Zabrinjavajuća razina cyber sigurnosti među domaćim financijskim tvrtkama

Subjekti nadzora Hanfe, regulatora zaduženog za osiguravatelje, mirovinske i investicijske fondove, leasing tvrtke, brokere i druge igrače na tržištu kapitala zaostaju za svjetskim prosjekom kad je u pitanju kibernetička sigurnost. Otkriveno je to u ponedjeljak na konferenciji posvećenoj novoj regulativi čija primjena počinje sredinom siječnja iduće godine.

Hanfa je za njene potrebe angažirala britansku tvrtku Thomas Murray Cyber koja je provela najosnovnije ispitivanje stanja kibernetičke sigurnosti za tvrtke čiji rad nadzire ovaj regulator. U pregledu tzv. orbitske sigurnosti, što podrazumijeva tek snimanje stanja temeljem podataka o internetskim domenama, britanska kompanija tvrtkama daje ocjenu kroz indeks čija se vrijednost kreće od 0 do 1000, s time da veća brojka indicira bolju sigurnost.

Globalni prosjek za tvrtke koje prati Thomas Murray je 611, dok je prosjek za sve tvrtke pod nadzorom Hanfe bio 566 što ukazuje na lošiju situaciju u odnosu na svijet. Gotovo četvrtina hrvatskih tvrtki dobila je ocjene niže od 500, a četiri tvrtke čak i ocjene niže od 400.

Vijest svakako ukazuje na nedovoljnu posvećenost kibernetičkoj sigurnosti domaćeg nebankarskog sektora koji, prema izjavi čelnika Hanfe Ante Žigmana, čini oko trećinu domaće financijske industrije.

U Thomas Murrayu nisu imenovali koje su točno tvrtke kako prošle na njihovom testiranju tako da se ne zna imaju li loše rezultate upravitelji mirovinskih fondova pod čijim se upravljanjem nalazi sveukupno dvadesetak milijardi eura ili neke manje tvrtke koje se bave leasingom ili faktoringom.

Hrvatska agencija za nadzor financijskih usluga organizirala je konferenciju u iščekivanju skorog početka primjene nove regulative. DORA, što je engleska skraćenica za Digital Operational Resilience Act - Uredbu o digitalnoj operativnoj otpornosti - obuhvaća igrače na financijskom tržištu: banke i nebankarski financijski sektor. Izglasana je prije dvije godine, a primjena joj počinje 17. siječnja 2025.

Bloomberg Mercury

Uredba propisuje zahtjeve koji se odnose na upravljanje rizikom informacijske i komunikacijske tehnologije, izvješćivanje nadležnih tijela o značajnim incidentima, testiranje digitalne operativne otpornosti, razmjenu informacija i saznanja o prijetnjama i ranjivostima te mjere za dobro upravljanje rizikom trećih strana. Dobro posjećena konferencija otkrila je značajan interes hrvatskih tvrtki za tematiku.

Osim opće razine osnovne kibernetičke sigurnosti stručnjaci iz Thomas Murraya otkrili su još neke detalje. Kad je u pitanju pohrana podataka tvrtke pod nadzorom Hanfe u 85 posto slučajeva koriste servere koji su smješteni u Europi, devet posto servere iz Sjeverne Amerike, dok ih je pet posto smješteno na području Azije. Otkriveno je i kako jedna od tvrtki svoje podatke pohranjuje na serveru koji se nalazi u Ukrajini, koju se smatra rizičnom zemljom.

Potencijalne ranjivosti

Djelomično paradoksalno, ali ta je tvrtka zapravo dobila relativno visoku ocjenu, 793 od mogućih tisuću, što znači da su potencijalne ranjivosti pokrpane i da se softver redovno ažurira.

Neredovito krpanje otkrivenih rupa u softveru vrlo se često koristi za kibernetičke napade. Ukrajina je poznata kao država aktivnih hakera, ali to može istovremeno značiti i visoku svijest o ranjivosti informatičkih mreža, pa onda i znanje kako ih zaštititi.

Od najčešćih potencijalnih ranjivosti koje su otkrili među hrvatskim tvrtkama za koje su proveli ispitivanje u Thomas Murrayu su istaknuli Huawei HG532 rutere čije slabosti koriste neke poznate hakerske grupe. Na konferenciji su podsjetili i na ljetošnji niz kibernetičkih napada na niz hrvatskih institucija među kojima je stradala i sama Hanfa.

Najčešći tip napada na tvrtke koje upravljaju investicijskim fondovima i burze danas je iznuđivanje novca kriptiranjem podataka. Sudionici konferencije istaknuli su i kako se takav napad sve češće kombinira s prethodnom krađom podataka. Prije nego se kriptiranjem onemogući dohvat podataka, napadači ih ukradu sa servera kojem su uspjeli pristupiti te nakon toga ucjenjuju vlasnike, odnosno prijete objavljivanjem ili prodajom osjetljivih podataka iz poslovanja kompanije.

Nakon takvog tipa napada, po učestalosti, slijede oni koji onemogućavaju normalan pristup i rad internetskih resursa neke kompanije (tzv. DDoS, Distributed Denial of Service). Motivi za napade mogu biti iznude, ali i politički aktivizam. Hakeri upadanjem u sustave ponekad pokušavaju promovirati podršku određenim stranama, primjerice Ukrajini ili Palestini u aktualnim sukobima.

Ante Žigman | Hrvatska agencija za nadzor financijskih usluga

 

Prema riječima stručnjaka, Hrvatska nije među najugroženijim državama u regiji kad su u pitanju kibernetički napadi. Na samom vrhu nalaze se Rumunjska i Bugarska, Hrvatska se nalazi negdje u sredini uz Srbiju, dok se među državama koje su 2024. godine bile najmanje ciljem napada nalaze Slovenija i Crna Gora. No kao članica Europske unije i Sjevernoatlantskog saveza, ali i uz pojavu tvrtki koje razvijaju najnovije tehnologije, ona je daleko od nezanimljive mete.

Konferencija Hanfe je pokazala visoku svijest o realnosti kibernetičkih napada, ne samo na domaće financijske igrače. Najvažnija poruka je kako treba osvijestiti zaposlenike o rizicima i kako ih minimizirati. Informatički eksperti vole podsjetiti kako ne postoje sustavi u koje se ne može probiti, ali se štete mogu itekako umanjiti pravovremenim i pravilnim reakcijama.

Podaci iz svjetskih izvještaja pokazuju kako je u samo nekoliko godina broj kibernetičkih napada utrostručen. Informacije objavljene na konferenciji pokazale su i kako situacija u domaćem nebankarskom nije kritična, ali ni bajna. Valja se nadati kako će skora primjena DORA-e i veća svijest o važnosti kibernetičke sigurnosti ipak mogli to pomaknuti na bolje.