Profili napadača, kao i njihovi motivi mogu se značajno razlikovati. Postoji osnovna podjela profila napadača na državno sponzorirane skupine, kibernetičke kriminalce, haktiviste, terorističke skupine, unutarnje prijetnje te aktere kojima napadi predstavljaju neku vrstu izazova
Europska unija proglasila je listopad mjesecom kibernetičke sigurnosti (EU Cyber Security Month – ECSM) pa je to prilika da vidimo hvatamo li korak sa razvijenim zapadnim svijetom, ne samo što se tiče napada, nego i zaštite od njih. Naime, žrtva kibernetičkog napada može postati bilo tko, zato je kampanja podizanja svijesti ovogodišnjeg Europskog mjeseca kibernetičke sigurnost usmjerena upravo na opću publiku.
U Nacionalnom CERT-u kažu da statistiku kibernetičkih incidenata vode prema tipovima incidenata (sukladno Nacionalnoj taksonomiji računalno-sigurnosnih incidenata) te ističu da u posebno ranjive skupine spadaju starije osobe, građani slabije digitalne pismenosti te mikro, mala i srednja poduzeća koja nemaju financijskih sredstava, znanja ni ljudskih resursa za bavljenje temom kibernetičke sigurnosti uz svakodnevno poslovanje.
- Najčešće ih napadaju napadači izvan Hrvatske, a profili, kao i njihovi motivi, mogu se značajno razlikovati. Postoji osnovna podjela profila napadača na državno sponzorirane skupine, kibernetičke kriminalce, haktiviste, terorističke skupine, unutarnje prijetnje te aktere kojima napadi predstavljaju neku vrstu izazova. Njihovi motivi se razlikuju pa tako mogu biti geopolitičke naravi, financijski, ideološki ili radi osobnog zadovoljstva. Akteri se sve više okreću djelovanju radi profita jer na taj način osiguravaju sredstva za daljnje radnje – objašnjavaju u CERT-u.
No možda je zanimljivija još jedna stvar o kojoj govore – da vas mogu kibernetički napasti ne samo ‘majstori‘ za kompjutore (kako bi rekli legendarni Nadrealisti), nego i totalni početnici. To je u suprotnosti s uvriježenim mišljenjem među ljudima jer mnogi misle (uključujući i autora ovog teksta), ako ne i svi, da je za počinjenje jednog kibernetičkog napada potrebno veliko znanje i vještina. Zato u CERT-u upozoravaju i na aktere koji se nazivaju Script kiddies. Riječ je o početnicima koji koriste već gotova rješenja, tj. tuđe programske kôdove, ponekad bez razumijevanja na koji način oni zapravo rade.
Također, tehnička znanja, nastavljaju u CERT-u, nisu nužna za uspješnost napada, primjerice za socijalni inženjering. To je napad u kojem se manipulira žrtvom kako bi se od nje ostvarila neka korist. Upravo je socijalni inženjering glavna tema ovogodišnje kampanje Europskog mjeseca kibernetičke sigurnosti, a ako netko od čitatelja želi o tome saznati više, može sve o tome saznati tokom listopada na portalu CERT.hr i njegovim društvenim mrežama.
Višestruki napadi iz jednog centra
Na razini Europske unije prikupljaju se podaci o incidentima, a posebno se mnogo truda ulaže u suradnju i razmjenu informacija između CERT-ova država članica EU. Na temelju prikupljenih informacija izdaju se preporuke i izrađuju predviđanja kretanja u području kibernetičke sigurnosti. Agencija Europske unije za kibernetičku sigurnost (ENISA) svake godine izdaje ‘ENISA Threat Landscape‘ u kojem navode najveće prijetnje i savjete za zaštitu od istih. Prema izvještaju ‘ENISA Threat Landscape 2022‘ u najveće prijetnje spadaju: ransomware (zaključava podatke na računalu), malware (zloćudni softver koji se pokreće bez pristanka vlasnika računala, čineći štetu), socijalni inženjering, DDoS (napadi koji bi uzrokovali nedostupnost interneta, dezinformiranje te napadi na lanac opskrbe).
Posvetimo se još malo DDoS napadima. Njima se ciljaju web-mjesta i poslužitelje ometanjem mrežnih usluga u pokušaju iscrpljivanja resursa aplikacije. Napadači iza tih napada preplavljuju web-mjesto nasumičnim prometom, što rezultira lošom funkcionalnošću web-mjesta ili potpunim izbacivanjem s mreže. Te su vrste napada sve češće. DDoS napadi imaju širok djelokrug te ciljaju razne djelatnosti i tvrtke svih veličina diljem svijeta. Određene djelatnosti, kao što su industrija igara, e-trgovina i telekomunikacije, na meti su češće od drugih. DDoS napadi jedna su od najčešćih računalnih prijetnji i potencijalno ugrožavaju vaše poslovanje, internetsku sigurnost, prodaju i reputaciju.
A koliko je opasan kibernetički kriminal, ne govori samo to što je on specifičan po tome što napadači ne moraju fizički biti u blizini da bi ga počinili, nego i to što se napadi i zapažene kampanje mogu pojaviti u više država istovremeno. To najbolje potvrđuje slučaj ransomwarea WannaCry iz 2017. godine kada je kompromitirao više od 200 tisuća računala u 150 zemalja.
Naši tako - tako
Koliko su pak naše tvrtke, ali i organizacije, institucije, pripremljene na cyber napade? Tomislav Novosel, cyber security konzultant u tvrtki Duplico, kaže da naše tvrtke još uvijek nisu svjesne ozbiljnosti kibernetičkih napada.
- Male i srednje tvrtke ovdje su naročito ranjive. Velike tvrtke su morale po sili zakona ili ugovornim obavezana početi implementirati različite sigurnosne standarde te su time učvrstile vlastitu kibernetičku sigurnost. Međutim kod mnogih tvrtki je primijećeno da se sigurnosne mjere implementiraju po principu ‘ono što moramo‘ ili ‘da zadovoljimo formu‘. Ovakav pristup nažalost ne može izgraditi nužno potrebne sustave za upravljanje informacijskom sigurnošću koju bi svaka tvrtka trebala imati. Ovdje veliku ulogu igra NIS2 direktiva donesena na razini Europske unije, kao i novi zakon o kibernetičkoj sigurnosti. Ovi zakoni trebali bi potaknuti naše tvrtke da ozbiljnije shvate nužnost kibernetičke zaštite – kaže Novosel.
Njegov kolega Filip Kiseljak, stručnjak za informacijsku sigurnost u KING ICT-u, nešto je malo optimističniji jer veli kako se može reći da se podiže svijest o nužnosti cyber sigurnosti za poslovanje i uopće funkcioniranje u povezanom i digitaliziranom svijetu. Tome doprinose sve strože zakonske i industrijske regulative, ali i vlastito iskustvo organizacije ili vijesti o novim napadima i štetama koje su organizacije pretrpjele.
- U prosjeku, regulirane industrije kao što su financijski sektor i telekomi, nešto su bolje pripremljeni na cyber napade od ostalih industrija. Sve više organizacija uviđa i prihvaća kako cyber security nije trošak već nužno ulaganje za opstanak i funkcioniranje u digitalnom i povezanom svijetu. Kako bi učinkovito upravljali rizicima i podigli razinu cyber sigurnosti, organizacije traže pouzdane partnere za isporuku cyber security rješenja i usluga – kaže Kiseljak.
Sigurnosna testiranja
Ipak, generalno gledano, to je nedovoljno, kaže Mate Matijašević, cyber security analyst u Spanu, iako dodaje da zapravo sve ovisi od slučaja do slučaja.
- Integriranje sigurnosti u tkivo organizacije je kontinuiran i zahtjevan proces koji podrazumijeva značajne financijske investicije. Postoje naravno i različita open-source rješenja koja iziskuju drugu vrstu investicije, a tu dolazimo do problema manjka kvalitetnog i vještog sigurnosnog kadra. Ono što bih izdvojio kao posebno problematično jest olako shvaćanje samih osnova sigurnosti. Tu ne mislim samo na edukaciju krajnjih korisnika, posebice u domeni sigurnosti poslovnih procesa, već na iznimno bitne elementarne procese poput upravljanja digitalnom imovinom. Naravno, taj proces sam po sebi ne jamči sigurnost, no predstavlja kamen temeljac za ostale sigurnosne kontrole, jer - ne možete štititi ono što ne vidite – kaže Matijašević.
I u CERT-u naglašavaju da spremnost ovisi od organizacije do organizacije te dodaju da CARNET-ov odjel za Nacionalni CERT za ustanove članice CARNET-a redovito obavlja sigurnosna testiranja te izdaje sigurnosne preporuke kako bi njihovi sustavi i infrastruktura bili što sigurniji.
- Na našem internetskom portalu mogu se pronaći upozorenja na aktualne prijetnje i kampanje koje ciljaju građane Republike Hrvatske. Također, objavljujemo i savjete za zaštitu koje svaki pojedinac ili kompanija mogu primijeniti i na taj način osnažiti svoju otpornost na kibernetičke prijetnje. Kibernetička sigurnost je kontinuirani proces. Prijetnje se mijenjaju iz dana u dan te jedino uz redovite kampanje podizanja svijesti, edukacije i treninge korisnika možemo osigurati spremnost na brzu reakciju i povećati otpornost na kibernetičke prijetnje – zaključuju u CERT-u.