Kibernetički napadi sve češće zahvaćaju kritičnu infrastrukturu, poput plinovoda, vodovoda, električnih mreža i elektrana. Nedavna povijest najbolji je svjedok tome, od rata u Ukrajini do kibernetičkog napada na Iran 2010. godine.
Kritična infrastruktura strateški je bitan cilj budući da utječe na živote stotina tisuća ljudi. Ne obavi li se kibernetička zaštita kritične infrastrukture, napadači lako mogu doći do podataka, ali i do same kontrole energetski ključnih državnih mreža. Prema trenutnim analizama za Bosnu i Hercegovinu, kako kažu stručnjaci, kritična infrastruktura uopće nije zaštićena.
Ilijana Vavan, stručnjakinja u području kibernetičke sigurnosti s više od 30 godina iskustva u toj industriji, koja je proglašena za jednu od prvih 30 žena u IT industriji u Europi, rekla je za Bloomberg Adriju da je u travnju 2022. godine izvršeno 12 napada na kritičnu infrastrukturu (vodovode, elektrane itd.), od čega ih je osam bilo u Rusiji.
Drugi primjer je iz 2015. godine, kada se dogodio prvi veliki napad na jednu električnu mrežu u Ukrajini. "Pretpostavlja se da su to bili Rusi, to nikada nije potvrđeno, ali svi indikatori govore da je tako", rekla je Vavan. "Tada je u Ukrajini 230 tisuća ljudi skoro cijeli dan ostalo bez struje."
Jedan od najpoznatijih napada datira iz 2010. godine. Stuxnet je virus koji su, prema neslužbenim informacijama, napravili SAD i Izrael kako bi spriječili Iran u razvoju nuklearnog oružja. "Službeno nitko nikad nije priznao", ističe Vavan. "Iranska vlada se, da tako kažem, pravila luda, nikada nisu priznali da su napadnuti. Međutim, definitivno je uništen njihov nuklearni pogon jer su hakeri uspjeli ući u sustav preko tzv. SCADA uređaja i kompletno im promijeniti kod."
Izmjenom koda, napadači su onesposobili rad centrifuge u nuklearnoj elektrani. "To je bio prvi veliki napad na jednu kritičnu infrastrukturu i uzima se kao primjer u kibernetičkoj industriji, kao presedan u kritičnoj infrastrukturi."
Vavan napominje da se kibernetički napadi događaju iz sjene. Rijetko dođe potvrda napadača i zemlja porijekla. Internet nema granica te se samim time napadi mogu vršiti iz različitih dijelova svijeta ili barem biti tako predstavljeni pomoću programa.
Kako zaštititi kritičnu infrastrukturu
Kibernetički napadi ne mogu se predvidjeti niti postoji 100-postotna zaštita. Zato je važna pretpostavka da određeni sustavi mogu biti meta napada.
Ranjiva točka kritične infrastrukture kombinacija je operacijske (OT) i informacijske tehnologije (IT). Naime, operacijska tehnologija napravljena je puno prije informacijske, i to prvenstveno kako bi funkcionirala u izoliranom okruženju.
"Napretkom digitalizacije i dodatkom svih mogućih softverskih programa, operacijske tehnologije počele su se spajati i komunicirati", rekla je Vavan. "To je super jer samim time dobivamo mnoge prednosti digitalizacije, sada imamo takozvani information flow."
S druge strane, upravo tu ostaju otvorene mete za potencijalne napade.
Bosna i Hercegovina većinski koristi OT iz prošlog stoljeća i vremena Jugoslavije, dodaje Vavan. Upravo ta karakteristika kritične infrastrukture predstavlja i slabost i snagu energetskog sustava.
Slabost je izloženost kibernetičkim napadima i težak proces promjene operacijskih tehnologija. Prednost je mogućnost kompletne zamjene već dotrajale i stare tehnologije. No potrebne su veće investicije. "Što su sustavi zastarjeliji, to vam je lakše prijeći na sasvim novi sustav", rekla je Vavan.
"Ne možete isključiti struju jednom cijelom gradu da bi se promijenila kompletna centrala, kao što imamo backup sustave u softverskim sustavima, gdje se samo prebacite na drugo računalo i sve se nastavlja dok vi to prvo računalo mijenjate", dodala je.
Ključna zaštita od kibernetičkih napada je u edukaciji zaposlenika. "Gotovo 95 posto svih napada u kibernetičkom svijetu dogodilo se zbog ljudske greške", dodala je. "Primjer su phishing mailovi, koji vas odvedu na neku pogrešnu stranicu ili preko te poveznice instalirate virus na svoje računalo, koji uđe u cijelu mrežu."
Vavan napominje kako je uspostava CERT-ova nužnost svake države. CERT bi služio kao centar za koordinaciju i pravovremeno reagiranje na kibernetičke napade, kao što oružane snage imaju cjelokupan protokol u slučaju napada ili prirodnih nepogoda. Svaki korak unaprijed je isplaniran i optimiziran, što je potrebno i za kibernetički aspekt države i industrije.
Potencijal
Potencijal Bosne i Hercegovine u mladom je i stručnom kadru u području kibernetike, koji Bosna i Hercegovina ima, ističe Vavan. Brojni mladi stručnjaci odlaze na Zapad, gdje ostvaruju uspješne karijere, no Vavan smatra da bi s malo više poticaja za ostanak i uz ulaganje u kibernetičku industriju to mogli napraviti i u BiH.
Razviju li se kvalitetni CERT-ovi, centri izvrsnosti i strategija razvoja kibernetičke industrije, Bosna i Hercegovina mogla bi posluživati druge države u regiji, ali i šire.