Bruno Pavić profesionalnu karijeru započeo je u Sigurnosno obavještajnoj agenciji, nakon čega se zaposlio kao Voditelj korporativne sigurnosti u Odašiljačima i vezama. Potom, odlazi u Span, gdje obavlja poslove direktora korporativne sigurnosti za Span grupu ali i poslove člana Uprave Span Centra za kibernetički sigurnost. U slobodno vrijeme Bruno je vrsni letač paraglajdera, bivši član paragliding reprezentacije, sudionik i organizator pustolovnih utrka. Također, 10 godina bio je aktivni član HGSS-a, a aktivno se bavi jedrenjem, slobodnim penjanjem i skijanjem. Bruno je član Upravnog odbora Hrvatske udruge menadžera sigurnosti.U nastavku našeg serijala „Jesmo li sigurni da smo sigurni?“, donosimo razgovor s gospodinom Brunom Pavićem, osnivačem i direktorom Pro Forca, specijalizirane tvrtke za usluge zaštite uz pomoć sigurnosnih sustava.
Bruno, tvoj prvi posao bio je u SOA-i. Kako iskustvo u obavještajnoj zajednici danas utječe na tvoje aktivnosti poduzetnika u sektoru privatne i korporativne sigurnosti?
Rad u SOA-i za mene je bio jedinstvena prilika da steknem sigurnosnu kulturu i znanja koja nije moguće steći u formalnom obrazovanju. Vidio sam kako izgleda svijet Nacionalne sigurnosti te aktivno sudjelovao u očuvanju iste. Tijekom karijere sudjelovao sam u raznim operacijama, gdje sam stjecao nova iskustva koja danas mogu primijeniti. Također, rad u SOA-i uvelike mi je pomogao da danas mogu dizajnirati korporativnu sigurnost u kompanijama ali i raditi na unapređenju postojećih sustava. Ukratko, SOA me oblikovala od operativca do direktora. U jednom trenutku sam osjetio da moram krenut dalje, to su svi super prihvatili i dalje sam sa svim ljudima u sustavu u super odnosima.
Gotovo prije 10 godina, tadašnji ravnatelj Europola Rob Wainwright je rekao da kibernetički kriminal na godišnjoj razini generira više prihoda od ilegalne trgovine heroinom, marihuanom i kokainom, zajedno. Znaju li se štete u Hrvatskoj?
O napadima se treba razgovarati i treba tražit pomoć kod uspostavljanja obrane. Prošle godine sam vidio reportažu o otmicama u Meksiku, gdje se otimaju stručnjaci za cloud i cyber security kako bi za kartele složili sigurna okruženja za criptojacking. Iz toga je također vidljivo da se kriminalci okreću unosnijim djelatnostima . U Hrvatskoj su štete ozbiljne u vidu gubitka klijenata/podataka, a svjedoci smo i aktivnosti od strane Agencije za zaštitu osobnih podataka gdje se firme dodatno kažnjavaju. Točan podatak o stvarnoj šteti nažalost ne postoji, jer firme skrivaju da su bile žrtve napada i skrivaju da li su platili otkupninu, što je u RH zabranjeno. Važno je istaknuti kako plaćanjem otkupnine cyber kriminalcima pomažete da se još više razvijaju.
Postoje dvije vrste kibernetičkih napada, oni koje sponzoriraju države i napadi hakera. Koji su glavni razlozi napada?
Tu je stvar vrlo jednostavna, a u drugu ruku i komplicirana. Naime, kod napada koji provode pojedinci ili manje grupe hakera u 90% slučaja je stjecanje financijske koristi, onih 10% čine aktivisti koji žele pokazat svoju prisutnost ili skrenut pozornost. Kod napada koji sponzoriraju države, stvar se malo komplicira jer je takav napad nekada teško povezat s državom. Naime, niti jedna organizacija na svijetu koja se bavi napadima nema financijska sredstva da razvije Zero Day, to mogu samo države, koje to koriste nekad za svoje velike korporacije, a nekad i za napad na druge države. Rat u Ukrajini i Izraelu je započeo cyber napadom, ne raketom. Samo nekoliko država unutar obrambenih jedinica ima napadačke u cyber prostoru , a to su SAD, Izrael, Sjeverna Koreja, Iran i Rusija. Glavni razlozi kod napada na druge države su kompromitacija, rušenje reputacije, destabilizacija. Ciljevi su većinom, energetika, vodovodni sustavi, komunikacijski uređaji, širenje lažnih vijesti te napad na novčarske institucije.
Postoje li registar kibernetičkih napada na domaća poduzeća i organizacije, odnosno postoje li podaci koliko na godišnjoj razini bude kibernetičkih napada u Hrvatskoj?
Postoji PIXI platforma od CARNET-a ali je malo korištena, nažalost. Super je složena, jednostavna i može Vam pomoć kod aktivne obrane. Sad kod uspostavljanje NIS2 direktive, prijava takvih napada će bit obavezna.
Zašto poduzeća ne dijele informacije da su bile žrtvom kibernetičkog napada ili nekom drugačijem napadu socijalnog inženjeringa?
Nažalost ljudi premalo pričaju o tome. Danas se smatra da je sramota imat cyber napad, međutim to je kriva percepcija, jer jednostavno ljudima treba bit jasno da što se više priča o vektorima i načinima, zaštita će biti dostupnija. Reputacijski rizici i strah od gubitka povjerenja kod klijenata su glavni razlog zašto se takve informacije ne dijele. Kod prijave incidenta, nekad može pomoć i međunarodna policija, koja dijeli iskustva pa se u takvim korespondencijama može pronaći i ključ za otključavanje podataka, ako se sličan napad dogodio u nekoj državi s kojom policija intenzivno surađuje ne tom polju. Ima još jedna stvar za istaknuti, kod napada ljudi idu na Google pa pokušavaju pronaći ključ, tražeći upute kako otključati podatke. Međutim s tim aktivnostima još više pogoršavate situaciju, jer su to složeni programi koje učitate u sustav, pa najprije morate platit to otključavanje pa tek onda slijedi plaćanje za otključavanje prvotnog napada. Oporavak kod ozbiljnog napada je moguć samo iz backupa.
Koje su neke od zabluda koje poduzeća imaju kada govorimo o kibernetičkoj sigurnosti?
Najveća zabluda je razmišljanje da se kibernetički napad ne može dogoditi „meni“, jer sam mali ili srednji poduzetnik. Kod ulaganja u sigurnost morate uključiti više ljudi, management mora bit svjestan rizika. Moramo shvatiti da je lanac povjerenja ili nekakav lanac opskrbe odličan vektor za napad na velike kompanije. Ako napadaš npr. HEP, vjerojatno će detektirati tvoje aktivnosti u jednom trenutku, ali ako napadaš njihovog malog dobavljača onda možeš preko njega upast u mrežu. Svi smo mi potencijalne žrtve napada, jer onog trena kad uđeš u kibernetički prostor moraš bit toga svjestan, u kibernetičkom prostoru nema nedodirljivih.
Misliš li da bi većina zaposlenika nekog poduzeća kada bi na hodniku našla odbačeni usb stick na kojem piše – PLAĆE UPRAVE, taj isti usb stick odmah uključila u računalo?
Više sam nego siguran u to. Imam i primjer koji sam osobno kreirao, naime na usb stick smo napisali party, a folder smo nazvali X. Isti smo ostavili na printeru. Kolegica koja ga je pronašla, pozvala je još dvije kolegice da zajedno pogledaju slike. Unutar foldera je bila složena skripta u excelu, na kojem je pisalo „popis prijavljenih“. Pokretanjem excel filea, maliciozni program se učitao u računalo. Imam i nekoliko primjera phishing kampanja koje smo složili sukladno akcijama u trgovinama, dopisima o povećanju plaće itd.
Na Hrvatskim danima sigurnosti 2023. na panelu o informacijskoj i kibernetičkoj sigurnosti istaknuo si da su ljudi i dalje najslabija karika. Zašto?
Ljudi nisu strojevi, a upravljaju računalima. Jednostavno, lakše ti je zaobići nekog tko je malo labilan nego dobro konfigurirani firewall. Bio sam svjedok u SAD-u na konferenciji gdje su ljudi davali svoj username i password putem telefona. Jednostavno, nemamo svi istu sigurnosnu kulturu i zato treba jako puno opreza kod davanja prava na računalima. Većina napada koji danas prolaze, idu preko phishing i sličnih kampanja, a tu su ljudi najslabija karika. Postoje rješenja za takve napade, međutim prosječno ulaganje u sigurnost još uvijek nije na razini na kojoj bi trebao biti, pa su nam samim tim ograničeni i treninzi za podizanje svijesti ali i ant–phishing rješenja.
Što pojedinci mogu učiniti da postanu kibernetički otporniji u današnje vrijeme prijetnji ransomwarea?
Mogu se informirati o aktualnim napadima. Moraju implementirati najbolje sigurnosne prakse kod postavljanja sigurnosnih sustava. Uzmimo primjer krađe podataka s Gmaila ili neke društvene mreže. Sami sebe možete zaštiti s nekoliko postavki koje takvi servisi pružaju, a to je prvenstveno kompleksnost lozinke i postavljanja MFA kod autentifikacije te registracija „poznatih“ uređaja. Ostavljanje podataka s bankovnog računa je tema o kojoj se mora često razgovarati, ja sam to jednoj starijoj osobi objasnio na način, ako vi upišete broj kartice i kontrolni broj u nešto što vam nije poznato, to je kao da ste nekom na ulici fizički dali karticu. Puno je lakše napasti pojedinca nego neku tvrtku. Koristan primjer imamo od prošle godine, gdje su ljudi u jednom istraživanju potvrdili da koriste istu lozinku za spajanje na poslovno računalo i npr. društvene mreže, a to se pokazalo kao loša praksa. Firme kao i pojedinci, sve više idu na passless i Fido2 zaštitu, koju hakeri teško probijaju.
Čini mi se da se u domaćim poduzećima kibernetička sigurnost ne shvaća dovoljno ozbiljno. Hoće li novi Zakon o kibernetičkoj sigurnosti pomoći da kibernetička sigurnost postane sastavnim dijelom poslovne strategije?
Sigurno hoće. NIS 2 direktiva je nešto što je došlo u pravi trenutak. Problem je što su sad svi stručnjaci za NIS2, svatko priča o tome, nude rješenja i firme moraju bit oprezne kod odabira partnera koji će im pomoći kod usklađivanja i implementacije sigurnosnih standarda. NIS2 svi smatraju prekretnicom u sigurnosti, a ja sam tu malo suzdržan, jer dosta firmi koje su ranije proglašene kritičnom infrastrukturom već imaj složene sigurnosne sustave i ulaganja u iste će bit manja nego što se očekuje, ako su posloženi kako treba. Veliki udar na budžet će imat oni koji nisu periodično ulagali, a sad spadaju u kritičnu infrastrukturu, davatelje digitalnih usluga i sl. Sigurnost unutar tvrtke se mora aktivno razvijati kao i svaki drugi segment poslovanja.
Scott Shapiro, direktor Laboratorija za kibernetičku sigurnost Sveučilišta Yale, vjeruje da se možemo učinkovito uhvatiti u koštac sa cyber kriminalom samo ako razumijemo ne samo kako ljudi hakiraju, već i zašto. Možemo li biti korak ispred napadača?
Ne. Većina ljudi nema naviku nanositi štetu drugima, hakeri su totalno suprotno. Za borbu protiv bilo nekoga tko te ciljano želi uništiti, moraš razmišljat kao on, da bi se mogao braniti. Super je da penetracijske testove rade „bijeli“ hakeri koji na neki način razmišljaju slično. Ono što možemo napravit je smanjit površinu napada i izloženost. Jako je teško biti ispred pravih hakera, jer mi možemo postavljat sustave onoliko koliko nam tehničke mogućnosti istih dozvole, a hakeri su svjesni svih tehnički mogućnosti zaštite i to zaobilaze. Tu je dobar citat Sun Tzua iz knjige Umijeće ratovanja:
„Ako poznajete neprijatelja i poznajete sebe, ne trebate se bojati rezultata sto bitki. Ako poznajete sebe, ali ne i neprijatelja, za svaku stečenu pobjedu pretrpjet ćete i poraz. Ako ne poznajete ni neprijatelja ni sebe, podleći ćete u svakoj bitci“.
Ti si i vrsni jedriličar, ali me ipak zanima kako si se odlučio otisnuti u nemirno more poduzetništva?
Jednostavno sam osjetio da mi fali taj dio, tijekom karijere obnašao sam razne funkcije, a zadnjih 6. godina radim na poziciji direktora i odgovorene osobe. Htio sam stvoriti firmu koja može odgovoriti svim sigurnosnim izazovima, firmu koja bi bila one stop security shop. Okružen sam partnerima od kojih je svaki vodeći u regiji po pitanju sigurnosti iz njihove branše i jednostavno ću probati sve to povezati i pomoći korisnicima da odgovore na sigurnosne izazove.
Razgovarao: Alen Ostojić Foto: HUMS/ Davor Denkovski
Objavljeni sadržaj serijala “Jesmo li sigurni da smo sigurni?“, sufinanciran je sredstvima Fonda za poticanje pluralizma i raznovrsnsti elektroničkih medija.