Svakih četrnaest sekundi u svijetu se dogodi ozbiljan kibernetički napad, zbog čega kibernetička sigurnost postaje kritičan aspekt poslovnih strategija kompanija. No hrvatske tvrtke nisu dovoljno prilagođene tim izazovima – rezultati su to istraživanja Hrvatske gospodarske komore (HGK) provedenoga na više od dvjesto tvrtki koji su predstavljeni na prvoj strateškoj radionici HGK-ove Akademije kibernetičke sigurnosti.
Krhki opskrbni lanci
I uistinu, napadi na opskrbne lance softvera bilježe rast od 742 posto između 2021. i 2023., a Gartner predviđa da će do 2025. na globalnoj razini 45 posto kompanija iskusiti tu vrstu napada, tvrdi produkt-menadžerica u Odjelu sigurnosnih rješenja kompanije ASEE Maja Šporčić i dodaje da će napadači, umjesto da izravno napadnu glavnu metu, najprije kompromitirati neki softverski proizvod treće strane koji ta kompanija upotrebljava.
– To znači da ciljaju proizvođače i dobavljače softvera te infiltriraju zlonamjerni kôd ili sigurnosne slabosti u njihov softver. Kada taj kompromitirani softver dođe do krajnjih korisnika, napadači dobivaju pristup njihovim sustavima. Tako ne ciljaju samo jednu organizaciju, već mogu napasti stotine ili tisuće organizacija koje upotrebljavaju taj softver – objašnjava Šporčić i dalje ističe da takvi napadi mogu imati ozbiljne posljedice jer su u riziku osjetljive informacije koje mogu prouzročiti poremećaje u radu sustava ili čak potpuno onesposobiti neke dijelove poslovanja.
Zbog toga je, kaže, važno da sve organizacije u opskrbnom lancu softvera primjenjuju visoke standarde sigurnosti i redovito provjeravaju sigurnost svojih proizvoda i usluga.
Neprestana prijetnja
Da je godinama aktualna prijetnja koja nikako ne posustaje ransomware, smatra direktor Combisova Odjela za kibernetičku sigurnost Mate Grbavac, koji objašnjava da se ta prijetnja obično realizira napadom zlonamjernog softvera koji šifrira tvrtkine podatke tako da postanu nedostupni dok se ne plati otkupnina. Potvrđuje također da je sve aktualnije iskorištavanje ranjivosti dobavnih lanaca.
– Incident sa SolarWindsom odličan je primjer u kojem su se napadači infiltrirali u pouzdanog proizvođača softvera da bi probili mnoge vladine i korporativne mreže. Takvi napadi naglašavaju potrebu da tvrtke trebaju uz vlastite sustave osigurati da se njihovi dobavljači drže standarda kibernetičke sigurnosti i najbolje prakse – kaže Grbavac i napominje da je krađa identiteta i dalje aktualna prijetnja, kao i phishing-napadi koji su ciljani, personalizirani i sve češće konstruirani tako da upućuju na govorno područje bivše Jugoslavije ili pak vješto upotrebljavaju generativnu AI tehnologiju.
Umjetna inteligencija sve se češće upotrebljava za automatizaciju napada, izradu malicioznoga koda i sadržaja te olakšava rad kriminalnim akterima, ubrzava njihove napadačke kampanje i svakako im pomaže u izradi napada socijalnim inženjeringom, nastavlja Grbavac, koji tvrdi da je jedna od taktika koja može zorno prikazati snagu umjetne inteligencije u kibernetičkim napadima kloniranje, odnosno modulacija glasa, pri čemu napadači oponašaju osobe od autoriteta tijekom telefonskih poziva i tako pristupaju organizacijama i/ili izvlače financijsku korist. Drugim riječima, kiberkriminalci sve su pametniji, no sve su bolja i zakonodavna tijela koja su, očito, na vrijeme shvatila da se s njima ne treba šaliti.
– Odlično je što su toga svjesni i regulatori i državna vlast. To nam potvrđuje i NIS2, jedan od ključnih zakonodavnih okvira Europske unije usmjeren na jačanje kibernetičke sigurnosti i operativne otpornosti. Za razliku od NIS-a, NIS2 zahvaća više sektora, propisuje zahtjevnije sigurnosne mjere i strože kazne za njihovo nepoštovanje, koje se ne odnose samo na organizaciju već i na menadžere odgovorne za zaštitu kompanije – objašnjava Šporčić podsjećajući na to da su u Hrvatskoj odredbe NIS2 uvedene u novi Zakon o kibernetičkoj sigurnosti koji je stupio na snagu u veljači, a zbog kojega će mnoge tvrtke morati početi razmišljati o vlastitoj razini kibernetičke sigurnosti.
Naravno, s obzirom na to da je ljudska pogreška i dalje jedna od najvećih ranjivosti, ključna je stalna obuka zaposlenika o kibernetičkoj sigurnosti.
– Istraživanja pokazuju kako se 88 posto povreda kibernetičke sigurnosti dogodilo zbog ljudske pogreške. Treba razviti program obuke koji obuhvaća osnovne sigurnosne prakse, prepoznavanje phishing-napada i upravljanje lozinkama. Edukacija treba biti stalna i redovito se usavršavati kako bi se obuhvatile i nove prijetnje – poručuje Šporčić.
EDR, NDR i SOC
Osim u edukaciju, važno je uložiti u sigurnosna rješenja. Prema Mati Grbavcu, najvažniji je aktivan višeslojni pristup koji obuhvaća dobre tehnologije, uigrane i prilagođene procese.
– Nijedno rješenje ne može se smatrati ‘srebrnim metkom‘ i vjerovati da će se uvođenjem jednog rješenja ili procesa riješiti sigurnost u organizaciji. Imajući to na umu, ipak se mogu preporučiti neka rješenja i procesi koji mogu znatno povećati otpornost organizacije na kibernetičke napade. Pri vrhu su preporuka svakako rješenja za višestruku autentifikaciju (MFA), koja su najbolji omjer između uloženog i dobivenog zbog niske cijene softvera i lakoće uvođenja. Takva rješenja drastično će otežati napadačima da iskoriste ukradene autentifikacijske podatke – govori Grbavac.
Tvrtke bi trebale ulagati u rješenja za otkrivanje prijetnji i odgovor jer će kibernetički kriminalci kad-tad zaobići preventivna rješenja, kaže Grbavac napominjući da korištenje tehnologija kao što su sustavi za detekciju i odgovor na prijetnje na krajnjim točkama (EDR) mogu pomoći u prepoznavanju i ublažavanju prijetnji u stvarnom vremenu.
– S obzirom na to da se napadači sve češće fokusiraju na kompromitaciju sustava u koji EDR nije moguće postaviti, organizacije bi trebale razmotriti i uvođenje sustava za nadzor sigurnosti mrežnog prometa, NDR, koji omogućava vidljivost i detekciju prijetnji koje EDR ne može pokriti. Pojedinačna rješenja, koliko god dobra bila, uvijek obuhvaćaju samo dio okoline. Za potpuni uvid u sigurnosno stanje cijelog IT sustava preporuka je uvesti sigurnosni operativni centar, SOC. Korelacijom događaja s različitih platformi i detekcijskim pravilima uz stručnost i iskustvo ljudi on će osigurati primjerenu, aktivnu i pravodobnu kibernetičku zaštitu cjelokupnog poslovanja – zaključuje Grbavac.