Osmu godinu zaredom listopad je službeno proglašen Europskim mjesecom kibernetičke sigurnosti, a da se ta tema shvaća prilično ozbiljno i u Hrvatskoj, pokazala je prošlotjedna Konferencija kibernetičke sigurnosti (CSC 2018) na osječkom FERIT-u, gdje su mnogi stručnjaci na predavanjima i u raspravama predstavili činjenice, analize i prognoze koje bi trebale zanimati cijelu javnost.
Tomu u prilog ide i Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, koji je na snagu stupio 26. srpnja, čime je dokazano kako su hrvatske institucije sustavno krenule u preventivnu borbu protiv kibernetičkih napada koji mogu imati dalekosežne posljedice na cijelu zajednicu.
Veća sigurnost
Treba napomenuti kako je taj zakon proizišao iz takozvane NIS Direktive Europske unije, koja je na snazi još od 2016., a čija implementacija u nacionalne zakone uspostavlja veću sigurnost ključnih usluga u sektoru energetike, transporta, bankarstva, infrastrukture financijskog tržišta, zdravstva, opskrbe i distribucije vode te digitalne infrastrukture. O tome što točno donosi Zakon o kibernetičkoj sigurnosti i koliko je zbilja bilo važno njegovo stupanje na snagu, razgovarali smo s Bojanom Alikavazovićem, savjetnikom za informacijsku sigurnost iz tvrtke Diverto d.o.o., i Daliborom Markovićem, voditeljem prodaje iz tvrtke Siemens Hrvatska.
- Zakon se prije svega odnosi na operatore ključnih usluga, neovisno dolaze li iz privatnog ili javnog sektora. Budući da u tu skupinu spadaju subjekti iz, primjerice, energetike, transporta, zdravstva, opskrbe vodom i sličnih sektora, koji se za pružanje usluga i isporuku resursa koriste informacijskim tehnologijama, za njih je nužno da im informacijski sustavi budu potpuno sigurni. Ovaj zakon stoga definira postupke koji se moraju poduzeti kako bi se postigla ta visoka razina sigurnosti u određenim okruženjima - objašnjava Alikavazović, zaključujući kako je krajnji cilj Zakona o kibernetičkoj sigurnosti osiguravanje kontinuiteta isporuke ključnih usluga, kako bi naposljetku i građani, koji se koriste tim resursima, bili zaštićeni. Dakle, Zakon se uvelike odnosi na državne tvrtke, poput HEP-a, HEP-Plina, HOPS-a, vodovodnih poduzeća i sličnih, koje su sada obvezane provoditi određeni set sigurnosnih i preventivnih mjera kako bi se spriječili ili smanjili kibernetički napadi. Tim mjerama se definira koga ugroženi subjekti moraju kontaktirati u kriznim situacijama. Mjere se pretežito odnose na analizu, procjenu rizika, primjenu segmenata zaštite u kontekstu kibernetičke sigurnosti te cjelokupnu zaštitu infrastrukture.
- NIS Direktiva sada je uključena u našu strategiju nacionalne sigurnosti, pa je bilo potrebno uspostaviti i službena tijela koja će provoditi njezine mjere i propise. To će biti Zavod za sigurnost informacijskih sustava, koji će biti zadužen za energetiku, prijevoz, zdravstveni sektor i opskrbu vodom, a Nacionalni CERT pobrinut će se za sektor bankarstva, infrastrukturu financijskog tržišta te digitalnu infrastrukturu. Naposljetku, valja napomenuti kako je temeljna smisao cijelog Zakona podizati svijest populacije o opasnostima kibernetičke prijetnje, koja probojem u industrijama i industrijskim postrojenjima, u najgorem slučaju, može dovesti do havarije i ekološkog incidenta - otkriva Marković, napominjući da su hrvatska državna tijela i prije bila aktivna u provođenju mjera kibernetičke sigurnosti, ali sada će svi subjekti biti prisiljeni ulagati u unaprjeđivanje sigurnosne mreže, a sve biti usklađeno sa zakonom i europskim trendovima.
Politički motivirani
Nakon definiranja kibernetičke sigurnosti potrebno je definirati i kibernetički napad, koji su oba stručnjaka opisala s pomoću recentnog primjera katastrofalnih razmjera. Naime, 2016. u Ukrajini se dogodio pomno planirani hakerski napad zbog kojega je 230.000 građana usred zime ostalo bez električne energije, uključujući i bolnički sustav, opskrbu vodom i prometnu infrastrukturu.
- Takvi, planirani i sofisticirani, napadi sve su češće politički motivirani s ciljem demonstracije sile, koja je ujedno i određeni oblik upozorenja. Ljudi i imovina tako se dovode u opasnost, a nerijetki su primjeri i industrijske špijunaže. Stoga treba napomenuti da takve kompleksne napade najčešće ne realiziraju radoznali pojedinci iz kutka svoje sobe, nego dobro uigrane skupine stručnjaka koje imaju osiguran izvor financiranja za napad. Dakle, iza njih stoji neka država - objašnjava stručnjak iz Diverta d.o.o., tvrtke usavršene za informacijsku sigurnost, zaključujući kako hakeri mogu ostaviti negativan trag u cijelom svijetu. Upravo stoga spomenuti zakon nalaže informiranje javnosti u incidentnim situacijama, jer bi pravovremeno informiranje bilo ključno za sprječavanje daljnjih negativnih utjecaja napada. Zakon nalaže i velike novčane kazne, između 15.000 i 500.000 kuna, za sve subjekte koji ne postupaju prema uputama sektorskih tijela ili odbijaju dostaviti obavijesti o incidentima.
- U posljednjih pet godina 59 posto tvrtki diljem svijeta priznalo je da je trpjelo sigurnosne incidente, a naposljetku je 44 posto izvora incidenata, odnosno hakerskih napada, ostalo neidentificirano. Naime, hakerski napadi mogu se izvesti i preko banalnih tehnoloških elemenata, primjerice "zaraženog" uređaja za punjenje elektronskih cigareta, stoga zbilja treba biti oprezan - otkriva Dalibor Marković, zaključujući kako se kibernetička sigurnost ne može ostvariti preko noći, nego je potrebna razmjena informacija, posebno velikih kompanija i državnih tvrtki, uključujući pomoć znanosti i obrazovanja.
Marko Mandić
incidenti
BITNO JE NA VRIJEME OBAVIJESTITI JAVNOSTJ
Bojan Alikavazović
savjetnik za informacijsku sigurnost u tvrtki Diverto d.o.o.
Planirani i sofisticirani napadi sve su češće politički motivirani s ciljem demonstracije sile, koja je ujedno i određeni oblik upozorenja. Ljudi i imovina tako se dovode u opasnost, a nerijetki su primjeri i industrijske špijunaže.
HOPS započeo usklađivanje sa Zakonom
Hakerski napad u Ukrajini zabrinuo je cijelu javnost, dokazavši kako kibernetička sigurnost danas mora postati prioritet. U tom kontekstu, obratili smo se Hrvatskom operatoru prijenosnog sustava (HOPS), koji je zadužen za vođenje elektroenergetskog sustava u cijeloj Hrvatskoj. “HOPS već godinama kontinuirano unaprjeđuje svoju ICT infrastrukturu i poslovanje u pitanju kibernetičke sigurnosti. To uključuje slijeđenje najboljih praksi i preporuka struke, edukaciju zaposlenika, implementaciju sigurnosnih pravilnika i procedura, kao i uvođenje tehnologija namijenjenih prevenciji, detekciji i suzbijanju sigurnosne kompromitacije. Pokrenuli smo aktivnosti radi usklađivanja s odredbama Zakona, pa je u tijeku izrada dokumenata koji definiraju smjernice sigurnosti informacijskog sustava s ciljem očuvanja povjerljivosti, cjelovitosti i dostupnosti informacija. Također, pojačali smo aktivnosti na podizanju svijesti korisnika o kibernetičkoj sigurnosti, uz pravovremeno informiranje korisnika o novim kibernetičkim ugrozama”, otkrivaju u HOPS-u, napominjući kako zakon ne može eliminirati maliciozne prijetnje, ali može dati smjernice o zaštiti i smanjenju negativnih utjecaja.
Sektor vrijedan više od 150 milijardi dolara
Zbog velikih opasnosti od novih kibernetičkih napada, odnosno opreza mnogih klijenata, procjenjuje se da će sektor kibernetičke sigurnosti u sljedećim godinama porasti za gotovo 100 milijardi dolara. Dalibor Marković iz Siemensa Hrvatska, otkrio je kako je ukupna vrijednost tržišta kibernetičke sigurnosti prošle godine iznosila 137,85 milijardi dolara, 2018. vrijedi nešto više od 150 milijardi, a, prema svim prognozama, do 2022. trebala bi vrijediti gotovo 232 milijarde dolara. Ti su podatci najbolji pokazatelji kako su veliki hakerski napadi od početka novog milenija shvaćeni iznimno ozbiljno. Među najvećim napadima, uz onaj u Ukrajini, treba izdvojiti “Slammer” iz 2003., koji je u samo deset minuta zarazio 359.000 računala diljem svijeta i prouzročio štetu od 1,2 milijarde dolara, kao i “Stuxnet”, koji je 2010. zarazio 60 posto iranskih računala, a fokus mu je bio oštetiti nuklearni program te zemlje.