27. travanj 2021.

Kibernetička sigurnost - Za upad u hrvatsku kritičnu infrastrukturu ne treba mnogo znanja

Piše: Tino Šokić, CNV-IBIS, DobarDan.net, stručnjak za kibernetičku sigurnost i privatnost

​Kritične su infrastrukture sustavi od nacionalne važnosti, mreže i objekti čiji prekid rada može imati ozbiljne posljedice na nacionalnu sigurnost, zdravlje i živote ljudi te sigurnost i ekonomsku stabilnost. No, svijest o kibernetičkoj sigurnosti takve infrastrukture u Hrvatskoj nije na osobito visokoj razini. Ipak, u privatnim tvrtkama situacija je nešto bolja od one u državnima

Jednostavno paljenje svjetla u sobi ili podizanje telefonske slušalice kad nam telefon zazvoni zahtijeva uredno funkcioniranje mnogo sustava s mnogo ljudi koji vode brigu o njima: od isporuke električne energije do pravilnog preusmjeravanja podataka velikom broju komunikacijskih uređaja. Mi sve to uzimamo zdravo za gotovo i očekujemo da uvijek radi ispravno.

Vrlo je niska svijest o tzv. kritičnoj infrastrukturi (KI), odnosno o svim sustavima o kojima itekako ovisimo, a nerijetko su u izrazito lošem stanju kad je riječ o kibernetičkoj sigurnosti. Čak mogu slobodno reći da za otkrivanje sustava kritične infrastrukture internetom, odnosno za pronalazak sustava koji su izravno izloženi na internetu, nije potrebno veliko znanje. Međutim, kad se incidenti dogode, nisu problem samo za građane nego i za gospodarstvo jer ono sa svakim satom zbraja gubitke zbog kašnjenja u rokovima, propuštenih dogovora, neobavljenih poslova…

Definicije i problemi

Što se događa kad ne radi električna mreža ili telefonske linije, kad se obustavi isporuka pitke vode ili što ako se dogodi velik kvar na nacionalnoj trasi plinovoda? To su samo neka od iznimno važnih pitanja koja se odnose na kibernetičku sigurnost kritične infrastrukture. No što je uopće kritična infrastruktura, jer teško ćemo nešto obraniti od napada ako uopće ne znamo što trebamo obraniti?

Prema Zakonu o kritičnim infrastrukturama, odlomak II., članak 3., definicija glasi: 'Nacionalne kritične infrastrukture su sustavi, mreže i objekti od nacionalne važnosti čiji prekid djelovanja ili prekid isporuke robe ili usluga može imati ozbiljne posljedice na nacionalnu sigurnost, zdravlje i živote ljudi, imovinu i okoliš, sigurnost i ekonomsku stabilnost i neprekidno funkcioniranje vlasti.'
Iz ove definicije jasno možemo iščitati da je bilo koji uzrok čija posljedica može ugroziti život nacije odnosno države sastavni dio kritične infrastrukture. Paradigme zaštite i sigurnosti promijenile su se drastično u posljednjih dvadeset godina. To svakako nije novi termin ili model zaštite, nego novi način obrane od napada, što izravno utječe na život i razvoj suvremenog društva.

Jedan od većih problema koje sam uočio u razgovoru s tvrtkama koje se ubrajaju u sektor kritične infrastrukture ​jest, kolokvijalno rečeno, tehnički: operativni (OT –​ operational technology) i informacijsko-tehnološki dio (IT –​ information technology) nisu jasno i sigurno odvojeni, odnosno OT često ima pristup IT sustavu i obratno na nesiguran način.

Dvije skupine rizika

Očita je razlika u shvaćanju rizika koji proizlazi iz tih dviju vrsta sustava. S gledišta IT-a rizik je većinom rezultat izračuna utjecaja sigurnosnih mjera. To znači da se neželjene posljedice mjere u izgubljenim podacima, reputacijskoj šteti, izloženosti u pravnom i regulativnom smislu i sl. S druge strane medalje, odnosno sa strane OT-a, rizik se svodi na fizičku sigurnost. Neželjene su posljedice od npr. zastoja energetskog postrojenja i pratećeg profita do fizičke štete koja izravno utječe na ljudsko zdravlje. Mnogo je razloga i uzroka tih i drugih mogućih problema, ovdje bih ​naveo samo nekoliko glavnih: nedostatak kadra i proračuna te izostanak potpore države kao odgovornog tijela.

Pružatelji usluga koji se smatraju ili bi se trebali smatrati kritičnom infrastrukturom često su tvrtke i organizacije u državnom vlasništvu, ali ima ih i u privatnome, odnosno posluju kao komercijalni entiteti, pa je česta diskrepancija u odnosu na sustave s tehničke strane.

Tri primjera

Primjera je mnogo, no navest ću nekoliko poznatijih koji su izravno povezani s napadima na sektore koji se smatraju kritičnom infrastrukturom. Prva dva slučaja odnose se na incidente u susjednim državama na našem kontinentu, a posljednji je posvećen događaju u Hrvatskoj.

Prvi slučaj, koji se dogodio 2020., dogodio se u Njemačkoj i zabilježen je kao prvi kibernetički napad ransomwareom koji je prouzročio ljudsku žrtvu: pacijent je vozilom hitne pomoći trebao biti prevezen u bolnicu u Düsseldorfu, ali ona ga zbog kibernetičkog napada nije mogla primiti pa je preusmjeren u bolnicu tridesetak kilometara dalje te je, nažalost, preminuo.
Drugi slučaj odnosi se na prekid isporuke električne energije kućanstvima u Ukrajini 2015. Hakeri su napali informacijske sustave tvrtki za distribuciju energetike i tako onemogućili isporuku električne energije. Više od 230 tisuća ljudi ostalo je u mraku. Na nekim mjestima kućanstva su ostala bez struje i šest sati.

Posljedice trećeg slučaja mogli su osjetiti svi u Hrvatskoj potkraj rujna 2015., kad je 'pao' jedan od vodećih pružatelja telekomunikacijskih usluga, zbog čega je bila prekinuta fiksna i mobilna telefonija, uključujući pristup internetu. Bili su onemogućeni pozivi službi za hitne slučajeve (112) i pružanje financijskih usluga, što je uključivalo blokadu internih POS sustava i teškoće u međunarodnim transakcijama (SWIFT). Većina je institucija zato imala ozbiljnih problema u poslovanju koje se oslanjalo na telekomunikacijsku povezanost. Sličan događaj ponovio se 2020., i to s istim pružateljem telekomunikacijskih usluga, kad su nam hitne službe ponovno bile nedostupne. Uzrok je bio tehnički kvar sustava na većem geografskom području.

Ljudski faktor

U nedavnoj povijesti postoji još velikih slučajeva, odnosno incidenata koji su dospjeli u javni prostor. Nameće se pitanje koliko je uistinu dobro regulirana kritična infrastruktura u Hrvatskoj kad nas jedan telekom može baciti u doba nalik na ono 'prije telefona'. Incidenti, napadi i prateći rizik više nisu ilustracija, nego stvarni događaji sa stvarnim posljedicama. U središtu te loše priče su čovjek i phishing. Phishing je oblik kriminalne radnje i ponašanja kojim se prikrivanjem pravog identiteta pokušavaju ukrasti osjetljivi osobni podaci napadnute osobe ili tvrtke. Takve kriminalne aktivnosti provode se najviše e-poštom, a osjetljivi su podaci oni nužni za prijavu, npr. zaporke i korisnička imena, brojevi kreditnih kartica i osobni identifikacijski brojevi.

U slučaju kritične infrastrukture čest je krajnji cilj phishinga dobiti pristup sustavu. Kiberkriminalci žele dobiti pristup resursima, a onda i podacima informacijskog sustava. Uzrok takvih napada često je želja za stjecanjem financijske koristi ili je pak politički (haktivizam).

Diskrepancija je moguća i u 'jeziku' osoblja koje vodi brigu o IT-u i onoga koje se brine o OT-u cjelokupnog sustava. Sustavi operativne tehnologije često su izrađeni s pomoću starijih protokola koji su možda svojstveni samo jednoj vrsti proizvođača, a IT sustavi sastoje se od dobro poznatih tehnologija i medija koji su poznati gotovo svakom IT administratoru. Upravo u tome može biti ključ nerazumijevanja kad se govori o zaštiti sustava od kibernetičkog napada.

Izloženo zdravstvo

Kad je riječ o kibernetičkim napadima, od svih sektora kritične infrastrukture možda najviše zabrinutosti izazivaju zdravstvo i prateći sustav. Trendovi posljednjih godina pokazuju stalan rast broja sigurnosnih incidenata u tom sektoru zbog raznih hakerskih napada. Prošla i ova godina su osim zbog pandemije koronavirusa dodatno opterećene kibernapadima, a znamo da proračuni i kadar nisu dovoljni za obranu od njih. Zapravo, usudio bih se reći da su prilično oskudni.

Iako je to iznimno regulirana industrija, odnosno sektor kritične infrastrukture, vjerujem da se sustav može bolje osigurati kombinacijom edukacije korisnika radi podizanja svijesti o kibernetičkim napadima i temeljite tehničke analize sustava.
Osim zakonske regulative i provedbe tehničkih rješenja, na kraju se sve često svede na čovjeka kao posljednju crtu obrane cijeloga informatičkog sustava.