Piše: Boris Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost (HIKS) i voditelj Odjela kibernetičke sigurnosti Eviden (Atos) Hrvatska
Zamislite da se probudite i otkrijete da su svi podaci vaše tvrtke zarobljeni – ovo je nova stvarnost za mnoge poslovne lidere. Bi li vaše poslovanje preživjelo sofisticirani kibernetički napad?
U današnjem visoko digitaliziranom svijetu, gdje su tehnologija i podaci ključni za poslovanje, kibernetička sigurnost postala je glavni prioritet za većinu organizacija. Hakerski napadi, nekada sporadični incidenti, sada su učestali i predstavljaju ozbiljnu prijetnju kontinuitetu poslovanja.
U Hrvatskoj smo u zadnje vrijeme suočeni s lavinom kibernetičkih napada. KBC Rebro, splitska zračna luka, HANFA, HZZO i Zagrebački holding samo su neke javno poznate žrtve. Stvarni broj napadnutih organizacija mnogo je veći, ali mnogi napadi ostaju nepoznati zbog straha od stigme koju bi otkrivanje informacija o napadu moglo izazvati.
Kritične infrastrukture, poput energetskih mreža, telekomunikacija, financijskih sustava i zdravstvenih usluga, predstavljaju okosnicu svake zajednice. Njihova sigurnost i neprekinut rad ključni su za normalno funkcioniranje društva i gospodarstva. Hakerski napadi na ove sektore mogu imati katastrofalne posljedice, ne samo za pogođene organizacije, već i za širu zajednicu. Nedavne kompromitacije bolnica, zračnih luka i drugih elemenata nacionalne kritične infrastrukture izazivaju zabrinutost i u javnosti se s pravom postavljaju mnoga pitanja.
No, je li sramota biti žrtva hakerskog napada?
Priroda hakerskih napada
S razvojem tehnologije, hakerski napadi postali su izuzetno sofisticirani. Evoluirali su od jednostavnih pokušaja provale u sustave do izuzetno kompleksnih operacija koje koriste najsuvremenije tehnologije i taktike. U njima sudjeluju zlonamjerni pojedinci, organizirane skupine pa čak i državne strukture. Razlozi za napade variraju od financijske dobiti i industrijske špijunaže, do politički motiviranih kibernetičkih napada. Primjena različitih sigurnosnih kontrola značajno smanjuje rizik od napada, no ostaje činjenica da čak i najzaštićeniji sustavi nisu potpuno imuni na proboje.
Utjecaj na žrtve i kontinuitet poslovanja
Biti žrtva hakerskog napada može imati dalekosežne posljedice na poslovanje. Financijski gubici mogu biti ogromni, ne samo zbog izravne štete već i zbog gubitka poslovnih prilika i troškova oporavka. Povjerljivi podaci, uključujući osobne podatke klijenata, poslovne tajne i intelektualno vlasništvo, mogu biti ugroženi. Ovaj gubitak povjerenja može biti nepopravljiv, posebno ako se napad ne rješava transparentno i efikasno. No, unatoč ozbiljnosti tih posljedica, bitno je naglasiti da žrtve nisu nužno krive za napad. Napadi su često toliko sofisticirani da ih je teško, ako ne i nemoguće, potpuno spriječiti.
Svaka organizacija mora implementirati odgovarajuće sigurnosne kontrole i druge mjere zaštite kako bi smanjila rizike i povećala otpornost na napade. Ove mjere uključuju redovito ažuriranje softvera, uporabu naprednih sigurnosnih rješenja, redovite sigurnosne provjere, edukaciju zaposlenika i razrađene planove za oporavak. Nedavno donesen Zakon o kibernetičkoj sigurnosti, zajedno sa Uredbom koja će uskoro stupiti na snagu, po prvi puta će jasno i nedvosmisleno propisati konkretne mjere kibernetičke zaštite i primorati obveznike Zakona na njihovu primjenu. Republika Hrvatska jedna je od prvih zemalja Europske unije koja će na taj način transponirati NIS 2 direktivu u nacionalno zakonodavstvo.
Neovisno o Zakonu, svatko ima obvezu ponašati se odgovorno i poduzimati primjerene i adekvatne mjere zaštite, no najveći krivci uvijek su zlonamjerni pojedinci i skupine koji provode ove napade. Zbog toga, javna osuda uvijek treba biti usmjerena prema napadaču, a ne prema žrtvi. Slično, možemo razmotriti odgovornost osobe koja dobije zaraznu bolest poput gripe, unatoč poduzimanju uobičajenih i odgovarajućih zaštitnih mjera. Ovakav stav okrivljavanja žrtve nije samo nepravedan nego je i kontraproduktivan u promicanju sigurnijeg digitalnog okruženja. Umjesto podrške žrtvama, ostavljamo ih posramljene i ponižene, pa oklijevaju prijaviti zločin. Kao rezultat toga, mnogi incidenti ostaju neprijavljeni, što olakšava kibernetičkim kriminalcima da nastave svoje nezakonite aktivnosti neotkriveni.
Odgovornost organizacija ne leži samo u otkrivanju i zaustavljanju kibernetičkih napada, već i u tome kako se organizacija oporavlja i koje mjere poduzima kako bi spriječila buduće incidente. Ključna stvar nije u tome što je organizacija ili pojedinac postao žrtvom napada, već kako se nosi s posljedicama i koje korake poduzima za budućnost. Brza i učinkovita reakcija, postojanje razrađenih planova oporavka, transparentnost prema svim dionicima, suradnja s nadležnim tijelima te implementacija poboljšanih sigurnosnih mjera ključni su elementi odgovornog pristupa. Edukacija zaposlenika, redovite sigurnosne provjere i usvajanje najboljih praksi mogu značajno smanjiti rizik od ponovnog napada. Iz perspektive održanja kontinuiteta poslovanja, važno je razumjeti da kibernetički napad ne mora značiti kraj poslovanja. Ključna je sposobnost organizacije da se oporavi i nastavi s operacijama što je brže moguće.
Primjer dobre prakse je reakcija tvrtke Maersk na napad ransomwarea NotPetya 2017. godine. Iako je napad paralizirao njihovo poslovanje i uzrokovao štetu od približno 300 milijuna dolara, Maersk je brzo reagirao, obavijestio javnost i poduzeo značajne korake za poboljšanje svoje kibernetičku sigurnosti. Njihova transparentnost i proaktivne mjere pomogle su u obnavljanju povjerenja klijenata.
Promjena percepcije javnosti
Sramota povezana s hakerskim napadima često je rezultat društvene percepcije, a ne stvarne krivnje žrtava. Javno mnijenje zna biti oštro, osobito ako se smatra da se napad mogao spriječiti boljim sigurnosnim mjerama. Međutim, potrebno je razumjeti da hakerski napadi često nadmašuju čak i najsuvremenije obrambene sustave. Edukacija javnosti i promjena percepcije ključni su za smanjenje stigme povezane s hakerskim napadima. Biti žrtva napada nije uvijek rezultat nemara ili nesposobnosti, već posljedica sve sofisticiranijih prijetnji s kojima se suočava cijeli svijet.
Ako su implementirane primjerene mjere zaštite, biti žrtva hakerskog napada nije sramota. U svijetu gdje su kibernetičke prijetnje sveprisutne i sve sofisticiranije, neophodno je usredotočiti se na smanjenje rizika kroz provedbu adekvatnih sigurnosnih kontrola i sposobnost oporavka nakon napada kroz učinkovite strategije kontinuiteta poslovanja. Transparentnost, odgovorna reakcija i kontinuirana edukacija ključni su za smanjenje rizika i obnavljanje povjerenja. Promjena društvene percepcije i povećanje svijesti o stvarnoj prirodi hakerskih napada pomoći će u smanjenju stigme i izgradnji sigurnijeg digitalnog okruženja za sve.