Prijevare putem interneta, računalne ucjene (ransomware), socijalni inženjering (phishing) i lažne vijesti (fakenews) samo su neke od tema o kojima se raspravljalo jučer na okruglom stolu "Ususret europskoj godini kibernetičke sigurnosti“ u organizaciji Hrvatske akademske i istraživačke mreže – CARNET, a u sklopu Europskog mjeseca kibernetičke sigurnosti.
U raspravi su uz Svana Hlaču iz CARNET-ovog Nacionalnog CERT-a sudjelovali i Jurica Čular iz Zavoda za sigurnost informacijskih sustava, Renato Grgurić iz Ministarstva unutarnjih poslova, Milan Parat iz Privredne banke Zagreb, Elizabeta Montan iz tvrtke Njuškalo d.o.o. te Tomislav Androš iz tvrtke Diverto d.o.o.
Na okruglom stolu naglasak je stavljen na uloge institucija i njihovih preventivnih i reaktivnih mjera koje se provode s ciljem sprečavanja nastanka računalno-sigurnosnih incidenata i smanjenja šteta koje oni mogu uzrokovati. Istaknuta je i potreba međusektorske suradnje i njenog daljnjeg razvoja te važnost NIS direktive i Nacionalne strategije kibernetičke sigurnosti.
Ljudi jednostavno nisu informirani
U uvodnom dijelu Svan Hlača iz Nacionalnog CERT-a pojasnio je kakve je posljedice imao WannaCry ransomware kibernetički napad koji se dogodio prošle godine i time prouzročio velike poteškoće u raznim uslugama, industrijama i obrazovnim institucijama u više od 150 zemalja. Naglasio je kako napadači iskorištavaju strah korisnika i kako je najvažnije pri svakom korištenju interneta i usluga koje se obavljaju koristeći internet koristiti zdravi razum.
Prema pokazateljima specijalnog izvještaja Eurobarometra u Hrvatskoj se ne radi dovoljno na svijesti korisnika o mogućim prijetnjama i šteti koju može donijeti neodgovorno korištenje interneta, rekao je Svan Hlača te istaknuo važnost učenja na realnim primjerima kako bi se postiglo najbolje učenje kroz aktivno usađivanje znanja.
Elizabeta Montan iz tvrtke Njuškalo d.o.o. napomenula je kako je edukacija zaposlenika i njihovih korisnika o zaštiti podataka, čuvanju sigurnosnih kopija i općenito o većoj brizi pri korištenju interneta povećala sigurnost poslovanja i umanjila rizike usluga koje tvrtka pruža. Također je istaknula kako je vrlo važna suradnja svih institucija u zaštiti od kibernetičkih napada.
Njuškalo d.o.o. je u svrhu edukacije svojih korisnika izradio poseban vodič za sigurno korištenje svojih internetskih usluga koji redovno osvježavaju novim informacijama i preporukama, rekla je Elizabeta Montan te naglasila kako edukacija nije sama po sebi dovoljna, već da treba raditi i na ugrađivanju svijesti o kibernetičkoj sigurnosti u svakodnevno ponašanje te pretvoriti to znanje u naviku.
Renato Grgurić iz Ministarstva unutarnjih poslova govorio je o tijeku novca prikupljenog u slučaju WannaCry koji je bio uplaćen za otključavanje datoteka no nikad nije bio podignut.
Zna se kako novac najlakše i najčešće bude uplaćen na račune u Europi no tamo ostaje vrlo kratko i brzo bude prebačen na račune u druge zemlje poput Kine, Obale Bjelokosti i Hong Konga, dodao je Renato Grgurić te pojasnio kako se u slučajevima phishinga treća osoba ubacuje u komunikaciju između dvije osobe u nekom poslovnom odnosu i ubacivanju lažne phishing stranice putem koje se ustvari prikupljaju korisnički podaci koji kasnije služe kibernetičkim kriminalcima za pristup e-mail računu.
Okrugli stol Carneta (Foto: Carnet) (Foto: Carnet)
Istaknuo je kako svaki databreach – neovlašteni upad s ciljem prikupljanja podataka, ima neki posebnu svrhu i kako takvi podaci budu korišteni i deset godina kasnije, odnosno posljedice mogu nastupiti mnogo godina poslije nekog databreach. Takav primjer su nedavni slučajevi u kojima korisnici primaju ucjenjivačke mailove u kojima ih se uvjerava kako su uhvaćeni u gledanju porno sadržaja na internetu.
Milan Parat iz Privredne banke Zagreb i Hrvatske udruge banaka istaknuo je kako je najvažnija dobra i stalna suradnja svih institucija u borbi protiv kibernetičkog kriminala i online prijevara. Dodao je kako je Hrvatska udruga banaka u svrhu edukacije javnosti, u sklopu Europskog mjeseca kibernetičke sigurnosti, objavila infografike Europske bankovne federacije i Europola u kojima se na jednostavan vizualan način opisuje kako se zaštititi od različitih tipova cyber prijevara. Naglasio je kako se bilježi povećan broj specifičnih prijevara usmjerenih na tvrtke, riječ je o tzv. prijevarama lažnim poslovnim porukama (business email compromise) u kojima se kriminalci „ubace“ u korespondenciju između tvrtki - poslovnih partnera i neposredno prije plaćanja šalju poruku da se promijenio broj računa i banka putem koje je potrebno izvršiti plaćanje. Tada je obavezno potrebno putem telefona i-ili video-konferencijskog poziva tvrtki prodavatelju provjeriti vjerodostojnost i istinitost takve poruke.
Društvene mreže mogu biti jednako ranjive kao i e-mail korespondencija, napomenuo je Milan Parat te naglasio kako ne treba širiti paranoju i strah od korištenja interneta i financijskih online usluga i kako nije samo problem u zastarjeloj tehnologiji koja se danas ponegdje koristi već treba više napora usmjeriti na podizanje svijesti građana kako odgovorno i na razuman način koristiti internet i internetske usluge. Također je naglasio da banke redovito kontaktiraju svoje klijente putem elektroničke pošte ili telefonski, ali tim komunikacijskim kanalima nikada neće zatražiti podatke za pristup uslugama direktnog bankarstva i autorizaciju, podatke o transakcijskom računu (broj računa, limit, stanje i dr.) ili PIN za autentifikaciju korisnika kartice i autorizaciju kod platnih transakcija.
Treba prepoznati kritičnu ranjivost
Tomislav Androš iz tvrtke Diverto d.o.o. govorio je o geopolitičkom kontekstu WannaCry napada gdje je ustvari prva meta ruskih napada bila industrija u Ukrajini.
Taj napad se nakon nekog vremena proširio i na druge grane, usluge i zemlje. Znalo se koliko je kritična bila ta ranjivost unutar sustava no nije se znalo kako će se ona širiti, rekao je Androš. Po pitanju lažnih e-mail poruka istaknuo je kako je takav oblik komunikacije već zastarjela tehnologija te da ćemo za pet do deset godina umjesto lozinki koristiti isključivo biometrijsku tehnologiju.
Ljudi podatke doživljavaju kao nešto bezvrijedno, bez opipljive vrijednosti stoga danas djecu treba učiti o vrijednosti podatka. Ljudi nemaju higijenu podataka i arogantni su, bez osjećaja osobne odgovornosti u kojoj njihova nespremnost može utjecati na brojne institucije i ljude. Djeci treba pričati o kibernetičkoj higijeni bez računala već u 5. razredu, istaknuo je Tomislav Androš.
Jurica Čular iz Zavoda za sigurnost informacijskih sustava istaknuo je kako je i Hrvatska bila ciljana WannaCry napadom. Kako bi se prevenirala i umanjila potencijalna šteta napada Zavod je u više navrata informirao i savjetovao državne institucije o postojanju ranjivosti koja omogućava takav napad te se na njega pripremao.
Na sustavu je bio zabilježen velik broj pokušaja napada no zbog dobre pripremljenosti sustava nije bilo velikih posljedica. Hrvatska je u ovom slučaju prvi put institucionalno odgovorila na ovakvu napadačku kampanju i pokazala dobar primjer suradnje institucija u sprečavanju napada i njihovoj brzoj i organiziranoj akciji. Zavod brine o oko 3000 hrvatskih institucija, ustvrdio je Čular te istaknuo kako je danas sve teže prepoznati phishing mail no i kako kriminalci ne moraju mijenjati svoje oblike napada jer će uvijek određeni broj građana postati žrtvom napada. Nerazumnost i loše navike korisnika bit će bitne i za 20 godina će podizanje svijesti o kibernetičkoj sigurnosti biti jednako važna tema kojom ćemo se baviti.
Edukacija građana dio je Akcijskog plana za provedbu Nacionalne strategije kibernetičke sigurnosti i započelo se s edukacijama službenika Ministarstva pravosuđa.
Panelisti su se složili kako je međusektorska suradnja dobra i kako se još uvijek radi o maloj zajednici zainteresiranih pojedinaca i institucija te da je GrowCERT projekt omogućio jačanje povjerenja među dionicima te zajednice. Novi Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga iz srpnja ove godine poziva da se takva suradnja nastavi i ojača. Potrebno je više uključiti velike privatne pravne subjekte kako bi komunicirali sa zajednicom koja radi na kibernetičkoj sigurnosti.
Zaključno se istaknulo kako je veličina Hrvatske zapravo prednost za bolju povezanost dionika. Uključivanje dionika kroz projekte poput GrowCERT-a je uvijek dobrodošlo i potrebno sa zajedničkim ciljem i interesom za jačanje kibernetičke sigurnosti u Hrvatskoj.