Podsjetimo, prošle srijede hakerske skupine napale su hrvatske financijske institucije (Ministarstvo financija, Poreznu upravu, Hrvatsku narodnu banku, portal Hrvatske narodne banke i Zagrebačku burzu), a odgovornost je preuzela ruska hakerska grupa NoName057(16).

Samo dan kasnije zloglasna hakerska grupa LockBit izvršila je napad na KBC Zagreb, zbog čega je nastao kolaps informatičkog bolničkog sustava, a pritom su ukradeni osjetljivi podaci; medicinska dokumentacija, pravni podaci, podaci o organima i darivateljima. U srijedu navečer su pak napadnute dvije velike hrvatske tvrtke - Badel 1862 i Labud.

Hakerski napadi postali su naša svakodnevica, stvarnost i 'ratovi budućnosti'; od phishing kampanji i online prijevara na koje policija kontinuirano upozorava, pa sve do napada hakerskih skupina koje od institucija i kompanija traže otkupnine za ukradene podatke. Prošle godine policija je u Hrvatskoj otkrila i kazneno prijavila ukupno 1688 kibernetičkih napada, što je povećanje od 9,61 posto u odnosu na 2022. godinu.

Zašto se povećao broj kibernetičkih napada u Hrvatskoj, koliko su hrvatske tvrtke otporne na takve prijetnje, što hakeri rade s ukradenim podacima i što tvrtke moraju napraviti ako su napadnute?

Neke su to od tema o kojima smo razgovarali s domaćim liderima za kibernetičku sigurnost - stručnjacima iz Combisa, našim najpoznatijim bijelim hakerom Leonom Juranićem, voditeljem odjela za odgovor na kibernetičke incidente u Spanu Nevenom Zitekom, te izv. prof. dr. sc. Stjepanom Grošom, voditeljem FER-ovog Laboratorija za informacijsku sigurnost i privatnost.

'Kronično nam nedostaje iskusnog kadra'

'Recentni napadi pokazuju da smo i mi kao tržište postali zanimljiviji hakerskim skupinama. Generalno je posljednjih mjeseci porast napada diljem Europe, pa samim time ni hrvatske kompanije nisu pošteđene, a trendovi pokazuju da su napadi sve sofisticiraniji i napredniji, pa tako i sve skuplji po pitanju otklanjanja posljedica, što predstavlja znatan rizik za tvrtke.

Kako bi se borile protiv tih prijetnji, tvrtke bi trebale usvojiti proaktivnu i sveobuhvatnu strategiju kibernetičke sigurnosti koja uključuje redovite procjene rizika, obuku zaposlenika i ulaganje u napredne sigurnosne tehnologije. Sve to mora biti izvedeno kvalitetnim tehnologijama i iskusnim kadrom kojeg kronično nedostaje na hrvatskom, ali i svjetskom tržištu rada, što je svakako još jedna aktualna prijetnja za tvrtke i kritičnu infrastrukturu koju treba uzeti u obzir. Hrvatska ima stručnjake i resurse, ali je ključno osigurati da svi segmenti društva budu svjesni važnosti kibernetičke sigurnosti', ističu iz IT tvrtke Combis, jednog od lidera u kibernetičkoj sigurnosti u Hrvatskoj.

'Neki hakerski napadi nikad nisu otkriveni'

Razlozi kibernetičkih kriminalac mogu biti različiti; od financijske dobiti pa sve do industrijske špijunaže, no za tvrtke je najizazovniji dio - oporavak.

Hrvatski 'bijeli haker' Leon Juranić kaže da je teško sa sigurnošću reći zašto se u zadnja dva tjedna zaredalo toliko računalnih incidenata kod nas. 'Moguće da je jedna hakerska grupa započela trend, pa su ostale nanjušile da bi tu kod nas moglo biti tzv. low hanging fruit prilika, odnosno IT sustava koje je relativno lako hakirati, pa su se fokusirali na hrvatske tvrtke, a moguće i da je čista slučajnost.

Navedenim hakerskim grupama je ovo core business pa su vrlo dobro uigrane u provođenju ovakvih ransomware napada. Ponekad su sami napadi ovakvih financijski motiviranih hakerskih grupa velikim dijelom u potpunosti automatizirani, a ponekad maliciozni akteri aktivno participiraju u što 'boljem' i temeljitijem kompromitiranju IT sustava i podataka neke tvrtke ili organizacije.

Općenito, hakerski napadi mogu biti planirani i provedeni u vremenskom periodu od svega nekoliko minuta pa do nekoliko mjeseci, a postoji i velik broj slučajeva kada su hakeri u nekim sustavima bili i po više od godine dana prije nego su otkriveni. Neki nisu nikada ni otkriveni', napominje Juranić.

'Hrvatska je atraktivna meta'

'Kibernetički je kriminal primarno financijski motiviran i on cilja žrtve oportuno, u smislu da će izabrati one gdje uz najmanje moguće truda i ulaganja može izvući najviše novca', kaže nam Neven Zitek, Incident Response Department Manager.

'S druge strane, napredne perzistentne prijetnje (APT) ili kibernetički kriminalci potpomognuti od strane nacionalne države nisu ograničeni resursima i oni mogu imati za cilj destabilizaciju ili špijunažu, a Hrvatska, kao članica NATO-a i EU-a, može biti atraktivna meta. Ovisno o motivima, sposobnostima i resursima koje imaju na raspolaganju, neki napadači pomno biraju svoje žrtve i troše puno resursa na izviđanje, dok drugi se oslanjaju na oportunističke napade koji iskorištavaju dobro poznate ranjivosti, ljudske slabosti, nedostatke u tehničkim mjerama i slično.

Kako živimo u društvu u kojem je naša ovisnost o digitalnim uslugama izuzetno izražena s tendencijom daljnje digitalizacije, za očekivati je da će napadi s vremenom rasti i u volumenu i u kompleksnosti, a kibernetički kriminalci se neprestano prilagođavaju i razvijaju nove metode napada. Stoga je važno da organizacije i institucije kontinuirano rade na poboljšanju svojih sigurnosnih mjera i svijesti o kibernetičkim prijetnjama', smatra Zitek.

Sigurnosni propust države?

Juranić smatra da je incident u KBC Zagreb-u 'kolosalni sigurnosni propust države i odgovarajućih državnih službi i institucija'.

'Radi se o najosjetljivijim podacima građana, odnosno onim informacijama koje se nalaze u zdravstvenom kartonu građana. Samo se zapitajte biste li željeli da baš bilo tko može pogledati vaš zdravstveni karton. Situacija je nesagledivo gora kada jasno znate da su ti vaši podaci u rukama kriminalaca koji od njih žele profitirati.

Osim ucjene same bolnice čiji IT sustav je kompromitiran, kriminalne hakerske grupe nerijetko ciljaju i same pacijente s ucjenom da će javno objaviti njihove osjetljive podatke ako oni ne plate otkupninu, svaki za svoje podatke.

Naš zdravstveni sustav se raspada u svakom smislu, pa posljedično i informatičkom. Meni je posebno zanimljiv CEZIH IT sustav koji svako malo prestane raditi, pa pacijenti nisu u mogućnosti doći do adekvatne zdravstvene skrbi, neophodnih lijekova itd. Ovo što se dogodilo KBC-u Zagreb samo je posljedica kompletnog zanemarivanja i zapostavljanja zdravstvenog sustava zadnje 34 godine', smatra naš sugovornik.

Juranić kaže da kaskamo u svjetskim trendovima u svemu, pa tako i u - kibernetičkoj sigurnosti.

'Rekao bih da je velika većina tvrtki i institucija kod nas nedovoljno zaštićena. Sigurnost je slojeviti problem i ne postoji srebrni metak da ga se riješi. Nikako ne bih rekao da su ovakvi napadi 'preteški' za obranu. Radi se o tome da većina tvrtki o sigurnosti razmišlja tek onda kada se dogodi incident, a onda je već prekasno', zaključuje Juranić.

Nema potpune zaštite

Stručnjaci se slažu u jednom - 100-postotna zaštita ne postoji, a Zitek ima jasnu poruku za hrvatske tvrtke: 'Kibernetička sigurnost treba biti prioritet, a ulaganje u nju nije trošak već smanjenje rizika. Iako su napadi profesionalnih hakera sve sofisticiraniji, postoji mnogo mjera koje tvrtke mogu poduzeti kako bi poboljšale svoju sigurnost', ističe Zitek.

To uključuje usklađivanje s ISO normama i direktivom NIS2. 'Moramo znati da napadači također imaju znatne troškove prilikom izvođenja napada. Ulaganjem u sigurnost zapravo povećavamo njihov trošak napada, čime smanjujemo vjerojatnost da ćemo postati žrtve. Napadači će uvijek radije izabrati tzv. meku metu jer znači podjednak prihod uz manji trošak izvođenja napada', naglašava Zitek.

Zakon o kibernetičkoj sigurnosti

Podsjetimo, 15. veljače na snagu je stupio Zakon o kibernetičkoj sigurnosti. Riječ je o implementaciji direktive Network and Information Security (NIS) 2 Europske unije, kojom je zamijenjena prethodna, prilično štura inačica ograničenog opsega. Cilj direktive NIS2 je osigurati jednaku razinu kibernetičke sigurnosti u svim državama članicama Unije.

Novim je zakonom u Hrvatskoj značajno proširen opseg obveznika, pa tako sad obuhvaća ukupno 19 sektora, podijeljenih po stupnju rizičnosti. Tvrtke i organizacije imaju na raspolaganju 18 mjeseci za usklađivanje poslovanja s njegovim odredbama.

Što sve donosi i što bi to moglo značiti za domaće tvrtke? Pitali smo ranije nekoliko stručnjaka za mišljenje, a kako gledaju na direktivu pročitajte ovdje.

Nedostatak stručnjaka za kibernetičku sigurnost i boljke u tvrtkama

Stručnjaka za kibernetičku sigurnost u Hrvatskoj nema dovoljno, kaže izv. prof. dr. sc. Stjepan Groš, voditelj FER-ovog Laboratorija za informacijsku sigurnost i privatnost. 'To je definicitaran kadar, ali sve je ako ćemo iskreno', kaže Groš. 'Badel, Labud, KBC Zagreb napadaju skupine koje djeluju oportuno, tj. gdje mogu zaraditi i Hrvatska im nije ništa posebno mrska ili draga. DDoS napadi na institucije posljedica su haktivista koji napadaju sve 'neprijatelje Rusije', na neki način, opet Hrvatska nije ništa posebno', smatra profesor.

Kaže i da se brojne tvrtke danas susreću s dva problema kad je riječ o (kibernetičkoj) sigurnosti.

'Prvi, budžeti su im ograničeni zbog čega počesto nisu u mogućnosti zapošljavati ljude specijalizirane za sigurnost (koji su prilično skupi), a čak i ako žele zaposliti nekoga, počesto imaju problem pronaći nekoga. Naš pristup na FER-u jest da tvrtka pošalje nekog svog postojećeg IT zaposlenika, ili zaposlenika koji se razumije u IT, te ga mi na FER-u educiramo u području sigurnosti na Specijalističkom studiju Informacijska sigurnost.

Na našem specijalističkom studiju polaznici stručno usavršavaju sve tehnološke aspekte informacijske i kibernetičke sigurnosti kao što su upravljanje sigurnosnim rizicima, izrada informatičkih alata za zaštitu od prijetnji te upoznavanje s pravnim aspektima informacijske sigurnosti', ističe Groš te zaključuje: 'Nema 100-postotne zaštite, ali je bitno imati osnovnu 'higijenu' te 'trčati brže od drugih' '