Kibernetički napadi sve su učestaliji. Napada se pojedince, tvrtke, države, ratovi se sada vode upravo uz pomoć računalnih tehnologija, kibernetički kriminalci sve su kreativniji, a štete sve veće. Postoji li obrana, u kojoj mjeri i što se može učiniti u tom dijelu ne bismo li bili što sigurniji, i tko su ljudi koji su obučeni upravo za takvu vrstu zaštite. Đuro Lubura sudski je vještak za telekomunikacije i tehniku i metodologiju prisluškivanja te izvršni direktor Centra za vještačenja, procjene i upravljanje. S njim smo razgovarali u povodu nedavnog hakiranja A1 telekoma, o potrebi ulaganja u računalnu sigurnost kao i o regulaciji kibernetičkih stručnjaka koju u svojim istupima naglašava.

Nedavno hakiranje telekom operatora A1 Hrvatska, odnosno upad u njegov sustav pri čemu su bili kompromitirani podaci o 100.000 korisnika, prouzročilo je veliko zanimanje javnosti. Dosadašnja istraga pokazala je da se radi o maloljetniku koji je to obavio uz pomoć iz inozemstva. Što vam to govori, koliko je zapravo bio ozbiljan taj napad?

Teško je trenutačno išta tvrditi jer su zbog činjenice da se radi o maloljetniku i o tome da istraga još traje informacije prilično ograničene. Međutim, nakon što je policija potvrdila da je maloljetnik imao pomoć iz inozemstva, možemo reći da očito nije bila riječ samo o dječjoj igri. Svaki neovlašteni upad u računalne sustave je ozbiljna stvar, no ovdje, srećom, nije nastala nikakva šteta jer se radi o osobnim podacima oko sto tisuća građana koji su ionako javno dostupni i nisu takvi da bi se mogli zloupotrijebiti, a i policija je potvrdila da nema informacija da su zloupotrijebljeni.

A1 došao je u fokus djelomično jer je tvrtka sama odaslala priopćenje medijima. Prije nekoliko godina dogodio se upad u Inu, a nedavno je hakirano i Sveučilište u Osijeku. Što je bilo kritičnije i opasnije? Treba li javnost uvijek biti obaviještena o takvim napadima?

A1 bio je obvezan obavijestiti samo korisnike čiji su podaci kompromitirani, ne i cjelokupnu javnost, no vrlo je pohvalno da je o problemu vrlo otvoreno obavijestio sve. Njegova komunikacija može biti primjer odgovornog i transparentnog odnosa prema javnosti. Druge kompanije nisu bile tako transparentne. Primjerice, znam za slučaj jednog telekoma kojem su ukradene čak i preslike osobnih iskaznica korisnika što ljudima može izazvati ozbiljne probleme, no nije obavijestio javnost o tome, već samo korisnike, na što ga obvezuju propisi.

Stava sam da javnost treba biti obaviještena o svakom ugrožavanju računalnih sustava koji su bitni za funkcioniranje države ili su ugroženi podaci građana. Primjerice, ako netko neovlašteno upadne u sustave Ine kojima se, između ostalog, upravlja i rafinerijom, a to se prije dvije godine dogodilo, onda je to potencijalno vrlo opasno i javnost treba znati zašto se to dogodilo i tko je za to odgovoran. Pri tome ne mislim samo na hakera, već treba znati i je li kompanija prije napada poduzela sve razumne i propisane mjere zaštite. Mi danas ne znamo je li bilo propusta u Ini, i ako je bilo tko je za to odgovarao. Budemo li olako prelazili preko takvih stvari i ne budemo li inzistirali na odgovornosti, sutra nam se može dogoditi ozbiljan napad na HEP, telekome ili tko zna što, s nesagledivim posljedicama. Prije neki dan hakeri su najgledanijoj slovenskoj POP TV onemogućili emitiranje na svim kanalima, svatko može biti meta hakerskih napada i apsolutna sigurnost ne postoji, ali jako je važno poduzeti sve razumne mjere zaštite.

U svakom slučaju, napadi na računalne sustave događaju se neprekidno, hakeri u prosjeku napadaju 2244 puta dnevno i već sutra računalo bilo koje tvrtke, organizacije ili pojedinca može postati talac, kaže tvrtka Combis u svom postu na društvenim mrežama. Znači li to da je kriminal uz nove tehnologije i sveopću povezanost općenito porastao? Imamo li sada više kriminalaca ili su im tehnologije dostupnije pa se dogodilo skaliranje kriminala?

Zanimljiva je objava Combisa koju spominjete, a i iz izvješća Sigurnosno-obavještajne agencije (SOA) za 2020. godinu proizlazi jako velika opasnost od kibernetičkih napada u budućnosti i naglašava se mogućnost velikih šteta za državu. Policija je nedavno objavila da je u 2021. godini zabilježen porast računalnih prijevara i hakerskih napada od 25 posto u odnosu na prethodnu godinu te da je u 2021. godini takvih kaznenih djela bilo čak 1500, a to su samo ona djela za koja se zna, a onih neprijavljenih je mnogo više.

Kibernetički napadi su, za razliku od velike većine drugih vrsta ugroza, posebni jer ih je moguće napraviti odasvud i u stvari smo potencijalna meta napadima iz cijelog svijeta – onima koji se događaju radi neke financijske koristi pojedinaca, ali i državno sponzoriranim napadima koji za cilj imaju ostvarenje puno dubljih i potencijalno mnogo opasnijih ciljeva. Svakako, rekao bih da se kriminal pomalo seli u kibernetičku sferu i da će to biti ključna tema kada govorimo o sigurnosti država i kompanija u budućnosti.

Koliko su zapravo, prema vašim spoznajama, tvrtke zaštićene? Tvrtke koje se bave sigurnošću te brojne statistike pokazuju da se nedovoljno ulaže u sigurnost.

Izvješće o stanju informacijske sigurnosti za 2020. godinu koju je objavila specijalizirana tvrtka za kibernetičku sigurnost Diverto iz Zagreba pokazuje da imamo problema. Naime, prema njezinim podacima, samo financijski sektor u Hrvatskoj djelomično je dosegao prihvatljivu razinu zrelosti na području informacijske sigurnosti što ponajprije možemo zahvaliti europskoj regulativi koja ga je na to prisilila. Od ostalih sektora jedino energetski sektor pokazuje nekakve pozitivne pomake, dok u javnom sektoru ali i svim drugim područjima treba znatno osvijestiti opasnosti i rizike od kibernetičkih napada. Meni je nevjerojatno da kompanije bez problema plaćaju zaštitare, ulažu u alarmne sustave, ugrađuju blindirana vrata i plaćaju osiguranje od požara, ali računalnu sigurnost ne shvaćaju ozbiljno iako nemjerljivo i neusporedivo veća šteta može nastati od kibernetičkog napada, a i rizik da se on dogodi često je puno veći od rizika od provale ili požara.

Kada govorimo o računalnoj sigurnosti, uglavnom, pojednostavljeno, pomislimo da valja više ulagati u programe pa tek onda u stručnjake i procese, odnosno ljude.

Informacijskoj sigurnosti treba pristupiti cjelovito i nimalo površno. Potrebno je imati odgovarajuće programe, jasne i stroge procedure i vrlo specijalizirane stručnjake, jedno bez drugoga baš ne vrijedi previše. Najveći problem su stručnjaci, ali i razumijevanje osoba koje odlučuju. Nije svaki informatičar stručnjak za informacijsku sigurnost niti je svaka informatička tvrtka dobar partner koji će vam pomoći da budete sigurni koliko je moguće. Kao što za operaciju na mozgu nećete otići liječniku obiteljske medicine, nego specijalistu neurokirurgu, tako i za ovo specifično područje treba za partnere uzeti tvrtke koje su specijalizirane za kibernetičku sigurnost i imaju u tome rezultate.

U svojim istupima naglašavate potrebu za reguliranošću stručnjaka za informatičku sigurnost? Što bi trebalo učiniti?

Iako sam inače protiv toga da država nešto pretjerano regulira, doista je puno razloga zbog kojih bi trebalo regulirati tu profesiju, a navest ću samo neke. Danas imamo situaciju da svatko tko se bavi informatikom može nuditi usluge kibernetičke zaštite iako možda nema dovoljno znanja o tome. Sukladno ranijem primjeru, to je kao da dopustimo dermatologu da nudi operacije mozga. I neurokirurg i dermatolog su liječnici, tako su i ovo sve informatičari, ali ipak moramo znati tko je za što specijaliziran i tko što zapravo zna. Upravo nereguliranost dovodi do ozbiljnih posljedica jer mnoge kompanije vjeruju da su poduzele zadovoljavajuće mjere zaštite svojih sustava, a u stvari su, figurativno govoreći, angažirali ortopeda ili dermatologa da im prčka po mozgu. Time imaju lažni osjećaj sigurnosti što je vrlo opasno, a što se tada dogodi vidjeli smo na primjeru Ine, ali i na velikom broju drugih slučajeva koji nisu javno objavljeni.

Pitanje regulacije ove profesije pitanje je i nacionalne sigurnosti. Država jednostavno mora znati tko su osobe koje imaju tako specifična znanja, a ljudi koji se bave tim poslom moraju proći sigurnosne provjere najviše razine i moraju imati vojnu obvezu reguliranu na drukčiji način. Ratovi se više ne vode kao prije 50 godina i suludo je da ne znamo tko su i gdje su ljudi koji imaju znanja u slučaju potrebe obraniti državu od kibernetičkih napada koji mogu ugasiti sve, od električne energije i prijevoza do telekomunikacija. Danas je situacija takva da ne možete biti zaštitar ako niste sigurnosno provjereni i nemate licenciju države, ali bez problema sami za sebe možete reći da ste sigurnosni kibernetički stručnjak. To treba žurno promijeniti.

Govorimo uglavnom o tvrtkama, no što je sa zaštitom državnih sustava i podataka koje svakodnevno dajemo upravo državnim institucijama?

Prije nešto manje od godinu dana Vlada Republike Hrvatske donijela je Odluku o mjerama i aktivnostima za podizanje nacionalnih sposobnosti pravodobnog otkrivanja i zaštite od državno sponzoriranih kibernetičkih napada, APT kampanja te drugih kibernetičkih ugroza. Za provedbu je zadužena Sigurnosno-obavještajna agencija (SOA) koja je u suradnji sa Zavodom za sigurnost informacijskih sustava izgradila sustav SK@UT. Radi se o središnjem sustavu za otkrivanje, rano upozoravanje i zaštitu od kibernetičkih napada, a sastoji se od mreže senzora u ključnim državnim tijelima i pravnim osobama. To što SOA radi je jako dobro i važna je karika, iako ni izbliza ne dovoljna za postizanje optimalne razine sigurnosti od kibernetičkih napada na državne institucije i ključne kompanije.

Ako znamo da nema dodatne regulative glede stručnjaka, a država nije ni izdašna u plaćama, koliko možemo biti sigurni u zaštitu naših podataka?

U pravu ste, država, nažalost, ne može adekvatno platiti vrhunske stručnjake kibernetičke sigurnosti. Neki od njih rade u SOA-i ili pojedinim ministarstvima jer znaju koliko je njihov posao važan za Hrvatsku, no takvih ljudi nema ni približno dovoljno niti možemo očekivati da zauvijek ostanu u sustavu dok im istodobno najveće svjetske kompanije nude vrlo visoke plaće i za naše pojmove nevjerojatne prilike. Takve ljude vrlo je teško zadržati da uopće rade u Hrvatskoj, a kamoli da rade u državnoj službi koja baš i nema mehanizme razlikovanja i nagrađivanja deficitarnih i u svjetskim razmjerima cijenjenih kadrova. Nije to situacija samo kod nas, ali zato napredne države u posljednje vrijeme koriste određene oblike javno-privatnog partnerstva koji državnim institucijama zaduženim za kibernetičku sigurnost omogućuju da uvijek i bez birokratskih komplikacija imaju na raspolaganju vrhunske stručnjake iz privatnog sektora. U Hrvatskoj ih nemamo puno, ali ipak imamo nekoliko ozbiljnih tvrtki koje se bave kibernetičkom sigurnošću za koje rade u svjetskim razmjerima vrhunski stručnjaci s brojnim certifikatima. Moramo hitno naći model kako te ljude brzo i jednostavno staviti u službu zaštite nacionalnih interesa kad je to potrebno.

Snažno upirete u regulaciju sustava kibernetičke zaštite, no tko to mora uraditi? Tko je na potezu?

Smatram da potpredsjednik Vlade i ministar unutarnjih poslova Davor Božinović hitno treba formirati radnu skupinu u koju će uključiti SOA-u, VSOA-u, Ravnateljstvo policije, Hrvatsku vojsku, ZSIS i stručnjake iz privatnog sektora, sa zadatkom da Vladi predlože cjelovito rješenje pravnog okvira regulacije sustava kibernetičke sigurnosti. Uz dobru volju, do kraja godine može se sve napraviti i time ozbiljno pomoći obrambenoj sposobnosti i nacionalnoj sigurnosti Hrvatske. •