Prošle je godine bilo 20 posto više neovlaštenog curenja podataka u odnosu na 2022., dok je broj žrtava hakiranja dvostruko veći, navodi Stuart Madnick, profesor na MIT-u te direktor Kibernetičke sigurnosti na MIT Sloanu.

Ti svjetski trendovi nisu zaobišli niti Hrvatsku. Uostalom, lani smo svjedočili puno većem broju hakerskih napada nego u prethodnim godinama. Tako su internet stranice Hrvatskog autokluba (HAK), ali i njegove online usluge, zbog napada na računalne servere, u lipnju 2023. bile nedostupne punih pet dana. Također, zbog hakerskog je napada bio blokiran rad državne kompanije Hrvatske vode.

Iako nas, dakle, kibernetički napadi ne zaobilaze, primjetan je prilično ležeran pristup domaćeg rukovodstva po pitanju ulaganja u informacijsku sigurnost. Dobar dio menadžmenta tako se i dalje pouzda u onu – “neće valjda baš mene hakirati”. Takav stav, pak, postaje sve opasniji izbor.

Situacija na terenu
Nikola Markovinović, direktor tvrtke Gama global te poznati stručnjak za informacijsku sigurnost, a samim time i dobar poznavatelj stanja kibernetičke sigurnosti u RH, kaže da i u svijetu tako i u Hrvatskoj broj kibernetičkih napada značajno raste.

“U kategoriju najzastupljenijih možemo svrstati različite oblike phishing napada. Taj oblik napada sada već možemo nazvati ‘tradicionalnim’, no i takav oblik napada korištenjem novih tehnologija postaje sve sofisticiraniji. Isto tako, značajan je porast različitih oblika ucjenjivačkih napada koji osim već ustaljene prakse korištenja ransomware alata doživljava određenu transformaciju prijetnjama u obliku ucjena usmjerenih na žrtvu napada gdje se prijeti prijavama različitim nadzornim tijelima uslijed propusta u implementaciji mjera sigurnosti”, objašnjava Markovinović situaciju na terenu.

Dodaje i da je jedan od značajnih vektora napada lanac opskrbe koji poprima sve veće značenje. “Ovim oblikom napada, u kombinaciji s određenim tehnikama socijalnog inženjeringa i phishing napadima cilj je dobiti pristup osjetljivim podacima koristeći slabosti u zaštiti informacijskih sustava ciljanog subjekta ili putem linije dobavljača zaobilaznim putem doći do ciljanog subjekta”, kaže Markovinović.

Da je broj napada u Hrvatskoj sve veći, pokazuje i nedavno objavljeno izvješće “Stanje informacijske i kibernetičke sigurnosti” koje tvrtka Diverto objavljuje već tradicionalno – peti put. Prema njemu broj napada ucjenjivačkim softverom (ransomware) na svjetskoj je razini u 2023., u odnosu na 2022. porastao 68 posto, a broj skupina napadača 30 posto.

Markovinović: Bankarski i telekomunikacijski te energetski sektor imaju volju podići razinu kibernetičke sigurnosti na višu razinu zbog zaštite vlastitog poslovanja.

Divertovo izvješće kaže da je zabilježen rast napada i u Hrvatskoj, ali i značajan pad njihove uspješnosti, odnosno enkripcija. Inače, prema zapažanjima Diverta na našim su prostorima Infostealeri, kojima je cilj krađa osjetljivih podataka, najčešća vrsta zlonamjernog programa, a glavni motiv napadača je – financijski.

Također, stoji u izvješću Diverta, broj distribuiranih napada uskraćivanjem usluga (DDoS) regionalno je značajno porastao. Dok se broj takvih napada u 2022. kretao na razini oko 400-tinjak mjesečno u 2023. porastao je na između 600 i 800 mjesečno.

“Prošlu je godinu, regionalno, obilježilo prelijevanje geopolitičkog stanja prijetnjama Revil/Killnet grupe za izvršenje DDoS napada na financijsko-platežne mreže. Za očekivati je da će se i budućnosti situacije iz stvarnog svijeta odražavati u području informacijsko-kibernetičke sigurnosti”, upozoravaju stručnjaci Diverta.

Troškovi veliki izazov
Što se tiče kategorije incidenata, najviše je kompromitacije poslužitelja, i to 34 posto. Slijedi kompromitacija korisničkog računa (22%), nakon kojih s 11 posto slijede incidenti izazvani zlonamjernim kodom, kompromitacija aplikacija, ransomware te neovlašten pristup.

Najviše incidenata tijekom 2023. godine dogodilo se, pokazuje izvješće Diverta, u sektoru digitalne infrastrukture i javne telekomunikacije (25 posto) te proizvodnje (25 posto). Slijedi sektor komunalnih usluga i ICT s 13 posto. Najmanje ih je bilo u bankarskom i financijskom sektoru te trgovini (12 posto).

Unatoč svemu navedenom te velikoj reputacijskoj, ali i financijskoj šteti koja prijeti onima koji su hakirani, domaće kompanije slabo ulažu u kibernetičku sigurnost. One koje ulažu uglavnom to čine jer ih na to tjera regulativa – bilo domaća, bilo europska. Broj organizacija koje troše 10 posto i više IT budžeta na informacijsku i kibernetičku sigurnost porastao je s 14,3 posto u 2022. na 15,9 posto u 2023., pokazuje izvješće Diverta.

Markovinović iz tvrtke Gama global ističe da su upravo troškovi veliki izazov u priči o kibernetičkoj sigurnosti. “Sigurnost nije jeftina i zbog toga značajan broj tvrtki ulaže minimalno, ili bolje rečeno na granici dostatnosti u mjere sigurnosti te se nada da neće biti predmetom napada”, kaže Markovinović. Ipak, dodaje, operativni dio, odnosno onaj koji se odnosi na uspostavu, provedbu i održavanje kibernetičke sigurnosti, uvelike ovisi o tome o kojoj se djelatnosti radi.

“Ona područja poslovanja koja su pod strogim nadzorom regulatornih tijela, u organizacijskom i tehničkom smislu, značajno više ulažu u odnosu na tvrtke koja nemaju tako jaki nadzor i kontrolu ili gdje nadzora i kontrole uopće nema. Tamo gdje je uspostavljen snažan nadzor i postoji regulatorni okvir, definirane su i visoke kazne pa ispada da se tvrtke usklađuju zbog potencijalnih kazni, a ne zbog vlastite sigurnosti”, ističe Markovinović.

No određene djelatnosti odskaču od standarda. “Primjer su bankarski i telekomunikacijski ili energetski sektor koji ima volju i želju podići razinu kibernetičke sigurnosti na višu razinu zbog zaštite vlastitog poslovanja”, napominje.

Tko će nas štititi?
Ipak, nedostatak svijesti o značenju sigurnosti kod najvišeg rukovodećeg kadra još je slaba karika kibernetičke sigurnosti u RH, smatra Markovinović, a isto potvrđuje i izvješće Diverta.

“Sigurnost kao takva promatra se kao trošak koji ne stvara prihod. Isto tako, zahtjevi koji proizlaze iz regulatornog okvira ali i iz sigurnosnih dobrih praksi često zahtijevaju određenu razinu opreza što iz perspektive “businessa” izgleda kao faktor koji usporava. S druge strane mali sigurnosni incidenti mogu izazvati veliku lavinu problema za tvrtku koju je teško sanirati”, upozorava Markovinović.

To, pak, nije jedina slaba točka koja prijeći izgradnju boljeg sustava zaštite u privatnim i javnim organizacijama. Naša je trenutačno velika boljka i nedostatak kvalificiranog kadra, upozorava direktor tvrtke Gama global. Usto, nedostaje i razmjene informacija o kibernetičkim prijetnjama. “Premda postoji veliki broj web servisa na kojima se mogu dobiti informacije o nekim općim prijetnjama i ranjivostima pojedinih sustava, razmjena informacija u nacionalnom krugu je još u povojima”, ističe.

Ta razmjena iskustva, pak, svima bi bila od koristi jer bi doprinijela boljem poznavanju situacije i opasnosti, a onda i boljim mogućnostima pripreme. Ovo je posebno važno kada se pogleda što se događa samo malo dalje od naših granica. Krajem prošle godine, primjerice, velike hakerske napade iskusile su energetske kompanije Slovenije i Srbije.

Koliko napadi mogu biti reputacijski i financijski štetni potvrđuju i aktivnosti Agencije za zaštitu osobnih podataka, nadzorno tijelo za zaštitu osobnih podataka. Lani je ovo tijelo, naime, izreklo sedam kazni u iznosu većem od 8,2 milijuna eura. “Uspoređujući sve prethodne godine, navedeno predstavlja 230 posto više izrečenih kazni, a prema iznosu, AZOP je izrekao dvije od 15 najviših kazni u 2023. godini na području EU-a”, stoji u izvješću Diverta.