Svakih jedanaest sekundi u svijetu se dogodi jedan kibernetički napad, podaci su to istraživanja koje je iznijela Europska komisija 2022. godine prilikom predstavljanja Akta o kibernetičkoj sigurnosti. O kibernetičkoj sigurnosti smo uistinu mnogo pisali, no proteklih su se tjedana zbili učestali napadi na hrvatske institucije koji su ponovo u fokus stavili kibernetičku zaštitu. Pa je li došlo do povećanja kibernetičkih napada u Hrvatskoj?
Naime, prema podacima Ministarstva unutarnjih poslova, tijekom 2023. godine policija je otkrila i kazneno prijavila ukupno 1688 kibernetičkih napada, odnosno kaznenih djela protiv računalnih sustava, programa i podataka. To predstavlja, kaže MUP, povećanje od 9,61 posto u odnosu na isto razdoblje 2022. godine kada je evidentirano 1540 kibernetičkih napada. Sličan rast broja kibernetičkih napada od 10 posto bilježi se i u prvoj polovici 2024. godine.
Za Lider je ove brojke prokomentirao glavni tehnološki direktor u tvrtki Infigo Bojan Ždrnja.
– Broj kibernetičkih napada u zadnjih nekoliko godina svakako je značajno porastao. To vidimo i jednostavno prema broju incidenata koje rješava naš tim u Infigu gdje vidimo veliki porast broja incidenata u čitavoj regiji. Iako su se incidenti događali stalno, rekao bih da je neki veći porast vidljiv od početka Covid-19 epidemije kada je jednostavno ogroman broj tvrtki bio primoran omogućiti svojim zaposlenicima udaljen rad. Ovo je otvorilo nove vektore napada, koji su nekim tvrtkama bili i nepoznati prije toga. Uz navedeno, tu je i sve veća digitalizacija i otvaranje prema Internetu kako bi se omogućile nove usluge za krajnje korisnike ili optimiziralo poslovanje. Danas gotovo sigurno nema tvrtke koja posluje bez ikakvog IT-a – kaže Ždrnja.
Stručnjak za informacijsku sigurnost Lucijan Carić pak tvrdi da su statistički pokazatelji relativno neprecizni kada govorimo o broju napada na sigurnost informacijskih sustava i ne daju pravu sliku zato što je tamna brojka, broj neprijavljenih i neevidentiranih napada, vrlo velik. Također, navodi, statistike uglavnom pokazuju uspješno izvedene napade, a ne one koji su odbijeni ili spriječeni i to često djelovanjem potpuno automatiziranih sustava.
Problem je i manjak stručnjaka
– Porast napada na sigurnost informacijskih sustava u Hrvatskoj uglavnom korelira povećanom broju napada u svijetu uopće. Hrvatska je relativno mala, ne previše bogata i ima umjereno razvijenu informacijsku infrastrukturu. Da, postoje ciljani napadi na tvrtke i institucije u Hrvatskoj, ali isto tako postoji i velik broj automatiziranih napada koji ne birajući traže žrtve na internetu, ma gdje one bile – tvrdi Carić.
Ipak, porast kibernetičkih napada, prema Miroslavu Dubajiću, ICT Solutions Manageru u A1 Hrvatska, ukazuje na nekoliko ključnih izazova i trendova u području kibernetičke sigurnosti, a to su ovisnost o digitalnim tehnologijama u svakodnevnom životu, sofisticiraniji napadači, ali i nedostatak stručnjaka koji se bave temom kibernetičke sigurnosti, a samim time i nedostatak svijesti o važnosti dobre zaštite u kibernetičkom prostoru. No, s porastom incidenata dolazi i do jačanja te svijesti pa bi napadi na državne institucije mogli osvijestiti i privatne osobe i institucije da trebaju investirati u zaštitu.
– Sasvim je sigurno da svijest o prijetnjama koje vladaju u kibernetičkom prostoru raste iz dana u dan te sve više tvrtki i organizacija radi na pojačanim ulaganjima u kibernetičku sigurnost. Kibernetički napadi imaju značajne financijske, reputacijske i operativne posljedice za organizacije i pojedince pa je u tom smislu i za očekivati da ulaganja u sigurnost rastu. Tu su i vanjski čimbenici koji utječu na organizacije da ulažu više, a to su regulatorni pritisci, financijski poticaji, pritisak kupaca i partnera – nabraja Dubajić.
Pa tko su onda hakeri koji nas napadaju i stvaraju ogromne štete za domaće organizacije? Carić kaže da napadači danas u najvećoj mjeri nisu više benevolentni klinci željni dokazivanja već organizirane kriminalne skupine koje raspolažu potrebnim sredstvima, infrastrukturom i znanjem. Naravno, kako kaže, raspolažu i stručnjacima, a informatičkim kriminalom bave se zato što se on isplati i jer je šansa otkrivanja i kažnjavanja napadača relativno mala.
– Pored toga, vi ste u podređenom položaju jer u zaštiti morate uvijek uspjeti, što je u praksi teško ostvarivo, a napadač treba uspjeti samo jednom. Danas praktično svatko, kojim god se poslom bavio, treba imati računalo priključeno na Internet što ga izlaže rizicima. Milijarde računala priključene su na Internet. Čak i kada bi 90 posto tih računala bilo potpuno sigurno, što nikako nije slučaj već je upravo obrnuto, napadači bi i dalje mogli birati između stotina milijuna mogućih žrtava – navodi Carić.
Dvije glavne grupe napadača
S druge strane, dodaje Ždrnja, kada se profiliraju napadači danas zapravo možemo vidjeti generalno dvije grupe napadača: sofisticirani napadači, koji su nerijetko sponzorirani od država (npr. Rusija, Sjeverna Koreja, Kina) i od kojih je obrana vrlo teška ako ne i nemoguća, te oportunistički napadači koji su i izvor ovog povećanog broja incidenata.
– Oportunistički napadači danas uglavnom traže nekakav profit (npr. enkripcijom datoteka i poslije ucjenjivanjem) i pokušavaju u što kraćem broju naći što veći broj žrtava. I upravo tu dolazi ‘na naplatu‘ činjenica da mala i srednja poduzeća na žalost slabo ulažu u informacijsku sigurnost (a ima i slučajeva kada je riječ o velikim poduzećima). Potrebno je istaknuti da se incident može dogoditi bilo kome, no da bi svakako trebalo raditi na tome da se minimizira rizik od takvog udarca na poslovanje – kaže Ždrnja dodajući da je za očekivati da će broj incidenata rasti jer napadači imaju jednostavnu računicu; što više napadaju, veća je šansa da će više zaraditi.
– Vjerujem da će ovakvi incidenti i probuditi ljude i povećati ulaganja u kibernetičku sigurnost, to je prepoznato i na razini regulativa gdje imamo NIS2 i DORA regulative, koje su vrlo stroge a koje pokušavaju minimizirati incidente i njihov utjecaj na barem kritične sektore, no mišljenja sam da nitko ne bi trebao ignorirati ove regulative, čak i ako nas ne ‘kače‘ direktno. Kibernetičku sigurnost treba gledati kao osiguranje: generira troška, ali tu je da zaštiti naše poslovanje tako da i tu vrijedi ona poznata: bolje spriječiti nego liječiti – zaključuje Ždrnja.
No, koje točno korake poduzeti da bi zaštitili svoje IT sustave od kibernetičkih napada? Prema Dubajiću, prvo bi trebali osigurati da su zaposlenici adekvatno upoznati s osnovnim pojmovima kibernetičke sigurnosti, kao što su upotreba složenih lozinki te izbjegavanje otvaranja sumnjivih privitaka elektroničke pošte ili pak otvaranja neprovjerenih internetskih stranica.
– Sljedeći korak kojeg bi tvrtke trebale napraviti jest implementacija softverskih i hardverskih sigurnosnih rješenja, poput vatrozida (firewall) te programa za otkrivanje zlonamjernog softvera (antimalware), te ih kontinuirano održavati najnovijim zakrpama i ažuriranjima. Osim navedenog, trebali bi redovito sigurnosno kopirati svoje podatke (backup) uključujući redovito testiranje radi li kreirana sigurnosna kopija (restore). Naposljetku, trebali bi razmotriti partnerstvo s pružateljem IT usluga, poput A1 Hrvatska, čime će se osigurati da IT sustavi tvrtki budu sigurni te da imaju pristup najnovijoj tehnologiji i stručnom znanju u području kibernetičke sigurnosti – objašnjava Dubajić.