Proteklih godinu dana svjedočili smo nizu ozbiljnih kibernetičkih napada. Među njima izdvaja se onaj na KBC Zagreb kojim je ruska skupina LockBit ukrala i zaključala veliku količinu medicinske dokumentacije dovodeći u opasnost brojne živote. Niti godinu dana kasnije izveden je još jedan veliki napad – na Institut Ruđer Bošković. Tko stoji iza njega nije objavljeno, no poznato je, iz izvješća SOA-e, da su domaće organizacije sve češće meta državno-sponzoriranih kibernetičkih napada koji u većini slučajeva dolaze iz Rusije. Napad na IRB dokaz je da je i visoka znanost kibernetičkim kriminalcima vrlo atraktivna meta. Međutim, akademske institucije su u Hrvatskoj slabo zaštićene. Profesor Stjepan Groš, voditelj Specijalističkog studija informacijske sigurnosti zagrebačkog Fakulteta elektrotehnike i računalstva (FER) u intervjuu za Poslovni dnevnik otkriva da nema sustavnog pristupa upravljanja kibernetičkom sigurnošću na akademskim institucijama. Zakon o kibernetičkoj sigurnosti, koji je lani stupio na snagu, zaobišao je visokoobrazovne institucije. Groš objašnjava koje bi mogle biti posljedice ovakve situacije te iznosi potencijalna rješenja.
Koliko su akademske institucije spremne za kibernetičke napade?
Istaknuo bih da nisu sve institucije jednako spremne, postoje razlike i u sredstvima i u znanju, a i nedostatak zajedničke i bazne pripremljenosti koju bi svi trebali ispuniti. Siguran sam da ima institucija koje su dobro pripremljene, a nadam se da griješim kad kažem da ima i onih koje su jako slabo jer nemaju financijskih niti ljudskih resursa. Radne pozicije u akademskim institucijama su, kao i u državnim, točno definirane te ne mogu konkurirati privatnom sektoru. U takvim je okolnostima teško zaposliti i zadržati stručnjaka. Na pojedinim fakultetima se cijeli IT, a onda i sigurnost, svodi na tek par ljudi, ako i toliko. Takva situacija otežava redovito funkcioniranje samog sustava, da ne govorim o tome koliko je teško postići poboljšanja. Ovo je sustavan problem i treba mu tako pristupiti, ne oslanjati se samo na interne resurse i znanja pojedinih institucija i nadati se da je to dovoljno.
Hipotetski, da se dogodi kibernetički napad na neku od akademskih institucija, koje bi bile posljedice?
Primjera imamo više u posljednje vrijeme i vidimo da ne postoji jedinstven odgovor na ovo pitanje. Štete mogu biti značajne i svatko tko bi bio napadnut imao bi teške posljedice. Akademske institucije rukuju s jako puno osobnih podataka što znači da bi posljedično GDPR bio prekršen. Također, raspolažu s mnogo administrativnih podataka, od evidencije o studentima, zaposlenicima i slično, bez čega bi sustav vjerojatno stao. Sve bi, naravno, ovisilo o vrsti napada. S obzirom na to da je najčešći “ransomware”, posljedice bi potencijalno mogle biti katastrofalne. Imamo i konkretan primjer napada na jednu akademsku instituciju koji se dogodio ovog ljeta, a prije toga je jedan značajniji slučaj bio i napad na Sveučilište u Mariboru. Ti kibernetički napadi jasno ilustriraju što se dogodi prilikom napada, koliko traju uspostave redovitih procesa u pogon, ali i kakve sve posljedice imaju takvi napadi na svakodnevni rad. Zbog napada, naime, sve stane te je oporavak jako težak. Iskustvo je pokazalo i da bi javna nabava koje je nužna za sve vanjske usluge, opremu, sate stručnjaka mogla biti značajan problem u procesu oporavka budući da je u slučajevima incidenata nužno hitno reagirati, što s javnom nabavom nije moguće. Ovo još jasnije oslikava potrebu za postojanjem sustava i unificiranjem pristupa i procedura u slučaju kibernetičke zaštite.
Kako je organizirano upravljanje kibernetičkom sigurnošću na akademskim institucijama posebno s obzirom na Zakon o kibernetičkoj sigurnosti i pripadajuću Uredbu?
Taj Zakon i Uredba, kako trenutačno stvari stoje, neće se primjenjivati na akademske institucije. Niti jedna visokoškolska, edukacijska ili akademska institucija nije klasificirana po tom zakonu. S obzirom na to, način kako će upravljati s kibernetičkom sigurnošću je prepušteno samim akademskim institucijama, i još značajnije, nema podrške ni zajedničkog standarda. I to će biti problem.
Kako to da smo u vremenu ozbiljnih prijetnji od kibernetičkih napada i incidenata propustili urediti i organizirati sustav obrane na akademskim institucijama?
Ne bih rekao da smo propustili. Sustav se gradi. Kibernetičkih incidenata, barem koliko je javno poznato, na akademskim institucijama, nije bilo mnogo. Oni koji odlučuju i koji daju novac vjerojatno se vode mišljenjem da ako takvih incidenata nije bilo da ih niti neće biti zbog čega je atmosfera poprilično opuštena.
Istovremeno, akademski je sustav vrlo složen i heterogen te funkcionira na drugačiji način u odnosu na tvrtke i državne institucije – akademske slobode su temeljno načelo. Sigurnost, s druge strane, po definiciji nameće pravila ponašanja koji utječu na akademske slobode, što stvara određene izazove.
Koji su najveći izazovi s kojima se akademske institucije susreću po pitanju kibernetičkih prijetnji?
Što se tiče napada “ransomwarei” su najveća prijetnja, a što se tiče samog sustava i organizacije obrane prvo bi svi dionici trebali zajedno sjesti, od nadležnog Ministarstva znanosti, obrazovanja i mladih do sveučilišta i fakulteta. Ministarstvo bi trebalo biti to koje će držati ritam.
Bi li sama sveučilišta mogla više?
Neka da, neka ne. Ali i tu ima dosta izazova. Integrirana sveučilišta mogu napraviti više, ona koja nisu integrirana ovise o sastavnicama što povećava broj dionika koje treba uključiti u raspravu, a što otežava dogovore. Zaključio bih da je sustav vrlo složen te da, osim na osiguranju novca i kadra za kibernetičku sigurnost, treba raditi i na podizanju svijesti o važnosti ulaganja u obranu od kibernetičkih napada. Novac je, naravno, uvijek veliki izazov jer ga nikada nema dovoljno.
Nedavno ste na FER-u održali znanstveni kolokvij ‘Kibernetička sigurnost akademskih institucija’, pretpostavljam baš zbog problema o kojima ste pričali?
Tako je. Ideja održavanja znanstvenog kolokvija bila je okupiti dionike akademskih institucija s ciljem dijeljenja resursa i informacija. Primjerice, Hrvatska udruga banaka ima svoj odbor za informacijsku sigurnost kako bi na jednom mjestu svi dionici mogli raspravljali o sigurnosnim izazovima. Akademske institucije u Hrvatskoj nemaju ništa slično. Ništa tog tipa ne postoji niti u regiji, međutim, u SAD-u su se akademske institucije okupile u organizaciji REN-ISAC čiji članovi dolaze iz cijelog svijeta. To bi mogao biti dobar model po kojem bi se i u Hrvatskoj mogli okupiti, no problem je što REN-ISAC naplaćuje članstvo, a kod nas za tako nešto ili nema novca ili interesa.
Kako točno funkcionira REN-ISAC?
On okuplja sve dionike iz akademskog sektora te im pruža pomoć i podršku u rješavanju kibernetičkih incidenata. Također, u slučaju incidenata svima distribuiraju relevantne informacije koje omogućavaju sprečavanje tog istog napada. U Hrvatskoj postoji Nacionalni CERT, čija se uloga dijelom preklapa s REN-ISAC-om, međutim Nacionalni CERT pokriva jako velik broj organizacija što dosta crpi njihove resurse. Također, nije ideja da CERT pomaže akademskim institucijama u rješavanju internih problema koji nisu vezani za sigurnost, ali mogu imati posljednice za sigurnost. Za to bi nam bolje odgovaralo povezivanje kroz organizaciju kao što je REN-ISAC.
Koji je dio uspostave sustava informacijske i kibernetičke sigurnosti na akademskim institucijama najkritičniji?
Najteža je uspostava sustava upravljanja. FER je taj sustav oformio jer ima nastavni kadar koji se bavi sigurnošću pa nam je, s te strane, bilo jednostavnije. Nezgodno je, s druge strane, što nismo oslobođeni standardnog posla. No, tako se pokrivamo dok se trenutačna situacija ne riješi i dok se ne zaposle, nadamo se, stručnjaci. No, brojni fakulteti i visokoškolske ustanove nemaju kadar koji bi mogao upravljati sustavom sigurnosti. Ako ga i imaju, riječ je o programerima i sistem administratorima, odnosno IT-ovcima koji u upravljačkom smislu ne bi smjeli odlučivati o sigurnosti sustava. Sigurnost definira IT-u što treba raditi, a ako IT sam sebi zadaje zadatke onda dolazi u sukob interesa.
Dakle, u Hrvatskoj trenutačno postoje fakulteti na kojima se nitko ne bavi informacijskom sigurnošću?
Sigurno ima fakulteta na kojima se nitko ne bavi informacijskom sigurnošću. I da, to je veliki problem.
Koji bi trebalo riješiti Ministarstvo znanosti?
Ministarstvo se mora uključiti. Ne bih previše ulazio u to što bi točno ministarstvo trebalo raditi, no siguran sam da bez ministarstva ne možemo mnogo jer su oni vrlo bitan dionik u priči o kibernetičkoj sigurnosti akademskih institucija. Što ono konkretno može, o tome treba raspravljati. U konačnici i ministarstvo ima određena ograničenja. Želio bih samo da sjednemo za stol i počnemo razgovarati kako bi zajednički došli do rješenja.
Posebno jer su hakerski napadi sve češći i sofisticiraniji?
Tako je. No, bio bih oprezan s izrazom hakerski napadi. Kibernetički napadi su kriminalni napadi, dok su hakeri ljudi koji jako dobro poznaju tehnologiju, imaju znanja i vještine te su ih sposobni iskoristiti za ono za što program nije namijenjen. Hakeri ipak ne prelaze tu crtu. Kibernetički kriminalci, ni u kojem smislu, nisu hakeri. Termini kojim ih možemo opisati su napadači i kriminalci. U tom smislu dobra je usporedba s borilačkim sportovima. Kada netko trenira borilački sport onda ga zovemo sportaš, no kada netko tko trenira borilački sport nekoga namlati više nije sportaš već kriminalac ili nasilnik. Problem je što se zbog krivog medijskog izražavanja stječe kriva percepcija, posebno među najmlađima, da su hakeri ljudi koji rade nešto loše i mimo zakona, što nije točno. Tako se stječe odbojnost prema profesiji i razvoju načina razmišljanja koji je vrlo važan u IT profesiji.
U cijelom svijetu, pa tako i u Hrvatskoj, nedostaju stručnjaci za kibernetičku sigurnost. U Hrvatskoj je relativno malo programa koji obrazuju takav kadar. FER, konkretno, ima specijalistički studij informacijske sigurnosti, kojeg vi vodite. Kako riješiti problem nedostatka stručnjaka?
U sigurnosti postoji nedostatak ljudi, ali tako je i u mnogim drugim područjima. Svi se borimo za ograničen bazen ljudi i dok je god on ograničen neće se mnogo toga promijeniti. Edukacija je jedino rješenje, kratkoročno, srednjoročno i dugoročno. Kada, primjerice, govorimo o cjeloživotnom obrazovanju – uz koji je vezan specijalistički studij – niz je prisutnih izazova. Primjerice, način razmišljanja prema kojem se na edukaciju još uvijek gleda kao na papir koji pokazuje da se nešto zna, a ne kao na ulaganje u budućnost. No, i tvrtke koje šalju zaposlenike na edukaciju se suočavaju s problemom jer ako zaposlenika pošalju na dodatna usavršavanja ili obrazovanje, on ne može više odraditi sav posao koji bi trebao. To su samo dva primjera, a nismo se ni dotaknuli drugih razina edukacije. Riječ je, dakle, o složenom problemu za koji rješenja nisu jednostavna i traže koordinirano djelovanje svih dionika. Međutim, veliko je pitanje tko bi i kako trebao napraviti tu koordinaciju. Treba nam strateški pristup, ali tu je isto niz problema. Primjerice, Strategija pametne specijalizacije koja je trebala poslužiti kao način da se usmjerimo u strateški važne pravce i koja treba omogućiti alokaciju ograničenih resursa – pa i ljudskih – u nekoliko područje, je strategija “sve specijalizacije” jer država zapravo nije odredila za što ćemo se specijalizirati već su u njoj kao prioritetne navedene praktički sve industrije. Možda tu može uskočiti neka strukovna ili slična organizacija koja bi okupila i usmjerila sve dionike iz kibernetičke sigurnosti, ali nema takvih organizacija puno. Ima puno raznih organizacija koje, osim kibernetičke sigurnosti ili IT-ja, okupljaju još i niz drugih djelatnosti. Zbog toga te organizacije ne mogu usmjeravati ograničeni bazen ljudi u samoj jednom smjeru te su na neki način interno u sukobu interesa. Onaj tko to radi mora usko orijentiran prema kibernetičkoj sigurnosti, ili bar prema IT-ju kao cjelini.
Koja to organizacija nije u ‘sukobu interesa’ i trebala bi se boriti za interese informacijske i kibernetičke sigurnosti?
Ima kandidata, ali ih ne bih javno isticao.
Tko se bolje ‘štiti’ u Hrvatskoj, privatni ili javni sektor?
Svatko ima svoje perjanice, no tko je u prosjeku bolji jako je nezgodno procjenjivati. To zapravo nitko ne zna.
Kako vam se općenito čini razina kibernetičke sigurnosti u državi?
Relativno dobro stojimo po pitanju sigurnosti, posebno u usporedbi s regijom. U Hrvatskoj postoje agencije, tvrtke i pojedinci koji guraju stvari. Pa i sama prva Strategija pametne specijalizacije, donesena 2014., uključivala je kibernetičku sigurnost kao područje specijalizacije. Također, rano smo dobili Nacionalnu strategiju kibernetičke sigurnosti, što je također doprinijelo razvoju ovog područja u državi. Transpozicija NIS2 regulative odrađena je jako brzo te sustav po tom pitanju jako dobro funkcionira.
Sigurnosno-obavještajna agencija (SOA) Zakonom o kibernetičkoj sigurnosti postala je središnje državno tijelo za upravljanje kibernetičkom sigurnošću. Svojevremeno se takva uloga SOA-e, tijela koje je po svojoj prirodi prilično zatvoreno, dosta kritizirala. Jesmo li trebali SOA-i dati da upravlja Nacionalnim centrom za kibernetičku sigurnost?
Smatram da su kritike bile promašene te da SOA dobro radi svoj posao u ovom segmentu. Netko je tu ulogu morao preuzeti, a SOA za to ima tim. Pitanje je tko bi drugi mogao biti tijelo za upravljanje kibernetičkom sigurnošću. I za sada se čini da se stvari razvijaju jako dobro, ali moramo imati realna očekivanja.
Što će biti najvažnije u gradnji sustava kibernetičke sigurnosti u Hrvatskoj?
Najvažniji su dijalog, povezivanje i dijeljenje znanja. Također, volio bih kada bi se više dijelile informacije o incidentima unutar zajednice jer bi tada i drugi subjekti na tržištu mogli bolje pripremiti svoje sustave. Međutim, o incidentima se u Hrvatskoj iznimno rijetko otvoreno govori.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu