Pitanje kibernetičke sigurnosti nije ništa novo u IT krugovima. Svima je već godinama jasno da ono što je na internetu nije sigurno i da, ako tvrtke i pojedinci, ne vode računa o svojoj sigurnosti, samo je pitanje vremena kad će se naći na udaru zlonamjernih osoba.
U posljednje vrijeme pak sve češće slušamo o kibernetičkom i hibridnom ratovanju, kao novim oblicima rata koji su vojne sukobe, s fizičkih bojišnica, preselili u virtualnu sferu. Kako je na konferenciji o kibernetičkoj sigurnosti Cyber Expo 2022., otkrio voditelj Katedre za kibernetičku sigurnost na Visokom učilištu Algebra, Zlatan Morić, samo u posljednja tri mjeseca zabilježeno je više od 300 kibernetičkih napada na Ukrajinu.
I iako cijeli svijet prstom upire u Rusiju, ističe Morić, u virtualnom je svijetu zapravo veoma teško reći tko točno stoji iza nekog kibernetičkog napada. Jer većina hakera to radi za novac, ne zbog nekih političkih ili drugih uvjerenja. Stoga ne iznenađuje da hakerske grupe iz Sjeverne Koreje, koje se povezuje s brojnim ransomware napadima diljem svijeta i koje (pretpostavlja se) djeluju uz blagoslov vladajućeg režima, zapravo svojim djelovanjem "pune" državni budžet. Prema nekim procjenama, čak 10 posto BDP-a Sjeverne Koreje dolazi od hakerskih aktivnosti.
Govoreći o razlikama između kibernetičkih napada i kibernetičkog ratovanja, Morić je istaknuo kako je zapravo glavna razlika u samom opsegu napada.
Različiti kibernetički napadi ratom čine upletenost državnih igrača. Tu su uz hakerske napade i špijunaža, sabotaža, propaganda, manipulacija i u konačnici utjecaj na ekonomiju, istaknuo je Morić.
U razgovoru za Zimo, istaknuo je kako su trenutno sve države u svijetu ž u riziku od kibernetičkog ratovanja pa tako i Hrvatska.
Već samim time što smo članica NATO-a svađamo se s Rusijom, rekao je za Zimo Morić i dodao da smo time došli na radar ruskih hakera. No, otkrio je i kako neki hakeri ne biraju koga će napasti. Sjeverna Koreja u zadnjih par mjeseci jednakim intenzitetom napada sve.
Može li se onda Hrvatska obraniti od takve jedne ugroze?
U principu, kad očekuješ napad onda se možeš i obraniti. Sad je samo pitanje da li ga očekujemo, rekao je Morić i dodao kako Hrvatska ima dovoljno stručnjaka za kibernetičku sigurnost da se može obraniti od takvih napada.
Što je najbitnije? Biti uvijek spreman, ali to je problematično jer zahtijeva jako puno resursa. U principu ni SAD si ne dopušta da je 100 posto vremena u tom statusu. Tako da je to gotovo nemoguća misija. Ratovanje u budućnosti bit će hibridno. Nikad neće klasično oružje nestati. Gdje je prednost kibernetičkog ratovanja? Možeš napasti nekoga, a da se ne zna da si to ti. To je jedina prednost koja postoji. I dalje će klasično oružje raditi veliku štetu. Jedini problem je što tebe taj napad košta. Kad projektil pogodi neku zgradu, pitanje je da li je šteta na toj zgradi veća od cijene te rakete, dodao je Morić.
Mi već ulažemo u kibernetičku sigurnost i vojska ulaže u kibernetičku sigurnost već neko vrijeme. Mi već imamo i postrojbu za kibernetičko djelovanje u sklopu vojske, kao zasebnu jedinicu. Onoliko koliko ja znam, ta naša postrojba je isključivo defanzivne namjere. Znači ne radi ofanzivne pothvate kao ove hakerske skupine koje sam već spominjao, istaknuo je.
Naglasio je kako kibernetičko ratovanje traje stalno i u budućnosti će ga biti sve više.
Želimo li se zaštititi, prije svega moramo podići svjesnost da smo ranjivi, a nakon toga i sigurnosne kontrole. Ono što ja volim reći je da se na internetu treba ponašati identično kao što biste se ponašali u stvarnom svijetu. Da sad hodate ulicom i netko vas nešto pita i traži vas OIB, da li bi mu dali? Ljudi su svjesni da se to ne treba raditi. Ali na internetu, ako vas neka forma to traži, vjerojatno ćete upisati. Ne smije biti razlike u ponašanju između stvarnog i virtualnog svijeta, naglasio je na kraju razgovora za Zimo Morić.
Digitalnim identitetom do sigurnijeg života u virtualnom svijetu
Jedan od načina kako zaštititi osobne podatke je korištenje digitalnog identiteta, odnosno uspostaviti certificiran način provjere podataka. O tome je na konferenciji govorio Boris Bajtl, voditelj Odjela kibernetičke sigurnosti Atos Hrvatska.
Kao jedan od pozitivnih primjera naveo je COVID potvrde koje su bile usuglašene na razini Europske unije. U budućnosti bi tako mogli imati usluglašene i provjere digitalnog identiteta. To bi uvelike olakšalo kretanje, ali i otežalo krađu identiteta, što je sve veći problem u digitalnom svijetu.
Bajtl je podsjetio i na problem digitalnog otiska, odnosno svih onih podataka koje ostavljamo tijekom svoje aktivnosti na internetu, a koji čak i kad su izbrisani, ne nestaju u potpunosti. Problem je i što s tim podacima nakon što korisnik umre? Za sad nema nikakvih protokola koji bi definirali što se događa s našim profilima na društvenim mrežama ili podacima na različitim platformama. Sve ovisi o samim tvrtkama koliko će te podatke čuvati i što će s njima napraviti.
Stoga, istaknuo je Bajtl, trebalo bi uspostaviti nekakav protokol koji će se baviti našim digitalnim životima, baš kao što se i zakoni odnosno uredbe bave našim fizičkim životima.
Kako je umjetna inteligencija obranila Olimpijske igre u Tokiju
Maciej Żarski, voditelj Atos CERT-a, prepričao je svoje iskustvo „iza kulisa“ kibernetičke sigurnosti Olimpijskih igara u Tokiju 2020., gdje je obnašao dužnost IT Security Managera. Otkrio je kako su pripreme za OI u Tokiju započele još 2018. godine nakon što su OI u Pyongyangu doživjele kibernetički napad tijekom samog otvaranja. Nako što su kibernetički stručnjaci uspjeli uspostaviti normalno funkcioniranje informatičkih sustava (nije radio WiFi na stadionu, televizijski sustav, aplikacija i web stranica OI), krenuli su s planovima što i kako napraviti kako se ova situacija ne bi ponovila na sljedećim Olimpijskim igrama.
Zbog pandemije su imali tri godine vremena da se pripreme i to se pokazalo ključnim. Prebacili su sve sustave u oblak te upotrijebili cijeli niz automatiziranih sustava prepoznavanja promjena kako u unutarnjem tako i vanjskom pristupu sustavu, kako bi na vrijeme prepoznali potencijalne napade.
Upravo se to pokazalo ključnim, jer im je omogućilo da tijekom cijelih Olimpijskih igara u Tokiju sve funkcionira bez ikakvih problema, iako je bilo više kibernetičkih napada na te sustave.
Ono što je posebno istaknuo je da je ključ dobre obrane, stalno iščekivanje napada. Odnosno, treba stalno biti spreman na obranu, bez obzira o kojem se sustavu radi.
Kibernetičkih stručnjaka treba i trebat će sve više
Na okruglom stolu „Kako privući i zadržati stručnjake za kibernetičku sigurnost“ Boris Bajtl (Atos Hrvatska), Marcin Lipinski (Atos), Zlatan Morić (Algebra grupa), Dražen Pranić (Atlantic grupa) i Mirela Šola (Atos Hrvatska) istaknuli su kako kibernetičkih stručnjaka u svijetu nedostaje, a kako se stvari sve više prebacuju u digitalnu sferu, nedostajat će ih još i više.
Istaknuli su kako se, baš kao i za drugim IT stručnjacima, "vode ratovi" među tvrtkama za najbolje stručnjake. Oni mogu birati gdje će i što raditi, a najčešće ih privlače izazovni projekti i ono što ih osobno zanima. U protivnome neće dugo ostati u tvrtki, a to je onda problem.
Prema nekim predviđanjima već sad nedostaje više od 20 posto kibernetičkih stručnjaka u svijetu, a ta će se brojka samo još više povećavati.
Morić je istaknuo kako na Algebri rade na tome da pokrenu studij kibernetičke sigurnosti, no kako bi se to ostvarilo potrebno je dobiti dopusnicu od Ministarstva obrazovanja i napraviti plan i program nastave. Problem je što se potrebe na tržištu toliko brzo mijenjaju, da i program koji je danas aktualan, sljedeće godine to možda neće biti.
Dvodnevna konferencija Cyber Expo 2022. u organizaciji Atosa i Algebre, završava radionicama na kojima sudionici mogu proći Microsoftov trening na temu sigurnosti, usklađenosti i identiteta, a koji priprema polaznike za stjecanje certifikata, odnosno polaganje ispita Microsoft SC-900.
