Projekt BeamUpMe iz Ludbrega nedavno je proveo zanimljivo istraživanje o računalnoj sigurnosti.

'Naše istraživanje trajalo je nekoliko mjeseci i obuhvatilo je detaljnu analizu sigurnosti web stranica u više europskih država, s naglaskom na otkrivanje najčešćih ranjivosti i procjenu razine zaštite osjetljivih podataka.

Fokusirali smo se na industrijske standarde, usklađenost s regulativama, poput Opće uredbe o zaštiti podataka (GDPR), te konkretne prijetnje kojima su izložene različite organizacije', rekao je tportalu Robert Majhen, stručnjak za računalnu sigurnost i voditelj Poduzetničkog inkubatora Lucera, u sklopu kojeg je nastao projekt BeamUpMe.

Među ključnim nalazima istaknuli su se zastarjeli sustavi, neadekvatna enkripcija i loše konfigurirani sigurnosni protokoli, što je omogućavalo potencijalne upade u sustave i krađu korisničkih podataka. Svijest o sigurnosti se poboljšava, ali su i dalje velike razlike među državama kada je riječ o primjeni sigurnosnih mjera u praksi.

Guranje glave u pijesak

U posljednjih nekoliko godina svijest o kibernetičkim prijetnjama među hrvatskim tvrtkama je narasla, ali to ne znači da su svi poduzeli konkretne korake zaštite. Velike tvrtke, posebice u financijskom sektoru, uložile su značajne resurse u sigurnost, no manja poduzeća i dalje često podcjenjuju rizike.

Možda bi se stanje svijesti o kibernetičkoj sigurnosti najbolje moglo objasniti testiranjem koje su proveli Majhen i njegovi suradnici. Razvili su alate koji na neinvazivan način pregledavaju javno dostupne informacije na slučajno odabranim hrvatskim internetskim stranicama tvrtki i javnih ustanova.

Ti alati, zbog svoje neinvazivnosti, nisu u mogućnosti potvrditi ranjivost, već samo ukazuju na potencijalnu kompromitaciju. 'Naš sustav prepoznao je dvadesetak stranica koje bi potencijalno mogle biti ugrožene u smislu curenja podataka, što direktiva NIS2 definira kao vrlo ozbiljan propust', naveo je Majhen.

Kontaktirali su s tim subjektima i obavijestili ih kako sumnjaju da je njihov sustav podložan kompromitiranju te tražili dozvolu za besplatno potvrđivanje te potencijalne ranjivosti.

To bi podrazumijevalo korištenje hakerskih alata koje ne smiju koristiti bez dozvole klijenta. Jasno su im dali do znanja da će im informacija biti dostavljena bez naknade i da će tu potencijalnu ranjivost trebati riješiti u suradnji sa svojim IT odjelima.

'Od 20 tvrtki i javnih servisa s kojima smo kontaktirali nismo dobili nijedan odgovor. Iako sam osobno u poduzetničkom svijetu već oko 30 godina, malo što me može iznenaditi. No moram priznati da ovakav eklatantan primjer zanemarivanja informacije koja bi im mogla uštedjeti velike probleme još nisam vidio', ispričao je Majhen.

Nakon inicijalnog šoka, dodao je, njihova je reakcija zapravo vrlo objašnjiva.

'Mislim da se radi o kombinaciji neodgovornosti i neugode. Kada otkrijemo ranjivost i prijavimo je, često se susrećemo s tišinom. Na neki način to je klasičan problem ignoriranja neugodnih vijesti – lakše je praviti se da problem ne postoji nego ga priznati i suočiti se s njim', pojasnio je.

Nakon simulacija - poražavajući rezultati

Prošlogodišnji hakerski napadi na hrvatske institucije pokazali su koliko su osjetljivi državni i javni sustavi. Iako je nakon tih incidenata došlo do određenih pomaka u svijesti i ulaganjima u sigurnost, još postoje brojni propusti. 'Problem leži u birokratskoj sporosti, nedostatku koordinacije i ponekad u ograničenim budžetima koji se ne raspoređuju dovoljno brzo i efikasno na području kibernetičke sigurnosti', uvjeren je Majhen.

Također, jedan od ključnih izazova je ljudski faktor. Zaposlenici institucija često nisu dovoljno educirani o prijetnjama poput phishinga, što otvara dodatne sigurnosne rizike.

Prema nekim podacima, u posljednjih nekoliko godina phishing napadi porasli su za 62 posto. Direktiva NIS2 (novi Zakon o kibernetičkoj sigurnosti) posebnu pozornost posvećuje upravo ovom problemu.

'Dovoljna je samo jedna osoba koja klikne na e-mail na koji nije smjela'

Potrebno je organizirati stručnu obuku za zaposlenike, periodično provesti realistične kontrolirane provjere u smislu izlaganja djelatnika takvim napadima ili barem podijeliti lako dostupne pamflete o osnovama prepoznavanja phishing napada.

Što se menadžmenta tiče, još veći problem je manjak svijesti i proaktivnosti na razini donošenja odluka.

'Umjesto aktivnog rada na jačanju obrane, u brojnim slučajevima institucije pokušavaju izbjeći odgovornost prebacivanjem problema ili zataškavanjem incidenata. Često se, umjesto transparentnog pristupa i učenja na greškama, ranjivosti ignorira dok ne postanu javni skandali. Takav pristup dugoročno samo povećava rizik i smanjuje povjerenje građana u sigurnost državnih sustava', upozorio je.

Najčešće se zanemaruje osnovne mjere

Najčešći sigurnosni propusti koje Majhen i njegovi kolege viđaju u praksi uključuju zanemarivanje osnovnih mjera sigurnosti. To podrazumijeva nedostatak redovitih nadogradnji sustava, korištenje slabih ili ponavljajućih lozinki, lošu konfiguraciju sustava te ignoriranje potencijalnih sigurnosnih ranjivosti.

Veliki problem je i podcjenjivanje važnosti edukacije zaposlenika. Napadači sve više koriste socijalni inženjering, manipuliraju ljudima da bi pristupili osjetljivim podacima, a tvrtke i institucije ne ulažu dovoljno u treninge koji bi mogli smanjiti ovu prijetnju.

Osim toga, mnoge organizacije nemaju definirane sigurnosne procedure i planove odgovora na incidente, što znači da tek u trenutku napada shvaćaju koliko su ranjive i nepripremljene. 'Ključna riječ ovdje je - otpornost. Ako se incident već dogodio, interni sustavi moraju biti podešeni na način na koji ih takav incident ne bi do te mjere neutralizirao da bi to bilo katastrofalno za poslovne procese', ocijenio je Majhen.

O direktivi NIS2

Primjena direktive NIS2 natjerat će organizacije na ozbiljno sagledavanje njihovih sigurnosnih praksi i usklađivanje s novim, strožim zahtjevima.

'Očekujem da će se mnoge tvrtke pokušati prilagoditi samo formalno, bez stvarnog ulaganja u sigurnosne mjere. Problem će nastati kada krenu ozbiljne inspekcije i kazne jer će tada postati očito tko je doista unaprijedio svoju sigurnost, a tko je samo 'zaokružio kvačicu' na listi regulatornih zahtjeva.

Bojim se da će kod mnogih to biti puko zadovoljavanje forme, bez stvarnog razumijevanja ili primjene mjera u praksi. Već sada vidim trend da se sigurnosne politike pišu kako bi zadovoljile propise, ali se u stvarnosti ne implementiraju dosljedno. Papirnata sigurnost ne štiti od napada – ako mjere nisu stvarno provedene, to neće pomoći u trenutku u kojem dođe do incidenta', uvjeren je Majhen.

Možda će propisane kazne u astronomskim iznosima, kao i izravna odgovornost menadžmenta biti poticaj da se počne proaktivno djelovati.

'Nismo bijeli hakeri'

BeamUpMe je projekt nastao djelovanjem Inicijative za sigurniji internet grada Ludbrega i Poduzetničkog inkubatora Lucera. Okuplja tim iskusnih stručnjaka s područja kibernetičke sigurnosti, s ciljem identifikacije prijetnji, podizanja svijesti i pomaganja organizacijama u zaštiti od napada.

Njihovi su klijenti raznoliki: od malih tvrtki do velikih korporacija i javnih institucija. Nude različite sigurnosne usluge, uključujući testiranja penetracije, analize ranjivosti, sigurnosne provjere i edukacijske programe.

Scena postaje demokratska i eksponencijalno raste svakim danom. To povećanje dovodi do činjenice da ćete - bilo vi kao pojedinac, bilo vaša tvrtka - sigurno biti metom pokušaja hakiranja.

'Uz lako dostupne besplatne alate za kompromitiranje sustava i činjenicu da se napadi uz pomoć modela umjetne inteligencije mogu modificirati do točke da postanu gotovo neprepoznatljivi, postaje jasno da je nužno stjecanje novih vještina za sigurnu online prisutnost. To je jedini način da se uživa u svim blagodatima koje pruža internet, a da istovremeno ostanemo sigurni', zaključio je Majhen.