U svijetu koji upravo prolazi novu tehnološku revoluciju jedan od najvećih rizika kojem smo izloženi je kako očuvati sigurnost u informacijsko-komunikacijskim sustavima, istaknuto je na okruglom stolu na temu kibernetičke sigurnosti održanom u veljači u prostorijama Poslovnog dnevnika. Većina građana nije ni svjesna koliko je izložena napadima, odnosno činjenice kako danas svim tehnički složenim procesima upravljaju računala koja su ranjiva. 

Dodatni izazov predstavljaju regulatorni i zakonski zahtjevi koje prate tehnološke promjene, kao što je GDPR ili Opća uredba o zaštiti osobnih podataka građana Europske unije čija primjena počinje u svibnju ove godine, a za čije je nepoštivanje EU raspisala iznimno visoke kazne s kojima se nikome ne isplati suočiti. No koliko god bile zahtjevne, zakonska i industrijska regulativa uz pridržavanje preporuka međunarodnih standarda i najboljih praksi uvelike mogu doprinijeti podizanju razine sigurnosti. Kako su se složili sudionici okruglog stola, stručnjaci iz područja informacijske i kibernetičke sigurnosti, u sigurnost računalnih i informacijskih sustava ulaže se nedovoljno jer vlada mišljenje da se radi o trošku bez dodatne vrijednosti koji ne povećava direktno dobit te da je samim time neisplativ. 

Odlazak stručnjaka
Dugoročno, bez adekvatne zaštite posljedice kibernetičkih napada mogu itekako biti dalekosežne. Podaci pokazuju kako oko 69 posto kompanija na razini EU nije svjesno izloženosti opasnostima, a 60 posto njih nije nikad napravilo sigurnosnu procjenu. Policijski službenik Renato Grgurić, uz problem nedostatka radne snage koja bi se bavila ovom problematikom, ističe i da većina napada ostaje neprijavljena što također otežava njihovo predviđanje. 

"No, od statistike važniji su sami trendovi. Imamo sreću u nesreći da nas kibernetički napadi ne zaobilaze što omogućava da budemo u toku sa zbivanjima na globalnoj razini. Valja spomenuti i da su svi napadi zapravo način na koji hakeri žele monetizirati svoje vještine. Protiv toga se možemo boriti na nekoliko načina, od čega je backup podataka svakako onaj najdostupniji, a edukacija i podizanje svijesti javnosti i zaposlenika su dio koji se također ne bi smio zanemarivati.

Što se tiče stručnjaka koji bi se u institucijama bavili ovim problemima, radi se o sustavnom ulaganju u ljude, ali i prilikama koje ih u inozemstvu čekaju, zbog čega nerijetko odlaze", komentirao je Grgurić trenutnu situaciju u Hrvatskoj. Spomenuo je i svojevrsni financijski rulet koji proizlazi iz činjenice da je Hrvatska jedna od najliberalnijih zemalja po pitanju otvaranja računa, kao i činjenicu da većina tvrtki svoju sigurnost stavlja u ruke inozemnih tvrtki na drugom kraju svijeta s kojima nemaju niti kvalitetnu komunikaciju. 

Digitalna imovina i transakcije
"Susreli smo se ogromnom serijom bankarski malwarea što su zanimljiva kaznena djela za istraživanje jer su se sastojala od tzv. fishing poruka gdje su se prikupljala korisnička imena i PIN-ovi. Hakeri su potom ispunjavali naloge u ime oštećenih korisnika te prenosili novac na druge račune. Visokoškolske ustanove također su izloženi napadima, pa je svakako nužno sigurnosno informiranje te držanje unaprijed propisanih procedura, posebice u računovodstvima", pojasnio je Grgurić.   Voditelj data centra u tvrtki Megatrend poslovna rješenja Renato Telen također je potvrdio da javne institucije o informacijskoj sigurnosti vode nešto manje računa nego one privatne. Ističe i da haker danas može biti gotovo bilo tko s određenom razinom informatičke pismenosti jer je sav know – how dostupan na internetu.

"U Americi je oko 240 dana potrebno za otkrivanje rupe u sustavu, dakle, ljudi nominalno nisu ni svjesni da im je netko 'upao'. Što se tiče sigurnosti kod kompanija, neke od njih su obavezne poslovati u određenim standardima, pa su utoliko zaštićene", pojasnio je Telen. Što se tiče najavljenog GDPR, uredba je zapravo na snazi od d 2016., ali se do sada minimalno radilo na tome. "Nejasno je i koje tijelo će se kod nas time baviti – pratiti, evidentirati i procesirati. Postoji direktna veza GDPR-a i informacijskog sustava jer su informacijska sigurnost i privatni podaci neraskidivo vezani", dodaje. Voditelj Odjela za informacijsku sigurnost KING ICT-a Nino Talian smatra da je realni sektor svjesniji opasnosti i rizika, ali i da uvijek postoje ranjivosti za koje će se tek saznati.

"Nije smisao da se u sigurnost sustava ulažu nezamislivi resursi jer ne postoji savršena sigurnost, već treba doći do prihvatljive i zadovoljavajuće razine. Tri se faktora mogu izdvojiti kao nužni uvjeti da bi se moglo govoriti o sigurnosti, a to su educiranost i svijest korisnika, zatim adekvatna sigurnosna politika i procesi te u konačnici set tehničko-tehnoloških kontrola. Sustavi moraju biti ažurirani i ojačani jer i to eliminira dio ranjivosti, a realan i često neprepoznat rizik nose prekomjerna prava pristupa i ovlasti ili prevelik broj administratora što također oslabljuje razinu sigurnosti.", objasnio je Talian. Aktualnu blockchain temu smatra tehnološkom revolucijom pri čemu su kriptovalute tek jedan oblik primjene, a da će se ostali načini primjene tek otkrivati i dokazivati u praksi. "Radi se o distribuiranoj softverskoj platformi za digitalnu imovinu i digitalne transakcije koja se sastoji od baze podataka podijeljene između čvorišta (računala) koje sačinjavaju tu platformu. Tehnološki gledano, primjene su ogromne.

Važno je odrediti prioritete
Danas je apsolutno ključno zaštiti osjetljive i osobne podatke te upravljati njihovim životnim ciklusom  uz kontrolu prava pristupa i vođenje zapisa, odnosno dokazivost aktivnosti u informacijskom sustavu.  Upravo iz tih segmenata su rješenja koje od nas korisnici najviše traže. Što se tiče zaštite koju bi se trebala uvesti za sve informacijsko-komunikacijske sustave, a postavlja se pitanje po kojoj cijeni, važno je odrediti prioritete ondje gdje su prepoznati najveći rizici", poručio je Talian.

Tvrtke poput Siemensa koje imaju preko 375 tisuća zaposlenih primjer su sustava koji si ne može dopustiti pogreške, istaknuto je dalje u razgovoru. "Kibernetička prijetnja je Pandorina kutija naše civilizacije u ovom stoljeću. Proizvodi i tehnička rješenja su jako izloženi dok opasnost u industrijskom sektoru stvara fizičku štetu. Ponegdje se može čuti kako je najbolji način za osiguranje od potencijalnog napada izlazak iz mreže, ali ima napada koji su kreirani da funkcioniraju izvan nje. Ljudi toga obično nisu svjesni", napomenuo je voditelj prodaje Siemens Hrvatska Dalibor Marković.

Cijena opreme, nastavio je, i rješenja ide prema dolje i sve postaje dostupnije. "Svaka kompanija mora uvesti svoj sustav sigurnosti i raditi na njemu, a što prije krenu riješit će i više problema i država bi ih u tome trebala poticati", dodao je. Siemens dok isporučuje svoje proizvode jamči da isti treba raditi sljedećih desetak godina, odnosno njihova je dužnost da formiraju preduvjete u kojima je to moguće, dok je drugi dio posla na informiranosti samog korisnika o potencijalnim sigurnosnim zamkama. 

"Posljednjih godina na važnosti dobiva tema umjetne inteligencije, vrlo je intrigantna s puno tehničkih i etičkih pitanja. Očekuje se da kibernetička zaštita biti dio svakog tehničkog sustava industrijskih postrojenja, a ni sada već nije daleko od toga", napominje Marković. 

Socijalni inženjering
Pomoćnik ravnatelja Odjela za Nacionalni CERT Tomislav Štivojević slaže se da su upravo u industrijama katastrofalne posljedice više no moguće te da zapravo nema sektora ni posla koji se u nekom obliku ne oslanja na informacijske sustave. "Napadi izvana se smanjuju, a iznutra ostaju na istoj razini ili se čak i povećavaju. Socijalni inženjering je nešto što bismo trebali staviti u fokus jer je se većina napade ostvaruje uz posredstvo čovjeka. Stoga ćemo uz novac koji nam je dostupan iz europskih fondova provoditi edukacije posvećene navedenoj problematici. Govoreći o plaćama, državni sektor je u ovom kontekstu najnepovoljniji položaj jer su plaće u privatnom sektoru za stručnjake tih profila nekoliko puta veće. Oni su, pak, opet u svojevrsnom nepovoljnom položaju jer su plaće u inozemstvu još veće, pa najbolji odlaze", ističe.

Sigurnost ne treba gledati kao konačno stanje nego kontinuirani proces, složili su se sudionici okruglog stola, a uz novac europskih fondova nedovoljni financijski kapaciteti više ne bi trebali biti izlikom. Osvrnuvši se na aktualni GDPR, ističe kako je naglasak na podacima, a ne na sustavima samima. "Gledat će se je li tvrtka poduzela minimalne razumne radnje i tada neće biti kažnjavanja. Rekao bih da 90 posto zaštite čini edukacija, a ostatak konkretan proizvod. Sigurnost ne treba uzimati zdravo za gotovo. Na raspolaganju nam je novac iz EU fondova kojim možemo pokrenuti mnoštvo projekata za podizanje svijesti o važnosti informacijsko – komunikacijske sigurnost", zaključio je Štivojević.

Čovjek kao najslabija karika

Edukacija čini 90% zaštite, a ostatak proizvod 
Sredinom 2017. Hrvatska je bila izložena napadima virusa Wanna Decryptor (Wannacry, Wcry) čija je osnovna zadaća kriptiranje podataka koji se nalaze na zaraženom računalu. Tom je prilikom Ministarstvo unutarnjih poslova (MUP), između ostalog, naglasilo važnost ažuriranja antivirusnih programa na najnoviju inačicu izradu sigurnosne kopije podataka, kao i oprez prilikom otvaranja elektroničke pošte. Taj primjer pokazuje koliko u većini kibernetičkih napada veliku ulogu zapravo ima čovjek.