Pitate li ekonomiste u kojem će se smjeru ubuduće kretati pojedine djelatnosti i u što će se najviše ulagati, kibernetička zaštita u pravilu je među prva tri, paralelno s ulaganjima u tehnološki razvoj. U Hrvatskoj Odjel za Nacionalni CERT već 15 godina štiti hrvatski kibernetički prostor. To je odjel hrvatske akademske i istraživačke mreže CARNET koji se bavi obradom računalnosigurnosnih incidenta, podizanjem svijesti i edukacijom o kibernetičkoj sigurnosti hrvatskih građana.
Tijekom 2022. CERT je obradio ukupno 1296 računalnosigurnosnih incidenata, što je povećanje od sedam posto u odnosu na 2021. godinu. Na vrhu su kao oblik prijevare phishing i phishing URL, a zatim scamovi.
Sve počinje krađom identiteta
Čak 42,6 posto svih obrađenih incidenata slučajevi su phishinga (mrežna krađa identiteta). Velika se promjena, kažu u CERT-u, odnosi na porast broja incidenata koji su klasificirani kao scam, koji je u 2022. godini zbog povećanog broja građanskih prijava te vrste incidenata došao na drugo mjesto.
– Kao najveće kibernetičke prijetnje kompanijama i privatnim osobama svakako bismo naveli phishing i ransomware. Phishing zato što je najčešći vektor napada, odnosno od phishinga sve kreće. Građanima svakodnevno prijete sve sofisticiranije phishing-kampanje kreirane radi krađe osobnih i bankovnih podataka. Osim phishing-poruka, postoje phishing URL-ovi koji imitiraju legitimne sustave i lažne internetske trgovine poznatih modnih brendova. Ransomware bismo naveli kao drugu sljedeću prijetnju zato što može uzrokovati zastoj ili čak prekid poslovanja zbog gubitka podataka, a žrtve nisu samo kompanije već to mogu biti i pojedinci – objašnjavaju u CERT-u.
U siječnju 2023. godine Nacionalni CERT obradio je ukupno 139 incidenata i može se zaključiti da se od početka godine povećao broj prijetnji tipa poslovnih prijevara – CEO fraud i BEC (business e-mail compromise), prijevare koje ciljaju korisnike banaka, phishing-prijevare koje se koriste QR kôdom, kritična ranjivost VMware ESXi hipervizora, prijevare u kojima se e-poštom dostavlja maliciozni privitak s ciljem krađe pristupnih podataka za Microsoftov sustav i prijevare koja imitiraju sustav e-Građani.
Profil žrtve
Najčešće mete u gospodarstvu su, potvrđuju u CERT-u, i dalje banke i njihovi korisnici, zatim energetska postrojenja, zdravstvene ustanove, ali i mali i srednji poduzetnici.
– Banke i energetska postrojenja imaju najvišu razinu zaštite, ali su zbog potencijalno visoke nagrade konstantno mete kibernetičkih kriminalaca. Mali i srednji poduzetnici, koji često i ne razmišljaju da bi mogli postati žrtve kibernetičkog napada, posebno su ugroženi. Ransomware-napadi koji zahtijevaju plaćanje otkupnine kako biste potencijalno ponovno dobili pristup svojim podacima, osim reputacijske štete, mogu uzrokovati zastoj ili čak prekid poslovanja. Napadači prate zbivanja te svoje djelovanje prilagođavaju aktualnim temama. Tako smo u Hrvatskoj imali primjere napada koji su ciljali korisnike mobilnog bankarstva, a za napad su iskoristili tematiku prelaska na euro – ističu u CERT-u.
U Ministarstvu unutarnjih poslova dodali su da se kibernetički incidenti često pojavljuju u obliku kampanja; tada se u kratkom razdoblju bilježi vrlo velik broj incidenata sa zajedničkim karakteristikama. Rjeđi su ciljani napadi na vrlo konkretan cilj (npr. određenu tvrtku), ali ti su napadi tada najčešće visokosofisticirani.
S obzirom na trendove porasta broja napada i njihovu sve veću sofisticiranost, začuđuje podatak da su ulaganja kompanija u vlastitu kibernetičku zaštitu u opadanju. U CERT-u su iznijeli podatak koji proizlazi iz izvještaja Agencije Europske unije za kibernetičku sigurnost (ENISA), ‘NIS Investments 2022‘, izdanoga potkraj 2022. godine, da je udio ukupnog IT proračuna tvrtki za informacijsku sigurnost 6,7 posto, što je za jedan posto manje u odnosu na 2021. godinu.
– Velika poduzeća na području EU u prosjeku odvajaju 120 tisuća eura za kibernetičku sigurnost na godinu, a mali i srednji poduzetnici u prosjeku 5500 eura. Najviše u kibernetičku sigurnost ulaže bankarski sektor, što nije ni čudno uzmemo li u obzir činjenicu da u prosjeku šteta kibernetičkog incidenta u tom sektoru iznosi 300 tisuća eura, a tu je i reputacijska šteta – dodaju u CERT-u.
Kaznena djela
Iako su ulaganja u kibernetičku sigurnost niža u odnosu na 2021. godinu, stručnjaci kažu da su ukupna ulaganja u kibernetičku sigurnost znatno porasla od 2016. godine, kad je donesena NIS direktiva koja je postavila standarde i zahtjeve u kibernetičkoj sigurnosti na području EU. Pitali smo CERT i mijenja li se i u kojem smjeru profil hakera koji se bave kibernetičkim kriminalom, na što smo dobili odgovor da nije posve ispravno hakere promatrati isključivo u negativnom kontekstu.
– Jedna od definicija hakera je da je to osoba koja uživa u intelektualnom izazovu u kojemu se na kreativan način zaobilaze ograničenja nekog programa ili sustava, ne nužno računalnog – objašnjavaju u CERT-u, živopisno dodajući i SF profilaciju.
Tako danas kibernetički prostor s jedne strane čuvaju stručnjaci kibernetičke sigurnosti, a s druge, tamnije strane napadaju tzv. akteri i/ili hakeri. Razlozi, motivacija i ciljevi kibernetičkih napada različiti su, ali jedni od najčešćih su novčana dobit, povjerljive i osobne informacije, znatiželja, politika ili dokazivanje.
Počinitelji koji prakticiraju neovlašten pristup računalnom sustavu čine kaznena djela jer su kao takva opisana i definirana u glavi XXV. Kaznenog zakona. U MUP-u kažu da, unatoč tome što raste svijest građana o tome da su kibernetički napadi kaznena djela koja je potrebno prijaviti, broj neprijavljenih cyber-incidenata i dalje je prilično visok, iako jest u porastu u odnosu na prethodna razdoblja.
– Građani i tvrtke najčešće ne prijavljuju takve događaje policiji ako sami mogu otkloniti štetu jer posjeduju kopiju podataka (back-up) te ako ne izgube podatke koji su bitni za poslovanje, ne vide razlog za podnošenje kaznene prijave. Međutim, poželjno je da oštećena strana događaj prijavi i radi mogućih sekundarnih posljedica. Počinitelj, naime, može podatke do kojih je došao tijekom upada u tuđi računalni sustav (bankovni podaci, nejavni osobni i poslovni podaci, zaporke, otkrivene ranjivosti računalnog sustava…) upotrijebiti kod počinjenja drugih kaznenih djela – ističu u MUP-u.
Nužna higijena
Najpoželjnije mete i dalje su veće tvrtke, ali one i najviše ulažu u zaštitu. U CERT-u kažu da poslovni subjekti moraju prepoznati kibernetičke prijetnje kao realnu opasnost i uvrstiti ih u procjenu rizika svog poslovanja. Shvatiti ih kao sastavni dio procesa, a sustave koje već imaju nadograditi.
Građani se pak trebaju pridržavati pravila ‘kibernetičke higijene‘, kao što su korištenje jedinstvene i snažne lozinke za svaki servis, odvojiti privatne od poslovnih uređaja, redovito ažurirati sustave, preuzimati sadržaje iz sigurnih izvora, stvarati sigurnosne kopije svojih podataka, a prije svega naučiti prepoznati kibernetičke prijetnje na vrijeme te voditi brigu o svojim osobnim podacima i digitalnom tragu. Što, ruku na srce, malo tko od građana čini.
Ono što u budućnosti možemo očekivati, upozoravaju u CERT-u, pojava je novih oblika prijevara s kojima se dosad nismo susretali. Kao primjer navode sve češću domišljatost prevaranata u tome što se, umjesto poveznicom u mailu, koriste QR kôdom koji vodi na zlonamjerno web-sjedište.
– Na taj način napadač stvara privid legitimnosti i sigurnosti te dodatno skriva adresu stranice na koju vas želi usmjeriti. Dodamo li tome da je QR kôd potrebno skenirati mobitelom, na kojem je zbog manjeg ekrana teže uočiti prijevaru i adresu stranice, šansa za prijevaru se znatno povećava. Razvojem AI-a, možemo očekivati gramatički ispravne phishing mailove, a na koje će se još načine iskoristiti i kakvi napadi će se kreirati tek ćemo vidjeti – zaključuju u CERT-u.