Prije samo nekoliko dana dvije su tvrtke u Osijeku hakirane te su zajedno ostale bez milijun kuna. No to nisu izolirani slučajevi. Kibernetičkih je napada sve više, a meta može biti bilo tko – i velike i male tvrtke, i država i “obični” pojedinci. Hrvati su laka meta jer je sigurnosna kultura jako niska objašnjava u intervjuu za Poslovni dnevnik Bruno Pavić, direktor korporativne sigurnosti Span Centra kibernetičke sigurnosti, uoči organizacije novinarskog obilaska Centra. No sigurnosna bi se kultura, uvjeren je Pavić, trebala dići na višu razinu jer je prije dva mjeseca Zagreb, a time i Hrvatska, dobio jedan od najmodernijih i na svjetskom tržištu jedan od najkonkurentnijih centara kibernetičke sigurnosti. Kako će korisnici učiti o sigurnosti, kakvi su im planovi, a i općenito o situaciji vezanoj uz kibernetičku sigurnost u Hrvatskoj i svijetu govori i objašnjava Bruno Pavić.

U rujnu je, u suradnji s izraelskom kompanijom Cybergym, pokrenut Span Centar kibernetičke sigurnosti, a koji je namijenjen edukaciji, treningu i pružanju konzultantskih usluga zaposlenicima privatnog i javnog sektora. Span se i prije osnivanja Centra bavio pružanjem usluge kibernetičke sigurnosti, no što Vas je potaknulo na korak više – osnivanje Centra? 

Projekt je počeo prije dvije godine. Tražili smo rješenje koje bi odgovaralo našem tržištu kako bismo mogli napraviti drugačiji iskorak u edukaciji. Zato smo otišli u Izrael. Tamo smo obavili razgovor s 30-ak kompanija te smo odlučili surađivati sa Cybergyom jer smo vidjeli da oni imaju gotovu priču. Ono po čemu se razlikuju od konkurencije je da kroz edukacije simuliraju napade kroz koje učite kako se braniti. Trenutačno se na tržištu većinom nude predavanja u power point prezentaciji. Dakle, gotovo nigdje ne možete doživjeti pravi napad. To je ono po čemu se naš Centar razlikuje od konkurencije.

Kakav je za sada interes privatnog i javnog sektora za uslugom koju pružate u Centru?

Na otvorenju smo, odnosno predstavljanju Span Centra kibernetičke sigurnosti, imali ogromno zanimanje. Pozvali smo više od 100 ljudi i svi su došli. To nismo očekivali, odnosno nismo očekivali da će baš svi doći. Pozvali smo predstavnike najvećih domaćih kompanija, većinom izvršne direktore za sigurnost (CSO-e), dakle ljude koji će razumjeti što smo mi to napravili. Do sada smo pak imali više od 50-ak posjeta Centru. Održali smo tri tečaja.  Problem je što velike i državne tvrtke imaju budžete koje moraju ranije planirati.  Kroz razgovor s kompanijama dobili smo pozitivan odgovor da bi kroz naredno razdoblje usmjeravali svoje aktivnosti u obrazovanje s područja kibernetičke sigurnosti i tu svakako vidimo priliku.

Jeste li zadovoljni trenutnim brojkama?

Zadovoljni smo budući da Centar radi tek dva mjeseca, a i jer je interes ogroman.

Foto: Luka Stanzl/PIXSELL

Poznato je da domaće kompanije ne stoje najbolje po pitanju kibernetičke sigurnosti. Zašto se ona u Hrvatskoj ne shvaća dovoljno ozbiljno?

Najviše zbog nedovoljne informiranosti, bilo da je riješ o državnoj razini ili velikim kompanijama, ali i o fizičkim osobama koje su svakodnevno na internetu izložene raznim prevarama. O koliko se ozbiljnom problemu radi dovoljno govori podatak da su prije neki dan u Osijeku dvije tvrtke doživjele kibernetičke napade u kojima su hakeri od njih uspjeli naplatiti  oko milijun kuna. Kibernetički se napadi svakodnevno događaju i ljudi toga moraju biti svjesni. Također, meta može biti svatko, bilo koji korisnik interneta, IT odjel ili tvrtka kojoj je to osnovna djelatnost. Pitanje je samo koliko smo kome zanimljivi u trenutku napada i koliko će napadač pronaći ranjivosti kod vas.

Koliko se često događa da su kompanije žrtve napada, a da toga nisu niti svjesne?

Prvo postaju predmet interesa. To se zove “snifanje” po mreži, kada hakeri proučavaju gdje su ranjivi. No postoje i ciljani napadi, to su APT (Advanced Persistent Threat) napadi koji imaju određenu kronologiju. Ona se odnosi na procjenu, provjeru, praćenje navika, odnosno osluškivanje mete i načina na koji funkcionira. Prvo se rade mali napadi, kako bi hakeri vidjeli koliko je brza reakcija, sve do trenutka kada su spremni za veliki napad. Nekada se dogodi da napadač uđe u mrežu i u njoj bude i godinu dana. Ostavlja si otvorene opcije za brzi izlaz iz mreže. Zato postoje napredna tehnička rješenja koja implementiramo kod svih naših korisnika kako bi detektirali čudna ponašanja.

Spomenuli ste dva nedavna slučaja u Osijeku. Postoje li podaci koliko, na godišnjoj razini, bude kibernetičkih napada u Hrvatskoj i kolike štete prouzroče?

Prave podatke nemamo. Neki se jednostavno pokušaju dogovoriti s hakerima dok mnoge kompanije ne žele da se zna da su bile pod napadom.

Nitko se ne želi “hvaliti” da je napadnut…

Da, premda je to, po meni, potpuno pogrešan pristup. Trebali bi ustrajati na tome da svi koji su žrtve bilo kojeg oblika prijevare, bilo da je riječ o kibernetičkom napadu ili nekom drugačijem napadu socijalnog inženjeringa, to podijele s javnošću i zajednicom kako se tako nešto ne bi dogodilo nekom drugom. Smatram da je stav da je to sramota potpuno pogrešan.

Postoje li sektori koji su izloženiji napadima?

Ne. Podatak koji smo dobili prije mjesec dana iz svjetske zajednice za kibernetičku sigurnost pokazuje da su male tvrtke postale žrtve. Veći sustavi jesu tromiji, imaju više rupa te postoji više načina na koji se kod njih može ući, ali oni imaju sustav kojim brane IT infrastrukturu i pomoću kojeg mogu detektirati napad. Manje tvrtke nisu toliko posvećene sigurnosti svog informacijskog sustava te tako postaju lakše mete. Također, kod velikih tvrtki imate problem naplate napada, problem izloženosti te onaj s policijom, sudovima. Ako, naime, napadnete kritičnu infrastrukturu ili neku državnu tvrtku, to se tretira kao napad na državu i drugačije se prema njemu postupa. A pojavom bitcoina to se potpuno promijenilo. Možete napasti deset tvrtki po deset tisuća dolara i imate ćete jednak učinak kao i da ste napali jednu za sto tisuća dolara.

Što su glavni razlozi napada?

Postoje razni ciljevi napada. Prvi je financijski, a drugi državni. Kada se radi o državnom, onda se pokušava destabilizirati vlada, zauzeti kibernetički prostor, plasirati lažne vijesti. Pokušava se ugroziti reputacija same države. A financijska znači da se u kratko vrijeme pokušava stvoriti znatna financijska korist i to je pojavom bitcoina postalo sve češće jer je takve napade postalo jako teško pratiti. Postoji još jedan cilj – aktivizam. No napada s tim ciljem sve je manje.

Koliko su domaće kompanije zanimljive hakerima?

Imamo primjer Ine koja je imala veliki hakerski napad. Također, i onaj A1. Postoji još primjera napada na velike i ozbiljne tvrtke, ali oni javnosti nisu poznati, što mi je jako žao.

Što se najpoznatijih kibernetičkih napada u Hrvatskoj tiče, onog na Inu i A1, zna li se kako su završili?

Zajednica kibernetičke sigurnosti i IT-a zna, ali javnost ne zna zato što se do danas nitko nije očitovao o tome što se dogodilo, kako se postupalo te kakva je bila šteta.

Zašto je tome tako?

Kompanije su dosta zatvorene, nisu transparentne. Upozoravam još jednom da su informacije o napadima važne jer ako, primjerice, imate model napada kakav je bio u Ini i ako se on može primijeniti na HEP, zašto to HEP ne bi znao. One bi mu pomogle da se bolje zaštiti. Jednako bi tako mogli bolje zaštiti naše šume i vode. Doduše, policija je uključena, no dok traje istraga ona ne može ništa govoriti. Također, policijski je aparat u tom pogledu ograničen jer nemaju dovoljno ljudi. To je, između ostalog, jedan od razloga zašto smo krenuli s Centrom. Želimo školovati forenzičare iz policije, stručnjake za odgovor na incidente odnosno koga god treba da odgovori na izazove iz područja kibernetičke sigurnosti.

Kakva je situacija u ostatku svijeta?

Zbog kibernetičkog napada Vlada Crne Gore već dva i pol mjeseca ne može poslati mail, ne mogu provesti niti jednu nabavu. Dogodio se potpuni krah njihovog IT sustava, a istraga je pokazala da je napad došao iz Rusije. Tako je bilo i na Kosovu, ali u manjim razmjerima. Inače, najpoznatije su države po napadima Sjeverna Koreja, Rusija, dok u posljednje vrijeme dosta napada dolazi iz Rumunjske, ali ne sponzorira ih država. Izrael i Iran pod konstantnim su kibernetičkim napadima te oni imaju napadačke jedinice unutar države. Postoje jedinice koje se bave obranom i koje se isključivo bave napadom. Osim Izraela i Irana, napadačke jedinice imaju i Rusija, Sjeverna Koreja te SAD.

Kakva je situacija u našoj državi? Koliko je javni sektor osposobljen za kibernetičku sigurnost?

Definitivno su im potrebna znanja. Sama je svijest zaposlenika u državnim kompanija bitno drugačija od onih zaposlenih u privatnom sektoru. Oni misle da kibernetičku sigurnost netko drugi radi i da se netko drugi o tome brine. Također, državni je aparat inertan i spor te je teško progurati nova rješenja. Kada se dogodi, incident sve staje, što dokazuje i primjer Crne Gore.

Što su najslabije točke kod kibernetičkih napada?

Ljudi su najslabije točke. Međutim, potrebna je i tehnologija jer što vam vrijede obučeni ljudi ako imate zastarjelu tehnologiju. Dakle, idealan bi omjer bio 60/40 – 60 posto su ljudi, a 40 posto tehnologija. Morate imati tehnologiju jer ako ne pratite najbolje svjetske prakse napad vam se bez problema može dogoditi. Veliki sustavi imaju SOC (Security Operations Center). Span ima najveći SOC u Hrvatskoj, a usudit ću se reći i u regiji. Skupljamo najbolje prakse izvana te to primjenjujemo kod naših korisnika. Konstantno ih informiramo i obrazujemo te održavamo brifinge. To je jako važno istaknuti jer svi koji angažiraju tvrtke za SOC trebali bi imati partnerski odnos.

Koliko ste dugo u Spanu?

Tri godine.

Jeste li u Spanu imali kibernetičkih napada?

Span je konstantno predmet interesa napadača, ali mi se aktivno branimo i detektiramo na vrijeme takve ugroze. Bavimo se sigurnošću, a sve su takve kompanije stalno pod interesom napadača.

Jeste li imali slučaj da je netko uspio probio vašu obranu?

Ne, niti nas niti naše korisnike. Imamo 24/7 operativan SOC, koji daje uslugu i našim korisnicima, te je uvijek netko za konzolom. Primjenjujemo najsuvremenija rješenja i najbolje svjetske prakse.

O kakvim je napadima riječ?

Teško je reći jer su razni. Oni mogu biti na VPN tunele, na infrastrukturu, na akreditacije, na web, na elektroničku poštu…

Kada se napad događa, znate li koji je njegov cilj?

U Spanu imamo jako dobro posložen sustav te napad možemo preuzeti u naš laboratorij i pustiti ga  da se odigra do kraja u kontroliranom okruženju. Tako vidimo što se događa. Analize pokazuju da u 90 posto slučajeva Span nije cilj napada već se radi o njuškanju po mreži jer smo spojeni s različitim institucijama i kompanijama te kroz nas pokušavaju doći do drugih. No mi to brzo detektiramo.

Kako se provode treninzi i edukacije u Span Centru kibernetičke sigurnosti?

Ideja je da ljude dovedemo u naš Centar da kroz interakciju s instruktorima prođu kroz sve scenarije te da u praksi dožive napad i to na strukturi koja je kontrolirana. Napad naručujemo iz Izraela, odnosno od našeg partnera Cybergyma, za točno određen dan i vrijeme. Tako naši korisnici uče kako se braniti kako bi stečeno znanje mogli primijeniti u svojim kompanijama.

Tko su ciljani korisnici Spanovog centra?

U fokusu su nam svi, privatni i javni sektor kao i fizičke osobe. Na početku je bila ideja da napravimo centar i da obučavamo ljude koje ćemo i sami moći koristiti, poput SOC analitičara, tima za rješavanje incidenata, za forenziku i slično. No došli smo do zaključka da oni trebaju svima. Zato imamo nekoliko modela treninga. Jedan od njih je cyber security awareness trening (trening osviještenosti za kibernetičku sigurnost) koji bi trebali proći svi korisnici Interneta jer su svi oni legitima meta, kao i svaka tvrtka. Potrebno je raditi na podizanju sigurnosne kulture jer kada ljudi nauče prepoznati napad, onda na njega znaju i reagirati. U konačnici, znat će kome se moraju obratiti, a zahvaljujući tom znanju neće im biti hakiran račun nakon čega mogu biti ugroženi svi podaci.

A kakva je sigurnosna kultura u Hrvatskoj?

Jako niska. Svi su stava da se to njima neće dogoditi, a realnost je potpuno drugačija.  Ovo me ljeto zvalo barem 50 ljudi zbog problema s provalama, od onih na profile na društvenim mrežama do onih u elektroničku poštu. To pak može biti iznimno opasno jer provalom u, primjerice, elektroničku poštu haker može doći do svih korisnikovih lozinki.

Mogu li se i fizičke osobe prijaviti za trening i edukaciju u Spanov Centar?

Mogu. Upravo imamo jednog takvog prijavljenog.

Koliko će fizička osoba platiti trening?

Cijenu definiramo prema programu, odnosno prema danu. No za kompanije su cijene personalizirane prema samom sadržaju treninga, broju polaznika i slično.

Kakvi su planovi za Centar?

Krenuli smo s treninzima podizanja svijest o kibernetičkoj sigurnost te se to pokazalo odličnim. Plan je da u idućoj godini pokrenemo treninge koje ćemo izvoditi za velike kompanije te treninge forenzike i odgovora na incidente. Najavu njihovih održavanja imat ćemo na web stranici te ćemo ih puniti sukladno interesu.

Planirate li Span Centar kibernetičke sigurnosti širiti?

Svakako ćemo pratiti interes tržišta i sukladno tome planirati širenje Centra.

Kakav je interes iz regije?

Postoji interes iz regije, no to je još samo na razini interesa. Mišljenja smo da bi se mogao širiti zato što takav centar ne postoji gotovo nigdje. Ima jedan u Portugalu, ali nije komercijalan, te još jedan u Japanu.

Koliko je ljudi zaposleno u Centru?

Imamo 12 instruktora. To su ljudi koji imaju međunarodno iskustvo u kibernetičkoj sigurnosti, u arhitekturi, u napadima. Trenutačno nitko u državi na jednom mjestu nema toliko stručnjaka i to je naša prednost.

Pretpostavka je da će u iduće dvije godine nedostajati 3,5 milijuna stručnjaka za kibernetičku sigurnost. Kako Span stoji sa stručnjacima, ima li ih dovoljno na tržištu?

Kao i drugi, i mi se mučimo. Imamo jako puno projekata jer Span radi na inozemnim tržištima te pokušavamo obrazovati naše zaposlenike koji pokažu interes u ovom području. Dobro smo pokriveni, ali trebamo još stručnjaka.

Za što ste točno vi zaduženi u Spanovom Centru kibernetičke sigurnosti?

Za sigurnost cijele Span grupe te sam član Uprave Span Centra kibernetičke sigurnosti koja je sestrinska firma unutar Span Grupe.

U Span ste došli direktno iz SOA-e?

Otišao sam iz SOA-e kratko u Odašiljače i veze. Tamo samo bio oko godinu dana i bio sam direktor korporativne sigurnosti. Iz OiV-a sam došao u Span.

Koja je razlika rada u privatnom sektoru i SOA-i?

Ogromna. U privatnom se sektoru susrećem s novim tehnologijama i bržim načinom rješavanja problema te mogu puno brže implementirati stvari koje želim. Kada se dogodi neki noviteti na tržištu za koji procijenimo da je koristan za nas, Span može kroz nekoliko dana krenuti s testiranjem, dok u državnom sektoru mogu proći mjeseci pa i godine. Također, u privatnom je sektoru više razumijevanja za sigurnost. Meni je šef predsjednik Uprave Spana i s njim mogu bez problema sve dogovoriti. On je prije svega inženjer koji se ne boji novih rješenja, inovativan je i imamo zajedničke strateške ciljeve od samog početka, zato i imamo izvrsno posložene stvari i odnos. U SOA-i sam prošao puno zanimljivih situacija. Radio sam, u tada najjačem odjelu koji je SOA imala. Taj posao i to iskustvo izgradilo me da danas mogu obnašati funkciju direktora sigurnosti jedne od najvećih IT kompanija u Hrvatskoj.