Hakerski napadi sve žešći, a stručnjaka za kibernetičku sigurnost kronično nedostaje

Sve češći hakerski napadi pokazali su nam koliko je zapravo krhka digitalna struktura na kojoj temeljimo gospodarstvo i društvo. Štoviše, ispostavilo se da je i obična pogreška nekog programera dovoljna da se uruše brojni globalni sustavi i nastupi kaos.

Hoće li nedavni problemi napokon dovesti kibernetičku sigurnost u fokus koji zaslužuje? Čeka li nas prijeko potrebno povećanje ulaganja u branšu koja je zabrinjavajuće zapostavljena i kakvo je stanje s kibernetičkom sigurnosti u Hrvatskoj? O svemu tome, ali i brojnim drugim temama porazgovarali smo s Nevenom Matasom, security operations (SecOps) direktorom Infinuma.

Prije par dana smo svjedočili najuspješnijem malware napadu svih vremena, a paradoksalno je da ga je izveo antivirusni program. Je li taj kolaps zapravo krunski dokaz koliko se malo ulaže u kibernetičku sigurnost i koliko su nam krhki vitalni društveni sustavi?

Strogo gledano, incident koji se dogodio nije primjer malware napada, odnosno kibernetičkog napada, već se radilo o klasičnoj tehničko-procesnoj pogrešci distributera softvera. Kompanija CrowdStrike izdala je automatsko ažuriranje svog alata koje je bilo neispravno i blokiralo daljnji rad operativnog sustava Microsoft Windows na računalima. S obzirom na to da se ovo rješenje koristi u korporativnim okruženjima avionskog, medijskog, energetskog, financijskog i zdravstvenog sektora, greška je utjecala na milijune Windows računala diljem svijeta.

U slučaju kibernetičkog napada softver bi došao od maliciozne treće strane s ciljem da spriječi rad određenih sustava ili omogući pristup osjetljivim podacima, što su uostalom neki akteri i pokušali u procesu oporavka blokiranih sustava. Neke su hakerske skupine probale podmetnuti malware prezentirajući ga kao rješenje problema koji je nastao, ali to nije u samoj srži situacije.

Šira priča je svakako da se određenim ključnim segmentima u razvoju, distribuciji i održavanju softvera posvećuje nedovoljno pažnje. Konkretno, testiranju i osiguranju kvalitete, kibernetičkoj sigurnosti i analizi softverskog lanca opskrbe (software supply chain). Kompanije znaju koristiti stotine ili tisuće digitalnih proizvoda koji su često izvan njihove kontrole i nad kojima se rijetko provode prave detaljne mjere analize rizika.

Svijet uvelike ovisi o sve kompleksnijim digitalnim sustavima, što nažalost stvara preduvjete da ovakve katastrofe postanu uobičajene ako se ozbiljnije ne posvetimo reguliranju i uređivanju IT-a i vezanih industrija. Postoji određena diskrepancija između toga koliko su nam informatičke tehnologije kritične za održavanje društva i zrelosti cijele industrije.

Depositphotos

Kako je moguće da velike tvrtke koje barataju osjetljivim podacima i operacijama automatski updateaju sustave, odnosno da se nije mogao napraviti rollback problematičnog updatea? Koliko je tu krivice na CrowdStrikeu, a koliko na IT odjelima samih tvrtki koje ga koriste?

Automatski update je danas standardna praksa, djelomično zbog tržišne utakmice i kontinuiranog unaprjeđivanja proizvoda, a djelomično zato što se oslanjanje na ručno održavanje sustava od krajnjih korisnika ili tehničara pokazalo nepouzdanim. Lako se može dogoditi situacija da se zastarjeli softver s potencijalnim sigurnosnim ili drugim propustima i dalje nalazi u tzv. produkcijskom okruženju. 

U tom je kontekstu automatski update željena praksa, posebice kod softvera čija je zadaća da prepoznaje i obustavlja računalne prijetnje jer se mnoge od njih otkrivaju i na dnevnoj bazi. 

Velike kompanije redovito implementiraju rigorozan proces testiranja softvera koji služi tome da razvojni tim ulovi probleme ovog tipa i ispravi ih prije nego softver uopće dođe u ruke korisnika. U slučaju CrowdStrikea, propust se vjerojatno dogodio negdje u procesu donošenja updatea krajnjim korisnicima, bilo u razvoju, testiranju ili samom puštanju nadogradnje korisnicima. 

U većini slučajeva rollback je mogući scenarij izlaska iz ovakve situacije, no ovdje se dogodila tzv. savršena oluja, splet okolnosti koji je onemogućio automatsko izvršenje rollbacka, odnosno primjenu nadogradnje koja bi uklonila problem. Takve je situacije teško, ali ne i nemoguće predvidjeti ili spriječiti. Softver čija greška uzrokuje potpun prestanak rada operativnog sustava nikada ne bi smio ugledati svjetlo dana. Tu će CrowdStrike morati napraviti detaljnu root cause analizu da shvati zašto se propust zaista dogodio.

Krivicu je teško prenijeti na IT odjele tvrtki jer se svaka veća organizacija mora oslanjati na cijeli spektar softvera koji je često kompleksan i zatvorenog tipa. Takvi odjeli uglavnom nemaju ni vrijeme ni potrebnu ekspertizu da ručno testiraju svaki update prije nego što se prenese na računala. Odgovornost postoji, ali se radi o praktičnom i logističkom problemu koji je teško rješiv.

Softverski lanac opskrbe, o čemu je ovdje riječ, vrlo je aktualna tema u kibernetičkoj sigurnosti. Dakako da postoji odgovornost da se svaki komad softvera koji je dobiven od treće strane preispita uz detaljnu analizu rizika (supply chain risk management), kao što trebaju postojati i jasno definirani i ažurirani procesi za reagiranje na sigurnosne i slične incidente.

U svakom slučaju, situacija je složena i jasno rješenje (ili poboljšanje) traži temeljitu raspravu na višestrukim razinama.

Zašto je uopće CrowdStrike bio prvi izbor CISO-a, naročito u Americi? Što ga je učinilo toliko popularnim da ga koriste praktički sve S&P 500 kompanije?

CrowdStrike je velika i reputabilna kompanija s gotovo osam tisuća zaposlenih i više od tri milijarde dolara godišnjeg prihoda. Njihov endpoint protection softver se često svrstava među najbolja rješenja za korporacije i velike institucije, a konkurencija su im kompanije kao što su Microsoft, SentinelOne, Sophos i Trend Micro. Gartnerova analiza Magic Quadrant iz 2023. je njihov (u ovom slučaju, problematičan) proizvod CrowdStrike Falcon pozicionirala kao vodeći u navedenoj kategoriji, stoga nije iznenađujuće da je popularan odabir CISO-a koji traže skalabilna i provjerena rješenja.

Djelomičan razlog za masivan rast popularnosti CrowdStrikea je i činjenica da su njihovi istraživači bili ključni za istraživanje ruskih hakerskih napada u Sjedinjenim Američkim Državama.

O samim tehničkim, financijskim i operativnim razlozima za odabir njihovih alata je teško pričati jer ovise o potrebama i mogućnostima svake kompanije.

Imate li saznanja koliko je CrowdStrike raširen u Hrvatskoj?

Teško je procijeniti s obzirom na to da to nije javno dostupan podatak, no CEZIH i neke od većih hrvatskih banaka (Addiko, Erste) su prijavile poteškoće u radu koje su brzo otklonjene, što navodi na zaključak da je svakako u upotrebi na tržištu. S obzirom na njegovu globalnu popularnost, bilo bi iznenađujuće da je trend znatno drugačiji u Hrvatskoj.

Očekuje li nas velika seoba s CS-a na neke druge antivirusne programe kada isteknu potpisani ugovori? Tko im je najveća konkurencija, odnosno tko bi mogao profitirati od nedavnog gafa?

To je sasvim moguće, no treba uzeti u obzir da zamjena takve tehnologije nije trivijalna, što vrijedi i za financijsku i ugovornu stranu priče. Moglo bi se reći da i Microsoft snosi dio odgovornosti s obzirom na to da je arhitektura operativnog sustava dopustila da se ovakva vrsta problema uopće dogodi, a sumnjamo da će se mnogi odlučiti zamijeniti Windows kao operativni sustav na svojim računalima.

Ironični dodatak priči je da je Microsoft odgovornost za donesene arhitekturalne odluke prenio na Europsku uniju. Naime, kompanija tvrdi da nije mogla zaštiti svoj operativni sustav kao što to recimo čine Apple ili Linux zbog dogovora koji je postigla s EU-om 2009. godine oko pravila interoperabilnosti, kada je dozvolila pristup svom operativnom sustavu trećim stranama kako bi zadovoljila zahtjeve europskog prava.

U svakom slučaju, dok vi čitate ovaj tekst, konkurentske kompanije kao što su sam Microsoft, Palo Alto Networks, Trend Micro, Sophos ili Trellix sigurno smišljaju marketinške kampanje koje bi privukle skeptične kupce i korisnike CrowdStrikeovog softvera.

Depositphotos

Kakvo je generalno stanje s kibernetičkom sigurnosti na našem tržištu i što se mora učiniti da se poboljša?

Dovoljno je pogledati ovogodišnje incidente s HANFA-om, KBC Rebrom, Badelom, Autobusnim kolodvorom u Zagrebu, Ministarstvom financija, HNB-om, Poreznom upravom i Zagrebačkom burzom da bismo zaključili da su hrvatske kompanije i institucije itekako interesantna meta za hakerske napade. 

Prošle godine dogodilo se više od 20 značajnih napada, od kojih je najnoviji primjer zračna luka Split. Taj incident savršeno ilustrira kako hakerski napad može omesti svakodnevno funkcioniranje i prouzročiti materijalnu i reputacijsku štetu. S obzirom na to da smo zemlja čija se ekonomija uvelike oslanja na turizam, ne bi nam smjelo biti svejedno. 

Neminovno je da ćemo morati pojačati investicije u kibernetičku sigurnost. To će djelomično biti potaknuto i novodonesenim Zakonom o kibernetičkoj sigurnosti koji kritičnim sektorima donosi određene obveze za osiguranje svojih sustava, analizu rizika, redovno obavještavanje o incidentima itd. 

Također treba investirati u softver za zaštitu, edukaciju zaposlenika i zapošljavanje stručnjaka, održavanje i nadogradnju postojećih sustava, kao i mnoge druge elemente kibernetičke sigurnosti. Problem je sustavan i dijelom je pitanje i nacionalne sigurnosti, ne samo reputacije i poslovanja privatnih kompanija, stoga zakon kao takav postavlja dobar okvir za napredak u godinama koje slijede.

Nedostaje li nam sigurnosnih stručnjaka? Imamo li obrazovne institucije i kompanije u kojima mogu brusiti znanje kako bismo  se znali nositi sa sve učestalijim i opasnijim prijetnjama?

Analize spominju globalni manjak od tri do četiri milijuna stručnjaka, što su uvjeti s kakvima se nosimo i u Hrvatskoj. Obrazovne institucije uvode programe koji bi tržištu trebali pružiti više educiranog kadra, primjerice specijalistički studij informatičke sigurnosti pri zagrebačkom Fakultetu elektrotehnike i računarstva ili preddiplomski studij Kibernetičke sigurnosti na Algebri. Pozitivan primjer i je i novoosnovana Akademija kibernetičke sigurnosti pri HGK-u.

I u tehnološkom sektoru se sve više prepoznaje potreba za uslugama kibernetičke sigurnosti. Infinum je svoj odjel za kibernetičku sigurnost razvio tijekom 2023. i nastavit ćemo širiti paletu usluga s obzirom na to da potrebe tržišta rastu, kako unutar Hrvatske tako i globalno. Trenutno u Hrvatskoj posluje svega nekoliko desetaka kompanija koje pružaju usluge u toj domeni.

Kibernetičkom kriminalu ide u korist današnje širenje i ubrzan razvoj alata umjetne inteligencije koji omogućavaju da napadi postanu još profinjeniji, što će uzrokovati generalni porast u svim domenama kibernetičkog kriminala. Upitno je jesu li trenutne investicije u tehnologiju i obrazovanje kadra dovoljne da prate taj trend. Naše je mišljenje da trenutno kaskamo za situacijom koja se ubrzano razvija u nepovoljnom smjeru, a osim nedostatka osviještenosti i korporativne odgovornosti, financije su zasigurno jedan od faktora koji pridonosi sporoj reakciji.

Stvara se dojam da čelnici tvrtki više vole odriješiti kesu za uređenje ureda, teambuildinge i slične trivije, dok se u kibernetičku sigurnost ne ulaže jer nije "seksi" i većina direktora zapravo ni izbliza ne razumije njenu važnost. Je li to uistinu tako i hoće li ovaj kolaps biti povod da se napravi zbiljnija revizija po tom pitanju? 

Dakako, stručnjaci u domeni kibernetičke sigurnosti su akutno svjesni da su ulaganja u nju uvijek nižeg prioriteta od ulaganja u projekte i inicijative koji direktno mogu donijeti zaradu. Novac uvijek stiže nakon što se problem već dogodio, pa možemo zaključiti da je glavni problem nedostatak proaktivnosti i razumijevanje rizika. 

Dio toga je jednostavno poslovni model i prioritiziranje, a drugi dio je manjak znanja, edukacije i razmišljanje "neće se valjda nama dogoditi", dok kod kibernetičke sigurnosti vrijedi staro pravilo: nije pitanje hoće li se napad dogoditi, već kada.

Ovaj posljednji kolaps, kao i slični napadi prethodnih godina i rastući zakonodavni pritisci na razini država članica i samog EU-a (NIS2, DORA, CRA…) zasigurno će ovu temu podignuti na listi prioriteta rukovodstava tvrtki, jer iako nije seksi, gubitak reputacije i višemilijunski penali još su manje.

Trenutno nema komentara za vijest. Ostavite prvi komentar...

Ostavi komentar