Prije dva mjeseca zagrebačka IT tvrtka Span otvorila je Centar kibernetičke sigurnosti, prvi tog tipa u jugoistočnoj Europi, kojim su Hrvatska i regija dobile (prijeko potreban) centar izvrsnosti za razmjenu znanja i iskustava na području kibernetičke sigurnost
Pokrenuli su ga s izraelskom tvrtkom CyberGym čiji stručnjaci u Centru sudjeluju u treninzima u formi tzv. crvenog tima, onog koji izvodi stvarne napade uživo, na stvarnoj IT infrastrukturi i u realnom vremenu.
Cilj je, ističu iz Centra, stvoriti dodatne stručnjake te generalno podići nivo znanja i vještina iz kibernetičke sigurnosti i kod ljudi koji nemaju prethodno tehničko predznanje.
Stoga su novinarima odlučili pokazati kako izgleda hakerski napad uživo iz perspektive one druge, 'tamne strane', odnosno napadača. Izveli su ga CyberGymovi kibernetički stručnjaci, odnosno 'crveni tim', koji je predvodio Monhal Sarbouch. Riječ je inače o kibernetičkim stručnjacima koji su ranije radili za poznatu jedinicu 8200; jedinicu Izraelskog obavještajnog korpusa Izraelskih obrambenih snaga.
'Crveni tim' je izveo takozvani Advanced Persistant Threat napad; hakerski napad koji se provodi naprednim tehnologijama. Cilj je napraviti veliku štetu nekoj organizaciji. Napadači imaju značajne tehničke i financijske resurse, a napadi mogu trajati od šest mjeseci do tri godine bez da itko to primijeti. Hakeri ciljane organizacije prate dugo vremena, promatraju 'rupe' i sustavu, kao i ponašanje i propuste, smišljajući kako provaliti u sustav. Cilj napada je uspostaviti široko uporište u samoj tvrtki, a napadači stalno mijenjaju taktiku u napadu i ne odustaju dok ne ostvare svoj cilj.
Napad je počeo phishing mailom koji je 'crveni tim' pripremao u svom sustavu za slanje žrtvi, kako bi provalili u računalo u jednoj organizaciji. Poslali su u privitku maila PDF, s ciljem da inficiraju računalo korištenjem ranjive verzije Acrobat Readera. Tako su preuzeli kontrolu nad zaraženim računalom, a potom upotrijebili SMB Worm kako bi se proširili i na ostalu IT infrastrukturu. Radi demonstracije, u Spanu su kliknuli na PDF, nakon čega se na ekranima naših 'zaraženih računala' pojavila poruka da smo hakirani te da imamo 24 sata za uplatu ili će svi naši podaci biti izgubljeni.
Upravo o i na takvim napadima te kako ih prepoznati, pravovremeno reagirati i izbaciti napadača iz okruženja uče polaznici u Spanovu Centru kibernetičke energije, koji smo predstavili krajem rujna. Oni čine 'plavi tim', a mentoriraju ih treneri, odnosno 'bijeli tim'.
'Kibernetički kriminalci dolaze svakodnevno na posao i imaju zadatke, a sve provode u tišini. Stoga ljude prvenstveno želimo naučiti kako se braniti, što dijelom učimo i kroz napade. Treninzi su strukturirani i prilagođeni za svaki profil zaposlenika u organizaciji, a to je važno jer je ljudski faktor najkritičnija komponenta svakog sigurnosnog sustava. Više od 80 posto svih uspješnih napada rezultat je ljudske greške ili nepoduzimanja odgovarajućih poteza. Cilj treninga je da se svaka osoba u organizaciji upozna i potom pridržava načela sigurnosti', pojasnio je izvršni direktor Centra Zoran Kežman.
Osim stručnih treninga za IT osoblje i one koji se bave kibernetičkom sigurnosti, imaju i niz treninga za menadžment i opće zaposlenike koji nemaju prethodno iskustvo. 'Treninzi su specifični po praktičnoj komponenti. Cilj je da kad ljudi dođu na trening, da steknu praktična znanja i vještine koje mogu odmah početi primjenjivati. Ta se praktična komponenta manifestira kroz praktične vježbe gdje ljudi imaju priliku napraviti analizu računala zaraženog malicioznim softverom, a druga komponentna su napadi uživo. Što se samog izvođenja tiče, predavanja i analiza osnovnih slučajeva i sigurnosnih incidenata, te vježbe u cijelosti rade naši treneri iz Spana koji imaju višegodišnje iskustvo u području kibernetičke sigurnosti. Napadi uživo su simulacija i to nije stvarni napad, no događa se u stvarnom vremenu i na stvarnoj infrastrukturi', pojasnio je Kežman.
Izvršni direktor tvrtke CyberGym Ofir Hason je pojasnio da je važno educirati što više zaposlenika u organizaciji kako bi prepoznali kibernetičke napade. Istaknuo je da u svijetu u medijima uslijed rata u Ukrajini vidimo tenkove, vojnike i avione, no ne vidimo kibernetički rat koji se vodi, a čiji napadi mogu biti opasniji od stvarnih.
'To je rat koji se događa daleko od naših očiju, pa i svijesti. Sve je to usko vezano uz geopolitička događanja, od Rusije i Ukrajine to Irana i Tajvana. Premda ovdje nemamo tenkove i aviona, imamo maliciozne kodove, ransomware ('ucjenjivački sofver') i ogromne štete za kritičnu infrastrukturu. Tako kibernetički rat može biti opasniji nego stvarni jer je napada sve više, a usto će globalno u iduće dvije godine nedostajati 3,5 milijuna kibernetičkih stručnjaka koji bi te napade rješavali', naglasio je Hason.
Kibernetički napadi usmjereni na kritičnu infrastrukturu mogu blokirati cijeli grad; od prometa (zračnog, željezničkog, cestovnog i pomorskog), navigacije, pa i rada suda te obrambenog i zdravstvenog sustava, kao i opskrbu strujom, plinom, vodom i gorivom.
'Kibernetički napad može potopiti cijeli brod ako hakeri provale u sustav i krenu sami navigirati brod', dodao je Nevenko Bartolinčić iz Centra kibernetičke sigurnosti, koji je s Franom Slivarom predstavio kako napad izgleda 'plavom timu' u Spanu.
Pojasnio je da postoji nekoliko faza: prvo se prikupljaju sve javno dostupne informacije o samom cilju, pokuša se napraviti inicijalni ulaz u tvrtku, promatra se gdje je ta tvrtka ranjiva. Ideja inicijalnog ulaza u tvrtku jest da se napravi uporište, odnosno da se ostavi maliciozni kod kako bi se ušlo u tvrtku.
Kežman je pritom podsjetio da su napadnute bile i tvrtke Colonial Pipeline i Cisco, te Maersk, no primjere iz Hrvatske nisu smjeli otkrivati.
Prema Nacionalnom CERT-u i podacima iz kolovoza ove godine, zabilježeno je pet do 30 napada dnevno, no to su samo prijavljeni napadi. Procjena je da je to samo deset posto od ukupnog broja kibernetičkih napada. 'Organizacije često misle da se to događa negdje drugdje i nekome drugome', ustvrdio je Kežman.
Span često zaposlenicima namjerno šalje lažne phishing mailove kako bi vidjeli hoće li na njih nasjesti. No i sami zaposlenici rekli su nam da su danas takvi napadi sve sofisticiraniji, s time i opasniji, te da je doista teško razlučiti lažno od stvarnog.
Predsjednik uprave Spana Nikola Dujmović ustvrdio je da svaka organizacija mora napraviti procjenu rizika i odlučiti jesu li im važnije financije ili reputacija, te da je ključno pitanje što napraviti nakon napada. Podsjetio je i da u Spanovu Centru kibernetičke sigurnosti 'grade tržište' te da ovdje stasaju novi stručnjaci za kibernetičku sigurnost kojih na tržištu nedostaje.