Hrvatskoj su u posljednjih godinu dana bili česti fizički napadi na bankomate, no jesu li oni sada ipak u manjini?
Fizički napadi na bankomate i druge vrste fizičkog kriminala još su uvijek prisutni u različitim dijelovima svijeta, uključujući i Hrvatsku. Međutim, kibernetički kriminal postao je sve češći i sofisticiraniji, što je dovelo do njegova porasta. Prema procjenama FBI-a, u zadnjih desetak godina kriminalne skupine zarađuju više od kibernetičkog kriminala u odnosu na obični kriminal. Kibernetički napadi lakši su za izvedbu i manje rizični, ali zahtijevaju specifična znanja i vještine.
Nedavno smo svjedočili napadima u kojima napadači maskiraju mailove tako da izgledaju kao da ih šalje visokopozicionirani menadžer ili direktor tvrtke te šalje zamolbu osobi u računovodstvo da napravi uplatu velikog iznosa novca na račun tvrtke u inozemstvu za neku uslugu koju treba hitno platiti. U takvim situacijama napadači vrlo uvjerljivo komuniciraju s djelatnicima zaduženim za uplate jer su se prije toga jako dobro upoznali s firmom prateći ponašanje zaposlenika. U slučaju uplate račun tvrtke na koji je uplaćeno brzo se zatvara, novac mijenja više banaka u nekoliko minuta i gotovo je nemoguće slijediti njegov trag.
Koliko je rat u Ukrajini utjecao na to da se mnogi na pravi način pozabave sigurnošću na internetu? Koliko je više napada na kritičnu infrastrukturu?
Rat u Ukrajini imao je utjecaja na sigurnost, ali nije moguće precizno odrediti koliki je taj utjecaj. Međutim, ratovi i drugi oblici političkog nasilja mogu dovesti do povećanja kibernetičkih napada i drugih oblika online kriminala jer se počinitelji mogu koristiti za izvođenje napada kao sredstva pritiska ili sabotiranja. Prvi poznati napadi na informacijske sustave ukrajinskih državnih institucija zabilježeni su tijekom masovnih prosvjeda 2013., kada je u napadima korišten trojanski konj “UROBURO”. Riječ je o programu koji se zbog nepažnje pojedinaca ubaci u sustav, na način da se sakrije uz neki uobičajeni softver koji korisnici često koriste pa nisu svjesni da su instalirali i nešto maliciozno. Ovaj konkretni trojanac postoji od 2005. i sigurnosni stručnjaci su ga povezali s Rusijom. Rusko kibernetičko ratovanje nastavljeno je hakiranjem ukrajinske elektromreže 2015. te napadom na državnu riznicu Ukrajine u prosincu 2016. Napadi se dalje nastavljaju na lanac opskrbe u lipnju 2017., a dogodio se i napad na web-stranice ukrajinske vlade u siječnju 2022. Nedugo zatim ruski pružatelj internetskih usluga preuzeo je adresni prostor koji koristi Twitter napadom na BGP protokol (protokol koji se koristi za usmjeravanje prometa na internetu).
Kada govorimo o napadima na kritičnu infrastrukturu, koji je po vama bio najveći udar posljednjih godina i zna li se zapravo počinitelj?
Kibernetički napadi na kritičnu infrastrukturu posebno su ozbiljni jer mogu imati ozbiljne posljedice za društvo i gospodarstvo, uključujući prekid opskrbe električnom energijom, vodom ili drugim važnim uslugama. Kada govorimo o najvećim napadima, izdvojio bih napad iz svibnja 2021. godine na Colonial Oil Pipeline koji je pretrpio ransomware napad, tj. napad s ciljem traženja otkupnine za povrat kontrole nad sustavom. Najveći naftovod u SAD-u bio je zatvoren. Kontrolu su vratili tek nakon što je Colonial platio 5 milijuna dolara u kriptovaluti. U stručnoj javnosti još se uvijek ne zna kako je napad prošao, ali vjeruje se da potječe od nezakrpane ranjivosti ili phishing napada. Tipičan phishing napad pretpostavlja slanje maila nekom važnijem korisniku u kojem ga se traži da ažurira svoje lozinke ili pristupne podatke za neki sustav, a zapravo služi za presretanje i krađu tih podataka. Pretpostavlja se da iza napada stoji hakerska skupina DarkSide koju povezuju s istočnom Europom, odnosno Rusijom.
Izdvojio bih još i napade iz 2020. Prvi od njih bio je napad na izraelski vodovodni sustav koji je napadnut u više navrata tijekom godine. Napadi su osmišljeni kako bi kompromitirali kontrolne sustave za crpne stanice, postrojenja za otpadne vode i poljoprivredne pumpe. Pretpostavlja se da iza napada stoje određene iranske hakerske skupine. Ponekad se počinitelji kibernetičkih napada na kritičnu infrastrukturu mogu identificirati, ali u mnogim slučajevima ostaju nepoznati. Kibernetički napadi se teško otkrivaju i dokazuju jer počinitelji koriste sofisticirane tehnike za prikrivanje svog identiteta.
U priči o sigurnosti glavno pitanje je možemo li se uopće potpuno zaštiti od takvih napada. Svi odgovori na to pitanje su negativni, no ima li ipak nade?
Iako se ne možemo potpuno zaštititi od kibernetičkih napada i drugih oblika online kriminala, postoje mjere zaštite koje se mogu poduzeti kako bi se smanjili rizici od takvih napada. To uključuje korištenje sigurnosnih alata i tehnologija te pridržavanje sigurnosnih pravila i najboljih praksi zaštite. Kad se pokrene rasprava o potpunoj zaštiti uvijek studentima i polaznicima specijalističke edukacije ispričam vic o dva čovjeka i gladnom lavu koji se sretnu u pustinji – ako želite preživjeti, nije bitno da ste brži od lava, već je dovoljno biti brži od drugog čovjeka. Tako je i u sigurnosti. Zbog toga pokušavamo izgraditi sigurnosne kontrole bolje od tuđih, nadajući se da će napadači radije napasti druge jer će im trebati manje resursa. U praksi je situacija takva da se s kibernetičkom sigurnošću tvrtke počinju baviti tek nakon što postanu žrtvom napada.
Koliko su IT stručnjaci skloni baviti se upravo ovim područjem, odnosno zaštitom kibernetičke sigurnosti? Imamo li ih dovoljno? Već se godinama govori o globalnom nedostatku 3 milijuna stručnjaka. Kako stoji Hrvatska?
Nedostatak stručnjaka za kibernetičku sigurnost postoji u mnogim dijelovima svijeta, uključujući i Hrvatsku. Prema izvješću iz 2021., globalno je postojao nedostatak od oko tri milijuna stručnjaka za kibernetičku sigurnost. U Hrvatskoj nemamo informacije koje su specifične za kibernetičku sigurnost, već samo procjene koja dolaze od nacionalnih strukovnih udruga. Ti su podaci alarmantni jer govorimo o tisuću i više profesionalaca koji godišnje nedostaju ICT sektoru. U prilog ne ide nikako ni činjenica da je Hrvatska u 2021. bila jedna od tri države u Europi koja su zabilježile smanjenje broja IT stručnjaka za oko 1700, što će utjecati i na opću razinu kibernetičke sigurnosti. Glavni razlog tome su još uvijek velika stopa iseljavanja profesionalaca, čemu najviše pridonose previsoki porezi na rad i posljedično niže plaće koje su te ljude odvele na propulzivnija tržišta rada
Algebra je u suradnji s NATO-om nedavno, održala natjecanje, hackathon, kako je to prošlo?
Hackathoni su koristan način za promicanje kreativnosti i inovativnosti u području kibernetičke sigurnosti i mogu pomoći u pronalaženju novih rješenja za različite izazove. Cilj natjecanja bilo je promicanje važnosti kibernetičke sigurnosti. Uz potporu NATO-a i EC-Councila organizirali smo natjecanje Security Day u tri skupine – srednjoškolci, studenti i opća populacija. Zadaci su bili prilagođeni pojedinoj skupini. S obzirom na to da nam je ovo prva godina, vjerujem da će u sljedećim izdanjima odaziv biti sve veći jer ćemo, nažalost, imati sve više izazova i medijskih napisa, svojevrsne kibernetičke “crne kronike”. Algebra već godinama sudjeluje u sklopu međunarodne vježbe Cyber Coalition, vodeće NATO-ove međunarodne vježbe kolektivne kibernetičke obrane, koju u Hrvatskoj predvode MORH i CARNET, gdje sa svojim timom pomažemo u obrani od simuliranih kibernetičkih napada.
Tehnologija se neprestano razvija, govori se o VR-u, AR-u, metaverzumu. Koliko nove tehnologije kompliciraju posao sigurnosnim stručnjacima?
Tehnologije poput virtualne i proširene stvarnosti (VR i AR) mogu imati utjecaja na kibernetičku sigurnost i stvarati nove izazove za sigurnosne stručnjake. Na primjer, postoji rizik od kibernetičkih napada na VR i AR uređaje i platforme, kao i mogućnost zloupotrebe tih tehnologija za špijuniranje ili druge nezakonite radnje. Međutim, tehnologije kao što su VR i AR također mogu pružiti nove mogućnosti za rješavanje problema u području kibernetičke sigurnosti i stvarati nove mogućnosti za razvoj inovativnih rješenja. Stoga sigurnosni stručnjaci moraju pratiti razvoj novih tehnologija i prilagoditi svoje mjere zaštite novim izazovima. Mislim da ćemo tek upoznati stvarne izazove koje ova tehnologija donosi.
Što je po vama trenutačno najveći izazov u kibernetičkoj sigurnosti i što očekujete u budućnosti po pitanju prioriteta u kibernetičkoj sigurnosti?
Trenutačni najveći izazov u kibernetičkoj sigurnosti je slaba svijest korisnika i kompanija o riziku kojem su izloženi i zaobilaženje pojedinih sigurnosnih pravila radi komocije. U budućnosti očekujem da će se prioriteti u kibernetičkoj sigurnosti fokusirati na razvoj boljih tehnologija, temeljenih na umjetnoj inteligenciji, kao i na povećanje svijesti ljudi o važnosti kibernetičke sigurnosti i načinima na koje mogu zaštititi sebe i svoje podatke. Mi ćemo u Algebri nastaviti razvijati nove programe koji upravo imaju za cilj pomoći budućim “cyber defenderima”. Uz seminare na specijalističkoj edukaciji namijenjenoj usavršavanju u području kibernetičke sigurnosti na Viskom učilištu Algebra, uz dva kolegija na prijediplomskom studiju, koji studente uvode u svijet sigurnosti na diplomskoj razini, imamo čak jedanaest kolegija koji su specijalizirani u tom području.
S obzirom na stanje računa dat ću im sve potrebne podatke.