Internetski hladni rat: Osvješćivanje je maraton, a regulacija?

"Živjeli smo u uvjerenju da smo nekakva oaza mira usred Europe i da nas prijetnje jednostavno zaobilaze. Statistički gledano, doista smo jedna od najsigurnijih država na svijetu, ali to ne znači ništa s gledišta kibernetičke sigurnosti", izjavio je Uroš Svete, direktor slovenskog ureda vlade za informacijsku sigurnost, na konferenciji o kibernetičkoj sigurnosti koju je organizirao Bloomberg Adria.

"Počeli smo shvaćati da nismo samo otok u Europi koji nitko ne primjećuje, već smo i meta kibernetičkih napada. To se vidjelo na primjeru slovenskog ministarstva vanjskih poslova", objasnio je Gregor Spagnolo iz tvrtke SSRD, koji je bio i tehnički vođa slovenskog tima na NATO-ovoj vježbi Locked Shields 21. U Sloveniji općenito ne primjećuju puno ciljanih napada, ima puno buke, pri čemu napadači općenito skeniraju sustav i traže ranjivosti.

Gregor Spagnolo, potpredsjednik Sekcije za kibernetičku sigurnost u ZIT-u i SSRD-u | Nejc Pernek

Broj kibernetičkih napada svake godine raste, složili su se sudionici okruglog stola. "Primjećujemo da broj napada svake godine raste oko 30 posto. Aktivnosti se pojačavaju", izjavila je Vesna Prodnik, članica uprave odgovorna za tehnologiju u Telekomu Slovenije. Svete se nadovezao, dodajući da i u Sloveniji primjećuju kibernetičke aktivnosti povezane s ukrajinsko-ruskim ratom i nedavnim sukobima na Bliskom istoku.

Vesna Prodnik iz Telekoma Slovenije | Nejc Pernek

"Napadači traže sustave koji nisu zaštićeni i nisu izravno povezani s geografskom lokacijom. S druge strane, kao država smo dio saveza i stoga nas napadači također ciljaju", rekao je Svete. U oba slučaja najveći je izazov kako spriječiti takve napade.

Uroš Svete, direktor slovenskog ureda vlade za informacijsku sigurnost | Nejc Pernek

Bankarska regulativa prisilila je banke na obranu

Jedan od načina kako spriječiti kibernetičke napade ili se barem pokušati zaštititi od njih je zakonodavstvo. Bankarski sektor smatra se jednim od najsigurnijih u kibernetičkom smislu. "Europsko zakonodavstvo prisililo je banke da prije više godina razviju sigurnosne sustave. Formalni pritisak doprinio je tome da su banke otpornije na kibernetičke prijetnje", izjavio je Rok Praprotnik, direktor za usklađenost poslovanja i jačanje integriteta u Novoj ljubljanskoj banci (NLB).

Na europskoj razini, prema podacima NLB-a, prošle se godine šest posto svih incidenata usmjeravalo prema bankama, dok se na pojedince usmjeravalo čak dvostruko više, 11 posto. "Pokušavaju iskoristiti ranjivosti, naivnost korisnika, na primjer putem poznate metode phishinga", objašnjava Praprotnik.

Banka u tom kontekstu nije meta napada, već se radi o posrednoj povezanosti. "Svaka žrtva koja izgubi svoju ušteđevinu za nju predstavlja tragediju. Zbog toga smo u posljednjim godinama uložili puno truda u podizanje svijesti", rekao je Praprotnik.

Rok Praprotnik, direktor za usklađenost poslovanja i jačanje integriteta u NLB-u | Nejc Pernek

Stoga se u NLB-u pokušava proaktivno otkriti, uz pomoć vanjskih partnera, bilo kakve aktivnosti koje bi ih ugrozile ili iskorištavale njihov logotip i identifikacijske faktore, kako bi kasnije izvršavali zločine. "Budući da je metoda phishinga trenutačno vrlo popularna, uspjeli smo pravovremeno otkriti takve aktivnosti, prije nego što bi se potpuno razvile. Tijekom testiranja primijetili smo smanjenje aktivnosti stranice koja se predstavljala kao NLB za 80 posto", rekao je Praprotnik. Budući da su napadači shvatili da su teže mete, okomili su se na nekog drugog.

Osvješćivanje je maraton

"Osvješćivanje je maraton, do tog trenutka treba učiniti sve kako bi se smanjili negativni učinci", smatra Praprotnik. I Svete iz slovenskog državnog ureda smatra da je svaka kampanja za podizanje svijesti iznimno važna, ali sve je više napada temeljenih na generativnim jezičnim modelima umjetne inteligencije koji su, posljedično, sofisticiraniji.

Jedna od najvećih kibernetičkih prijetnji je i prekid električne mreže. "Samo za obavljanje naših zadataka moramo pratiti stanje mreže kod susjednih operatera, razmjenjujemo i veće količine podataka. Mrežni kodovi dolaze prije same regulative i zahtijeva prilagodbe s naše strane", rekao je Gorazd Ažman, direktor za informacijsku tehnologiju i telekomunikacije u Elesu. Kako kaže, svaki operater mora obaviti svoju ulogu, a važne su i razmjene iskustava s drugim operaterima.

Kako je slikovito objasnio: "Kada šaljemo zaposlenika na službeni put, mora imati vozačku dozvolu kategorije B, no bismo li išli toliko daleko da od zaposlenika tražimo dozvolu za upotrebu računala? Za neke zaposlenike smo uspostavili test koji moraju položiti."

Prema njegovim riječima, zaposleni moraju razumjeti zašto neke prijave u sustavu traju dulje i zašto je važna dvofaktorska autorizacija. "Čekati na regulativu i odgađati stvari nije pravi put, jer se tvrtka tako ne bi nosila s nekim stvarima", smatra Ažman.

Nova europska direktiva, novi problemi za tvrtke?

Na europskoj razini dolaze i nove regulatorne obveze. Europska pravila o kibernetičkoj sigurnosti, uspostavljena 2016. godine, ažurirana su Direktivom o sigurnosti mreža i informacija, koja je stupila na snagu ove godine. Time je ažuriran postojeći pravni okvir kako bi se prilagodio povećanoj digitalizaciji i promijenjivim uvjetima koji ugrožavaju kibernetičku sigurnost. Tvrtke koje države članice označe kao operatere od vitalnog značaja u tim sektorima morat će poduzeti odgovarajuće sigurnosne mjere i obavijestiti nadležne nacionalne organe o ozbiljnim incidentima.

Ispunjenje nove direktive, prema Spagnolovim riječima, bit će veći izazov za srednje i manje tvrtke jer nemaju toliko resursa. "Trgovina koja ima 50 tisuća eura godišnjeg prometa neće moći izdvojiti gotovo polovicu tog iznosa za kibernetičku sigurnost. To će biti velik izazov, ali tvrtke koje brinu o sigurnosti tih malih i srednjih tvrtki trebale bi razviti proizvode koji su automatski zaštićeni", kaže Spagnolo.

Praprotnik naglašava važnost odgovornosti. "Ako kao pojedinci imamo mogućnost osnivanja tvrtki, moramo preuzeti i odgovornost. To vrijedi i za prihode i troškove, ali i za zaštitu informacijskog sustava", smatra Praprotnik. Zna više slučajeva kada su uzimanjem e-adresa velikih tvrtki izložene lozinke. "Nitko nije primijetio da je došlo do zloupotrebe, dok su u manjem obiteljskom poduzeću odmah primijetili da se nešto čudno događa", rekao je Praprotnik.

Prema njegovim riječima, potpisnicama regulative nužno je prijaviti svaki kibernetički napad, ali to se ne događa uvijek. "Poduzetnici misle da će svaka prijava naštetiti ugledu tvrtke. Međutim, potrebna je drugačija logika, da prijava pokazuje određenu zrelost tvrtke. Svi smo međuovisni, vaša informacija će danas biti važna za mene, a sutra moja za vas", smatra Svete.

Kibernetička sigurnost je sastavni dio opće sigurnosti

Kada razgovaramo o sigurnosti općenito, to je tema o kojoj se raspravlja već u vrtićima i školama, izjavio je Spagnolo. "Kao društvo, nismo svjesni da bi kibernetička sigurnost trebala biti uvedena od samog početka. Roditelji nisu svjesni kakve opasnosti prijete djetetu kad mu daju tablet. Ne radi se samo o online ucjenama, modelima phishinga, već i o kibernetičkom maltretiranju i seksualnom ucjenjivanju", rekao je Spagnolo.

Prema njegovim riječima, društvo mora shvatiti da je kibernetička sigurnost dio opće sigurnosti. "Kibernetika nam je položena u kolijevku, postoje baby kamere preko kojih napadači sve vide. Kibernetička sigurnost postaje dio naše svakodnevice", uvjeren je Spagnolo.

"Moramo djelovati na više platformi. Regulacija je jedan dio, a zatim je tu i svijest. Premalo se ističe odgovornost proizvođača. Koliko je bilo, na primjer, rasprave o automobilskoj industriji kad sustavi kočnica nisu radili i kolike naknade su morali platiti", istaknuo je Svete.

S druge strane, prema njegovim riječima, sigurnosni nedostaci kod softverskih operatera ne smatraju se anomalijom, već nečim normalnim. "Nikada u povijesti nije bilo nikoga tko je bio veći od informatičkih tvrtki s gledišta poslovne vrijednosti, a i one nose svoju odgovornost", smatra Svete.