NIZ NAPADA

Zašto smo najednom zanimljivi hakerima: 'Nanjušili su da mogu...'

04.07.2024 u 15:51

Bionic
Reading

U posljednja dva tjedna Hrvatska je postala metom sofisticiranih kibernetičkih napada koji su izazvali veliku zabrinutost među građanima i stručnjacima. Više tvrtki, državnih institucija i jedna bolnica našli su se na udaru hakerskih grupa, što je dovelo do prekida u radu, gubitka osjetljivih podataka i potencijalno ozbiljnih financijskih gubitaka. Ovi incidenti ukazuju na ozbiljnu ranjivost nacionalne kibernetičke infrastrukture, a nameće se i pitanje o razini spremnosti Hrvatske uslijed prijetnji digitalnog doba

Podsjetimo, prošle srijede hakerske skupine napale su hrvatske financijske institucije (Ministarstvo financija, Poreznu upravu, Hrvatsku narodnu banku, portal Hrvatske narodne banke i Zagrebačku burzu), a odgovornost je preuzela ruska hakerska grupa NoName057(16).

Samo dan kasnije zloglasna hakerska grupa LockBit izvršila je napad na KBC Zagreb, zbog čega je nastao kolaps informatičkog bolničkog sustava, a pritom su ukradeni osjetljivi podaci; medicinska dokumentacija, pravni podaci, podaci o organima i darivateljima. U srijedu navečer su pak napadnute dvije velike hrvatske tvrtke - Badel 1862 i Labud.

Hakerski napadi postali su naša svakodnevica, stvarnost i 'ratovi budućnosti'; od phishing kampanji i online prijevara na koje policija kontinuirano upozorava, pa sve do napada hakerskih skupina koje od institucija i kompanija traže otkupnine za ukradene podatke. Prošle godine policija je u Hrvatskoj otkrila i kazneno prijavila ukupno 1688 kibernetičkih napada, što je povećanje od 9,61 posto u odnosu na 2022. godinu.

Zašto se povećao broj kibernetičkih napada u Hrvatskoj, koliko su hrvatske tvrtke otporne na takve prijetnje, što hakeri rade s ukradenim podacima i što tvrtke moraju napraviti ako su napadnute?

Neke su to od tema o kojima smo razgovarali s domaćim liderima za kibernetičku sigurnost - stručnjacima iz Combisa, našim najpoznatijim bijelim hakerom Leonom Juranićem, voditeljem odjela za odgovor na kibernetičke incidente u Spanu Nevenom Zitekom, te izv. prof. dr. sc. Stjepanom Grošom, voditeljem FER-ovog Laboratorija za informacijsku sigurnost i privatnost.

'Kronično nam nedostaje iskusnog kadra'

'Recentni napadi pokazuju da smo i mi kao tržište postali zanimljiviji hakerskim skupinama. Generalno je posljednjih mjeseci porast napada diljem Europe, pa samim time ni hrvatske kompanije nisu pošteđene, a trendovi pokazuju da su napadi sve sofisticiraniji i napredniji, pa tako i sve skuplji po pitanju otklanjanja posljedica, što predstavlja znatan rizik za tvrtke.

Kako bi se borile protiv tih prijetnji, tvrtke bi trebale usvojiti proaktivnu i sveobuhvatnu strategiju kibernetičke sigurnosti koja uključuje redovite procjene rizika, obuku zaposlenika i ulaganje u napredne sigurnosne tehnologije. Sve to mora biti izvedeno kvalitetnim tehnologijama i iskusnim kadrom kojeg kronično nedostaje na hrvatskom, ali i svjetskom tržištu rada, što je svakako još jedna aktualna prijetnja za tvrtke i kritičnu infrastrukturu koju treba uzeti u obzir. Hrvatska ima stručnjake i resurse, ali je ključno osigurati da svi segmenti društva budu svjesni važnosti kibernetičke sigurnosti', ističu iz IT tvrtke Combis, jednog od lidera u kibernetičkoj sigurnosti u Hrvatskoj.

'Neki hakerski napadi nikad nisu otkriveni'

Razlozi kibernetičkih kriminalac mogu biti različiti; od financijske dobiti pa sve do industrijske špijunaže, no za tvrtke je najizazovniji dio - oporavak.

Hrvatski 'bijeli haker' Leon Juranić kaže da je teško sa sigurnošću reći zašto se u zadnja dva tjedna zaredalo toliko računalnih incidenata kod nas. 'Moguće da je jedna hakerska grupa započela trend, pa su ostale nanjušile da bi tu kod nas moglo biti tzv. low hanging fruit prilika, odnosno IT sustava koje je relativno lako hakirati, pa su se fokusirali na hrvatske tvrtke, a moguće i da je čista slučajnost.

Navedenim hakerskim grupama je ovo core business pa su vrlo dobro uigrane u provođenju ovakvih ransomware napada. Ponekad su sami napadi ovakvih financijski motiviranih hakerskih grupa velikim dijelom u potpunosti automatizirani, a ponekad maliciozni akteri aktivno participiraju u što 'boljem' i temeljitijem kompromitiranju IT sustava i podataka neke tvrtke ili organizacije.

Općenito, hakerski napadi mogu biti planirani i provedeni u vremenskom periodu od svega nekoliko minuta pa do nekoliko mjeseci, a postoji i velik broj slučajeva kada su hakeri u nekim sustavima bili i po više od godine dana prije nego su otkriveni. Neki nisu nikada ni otkriveni', napominje Juranić.

'Hrvatska je atraktivna meta'

'Kibernetički je kriminal primarno financijski motiviran i on cilja žrtve oportuno, u smislu da će izabrati one gdje uz najmanje moguće truda i ulaganja može izvući najviše novca', kaže nam Neven Zitek, Incident Response Department Manager.

'S druge strane, napredne perzistentne prijetnje (APT) ili kibernetički kriminalci potpomognuti od strane nacionalne države nisu ograničeni resursima i oni mogu imati za cilj destabilizaciju ili špijunažu, a Hrvatska, kao članica NATO-a i EU-a, može biti atraktivna meta. Ovisno o motivima, sposobnostima i resursima koje imaju na raspolaganju, neki napadači pomno biraju svoje žrtve i troše puno resursa na izviđanje, dok drugi se oslanjaju na oportunističke napade koji iskorištavaju dobro poznate ranjivosti, ljudske slabosti, nedostatke u tehničkim mjerama i slično.

Kako živimo u društvu u kojem je naša ovisnost o digitalnim uslugama izuzetno izražena s tendencijom daljnje digitalizacije, za očekivati je da će napadi s vremenom rasti i u volumenu i u kompleksnosti, a kibernetički kriminalci se neprestano prilagođavaju i razvijaju nove metode napada. Stoga je važno da organizacije i institucije kontinuirano rade na poboljšanju svojih sigurnosnih mjera i svijesti o kibernetičkim prijetnjama', smatra Zitek.

Što se događa ako žrtve odbiju hakerima platiti otkupninu?

U slučaju da su osjetljivi podaci ukradeni, hakerske grupe te podatke često prodaju na crnom tržištu ili ih jednostavno objave kako bi naštetili reputaciji tvrtke ili organizacije koju su kompromitirali, u slučaju da otkupnina nije plaćena u određenom vremenskom periodu.

'No i u slučaju da se otkupnina plati, kako vjerovati kriminalcu na riječ da te podatke neće i dalje preprodavati? Ako podaci nisu ukradeni, ali su enkriptirani, odnosno 'zaključani' nekim od velikog broja ransomware malicioznih programa, a ne postoji adekvatan backup podataka, tvrtka ili organizacija je suočena s trajnim gubitkom vrijednih podataka ako ne plate otkupninu', upozorava Leon Juranić.

Na tom je tragu i Zitek: 'Pristup osjetljivim informacijama, kao što su medicinski podaci ili financijski izvještaji sigurno nije bezazlen, a prave posljedice bojim se će biti vidljive tek mnogo kasnije. Postoje načini da se situacija 'spasi' bez plaćanja otkupnine. Projekt 'No More Ransom' nudi alate za dešifriranje koji mogu pomoći žrtvama da povrate svoje podatke bez plaćanja otkupnine. Međutim, nije uvijek moguće dešifrirati sve vrste ransomwarea, pa je prevencija i priprema ključna.

U pravilu oporavak uključuje povratak iz sigurnosnih kopija sukladno planu oporavka, naravno pod uvjetom da su sigurnosne kopije izuzete od napada. Ovime se naglašava potreba za dobrim planiranjem puno prije realizacije samog napada. Šteta za tvrtku može biti značajna, ne samo u smislu gubitka podataka, već i u smislu financijskih gubitaka, prekida poslovanja, pravnih posljedica i štete ugledu', ističe Neven Zitek.

Na što tvrtke trebaju pripaziti?

'Važno je da tvrtke redovito ažuriraju softvere i sustave, provode kontinuiranu edukaciju zaposlenika i imaju jake sigurnosne mjere kako bi se zaštitile od ransomware napada. Čuvanje jedne sigurnosne kopije nedostupne s računalne mreže (offline) može postati zadnja linija oporavka. Prevencija je najbolji način zaštite od ransomware napada, a također, važno je imati plan za odgovor na incidente koji će omogućiti brzu reakciju u slučaju napada', naglašava Zitek.

Sigurnosni propust države?

Juranić smatra da je incident u KBC Zagreb-u 'kolosalni sigurnosni propust države i odgovarajućih državnih službi i institucija'.

'Radi se o najosjetljivijim podacima građana, odnosno onim informacijama koje se nalaze u zdravstvenom kartonu građana. Samo se zapitajte biste li željeli da baš bilo tko može pogledati vaš zdravstveni karton. Situacija je nesagledivo gora kada jasno znate da su ti vaši podaci u rukama kriminalaca koji od njih žele profitirati.

Osim ucjene same bolnice čiji IT sustav je kompromitiran, kriminalne hakerske grupe nerijetko ciljaju i same pacijente s ucjenom da će javno objaviti njihove osjetljive podatke ako oni ne plate otkupninu, svaki za svoje podatke.

Naš zdravstveni sustav se raspada u svakom smislu, pa posljedično i informatičkom. Meni je posebno zanimljiv CEZIH IT sustav koji svako malo prestane raditi, pa pacijenti nisu u mogućnosti doći do adekvatne zdravstvene skrbi, neophodnih lijekova itd. Ovo što se dogodilo KBC-u Zagreb samo je posljedica kompletnog zanemarivanja i zapostavljanja zdravstvenog sustava zadnje 34 godine', smatra naš sugovornik.

Juranić kaže da kaskamo u svjetskim trendovima u svemu, pa tako i u - kibernetičkoj sigurnosti.

'Rekao bih da je velika većina tvrtki i institucija kod nas nedovoljno zaštićena. Sigurnost je slojeviti problem i ne postoji srebrni metak da ga se riješi. Nikako ne bih rekao da su ovakvi napadi 'preteški' za obranu. Radi se o tome da većina tvrtki o sigurnosti razmišlja tek onda kada se dogodi incident, a onda je već prekasno', zaključuje Juranić.

Što kompanije trebaju poduzeti nakon hakerskog napada? Evo što Combis preporučuje:

  1. Brza reakcija: Odmah izolirati zaražene sustave kako bi se spriječilo širenje napada.
  2. Forenzička analiza: Provesti detaljnu analizu kako bi se utvrdio način napada i eventualne ranjivosti.
  3. Obavijestiti nadležne institucije: Suradnja s regulatornim tijelima i sigurnosnim službama može pomoći u ublažavanju posljedica.
  4. Komunikacija s korisnicima: Transparentno obavijestiti korisnike o napadu, mogućim posljedicama i mjerama koje se poduzimaju kako bi se spriječila slična situacija u budućnosti.
  5. Povećanje sigurnosnih mjera: Unaprijediti sigurnosne protokole, provesti edukaciju zaposlenika i kontinuirano pratiti sigurnosne prijetnje.

Nema potpune zaštite

Stručnjaci se slažu u jednom - 100-postotna zaštita ne postoji, a Zitek ima jasnu poruku za hrvatske tvrtke: 'Kibernetička sigurnost treba biti prioritet, a ulaganje u nju nije trošak već smanjenje rizika. Iako su napadi profesionalnih hakera sve sofisticiraniji, postoji mnogo mjera koje tvrtke mogu poduzeti kako bi poboljšale svoju sigurnost', ističe Zitek.

To uključuje usklađivanje s ISO normama i direktivom NIS2. 'Moramo znati da napadači također imaju znatne troškove prilikom izvođenja napada. Ulaganjem u sigurnost zapravo povećavamo njihov trošak napada, čime smanjujemo vjerojatnost da ćemo postati žrtve. Napadači će uvijek radije izabrati tzv. meku metu jer znači podjednak prihod uz manji trošak izvođenja napada', naglašava Zitek.

Zakon o kibernetičkoj sigurnosti

Podsjetimo, 15. veljače na snagu je stupio Zakon o kibernetičkoj sigurnosti. Riječ je o implementaciji direktive Network and Information Security (NIS) 2 Europske unije, kojom je zamijenjena prethodna, prilično štura inačica ograničenog opsega. Cilj direktive NIS2 je osigurati jednaku razinu kibernetičke sigurnosti u svim državama članicama Unije.

Novim je zakonom u Hrvatskoj značajno proširen opseg obveznika, pa tako sad obuhvaća ukupno 19 sektora, podijeljenih po stupnju rizičnosti. Tvrtke i organizacije imaju na raspolaganju 18 mjeseci za usklađivanje poslovanja s njegovim odredbama.

Što sve donosi i što bi to moglo značiti za domaće tvrtke? Pitali smo ranije nekoliko stručnjaka za mišljenje, a kako gledaju na direktivu pročitajte ovdje.

Nedostatak stručnjaka za kibernetičku sigurnost i boljke u tvrtkama

Stručnjaka za kibernetičku sigurnost u Hrvatskoj nema dovoljno, kaže izv. prof. dr. sc. Stjepan Groš, voditelj FER-ovog Laboratorija za informacijsku sigurnost i privatnost. 'To je definicitaran kadar, ali sve je ako ćemo iskreno', kaže Groš. 'Badel, Labud, KBC Zagreb napadaju skupine koje djeluju oportuno, tj. gdje mogu zaraditi i Hrvatska im nije ništa posebno mrska ili draga. DDoS napadi na institucije posljedica su haktivista koji napadaju sve 'neprijatelje Rusije', na neki način, opet Hrvatska nije ništa posebno', smatra profesor.

Kaže i da se brojne tvrtke danas susreću s dva problema kad je riječ o (kibernetičkoj) sigurnosti.

'Prvi, budžeti su im ograničeni zbog čega počesto nisu u mogućnosti zapošljavati ljude specijalizirane za sigurnost (koji su prilično skupi), a čak i ako žele zaposliti nekoga, počesto imaju problem pronaći nekoga. Naš pristup na FER-u jest da tvrtka pošalje nekog svog postojećeg IT zaposlenika, ili zaposlenika koji se razumije u IT, te ga mi na FER-u educiramo u području sigurnosti na Specijalističkom studiju Informacijska sigurnost.

Na našem specijalističkom studiju polaznici stručno usavršavaju sve tehnološke aspekte informacijske i kibernetičke sigurnosti kao što su upravljanje sigurnosnim rizicima, izrada informatičkih alata za zaštitu od prijetnji te upoznavanje s pravnim aspektima informacijske sigurnosti', ističe Groš te zaključuje: 'Nema 100-postotne zaštite, ali je bitno imati osnovnu 'higijenu' te 'trčati brže od drugih' '

Što je ucjenjivački softver (ransomware)?

Ransomware je zlonamjerni softver (malware) koji žrtvi zaključava pristup uređaju ili podacima dok ne plati otkupninu. Haker šifrira podatke, čineći ih nečitljivima bez ispravnog ključa za dešifriranje (recimo, lozinke).

Ucjenjivački softver često cilja tvrtke u kojima nemogućnost pristupa podacima može dovesti do gubitka kupaca i povjerenja u robnu marku. Količina informacija koju posjeduju tvrtke također je značajnija od informacija koje posjeduje javnost općenito.

To je jedan od razloga zbog kojih su medicinske ustanove, naprimjer, toliko osjetljive na ovaj oblik napada: količina privatnih podataka, čak i samo osobnih podataka, koje se drži na takvom mjestu osobito je značajna.

Kako ransomware može dovesti do kibernetičke iznude?

Svaki ransomware blokira podatke da bi se iznudila otkupnina.

Ona ne mora biti nužno novčana - napadač može tražiti više podataka da bi dobio pristup novim žrtvama, novom materijalu pomoću kojeg bi nastavio ucjenjivati ili naveo na daljnje širenje ransomwarea te druge radnje koje inače ne biste poduzeli.

Dakle kibernetička iznuda može dovesti do ransomwarea, što dalje može voditi u začarani krug, iz kojeg se sve teže i teže izvući. Ukratko, ransomware je upotrijebljeni softver, a kibernetička iznuda je radnja koja može (ali i ne mora) koristiti zlonamjerni softver da bi se došlo do novca ili drugih vrijednosti.