Gaf FINA-e kao globalna lekcija o kibernetičkoj sigurnosti

Koliko je krhko povjerenje na internetu, zorno je pokazao incident koji se zbio prošlog ljeta, kada je državna agencija Fina, kao službeno certifikacijsko tijelo, greškom izdala 12 neautoriziranih digitalnih certifikata za IP adresu 1.1.1.1, koju koristi internetski div Cloudflare.

Budući da internetski preglednik Microsoft Edge automatski prihvaća Finine certifikate, korisnici Windowsa bili su mjesecima izloženi potencijalnom riziku. Iako su sporni certifikati u međuvremenu povučeni bez zabilježene zlouporabe, propust, koji je Cloudflare nazvao "neprihvatljivim", poslužio je kao globalna lekcija o opasnostima koje vrebaju u digitalnom svijetu.

Dok Hrvatska uvodi novi Zakon o kibernetičkoj sigurnosti, statistike pokazuju da se pitanje zaštite i dalje podcjenjuje, a posljedice mogu biti kobne. O ovoj temi za Bloomberg Adria TV u emisiji Spotlight govorio je Marko Gulan, stručnjak za kibernetičku sigurnost iz tvrtke Astera Advisory.

Slučaj Fina

Incident koji je izazvao globalnu pozornost dogodio se, pojašnjava Gulan, zbog propusta u upravljanju internim procesima. Problem je nastao kada su certifikati iz testnog okruženja, gdje se isprobavaju razna rješenja, greškom izdani prema vani za stvarnu IP adresu koju koristi Cloudflare.

"Svaka tvrtka ima testnu okolinu gdje ljudi koriste svakakve adrese i imena. Očito je u datom trenutku ta testna okolina pozvana prema vani", objašnjava Gulan. "Zabrinjavajuće je da su unutar organizacije certifikati u testnom okruženju napravljeni na IP adresu koju koristi Cloudflare. Kada je to izašlo van, globalni div je vidio certifikate koje nije zatražio, što je stvorilo problem i zahtijevalo hitnu reakciju."

Ovaj je slučaj, ističe, uzdrmao svijet kriptografije i potaknuo ključno pitanje: upravlja li se unutar tvrtki, bilo da su davatelji certifikata ili korisnici, dovoljno dobro ključevima i certifikatima? Greška se dogodila, a nije se smjela dogoditi.

Novi zakon nameće obvezu, no tko je spreman?

Kao odgovor na sve veće prijetnje, Hrvatska je donijela novi Zakon o kibernetičkoj sigurnosti koji, između ostalog, nameće obvezu enkripcije podataka svim poslovnim subjektima. To znači da podaci moraju biti zaštićeni, odnosno kriptirani, kako "u prijenosu" (dok putuju mrežom), tako i "u mirovanju" (dok su pohranjeni na diskovima). Cilj je jasan: ako napadač i uspije ukrasti podatke, oni mu moraju biti nečitljivi.

"Kada dođe do proboja u sustav, podaci su najčešće uzeti u čistom tekstu. Zakonodavac želi postići da onaj tko uzme podatke, da ih zapravo ne uzme u čitljivom obliku", kaže Gulan. Ipak, upozorava na novu opasnost - napadači danas kradu kriptirane podatke i čuvaju ih, čekajući tehnologiju koja će ih u budućnosti moći dekriptirati.

Koliko su hrvatske kompanije doista sigurne? Podaci nisu ohrabrujući. Dok se visoko regulirani sektori poput financijskog i naftne industrije štite zbog strogih pravila, situacija u ostatku gospodarstva je loša.

"Možda četrdesetak posto tvrtki je implementiralo ovaj ili onaj oblik kriptografije, što je vrlo loše, jer napadi su sve složeniji i sve učestaliji", ističe Gulan. Najveći izazov bit će primjena zakona kod malih i srednjih poduzetnika. "Usudim se reći da 98 posto malih i srednjih tvrtki nije spremno na nove zahtjeve kriptografije. Ljudi jednostavno ne znaju odakle bi krenuli."

Bolnice kao primjer ranjivosti, a mali poduzetnici lažna meta

Da nitko nije siguran, pokazali su i kibernetički napadi na hrvatske bolnice. Gulan navodi kako se nakon jednog takvog incidenta moglo zaključiti da podaci nisu bili kriptirani, jer su se u čitljivom formatu pojavili na tamnoj strani interneta. Takvi propusti ne krše samo Zakon o kibernetičkoj sigurnosti, već i GDPR, a mogu predstavljati i kazneno djelo zanemarivanja.

Istovremeno, mali poduzetnici često žive u iluziji da nisu meta napadača. "I dalje se pitaju 'kome moji podaci trebaju?'. Nekad napadaču ne trebaju vaši podaci, već samo vaša računala kako bi postala dio 'botnet' mreže za veće napade", upozorava Gulan. Dodaje kako su upravo male tvrtke često ključni dio dobavnog lanca za veće sustave, pa čak i za vojnu industriju. Promjena jednog parametra u sustavu tvrtke koja proizvodi cijevi za pištolje može kompromitirati cijelu seriju proizvoda i izazvati nesagledivu štetu.

Kvantna računala pred vratima: Počinje nova utrka u naoružanju

Dodatnu prijetnju donosi razvoj kvantnih računala koja će, prema predviđanjima, moći "razbiti" sve postojeće šifre. Gulan smatra da to nije pitanje daleke budućnosti. "Sigurno je da je kvantno računalo već u primjeni. Svaka tehnologija koja dođe do nas, došla je iz vojne industrije. Ono što vojska koristi danas, mi ćemo koristiti za godinu, dvije ili pet."

Zato novi zakoni već sada naglašavaju važnost pripreme za postkvantnu kriptografiju. Znakovito je, kaže Gulan, da je meta nedavnog napada bio i jedan hrvatski institut koji je bio dio međunarodne mreže za razvoj novih kripto ključeva otpornih na kvantna računala. Utrka u naoružanju već je počela.

 

Kao završni savjet, Gulan poručuje vlasnicima tvrtki da budu iskreni prema sebi, analiziraju vlastite ranjivosti i donesu pametne odluke. "Možda je bolje uložiti u sigurnost nego obnoviti vozni park. Na kraju dana, leasing neće nositi veću vrijednost", kaže. Podsjeća na poražavajuću statistiku koju je objavio Verizon, a prema kojoj 60 posto malih i srednjih tvrtki nakon proživljenog kibernetičkog napada ne dočeka sljedeću godinu, već se ugasi. Poruka je jasna: ulaganje u sigurnost nije trošak, već ulaganje u opstanak. "Kriptirajte podatke u svakom obliku. Kriptografija glavu čuva, to je već svima jasno."

 

--Cijeli razgovor pogledajte u videu.