Kako se razvija tehnologija i širi digitalizacija tako i zlonamjerni, takozvani crni hakeri skriveni iza monitora svojih računala nastavljaju kibernetičke napade na računalne sustave kompanija, institucija i pojedinaca. S vremenom, baš poput tehnologije, postaju brži, bolji i domišljatiji, pa je tako IBM Security izvijestio da je prosječno vrijeme za izvršavanje ransomware-napada (koji blokira pristup računalu i podacima dok žrtva ne plati određeni iznos novca) u 2022. palo s dva mjeseca na manje od četiri dana! IBM-ov godišnji indeks ‘X-Force Threat Intelligence‘ otkrio je i da je Europa druga najnapadanija regija u svijetu, odmah iza Azije i Pacifika.
Međutim, dobra vijest je da, unatoč tomu što crni hakeri ne odustaju u svojim napadima, postoje i tzv. bijeli hakeri, još zvani i etički hakeri, koji se svojim hakerskim vještinama koriste u pozitivne svrhe – za prepoznavanje propusta u sustavima istih tih kompanija, institucija i pojedinaca, a sve kako bi im pomogli otkriti ranjivosti te naposljetku smanjiti štetu od eventualnih hakerskih napada.
Nažalost, uspješan crveni tim
Pod pojmom bijelih hakera, naravno, ne misli se na tajnovite likove odjevene u bijelo, već su to informacijski stručnjaci koji djeluju kao tvrtke ili institucije za kibernetičku sigurnost, a ponekad i kao samostalni savjetnici. Jedna od tvrtki koje pomažu u zaštiti i obrani od crnih hakera u Hrvatskoj i regiji je Infigo IS. Njegov ‘crveni tim‘ etičkih hakera pokušava provaliti u sustave njegovih klijenata, većinom banaka, osiguravajućih društava i fintech-tvrtki, isto kao što bi to napravili i kriminalci, ali bez krađe podataka i prema dogovorenim pravilima. To je takozvano penetracijsko testiranje sustava protiv napada kojim se tvrtke upozorava na moguće sigurnosne propuste.
– Nažalost ili nasreću, ovisno kako gledamo, naš je crveni tim vrlo, vrlo efikasan i učinkovit. Infigo ima najveći tim stručnjaka za penetracijska testiranja i red team-vježbe u regiji. Crveni tim ima, nažalost, veliku uspješnost, što pokazuje da su naše tvrtke još uvijek u velikom broju nespremne za takve napade. Naravno, uvijek ima iznimaka. Stvari se poboljšavaju i, naravno, uvijek je najbolje da takve nedostatke otkriju legitimni testovi, što onda daje i mogućnost za unaprjeđenje – ističe Bojan Ždrnja, glavni tehnološki direktor u Infigu i voditelj crvenog tima te jedan od rijetkih certificiranih instruktora američkog Instituta SANS za kibernetičku sigurnost.Njegovi inženjeri neprestano nadziru sve sigurnosne događaje u tvrtkama, a sve kako bi pravodobno reagirali na potencijalne incidente. Ždrnja, pak, primjećuje da zadnjih nekoliko godina sve više klijenata obraća pozornost na kibernetičku sigurnost, a da su usluge kibernetičke sigurnosti sve više tražene svjedoči i Domagoj Pehar, direktor Sektora mrežnih i sigurnosnih usluga u Combisu. Zbog toga Combisov tim za penetracijsko testiranje snažno raste.
– Može se pratiti sigurnost kompanije generalno ili dio nekog sustava sigurnosti, a ponekad naš tim dobije samo ime kompanije i započne etičko hakiranje kako bi otkrio slabosti sustava i izradio preporuke za zaštitu. Često se kompanije iznenade podacima koje im dostavimo ili ako u svrhu procjene stanja preuzmemo kompletni informacijski sustav kompanije, također prema dogovoru – objašnjava Pehar.Ljudska pogreška
Osim ofenzivne sigurnosti putem etičkog hakiranja, Combis klijentima pruža i defenzivnu obranu od crnih hakera, odnosno postavljanje što jačeg sustava detekcije i obrane. Brojne se kompanije nakon prvotnog testiranja sigurnosti odlučuju i za taj drugi korak, pa dobiju kompletnu analizu i evaluaciju kibernetičke sigurnosti.
– Svako otkriće ranjivosti možemo gledati i kao priliku tvrtkama da poprave nesigurnosti za koje nisu ni znale da postoje, svaka pogreška poticaj je za učenje, svaka edukativna akcija, bez obzira na veličinu, nekoga će naučiti nešto. Najopasniji je pristup ‘meni se to ne može ili neće dogoditi‘. Riječ je o iznimno osjetljivom području o kojem se mora više govoriti i više voditi računa jer zanemarivanje sigurnosti na kraju kompanije može najskuplje stajati – upozorava Pehar.
A upravo je podizanje svijesti o opasnostima kibernetičkih napada ono čime se bavi Tomislav Vuk, savjetnik za kibernetičku sigurnost. U svom poslu redovito vodi edukacije te za klijente radi testove za phishing-napade, u kojima napadači pokušavaju ukrasti novac ili identitet krađom brojeva kreditnih kartica ili lozinki.
– Svijest podrazumijeva obučavanje ljudi da prepoznaju kibernetičke napade poput phishinga ili scama te da ih spriječe, ali i da shvate da se ti napadi mogu ticati i organizacije i njih samih i njihovih obitelji. S obzirom na to da je ljudska pogreška uzrok 95 posto svih proboja, prema IBM-ovu izvješću ‘Cybersecurity Intelligence‘, to područje sigurnosti izrazito je zastupljeno i potrebno – objašnjava Vuk, također partner tvrtke KnowBe4, specijalizirane upravo u tom području.Klijenti mu dolaze iz raznih industrija, ali najotvoreniji i najpotrebitiji su, kaže, iz IT i visokotehnološkog sektora.
– Klijenti su razne tvrtke kojima se stalo da zaštite podatke, poslovanje i ugled, neke su pretrpjele i po nekoliko ozbiljnih incidenata koji su ih mnogo stajali i žele ih u budućnosti sprječavati. Prvi savjet koji im nudim jest da jednim phishing- testiranjem provjere koliko su ljudi skloni otvaranju takvih lažnih e-poruka i da procijene koliko bi ih stajao neki napad, na primjer ransomwareom – napominje Vuk, koji, osim tvrtkama, povremeno pomaže i pojedincima.
Digitalne opasnosti
Obujam posla, kaže Vuk, ovisi koliko koji klijent ima podataka, korisnika računala, koliko je velika IT i mrežna infrastruktura, koliko su vrijedni podaci te, naposljetku, koliko novčano, ali i reputacijski stoji zaustavljanje poslovnih procesa uslijed kibernetičkog napada. No zajedničko je, dodaje Vuk, većini tvrtki s kojima radi da su ljudi na internetu i da su izloženi, da upotrebljavaju iste jednostavne zaporke na različitim mjestima i da je to potencijalna opasnost.
Dakle, opasnosti digitalnog svijeta među najvećim su izazovima današnjice, a svijest i edukacija o njima nikada u povijesti nije bila važnija. Poslovna zajednica u tome, dakako, nije sama. Osim tvrtki i pojedinaca, tu su, naravno, i institucije zadužene za održavanje informacijske sigurnosti. U Hrvatskoj od 2016. različitim stručnim i promotivnim aktivnostima djeluje Hrvatski institut za kibernetičku sigurnost (HIKS), koji okuplja profesionalce i druge institucije iz područja kibernetičke sigurnosti. Kako objašnjava Boris Bajtl, potpredsjednik HIKS-a i voditelj Odjela kibernetičke sigurnosti u Atosu Hrvatska, osnovni je cilj udruge unaprjeđivanje informacijske sigurnosti u Hrvatskoj, a svojim članovima i općoj populaciji pruža priliku za edukaciju i profesionalni rast.
– HIKS ima viziju osigurati članovima znanja i resurse za rješavanje različitih pitanja kibernetičke, informacijske, softverske i infrastrukturne sigurnosti, a kako bi se pružila dodatna vrijednost zajednici. Također, HIKS želi provoditi aktivnosti za unapređenje profesionalnih vrijednosti i ciljeva industrije kibernetičke sigurnosti – objašnjava Bajtl.Pravodobna reakcija
Ne možemo utjecati na to hoće li nam se hakerski napad dogoditi ili smanjiti mogućnost da se dogodi, ali zato se možemo (i moramo) maksimalno pripremiti za taj najcrnji scenarij, i privatno i poslovno.
– U informacijskoj sigurnosti ne postoji silver bullet. Nema jednog rješenja koje će nas obraniti od svega, već je riječ o kontinuiranom procesu u koji treba ulagati. Naravno, nikada ne možemo biti sto posto sigurni, ali ispravnim aktivnostima na tom području možemo ipak znatno ograničiti rizik i potencijalnu štetu od incidenata – zaključuje Ždrnja.
Pravodobna reakcija, slaže se Pehar, zaista može učiniti razliku. I kod napada i kod zaštite od hakerskih napada presudan je spoj ljudi i tehnoloških procesa.
– Tehnologija može ponuditi zapis, ali vrlo često ne može pomoći s interpretacijom, za nju je potreban stručnjak koji razumije što čita. Kibernetički kriminal je u velikom porastu i on neće nikada nestati, na nama je da se prilagodimo, da se osnažimo u tom području i educiramo – zaključuje Pehar.