Tehno
StoryEditor

Na meti hakera: Javna uprava trenira obranu od kibernetičkih neprijatelja

29. Lipanj 2024.

Stara računalna oprema (routeri, računala, a i mobiteli), čak i kad joj je uredno ažuriran softver, lak je mamac za hakere, koji diljem svijeta sve češće napadaju tvrtke, državne institucije, banke, infrastrukturu… Microsoft je, primjerice, potkraj 2023. uočio porast u izvješćima o napadima usmjerenim na internetski izložene, slabo osigurane uređaje operativne tehnologije (OT) koji se upotrebljavaju za nadzor, u prometu, upravljanju, automatizaciji, industriji, energetici... Potkraj 2023. OT oprema vodovoda u SAD-u bila je meta više napada različitih aktera koji su dolazili izvan države.

U svijetu je u porastu i broj državno sponzoriranih kibernetičkih napada, posebice u zemljama u ratnim sukobima, ali i onima u miru zbog špijunaže ili samo ometanja normalnih procesa u gospodarstvu i javnom sektoru te ucjena koje izazivaju i financijsku štetu. Sve je više kibernetičkih napada i u Hrvatskoj, gdje je prema podacima policije tijekom 2023. kazneno prijavljeno 1688 takvih napada na računalne sustave, programe i podatke. U odnosu na 2022., broj prijavljenih kibernetičkih napada lani bio je 9,61 posto veći, a žrtve su ukupno stajali deset i pol milijuna eura, dva i pol milijuna više nego godinu prije.

Novo je uvijek bolje

Novu, rastuću vrstu kriminala – kibernetički kriminal – oživotvorili su nenamjerno internet i digitalizacija. Jedan od načina zaštite stalno je obnavljanje računalne opreme te edukacija zaposlenika o kibernetičkoj sigurnosti i zaštiti od hakerskih napada. Primjerice, hrvatski javni sektor radi na računalnoj opremi prosječno staroj između tri i pet godina, čiji se softver redovito ažurira, a oprema se, ovisno o financijskim mogućnostima, stalno obnavlja. Računalnu opremu kojom se koriste zaposlenici APIS IT-a ta tvrtka obnavlja svakih četiri-pet godina, ovisno o specifikacijama proizvođača. Uz redovito ažuriranje softvera, korištenje naprednih sigurnosnih alata i kontrolu pristupa primjenjuju i niz drugih mjera kojima održavaju otpornost na različite vrste kibernetičkih napada kao što su backup i obnova podatka, redoviti sigurnosni pregledi i testiranja, edukacije zaposlenih i segmentacija mreže.

– Osim navedenog, ističemo aktivno praćenje i otkrivanje kibernetičkih prijetnji u realnom vremenu pomoću sustava SIEM (Security Information and Event Management), koji prikuplja i analizira sigurnosne događaje iz različitih internih IT izvora. Dodatno, APIS IT kontinuirano ulaže u primjenu međunarodnih sigurnosnih standarda (certifikata) poput ISO/IEC 27001, ISO 22301, ISO 20000, ISO 9001, ISO 14001 kako bi se osigurala sveobuhvatna sigurnosna zaštita podataka i IT sustava internih i vanjskih korisnika naših usluga – poručuju iz APIS IT-a.

Sigurnosni certifikati

Ta tvrtka svake dvije godine nabavlja nove službene mobitele, a svi njezini djelatnici, posebice oni na radnim mjestima vezanima uza sigurnost, kontinuirano nadograđuju znanja putem edukacija o internim politikama i procedurama sigurnosti koje se moraju poštovati unutar tvrtke (interni LMS) ili na vanjskim seminarima i konferencijama.

– Potičemo stjecanje relevantnih sigurnosnih certifikata CISSP, CISM i CEH te promičemo principe sigurnog programiranja, odnosno implementacije sigurnosnih mjera u razvojnom ciklusu (DevSecOps). Osim toga, kontinuirano provodimo kampanje kojima informiramo o različitim vrstama malwarea i upozoravamo zaposlenike kako prepoznati i reagirati na phishing i sve druge oblike socijalnog inženjeringa. Posebno korisno za naše sigurnosne stručnjake sudjelovanje je na velikim međunarodnim kibernetičkim vježbama poput ‘NATO Cyber Coalition 2023‘ ili ‘Cyber Europe 2024‘, na kojima ostvaruju i zapažene uspjehe – napominju u APIS IT-u.

U Ministarstvu financija računala koja upotrebljavaju zaposlenici prosječno su stara tri godine, a redovito sigurnosno ažuriraju operativne sustave. Zaposlenike educiraju u skladu s potrebama posla koji obavljaju, kao što i mijenjaju službene mobitele.

Redoviti testovi ranjivosti

Prosječna starost računalne opreme Ministarstva unutarnjih poslova (MUP) je oko pet godina. Obnavlja se svake godine, ovisno o novčanim sredstvima, potrebama pojedinih odjela i vodeći računa da se najprije obnavlja najstarija oprema.

– Da bismo povećali otpornost vlastita informacijskog sustava na sve sofisticiranije prijetnje, kontinuirano provodimo testove ranjivosti i provjere rada informacijskog sustava. Navedeno se provodi putem internih resursa unutar državnog sektora, kao i putem ugovora s vanjskim izvođačima. Nakon detektiranja određenih ranjivosti provodi se postupak njihova otklanjanja sukladno dobivenim preporukama – poručuju iz MUP-a.

Mobilne uređaje to ministarstvo nabavlja temeljem Okvirnog sporazuma između operatera i Središnjega državnog ureda za središnju javnu nabavu, a iznimno javnim natječajem, a prema potrebama policijskih službi i službi civilne zaštite. Istodobno se provodi edukacija zaposlenika o kibernetičkoj sigurnosti promicanjem svijesti o informacijskoj sigurnosti podizanjem razine svijesti zaposlenika o važnosti pridržavanja sigurnosno-operativnih procedura u IT sustavu i prepoznavanjem prijetnji uz njihovu pravodobnu prijavu mjerodavnim ustrojstvenim jedinicama.

Edukacija, testiranja, simulacije

– Edukacija se primarno provodi interno putem e-učionice ili sudjelovanjem na predavanjima i seminarima u organizaciji drugih subjekata. Zaposlenici Ministarstva unutarnjih poslova kontinuirano sudjeluju na kibernetičkim vježbama koje snažno pridonose jačanju kibernetičke sigurnosti radi razvoja sposobnosti za odgovor na kibernetičke prijetnje i ugroze u nacionalnom kibernetičkom prostoru – poručuju iz MUP-a.

Ministarstvo je usmjereno na prevenciju i suzbijanje kibernetičkoga kriminaliteta te istodobno podizanje svijesti građana o opasnostima i rizicima interneta te mogućim načinima zaštite u virtualnom svijetu. Na svojim internetskim stranicama i YouTube kanalu Ministarstvo objavljuje upozorenja o raznim vrstama računalnih prijevara te korisne informacije kako se zaštititi u kampanji ‘Web Heroj‘ kao komponenti projekta ‘Jačanje kapaciteta policije za suzbijanje kibernetičkoga kriminaliteta‘, koji MUP provodi i financira u okviru Nacionalnog plana oporavka i otpornosti 2021. – 2026.

U Hrvatskoj su pošti prijenosna i desktop-računala stara do pet, odnosno osam godina, a svake godine najstariji dio opreme mijenjaju novom. Ta državna tvrtka svake dvije godine mijenja i službene mobitele.

– Jačanje otpornosti na hakerske napade u Hrvatskoj pošti uključuje tehničke, organizacijske i edukacijske mjere. Redovito ažuriramo softver najnovijim sigurnosnim zakrpama te upotrebljavamo višefaktorsku autentifikaciju (MFA) kako bismo osigurali dodatnu razinu sigurnosti prilikom pristupa sustavima i aplikacijama. Također, educiramo radnike o sigurnosnim prijetnjama, implementiramo pravila i procedure za zaštitu informacijskih sustava te provodimo redovite sigurnosne provjere i penetracijska testiranja kako bismo identificirali i uklonili potencijalne slabosti na vrijeme – nabrajaju u Hrvatskoj pošti. Usmjerenost na digitalno poslovanje stavlja kibernetičku sigurnost na vrh liste prioriteta Hrvatske pošte, koja radnike redovito educira o načinima zaštite od potencijalnih kibernetičkih napada te kako ih prepoznati. Riječ je o edukaciji o phishing mailovima, socijalnom inženjeringu, sigurnim zaporkama te pravilnom korištenju IT opreme.

– Provodimo i redovita testiranja radnika u prepoznavanju phishing mailova i drugih vrsta kibernetičkih prijetnji. Testiranja uključuju simulacije stvarnih napada gdje radnici dobivaju lažne phishing mailove te se prati njihova reakcija. Rezultatima testiranja koristimo se za daljnje usavršavanje edukacija i povećanje svijesti o sigurnosnim prijetnjama – navode u Hrvatskoj pošti.

Ažuriranja i zakrpe

Obnavljanje računalne opreme u Hrvatskoj agenciji za nadzor financijskih usluga (Hanfa) redovito je, a ovisi o amortizaciji i podršci proizvođača. Isto je i sa službenim mobitelima, a sva oprema nabavlja se putem javne nabave. Osim toga, Hanfa redovno provodi edukacije, upozorenja te druge aktivnosti podizanja svijesti i sposobnosti zaposlenika da prepoznaju i izbjegnu zlonamjerne poruke i eventualne kibernetičke napade. Provode se i edukacije za krizne postupke.

– Osuvremenjujemo informatičke programe i uređaje redovitim ažuriranjem softvera i operacijskih sustava, korištenjem pouzdanih antivirusnih i antimalware-rješenja te implementacijom višefaktorske autentifikacije – poručuju iz Hanfe. Da bi se spriječili kibernetički napadi na institucije, tvrtke i infrastrukturu, prema riječima Leona Juranića, stručnjaka za kibernetičku sigurnost, potrebno je za svu tehničku opremu što češće ažurirati softver zadnjim sigurnosnim zakrpama i zadnjim verzijama.

Neke su rane neizlječive

– Na taj način otklanja se mogućnost kompromitiranja tehničke opreme već poznatim ranjivostima, a i ažuriranja nerijetko sadrže općenita poboljšanja sigurnosti softvera. Nije bitno je li riječ o računalu, serveru, smartphoneu, routeru ili pametnom termostatu. Tehničkom opremom kao što su računala, pametni telefoni i slično u principu se može koristiti do EOL-a (End Of Life), odnosno sve dok proizvođač u potpunosti ne prestane podržavati dotičnu verziju opreme, tj. softvera na njoj. Iako korištenje zadnje verzije softvera na računalima poboljšava sigurnost, važno je napomenuti da postoje tzv. zero day (0day) ranjivosti, odnosno ranjivosti za koje proizvođač softvera ili hardvera ne zna te ih i ne može zakrpati.

Takve ranjivosti danas su na visokoj cijeni na sivim i crnim tržištima, otkrivaju ih specijalizirane tvrtke ili hakeri pojedinci te ih onda prodaju često vladama, tajnim službama… Od toga zaštite nema. Ni najnovija oprema i softver sa zadnjim zakrpama neće zaštititi od zero day ranjivosti. Tu se, primjerice, za zero day, zero click ranjivosti, odnosno exploitove koji ne zahtijevaju korisničku interakciju s hakerom, cijene vrte i po nekoliko milijuna dolara po jednoj ranjivosti odnosno programu koji je iskorištava –​ tzv. exploitu – pojašnjava Juranić.

Prema njegovu mišljenju, svaki zaposlenik tvrtke koja drži do svoje sigurnosti trebao bi proći barem osnovni trening o kibernetičkim prijetnjama kako bi bio upućen u osnove kibernetičke sigurnosti i bio upoznat s najčešćim tehnikama i metodama napada hakera. 

25. srpanj 2024 18:35