IT stručnjak upozorava: "Pronašli smo potencijalne ranjivosti u brojnim hrvatskim tvrtkama, a kad smo ih na to upozorili - nitko se nije udostojio odgovoriti"

Pitanje kibernetičke sigurnosti više nije nešto o čemu računa moraju voditi "neki drugi", već postaje neizostavan dio modernog života. Pri tome, kibernetička sigurnost nije nešto što zabrinjava samo velike međunarodne tvrtke. Na udaru kibernetičkih kriminalaca mogu se naći svi - veliki, mali, tvrtke, obrti, institucije, ali i pojedinci. 

tri vijesti o kojima se priča Poznati su neki detalji Projekt koji bi mogao promijeniti naše poimanje svemira: Znanstvenici u “lovu” na izvanzemaljce Svaki se postotak računa Googleovi savjeti koje treba poslušati: Evo kako smanjiti potrošnju baterije na Androidu Veliki ritualni kompleks Najstariji poznati spomenik drevnih Maja mogao bi biti ogromna karta svemira

Posljednjih godina svjedoci smo sve češćim kibernetičkim napadima na ono što se naziva "kritičnom infrastrukturom". Samo prošle godine na udaru kibernetičkih kriminalaca našla se bolnica KBC Zagreb, ali i Zračna luka Split. A to su samo najzvučnija imena o kojima se pričalo u javnosti. 

Tko su hakeri koji su izazvali kaos u splitskoj zračnoj luci? Specijalnost im je - dvostruka ucjena

Hakeri se hvale i traže otkupninu: KBC-u Zagreb ukrali smo podatke o pacijentima, bolničke kartone...

Pa kakva je onda kibernetička sigurnost u Hrvatskoj? Upravo smo o tome razgovarali s Robertom Majhenom, stručnjakom s dugogodišnjim iskustvom, a trenutno IT stručnjakom u LUCERA poduzetničkom inkubatoru grada Ludbrega.

Kroz inicijativu za sigurniji internet, pokrenutu od strane Grada Ludbrega i poduzetničkog inkubatora LUCERA, proveli smo osnovni pregled sigurnosti internetskih stranica i u nekoliko europskih zemalja. Zaključak je da su uočene ranjivosti vrlo slične kao i u Hrvatskoj i da su prisutne posvuda. Zanimljivo je da smo manji broj potencijalnih problema primijetili u istočnoj Europi, što vjerojatno možemo pripisati tome da su online sustavi u tim zemljama češće izloženi pokušajima kompromitiranja. Posljedično, oni su prisiljeni češće ažurirati svoje sigurnosne komponente.
Budući da sam kroz EU projekte u posljednjih šest godina intenzivno putovao, stekao sam uvid u navike i razmišljanja ljudi diljem Europe. Ono što je fascinantno jest da, bez obzira na geografsku lokaciju, svi dijelimo slične brige, smijemo se istim stvarima i podložni smo istim zamkama kada je riječ o kibernetičkoj sigurnosti.
Svjedoci smo sve kreativnijih tehnika kompromitiranja – kako poslovnih online sustava, tako i personaliziranih napada – ali motivi napada ostali su isti. Bilo da se radi o narušavanju ugleda ili brenda tvrtke, industrijskoj špijunaži, napadima u korist konkurencije ili osobnim razlozima, digitalni prostor postao je bojno polje.
Razvoj i dostupnost interneta omogućili su nam da stvaramo idealizirane verzije sebe kroz digitalne identitete – bilo osobne, bilo identitete robnih marki. Prirodno je da ih želimo dodatno eksponirati, no time nesvjesno povećavamo rizik njihove kompromitacije. Kada se to dogodi, takav napad ne doživljavamo samo kao sigurnosni incident, već kao udar na vlastiti identitet.
Na evolucijskoj razini nismo rođeni s vještinama zaštite naših digitalnih identiteta, pa je nužno razvijati ih. Osim zdravog razuma, u tome nam mogu značajno pomoći i stručnjaci za kibernetičku sigurnost.

Što biste izdvojili kao "rak ranu" kibernetičke sigurnosti u Hrvatskoj? Gdje smo najslabiji, a gdje najsnažniji?

Rekao bih da je najveća „rak rana“ kibernetičke sigurnosti u Hrvatskoj nedostatak svijesti i proaktivnosti. Još uvijek se previše oslanjamo na pretpostavku „meni se to neće dogoditi“, a kada se dogodi, reakcija je često zakašnjela. Tvrtke i institucije uglavnom ulažu u sigurnost tek nakon što iskuse ozbiljan incident, umjesto da probleme spriječe unaprijed. Također, često vidim slabu kontrolu nad osjetljivim podacima, što rezultira curenjima informacija i sigurnosnim propustima.
S druge strane, imamo vrhunske stručnjake koji su cijenjeni i traženi u svijetu. Hrvatska scena kibernetičke sigurnosti je prepuna talentiranih ljudi koji rade fantastične stvari, ali problem je što se njihovo znanje i iskustvo ne iskorištava dovoljno na nacionalnoj razini. Mnogo potencijala ostaje neiskorišteno, a dio stručnjaka odlazi van jer ovdje nemaju dovoljno prilika za razvoj.

Dakle, dok s jedne strane imamo ljude koji znaju i mogu, s druge strane imamo organizacije koje još ne razumiju koliko je kibernetička sigurnost ključna – i to je jaz koji moramo premostiti.

Kibernetički napadi se mogu i trebaju spriječiti

Prošle smo godine imali priliku slušati o nekoliko velikih kibernetičkih napada na kritičnu infrastrukturu (zrakoplovna luka, bolnica, porezna uprava). Mogu li se takvi napadi spriječiti? Ili barem smanjiti šteta?

Takvi se napadi mogu i trebaju spriječiti, ali to zahtijeva kontinuiranu pripremu i ozbiljan pristup sigurnosti, a ne samo reakciju kada stvari krenu po zlu. Kritična infrastruktura je posebno osjetljiva jer njeni sustavi moraju biti dostupni 24/7, a svaki zastoj može imati ozbiljne posljedice.
Prevencija napada kreće od osnovnih stvari – redovito ažuriranje sustava, segmentacija mreže, kontrola pristupa i sigurnosni nadzor. No, ključni problem je što se u mnogim institucijama sigurnost još uvijek doživljava kao trošak, a ne kao nužnost. Ako nema ulaganja u sigurnost, pitanje nije hoće li se napad dogoditi, nego kada.
Šteta se može značajno smanjiti dobrom pripremom – organizacije trebaju imati jasno definirane planove odgovora na incidente, redovito testirati sigurnosne mjere i educirati zaposlenike. Kod ovakvih napada često ljudska pogreška igra veliku ulogu, pa su simulacije napada i obuka zaposlenika jednako važne kao i tehnološka zaštita.
Dakle, napadi se mogu spriječiti ili barem ublažiti posljedice, ali samo ako sigurnost shvatimo ozbiljno i djelujemo proaktivno, umjesto da čekamo da problem eksplodira pa ga onda gasimo u panici.
Prisustvovao sam na nekoliko seminara vezano uz NIS2 direktivu kojom se reguliraju koraci za sprečavanje kibernetičkih napada kao i prijavljivanje incidenata ako se oni dogode. Ključna riječ koja se pojavljuje na tim seminarima je – OTPORNOST. Otpornost u smislu da ako se incident već i dogodio, da interni sustavi moraju biti podešeni na način kako ih takav incident ne bi do te mjere neutralizirao da bi bilo katastrofalno za poslovne procese.
Možda će propisane kazne u astronomskim iznosima kao i izravna odgovornost menadžmenta biti poticaj da se počne djelovati proaktivno.

Robert Majhen (Foto: Privatna arhiva)

Napravili ste zanimljiv eksperiment - testirali ste kibernetičku sigurnost cijelog niza tvrtki i institucija. Kakvi su bili rezultati?

Za potrebe inicijalnog testiranja razvili smo alate koji na neinvazivan način pregledavaju javno dostupne informacije na internetskim stranicama tvrtki i javnih ustanova, odabranih slučajnim odabirom. Važno je naglasiti da ti alati, zbog svoje neinvazivnosti, nisu u mogućnosti potvrditi samu ranjivost, već samo ukazuju na potencijalnu kompromitaciju.
Naš sustav prepoznao je dvadesetak stranica koje bi potencijalno mogle biti ugrožene u smislu curenja podataka, što NIS2 direktiva definira kao vrlo ozbiljan propust. S obzirom na to da se radi o vrlo altruističnoj akciji i inicijativi za sigurniji internet, kontaktirali smo te subjekte s informacijom da sumnjamo da je njihov sustav podložan kompromitiranju, te smo tražili samo dozvolu da tu potencijalnu ranjivost potvrdimo. Naravno, to bi bilo besplatno.
Treba istaknuti da potvrđivanje takvih ranjivosti uključuje korištenje hakerskih alata koje, kao etički kibernetički stručnjaci, ne smijemo koristiti bez dozvole klijenta. Također, jasno smo im dali do znanja da će im informacija biti dostavljena bez naknade i da će tu potencijalnu ranjivost trebati riješiti u suradnji s vlastitim IT odjelima.
Od 20 kontaktiranih tvrtki i javnih servisa nismo dobili niti jedan odgovor. Iako sam osobno u poduzetničkom svijetu već oko 30 godina, malo što me može iznenaditi, no moram priznati da ovakav eklatantan primjer zanemarivanja informacije koja bi im mogla uštedjeti velike probleme – nisam vidio.

Što mislite, zašto vam se nitko nije povratno javio? Jesu li toliko neodgovorni ili im je neugodno što je netko otkrio slabosti i ukazao na njih?

Nakon inicijalnog šoka, zapravo je njihova reakcija vrlo objašnjiva.
Mislim da je kombinacija oba razloga – neodgovornost i neugoda. Kada otkrijemo ranjivost i prijavimo je, često se susrećemo s tišinom. S jedne strane, to je klasičan problem ignoriranja neugodnih vijesti – lakše je praviti se da problem ne postoji nego ga priznati i suočiti se s njim. S druge strane, u nekim slučajevima možda postoji nesnalaženje ili strah od odgovornosti, pogotovo ako bi priznanje propusta značilo i posljedice za određene ljude ili institucije.
Nažalost, sigurnost se često shvaća kao nešto što se rješava „kad se mora“, umjesto da se problemi adresiraju na vrijeme. Zato nije rijetko da tek nakon incidenta, kada je šteta već napravljena, počnu panične reakcije i traženje rješenja koja su se mogla primijeniti ranije.
Kako NIS2 direktiva predviđa za neke korisnike OBAVEZNO prijavljivanje incidenata, treba računati na to da to ljudi neće raditi.
Naime pretpostavimo scenarij u kojem je tvrtka pogođena ransomware napadom i zaključani su im svi vitalni dokumenti za nastavak proizvodnje. Pretpostavljam da im u narednim tjednima/mjesecima slijede mnogo bitnije aktivnosti od popunjavanja niza formulara i priznavanja neproaktivnog djelovanja u smislu kibernetičke sigurnosti. Ne dospije li ta informacija u medije, bolje je iz njihove perspektive takvu ranjivost zataškati.

NIS2 će za mnoge biti puko zadovoljavanje forme

Hakeri osmislili nov način za krađu vaših podataka, i to tamo gdje ga najmanje očekujete

S obzirom na to da je na snagu stupila europska direktiva o jačanju kibernetičke sigurnosti, s kakvim će se problemima sad susresti obrtnici, tvrtke, ali i institucije?

Sudeći po seminarima i informacijama koje imam – uz napomenu da nisam detaljno proučio samu direktivu – tvrtke, obrtnici i institucije suočit će se s povećanom administracijom, odnosno ispunjavanjem brojnih formulara i donošenjem dokumenata koji će barem na papiru pokazati da su spremni na kibernetičke prijetnje.
Bojim se da će kod mnogih to biti puko zadovoljavanje forme, bez stvarnog razumijevanja ili primjene mjera u praksi. Već sada vidim trend gdje se sigurnosne politike pišu kako bi zadovoljile propise, ali se u stvarnosti ne implementiraju dosljedno. Problem je što papirnata sigurnost ne štiti od napada – ako mjere nisu stvarno provedene, to neće pomoći u trenutku kada dođe do incidenta.
S druge strane, ova direktiva je ipak korak u pravom smjeru, jer stavlja kibernetičku sigurnost u fokus. Pitanje je samo hoće li tvrtke i institucije iskoristiti priliku da zaista podignu razinu zaštite ili će se sve svesti na još jednu birokratsku obavezu.

Što bi svi oni, po vama, trebali prvo napraviti?

Za miran san potrebno je napraviti nekoliko vrlo temeljnih provjera.
Provjera online sustava
Ukoliko ste tvrtka koja iz bilo kojeg razloga zapisuje bilo kakve podatke korisnika u online bazu, važno je te podatke „skladištiti“ u za to predviđenom formatu. Također, forme za prijavu i registraciju treba provjeriti na osnovne ranjivosti.
Već time ćete se značajno zaštititi. Predlažem da te provjere izvrše neovisni kibernetički stručnjaci. Samo kontaktiranje developera vašeg sustava i njihova potvrda da je sustav siguran, ne mora nužno jamčiti sigurnost.
Što se tiče vaše online prisutnosti, ako koristite neki od popularnih CMS sustava (WordPress, Joomla, itd.), obavezno ih redovito nadograđujte.
Email phishing
Nadalje ukoliko ste tvrtka i imate više od jednog zaposlenika, imate također više od jedne osobe koju treba informatički opismeniti u smislu email phishing napada.
Prema nekim podacima, u posljednjih nekoliko godina phishing napadi porasli su za 62 %. NIS2 direktiva posebnu pozornost posvećuje upravo ovom problemu. Organizirajte obuku za svoje zaposlenike od strane stručnjaka ili barem podijelite lako dostupne pamflete o osnovama prepoznavanja phishing napada.
Mi smo za naše klijente proveli nekoliko simulacija phishing napada i rezultati su poražavajući. 40 % ciljanih korisnika dalo nam je svoje lozinke, a 20 % korisnika nastavilo je komunikaciju s nama misleći da razgovaraju s vlasnikom tvrtke. Dovoljna vam je samo jedna osoba koja klikne na email koji nije smjela kako bi prouzročila nezamislive troškove.
Mrežna infrastruktura
Treći aspekt odnosi se na mrežnu infrastrukturu. Ako ste tvrtka čiji se poslovni procesi temelje na bežičnoj povezanosti raznih uređaja, provjerite je li vaša Wi-Fi mreža potencijalno ranjiva na kompromitaciju. Smatram da je u više od 90 % slučajeva to moguće, i to bez potrebe da maliciozan korisnik zna kredencije za prijavu na Wi-Fi mrežu.
Jednostavnim i lako dostupnim alatima tvrdim da je vašu Wi-Fi mrežu vrlo lako onemogućiti. I ne radi se samo o onemogućavanju spajanja vaših uređaja na bežičnu mrežu, već ta ranjivost u nekim scenarijima omogućava i probijanje lozinke Wi-Fi mreže. Uz pojavu kvantnih procesora, to će postati vrlo lak zadatak, unatoč činjenici da vaša lozinka može biti kompleksna.
Scenarij u kojem maliciozan korisnik može spojiti svoj uređaj na vašu mrežu donosi niz drugih sigurnosnih prijetnji, uključujući mogućnost kompromitacije svih računala koja se nalaze na toj mreži.

Dakle, iako ovo zvuči alarmantno, proaktivnim osiguravanjem barem ova tri aspekta uvelike ćete smanjiti mogućnost da se suočite s posljedicama NIS2 direktive u smislu kažnjavanja.

Savjet stručnjaka za sigurnost: Evo što napraviti ako se hakeri dokopaju podataka i zatraže otkupninu

Zašto većina tvrtki izbjegava prijaviti da su žrtve kibernetičkih napada? Kakve posljedice, to neprijavljivanje, može imati?

Većina tvrtki izbjegava prijaviti da su žrtve kibernetičkih napada zbog straha od negativnih posljedica koje bi mogle nastati. Mnogi smatraju da bi prijava napada mogla negativno utjecati na njihov ugled i poslovanje, a dodatno se boje sankcija ili troškova koji bi mogli nastati od strane regulatora. Nažalost, takav pristup često ima suprotan efekt – neprijavljivanje napada može dugoročno rezultirati većim problemima, kao što su gubitak povjerenja korisnika, mogući pravni problemi, te potencijalno ozbiljniji napadi u budućnosti.
Iz osobnog iskustva mogu reći da nisam iznenađen kad naiđem na ovakav pristup, jer živimo u svijetu gdje je "izbjegavanje odgovornosti" nažalost često brži način rješavanja problema. No, pravo pitanje je – koliko nam takav pristup dugoročno može štetiti? Neprijavljivanje napada često znači i propuštanje prilike da se sustav poboljša i osigura, a to je dugoročno mnogo skuplje nego proaktivno suočavanje s problemom.

Kako si pomoći ako se nađemo na meti kibernetičkog napada?

A što je s običnim građanima? Koliko su oni izloženi kibernetičkim napadima? Kome se mogu javiti u takvom slučaju?

Obični građani su izloženi kibernetičkim napadima više nego što misle. Iako se često smatra da su mete isključivo tvrtke i institucije, napadači se sve češće fokusiraju na pojedince – bilo kroz phishing prijevare, krađu identiteta, ucjenjivačke softvere (ransomware) ili lažne online trgovine.
Građani su posebno ranjivi jer često koriste slabe lozinke, ponavljaju iste pristupne podatke na više mjesta i nisu dovoljno oprezni kada klikću na sumnjive linkove ili dijele osobne podatke. Osim toga, mnogi nisu svjesni koliko su njihovi podaci već dostupni na internetu i kako ih kriminalci mogu iskoristiti.
Ako postanu žrtve napada, građani se mogu obratiti:

• CERT-u (Nacionalnom CERT-u) – oni prate kibernetičke prijetnje i mogu pružiti savjete kako postupiti u slučaju napada.
• Policiji, ako je riječ o financijskoj prijevari, krađi identiteta ili sličnim kaznenim djelima.
  
• Bankama, ako su im kompromitirani podaci vezani uz online bankarstvo ili kartične transakcije.
  
• IT stručnjacima ili servisima, ako je potrebno ukloniti zlonamjerni softver ili osigurati uređaje.
  

Najvažnije je reagirati brzo, jer što prije prijave napad ili sumnjivu aktivnost, veće su šanse da se šteta minimizira.

Što građani mogu napraviti kako bi učinili svoj digitalni život sigurnijim?

Ako bih trebao dati kolokvijalan odgovor onda bih to postavio ovako:

• Ako vam se neka ponuda proizvoda čini predobrom da bi bila moguća, vrlo je vjerojatno da se radi o prevari.
• Ako vas je za prijateljstvo na socijalnoj mreži zatražio neki celebrity, zapitajte se jeste li ipak vi takva faca
• Nikad ali baš nikad vas banke neće tražiti da online popunjavate ili ažurirate brojeve svojih kreditnih kartica
• Koristite složene lozinke i ako servis to omogućava uključite 2FA autentifikaciju
• Ne otvarajte privitke u emailovima ako dolaze od email adresa koje ne poznajete i ako niste zatražili takav privitak
• snizenje@nekadomena.com i snizenje@nekadornena.com nistu isto. Vrag je u detaljima.
• Redovito izrađujte sigurnosne kopije bitnih i vama važnih datoteka
• Na vašim wifi ruterima uključite WPA3 zaštitu .. ili barem WPA2
• Iako to može zvučati izazovno i u suprotnosti je s fenomenom društvenih mreža, nemojte objavljivati previše osobnih informacija
• Zaprimite li neobičan SMS na mobitel, provjerite da li je vaše dijete zaista izgubilo mobitel ili ste žrtva smishinga
• Kliknete li na kompromitirajući link u emailu, to neće biti kraj svijeta ali će vrlo lako biti kraj vaše profesionalne karijere kod trenutnog poslodavca.

Hakeri napali jednu od većih hrvatskih IT tvrtki

Razvoj umjetne inteligencije omogućio je unaprjeđenje određenih poslovnih i privatnih aspekata. No, ne koristimo samo AI za istraživanje interneta ili pisanje tekstova, već ga se može koristiti i za kibernetičke napade. Koliko je danas jednostavno "prijeći na tamnu stranu" i postati haker/kibernetički kriminalac?

Prije svega imam problem s pojmom „haker“. Naime po definiciji hakeri su osobe koje koriste određene sustave na način na koji to nije predviđeno. Po toj definiciji svi smo hakeri svejedno hakiramo li osobni razvoj ili dodajemo li u hranu nekompatibilne namirnice nadajući se da će se sljubiti i iznenaditi naše okusne pupoljke. Po nekoj osnovnoj kategorizaciji u IT svijetu postoje „white hat“ i „black hat“ hakeri. Kako u životu ništa nije crno-bijelo, a poučeni filmskim naslovom postoji 50 nijansi sive, upotrebom AI chat modela tih nijansi u IT svijetu nastaje barem 1000 puta više.
Sjećam se vremena kad sam se bavio izradom kompleksnih sustava, nesvjestan činjenice da postoje korisnici čiji je cilj upravo kompromitirati te sustave. Da bi se to postiglo, bilo je potrebno imati određeno znanje i veliku razinu informatičke pismenosti. S druge strane, tu su bili i tzv. „script kiddies“ – korisnici koji su se služili dostupnim hakerskim alatima na način na koji su oni bili predviđeni. Oni su bili lako prepoznatljivi i detektirani.
Pojavom AI chat modela, ta granica između naprednih korisnika i "script kiddies" polako se briše. Scena postaje demokratska i eksponencijalno raste svakim danom. To povećanje dovodi do činjenice da ćete, bilo vi kao pojedinac, bilo vaša tvrtka, biti pokušani hakirani. Uz lako dostupne besplatne alate za kompromitiranje sustava i činjenicu da se napadi uz pomoć AI modela mogu modificirati do točke da postanu gotovo neprepoznatljivi, postaje jasno da je stjecanje novih vještina za sigurnu online prisutnost nužno. To je jedini način da se uživa u svim blagodatima koje internet pruža, a da istovremeno ostanemo sigurni.