Sigurnost na ispitu: Korak iza ili korak ispred hakera
Potpune zaštite nema, nužno je sustavno ulaganje u efikasniju obranu i zaštitu...
Za početak, krenimo od posljednjeg incidenta. Hrvatski zavod za zdravstveno osiguranje (HZZO) 11. srpnja dobio je saznanje kako je u tijeku tzv. spoofing napad - vrsta kibernetičkog napada kojim se napadači lažno predstavljaju kao HZZO s ciljem provedbe pripremnih radnji radi počinjenja kaznenog djela prijevare, priopćili su iz HZZO-a.
To je samo jedan od internetskin napada koji obilježavaju moderno doba i kojih je sve više, kako u cijelom svijetu, tako i Hrvatskoj. Inače, svakih 11 sekundi u svijetu se dogodi jedan kibernetički napad, podaci su to istraživanja koje je iznijela Europska komisija 2022. godine prilikom predstavljanja Akta o kibernetičkoj sigurnosti. Tako su se i proteklih tjedana zbili učestali napadi i na hrvatske institucije koji su ponovo u fokus stavili kibernetičku zaštitu. Jer krajem lipnja samo u 24 sata u Hrvatskoj je zabilježeno nekoliko kibernetičkih incidenata. Prvo su DDoS napadima (oblik zloćudnih računalnih mrežnih napada) podlegle internetske stranice HNB-a, Ministarstva financija, Porezne uprave, ali i Zagrebačke burze, koje su nakon nekoliko sati nedostupnosti ipak proradile, a na meti se dan poslije našao i KBC Zagreb. Na pitanje što žele oni koji su krivi za napade stručnjaci kažu da neki žele neku novčanu korist, ali ima i drugih motiva. Objašnjava se kako se ponekad ukradu podaci da bi ih se prodavalo na crnom tržištu, ali da ima i geopolitičkih interesa. Tko konkretno stoji iza sve više cyber napada na državne institucije, kao i na brojne napade na privatni sektor, to naravno istražuju nadležne sigurnosne službe, od policije do SOA-e, koje su angažirane cijelo vrijeme i rade na otklanjanju posljedica i otkrivanju uzroka.
NAPADA SVE VIŠE
I dok se najzloglasnija hakerska skupina na svijetu LockBit 3.0, koju već duže istražuje i FBI, hvalila podacima koje je uzela od najveće hrvatske bolnice, reagirale su i domaće institucije. Hakeri na novac ne trebaju računati jer država ne pristaje na ucjene, rekli su u Agenciji za zaštitu osobnih podataka. Mario Milner, načelnik Sektora za nadzor, istrage i zaštitu prava ispitanika, odgovorio je na pitanje koja je uloga sada AZOP-a u ovom slučaju i što provjeravaju, ako primjerice hakeri znaju od čega netko od nas boluje, detalje iz zdravstvenog kartona, podatke o stanju lijekova u bolnici, što oni mogu konkretno s tim podatcima učiniti. "Moguće posljedice su ograničene, naime, može biti ako podatci budu javno objavljeni do nekakvih problema poslovne ili obiteljske prirode, ako se sazna da bolujete od nečeg što je bilo prepreka za ostvarivanje nekih poslovnih ili osobnih prava, pa ćete možda imati probleme", kaže Milner. Dodaje da se zapravo može reći da je ovo na neki način više problem u napadu na privatnost nego što se to doista može iskoristiti. Sve je napravljeno, još je dodao, da podaci hrvatskih građana budu zaštićeni, no i da ovakvi napadi nisu neuobičajeni jer kriminalci nalaze nove metode pristupanju podacima, što se događa npr. i u Pentagonu. U međuvremenu provedena je tajna akcija hrvatskih sigurnosnih službi, odnosno navodno su hakirali hakere i vratili sve ukradene podatke s Rebra...
S obzirom na to da je u kratko vrijeme došlo do dva hakerska napada na državnu informatičku infrastrukturu, pa i bolnicu, za komentar je upitan i voditelj odjela za odgovor na kibernetičke incidente u Spanu, Neven Zitek koji kaže: "Kibernetički kriminal ima za primarni cilj ostvariti financijsku korist na štetu žrtve, i pri tome žrtve ne bira. Posljedice takvih napada mogu izazvati poremećaje ili čak potpune prekide u radu napadnute ustanove, što se onda u konačnici prelijeva i na građane. Uz kibernetički kriminal, najveću prijetnju javnim organizacijama predstavljaju tzv. napredne ustrajne prijetnje (APT ili Advanced Persistent Threat), koje se obično povezuju s državno sponzoriranim kriminalnim skupinama. Obilježava ih visoka stručnost, velika količina resursa na raspolaganju i prikrivenost počinitelja u dužem vremenskom periodu. Ovakvi napadi usmjereni su na pažljivo odabrane ciljeve zbog špijunaže ili izazivanja dugotrajnih poremećaja u radu institucije. Puno su sofisticiraniji od napada koji ciljaju direktno građane i od kojih se jednostavnije zaštititi kroz podizanje razine svijesti o kibernetičkoj sigurnosti, kao napadi kojima svjedočimo posljednih dana. Usmjereni su na kompanije i organizacije, a ne na same građane iako im posljedično otežavaju svakodnevne poslove. Građani uvijek trebaju biti oprezni s obzirom na količinu digitalnih uređaja i usluga koje svakodnevno koristimo i o kojima de facto ovisimo, jer i sami mogu postati žrtve kibernetičkih kriminalaca", upozorava Zitek. Na pitanje jesu li nedavni napadi na HZZO i KBC, između ostalih, naznaka nekog većeg hakerskog udara, Ziteka odgovara: "Kibernetički se napadi u kibernetičkom prostoru događaju neprekidno, a trendovi pokazuju da su napadi sve sofisticiraniji i sve skuplji kada je u pitanju otklanjanje posljedica. U vrijeme kada važnost digitalne infrastrukture kontinuirano raste i kada je moderan život nezamisliv bez interneta i internetskih usluga, ulaganje u kibernetičku sigurnost više nije opcija ili običan trošak. To je nužno ulaganje u svrhu zaštite vrijednosti, ali i opstanka organizacije. Organizacija koja ostane bez digitalne infrastrukture i podataka de facto ne postoji osim na trgovačkom sudu. To su nažalost trendovi i događanja koja pogađaju sve organizacije u svijetu. Hrvatska i domaće javne i privatne organizacije glede toga nisu nikakva iznimka", zaključuje Zitek.
Što se tiče često naglašavanog povećanja broja hakerskih napada, ne postoji jedinstvena evidencija koja bi sadržavala informacije o broju i vrsti kibernetičkih incidenata na području Hrvatske. Prema podacima Ministarstva unutarnjih poslova, tijekom 2023. godine policija je otkrila i kazneno prijavila ukupno 1688 kibernetičkih napada, odnosno kaznenih djela protiv računalnih sustava, programa i podataka. To je, kaže MUP, povećanje od 9,61 posto u odnosu prema istom razdoblju 2022. godine, kada je evidentirano 1540 kibernetičkih napada. Sličan porast broja kibernetičkih napada od 10 posto bilježi se i u prvoj polovini 2024. godine. Ali to bi se uskoro moglo promijeniti jer na snagu je stupila Uredba o kibernetičkoj sigurnosti u Europskoj uniji. Premda stručnjaci ističu kako je sve to samo teorija, a praksa je posve suprotna. Drugim riječima, zakonska regulativa je itekako potrebna, ali hakeri i cyber kriminalci uglavnom su uvijek korak ispred zakona, obrane i zaštite. Naravno, važno je znati i da je hrvatska Vlada u veljači usvojila novi zakon o kibernetičkoj sigurnosti te da u tom kontekstu imamo i nacionalni centar za kibernetičku sigurnost u okviru SOA-e.
Vratimo se još malo na aspekt obrane i zaštite. Dolaskom Direktive NIS2 uvodi se i obvezna prijava incidenata iz područja informacijske sigurnosti - bar za sektore koji su ključni za gospodarstvo i društvo u cjelini (energetika, zdravstvo, vodne usluge i odvodnja, promet, bankarstvo i financije te digitalna infrastruktura). No dovoljno je pretražiti domaće internet-portale kako bi se došlo do informacije da je incidenata bilo poprilično, s različitim posljedicama. Kibernetički incidenti ne događaju se nekom drugom, tamo daleko ili ovdje bliže, stoga je edukacija rukovodećeg kadra u javnim i privatnim organizacijama ključna kako bi se prepoznali rizici te uspostavile mjere zaštite, resursi potrebni za odgovor na incident i za što je moguće brži oporavak uz otklanjanje posljedica.
NULE I JEDINICE
Stručnjak za informacijsku sigurnost Lucijan Carić također potvrđuje: "Porast napada na sigurnost informacijskih sustava u Hrvatskoj uglavnom korelira povećanom broju napada u svijetu uopće", tvrdi Carić, te upozorava da napadači danas u najvećoj mjeri nisu više benevolentni klinci željni dokazivanja, već organizirane kriminalne skupine koje raspolažu potrebnim sredstvima, infrastrukturom i znanjem. Naravno, kako kaže Carić, raspolažu i stručnjacima, a informatičkim kriminalom bave se zato što se on isplati i jer je šansa otkrivanja i kažnjavanja napadača relativno mala... "Osim toga, vi ste u podređenom položaju jer u zaštiti morate uvijek uspjeti, što je u praksi teško ostvarivo, a napadač treba uspjeti samo jednom. Danas praktično svatko, kojim god se poslom bavio, treba imati računalo priključeno na internet, što ga izlaže rizicima. Milijarde računala priključene su na internet. Čak i kada bi 90 posto tih računala bilo potpuno sigurno, što nikako nije slučaj, već je upravo obrnuto, napadači bi i dalje mogli birati između stotina milijuna mogućih žrtava", navodi Carić.
Sve u svemu, i nedavni kibernetički napadi u Hrvatskoj pokazuju koliko su naši informacijski sustavi ranjivi i da na njihovo osuvremenjivanje i jačanje treba ulagati zamjetna sredstva svake godine. Jer sigurnost nema cijenu, ona je konstantno na ispitu, pa u nekom širem i dubljem smislu doista se može zaključiti kako su hakerski napadi zapravo ratovi budućnosti koji su već počeli. Pritom nitko nije siguran i potpune zaštite nema, ugroženi su svi segmenti društva, vojni, civilni, ekonomski... Cyber kriminal danas je koliko globalni toliko i lokalni problem. I zato je preventiva prioritetna, kao i odgovornost svih nadležnih u sustavu obrane i zaštite od cyber napada. Ili kako je netko mudro rekao: Umjesto oružjem i napadi i obrana vodit će se nulama i jedinicama!