Jesmo li sigurni da smo sigurni? GOST: Damir Prskalo, stručnjak za informacijsku sigurnost

U nastavku našeg serijala “Jesmo li sigurni da smo sigurni?“, urednika Alena Ostojića, razgovarali smo s gospodinom Damirom Prskalom, stručnjakom za informacijsku sigurnosti.

Damir je trenutačno zaposlen u kompaniji SELK d.d. na poziciji inženjera informacijske sigurnosti. SELK d.d., osnovan 1976. godine, započeo je s primarnim fokusom na proizvodnju LED elemenata, satova i modula. Kompanija je dugogodišnji partner tvrtke TDK Electronics GmbH & Co OG iz Deutschlandsberga u Austriji. Od 2008. godine djeluje kao podizvođač unutar japanske grupe TDK, globalnog lidera u inovacijama, razvoju i proizvodnji visoko sofisticiranih elektroničkih komponenti, modula i sustava. Njihovi proizvodi koriste se u različitim industrijama poput komunikacija, IT-a, potrošačke elektronike i automobilske industrije. Kompanija zapošljava više od 600 zaposlenika i posvećena je postizanju tehnološke izvrsnosti.

Osim svog profesionalnog angažmana, Prskalo je posvećen edukaciji te trenutačno pohađa dva poslijediplomska studija. Prvi je na Fakultetu elektrotehnike i računarstva na smjeru informacijska sigurnost, a drugi je doktorski studij ekonomije i globalne sigurnosti na Ekonomskom fakultetu u Zagrebu. Autor je nekoliko stručnih radova, a uz to je certificirani menadžer korporativne sigurnosti (CMKS) te Lead auditor za ISO/IEC 27001.

 Ljudi često miješaju pojmove kibernetičke i informacijske sigurnosti. Možete li nam pojasniti koja je razlika između njih?

To je točno, ljudi često znaju pomiješati ta dva pojma. Iako se kibernetička i informacijska sigurnost često koriste kao sinonimi, postoji bitna razlika između njih. Informacijska sigurnost je sveobuhvatan koncept koji se bavi zaštitom svih vrsta informacija, bilo da su one digitalne ili fizičke. Kibernetička sigurnost je dio informacijske sigurnosti koji se bavi zaštitom sustava i podataka u kibernetičkom okruženju.

Uzmimo na primjer radi boljeg pojašnjavanja da je informacijska sigurnost kao kuća, a kibernetičku sigurnost kao bravu na vratima te kuće. Brava štiti kuću od neovlaštenog pristupa, ali kuća sama po sebi ima i druge sigurnosne elemente, poput prozora sa zaštitnim rešetkama, alarmnog sustava i ograda. Slično tome, kibernetička sigurnost štiti kibernetički prostor, ali informacijska sigurnost obuhvaća sve aspekte zaštite podataka, uključujući i one koji se nalaze izvan kibernetičkog prostora.

Koje vrste kibernetičkih prijetnji predstavljaju najveću opasnost i uzrokuju najteže posljedice kada se napadi dogode?

Određivanje najvećih i najopasnijih kibernetičkih prijetnji izazovno je zbog dinamične prirode okruženja u kojem djelujemo. Faktori poput veličine organizacije, vrste podataka koje obrađuje, stupnja digitalizacije te industrije u kojoj djeluje uvelike određuju koje su prijetnje najrelevantnije za pojedini slučaj. Uz to, neprestani razvoj tehnologija i taktika napadača čini da se prijetnje neprestano mijenjaju.

Važno je razlikovati prijetnje od metoda napada. Prijetnje su opasnosti koje dolaze iz vanjskog okruženja, dok su metode napada konkretne taktike koje hakeri koriste za ostvarenje svojih ciljeva. Najveću opasnost predstavljaju prijetnje usmjerene prema kritičnoj infrastrukturi, uključujući sektore energetike, vodoopskrbe, transporta, komunikacija, financijskih usluga, vojske i državnih institucija. Napadi na ove sektore mogu izazvati katastrofalne posljedice: prekide u opskrbi energijom, poremećaje u prometu, gubitak komunikacijskih veza, financijske gubitke, ugrožavanje nacionalne sigurnosti i destabilizaciju društva.

Posebno bih istaknuo opasnost od koordiniranih napada koji istovremeno ciljaju više sektora. Takvi napadi mogu izazvati kaskadne učinke, paralizirajući cijele regije ili čak države. Povećana međusobna povezanost sustava i usluga putem interneta dodatno povećava rizik širenja kompromitirajućih podataka i otežava obranu od ovakvih prijetnji. Zbog ovih izazova, ključno je neprestano unapređivati sigurnosne mjere, ulagati u istraživanje kibernetičke sigurnosti te jačati međunarodnu suradnju kako bismo učinkovito zaštitili kritičnu infrastrukturu i osigurali stabilnost društva.

Spomenuli ste da su napadi na kritičnu infrastrukturu najopasniji, koje su ključne posljedice kibernetičkih napada na kritičnu infrastrukturu i kako oni mogu utjecati na društvo, ekonomiju i nacionalnu sigurnost?

Naša suvremena društva su duboko isprepletena s tehnologijom. Od trenutka kada se probudimo, pa sve do odlaska na spavanje, ovisimo o digitalnim sustavima koji upravljaju našom energijom, komunikacijama, transportom i financijama. No, ova ista tehnologija koja nam olakšava život, istovremeno predstavlja i veliki rizik. Kibernetički napadi na kritičnu infrastrukturu, odnosno na sustave koji su ključni za normalno funkcioniranje društva, mogu imati katastrofalne posljedice. Prekid u opskrbi energijom nakon uspješnog napada na energetsku mrežu može paralizirati čitave gradove, zaustaviti proizvodnju u tvornicama, onemogućiti rad bolnica i ostaviti milijune ljudi bez struje. Slično, napadi na prometne sustave mogu dovesti do kolapsa prometa, otežati dostavu hrane i lijekova te poremetiti globalne lance opskrbe. Zdravstveni sektor je posebno ranjiv, jer napadi na bolničke sustave mogu dovesti do gubitka važnih medicinskih podataka, ugroziti sigurnost pacijenata i poremetiti pružanje zdravstvenih usluga. Financijski sustavi su također česta meta, a uspješni napadi mogu izazvati bankarske krize, eroziju povjerenja u financijske institucije i dugotrajnu ekonomsku recesiju. Primjerice, napad na nuklearnu elektranu ili na sustav upravljanja branama može imati katastrofalne posljedice po okoliš i zdravlje ljudi. Sjetimo se samo napada na ukrajinsku energetsku mrežu tijekom ruske invazije, koji su ostavili milijune ljudi bez struje usred zime. Posljedice kibernetičkih napada nadilaze ekonomsku štetu. Oni mogu ugroziti nacionalnu sigurnost, oslabiti povjerenje građana u institucije i dovesti do društvenih nemira. Dugoročno, takvi napadi mogu usporiti ekonomski razvoj i smanjiti atraktivnost zemlje za strane investitore.

Koji su, po Vašem mišljenju, glavni motivi iza hakerskih napada i koji su hakeri najopasniji?

Glavni motivi iza hakerskih napada su financijska dobit, ideološki razlozi, želja za pokazivanjem vještina i prestižem, špijunaža te vandalizam. Financijska dobit se ostvaruje krađom novca, iznuđivanjem otkupnina ili prodajom ukradenih podataka. Ideološki motivirani hakeri napadaju kako bi promovirali svoje stavove ili napali protivnike. Hakeri koji žele pokazati svoje vještine i steći prestiž u hakerskoj zajednici često provode napade iz zadovoljstva. Špijunaža se odnosi na krađu podataka radi industrijske ili državne obavještajne djelatnosti. Vandalizam predstavlja napade s ciljem oštećenja informacijskih sustava.

Kada se postavi pitanje koji su najopasniji hakerski napadi, odgovor je nedvojben: napadi sponzorirani od strane država, odnosno APT napadi (Advanced Persistent Threats). Razlog leži u njihovoj iznimnoj motiviranosti i značajnim resursima. Ovi hakerski timovi imaju pristup najsuvremenijim tehnologijama, visoko kvalificiranim stručnjacima i neograničenim financijskim sredstvima, što im omogućuje izvođenje sofisticiranih i dugotrajnih napada. Često ciljaju kritičnu infrastrukturu, provode obavještajne operacije i sabotaže kako bi destabilizirali sustave ili ukrali osjetljive informacije. Podrška države im omogućuje dugoročno planiranje i izvođenje ciljanih operacija s dalekosežnim posljedicama po nacionalnu sigurnost i globalnu stabilnost.

S obzirom na nedavne kibernetičke napade, jesmo li u Republici Hrvatskoj zapravo sigurni onoliko koliko vjerujemo da jesmo?

U posljednjim godinama, Republika Hrvatska bilježi značajan porast kibernetičkih napada, što nam ukazuje da nismo potpuno sigurni onoliko koliko možda vjerujemo da jesmo. Iako su poduzeti važni koraci u jačanju kibernetičke sigurnosti, poput unapređenja zakonskog okvira, ulaganja u tehnologiju i međunarodne suradnje, nedavni napadi pokazuju da postoje ranjivosti koje napadači mogu iskoristiti. Sjetimo se samo nekoliko značajnih kibernetičkih napada u 2024. godini, poput onih na Zagrebački holding, Hrvatsku narodnu banku (HNB), Combis, Klinički bolnički centar Zagreb, Hrvatski nogometni savez, Zračnu luku Split, Hrvatske vode, Hrvatski autoklub (HAK), Hrvatsku agenciju za nadzor financijskih usluga, Labud i Badel. Ovi napadi jasno pokazuju da i dalje postoje slabosti u sustavima, a prijetnje se stalno razvijaju.

Zanimljivo je napomenuti da je prijavljena šteta od kibernetičkog kriminala u Hrvatskoj prošle godine iznosila 10,5 milijuna eura. Međutim, stručnjaci upozoravaju da je stvarna šteta čak od 3 do 7 puta veća, što znači da brojke koje se pojavljuju u javnim izvještajima predstavljaju samo manji dio stvarne štete koju kibernetički napadi uzrokuju. S obzirom na sve sofisticiranije kibernetičke napade i porast internetskih prijevara, stručnjaci predviđaju da će šteta uzrokovana kibernetičkim napadima nastaviti rasti na globalnoj razini. Ovaj alarmantan trend pokazuje da su prijetnje globalne i da će se nastaviti povećavati u skladu s razvojem tehnologija i rastućom digitalizacijom društava.

Iako je sigurnost na određenoj razini, stalno usklađivanje s novim prijetnjama i tehnologijama ključno je kako bismo smanjili rizike i povećali otpornost na buduće napade. Dakle, možemo reći da, iako postoje napori u jačanju sigurnosti, Hrvatska nije potpuno sigurna, jer kibernetičke prijetnje neprestano rastu i razvijaju se.

 Koje ključne sigurnosne mjere kompanije ali i državne institucije moraju poduzeti u smanjenju rizika od mogućeg kibernetičkog napada?  

Smanjenje rizika od kibernetičkih napada zahtijeva od kompanija i državnih institucija sveobuhvatan pristup koji obuhvaća tehničke, fizičke i administrativne mjere.

Tehničke mjere su temelj kibernetičke obrane. Implementacija antivirusnog softvera, redovito ažuriranje sustava i enkripcija podataka štite osjetljive informacije. Segmentacija mreže i napredna sigurnosna rješenja, poput IDS/IPS sustava, značajno smanjuju rizik od uspješnih napada. Fizička sigurnost je jednako važna. Ograničavanje pristupa serverima i osjetljivim podacima isključivo ovlaštenom osoblju, uz korištenje sustava za kontrolu pristupa, video nadzora i drugih fizičkih barijera, osigurava zaštitu fizičkih resursa. Redovite provjere opreme i sigurnosnih sustava dodatno jačaju otpornost na prijetnje. Administrativne mjere su ključne za uspostavu kulture sigurnosti. Jasno definirane sigurnosne politike, redovite edukacije zaposlenika o prepoznavanju prijetnji, poput phishing napada, te usklađenost s relevantnim propisima i standardima stvaraju temelj za proaktivnu zaštitu. Redovite sigurnosne provjere, procjene rizika i planiranje odgovora na incidente omogućuju brzo otkrivanje i saniranje ranjivosti.

S obzirom na to da je ljudski faktor često najslabija karika u kibernetičkoj sigurnosti, koje mjere mogu poboljšati svijest i ponašanje zaposlenika?

Ljudski faktor je i dalje glavni uzrok kibernetičkih napada, a to je ozbiljan problem jer se ogromna većina napada temelji na ljudskim pogreškama. Bilo da je riječ o nespretno kliknutom linku, otvaranju phishing e-maila ili slaboj lozinci, posljedice mogu biti katastrofalne. Prema istraživanjima, čak 86 % uspješnih napada događa se zbog ljudskih grešaka, dok tehnološke manjkavosti odgovaraju za samo 14 %. Dakle, sigurnost sustava ovisi o ponašanju svakog pojedinca, a najmanji propust može otvoriti vrata napadačima. Kako bismo to promijenili, ključno je ulagati u stalnu edukaciju i obuku zaposlenika. Potrebno je redovito testirati prepoznavanje prijetnji, poput phishing napada, i educirati zaposlenike o pravilnom upravljanju lozinkama i drugim sigurnosnim protokolima. Simulacije stvarnih prijetnji, poput phishing testova, mogu biti izuzetno korisne za podizanje svijesti i pripremu na realne napade. Samo kroz proaktivnu edukaciju, jasne sigurnosne politike i stalno praćenje, možemo smanjiti rizik koji dolazi s ljudskim faktorom i učiniti organizaciju znatno sigurnijom.

Koje su najčešće zablude poduzeća o kibernetičkoj sigurnosti i koliko su one opasne?

Ja bih iz svog iskustva rekao da je najveća zabluda poduzeća u vezi s kibernetičkom sigurnosti uvjerenje da napadi neće pogoditi njihovu organizaciju, često zbog vjerovanja da su premala ili da nemaju vrijedne podatke. No, u stvarnosti, nijedno poduzeće nije imuno na napade. Još jedna česta zabluda je da su tehnološki alati poput antivirusnih programa dovoljni za zaštitu. Iako su oni važni, bez edukacije zaposlenika i svijesti o prijetnjama, sigurnost je ozbiljno ugrožena. Opasnost ovih zabluda leži u pasivnosti – poduzeća koja ne poduzimaju potrebne mjere suočavaju se s velikim financijskim gubicima, oštećenjem reputacije i pravnim posljedicama. Kibernetički napadi nisu pitanje “ako”, već “kada”, pa je važno biti stalno spreman i prilagoditi sigurnosne mjere kako bi se minimizirala šteta.

Kako globalni sukobi i političke napetosti utječu na povećanje kibernetičkih prijetnji, poput državno sponzoriranih napada?

Globalni sukobi i političke napetosti imaju značajan utjecaj na povećanje kibernetičkih prijetnji, osobito kroz državno sponzorirane napade. U kontekstu suvremenih konflikata, kibernetički napadi postaju moćno oružje koje države koriste kako bi postigle političke, vojne i ekonomske ciljeve, često bez potrebe za izravnim vojnim sukobima. Ovi napadi mogu ciljati kritičnu infrastrukturu, ukrasti osjetljive podatke, širiti dezinformacije i destabilizirati vlade ili organizacije.

Jedan od najnovijih i najsvjetlijih primjera takvih napada je ruska invazija na Ukrajinu 2022. godine. Rusija je korištenjem kibernetičkih alata napala ukrajinsku infrastrukturu, uključujući energetske mreže, komunikacijske sustave, pa čak i zdravstvene ustanove. Napadi su uključivali DDoS napade, phishing kampanje i malware napade, s ciljem paraliziranja Ukrajine, ometanja njezinih operacija i slabljenja morala njenih građana i vlasti. Napad NotPetya iz 2017. godine, koji je također bio povezan s ruskim hakerima, još je jedan primjer kibernetičkog ratovanja, jer je izazvao globalnu štetu uništavanjem podataka i ometanjem poslovnih operacija u mnogim zemljama.

Slični kibernetički napadi zabilježeni su i u drugim dijelovima svijeta. Sjeverna Koreja, na primjer, poznata je po korištenju kibernetičkih napada u političke svrhe, poput napada na Sony Pictures 2014. godine, kao odgovora na film koji je ismijavao sjevernokorejskog vođu. Jedan od najpoznatijih primjera kibernetičkog ratovanja je i napad Stuxnet iz 2010. godine, za koji se vjeruje da su ga zajednički izvodile SAD i Izrael. Stuxnet je ciljao iranski nuklearni program, specifično centrifuge koje su se koristile za obogaćivanje urana. Ovaj sofisticirani virus uzrokovao je fizičko oštećenje opreme, što je predstavljalo prvi poznati slučaj u kojem je kibernetički napad imao direktne fizičke posljedice.

S obzirom na sve veću globalnu povezanost i digitalnu infrastrukturu, kibernetički napadi postaju važan alat u rukama država koje žele iskoristiti tehnologiju kao sredstvo za ostvarivanje svojih interesa, bilo da je riječ o vojnoj dominaciji, ekonomskom pritisku ili političkom utjecaju.

Koje su ključne regulative i zakoni koji se odnose na kibernetičku sigurnost?

Pa, ja bih tu spomenuo svakako četiri ključne regulative koje su neizostavne u području kibernetičke sigurnosti, a to su: NIS 2 Direktiva (Network and Information Systems Directive 2) obvezuje države članice EU-a da implementiraju mjere zaštite u ključnim sektorima (energija, transport, zdravstvo, financije) te pojačava zahtjeve za upravljanje rizicima, izvještavanje o prijetnjama i incidentima, i suradnju među državama. U Hrvatskoj je NIS 2 Direktiva implementirana kroz Zakon o kibernetičkoj sigurnosti usvojen 26. siječnja 2024. godine. Zakon proširuje obveze na 19 ključnih sektora, usklađujući hrvatski pravni okvir s europskim standardima. Organizacije u tim sektorima morat će implementirati mjere zaštite, izvještavati o prijetnjama i incidentima te surađivati s nacionalnim i europskim tijelima radi povećanja kibernetičke otpornosti. DORA (Digital Operational Resilience Act) usmjeren je na financijski sektor, obvezujući institucije na procjenu i upravljanje kibernetičkim rizicima kako bi osigurale kontinuitet poslovanja i testirale otpornost sustava. CER (Critical Entities Resilience Directive) povećava otpornost ključnih infrastrukturnih sektora poput energije, transporta i zdravstva, zahtijevajući redovite procjene rizika i mjere za održavanje funkcionalnosti u slučaju prijetnji. Zanimljivo je da je Europska komisija izrekla službene opomene državama članicama, uključujući i Republiku Hrvatsku, zbog kašnjenja u primjeni Direktive o otpornosti kritičnih subjekata (CER Direktiva) i stavljanju izvan snage Direktive Vijeća 2008/114/EZ. Države članice imale su rok do 17. listopada 2024. godine da prenesu CER Direktivu u svoje zakonodavstvo. Cyber Resilience Act (CRA) osigurava visoke sigurnosne standarde za ICT proizvode, obvezujući proizvođače da izvještavaju o ranjivostima i prijetnjama, čime omogućuju brži odgovor na kibernetičke prijetnje.

S obzirom na vaš angažman u poslovnom i znanstvenom radu, smatrate li da je kibernetička sigurnost dovoljno prisutna u obrazovnom sustavu? Trebaju li obrazovne institucije uvesti kibernetičku sigurnost kao obvezni predmet, te na koji način to može pomoći u pripremi budućih stručnjaka?

Osobnog sam stajališta da problematika kibernetičke sigurnosti još uvijek nije dovoljno prisutna u obrazovnom sustavu, posebno na nižim razinama obrazovanja. Obrazovne institucije trebale bi uvesti edukaciju o sigurnosti na internetu, cyber bullyingu i zaštiti privatnosti, prilagođenu različitim uzrastima. Za osnovne i srednje škole važno je organizirati interaktivne radionice i predavanja koja će učenike upoznati s rizicima online svijeta, načinima prepoznavanja i sprječavanja cyber bullyinga te osnovama zaštite osobnih podataka. Na fakultetima, tečajevi i seminari trebali bi obuhvatiti naprednije teme, uključujući etičke smjernice, zakone o privatnosti i odgovorno ponašanje na internetu, kako bi studenti postali svjesni ozbiljnosti tih problema i razvili vještine potrebne za sigurnu i odgovornu upotrebu digitalnih tehnologija. Takav pristup edukaciji osigurava da mladi ljudi budu bolje pripremljeni za suočavanje s izazovima digitalnog okruženja, kao i za zaštitu sebe i drugih od online prijetnji.

Koji bi bio vaš završni savjet u pogledu kibernetičke sigurnosti, kako bi se bolje pripremili za izazove budućnosti?

Kibernetičke prijetnje se konstantno razvijaju, a s njima i naše metode zaštite. Sigurnost nije statičan cilj, već dinamičan proces koji se mora prilagođavati novim izazovima. Dobar primjer toga je usporedba sa zdravljem, Kibernetička sigurnost je poput zdravlja: najbolje je brinuti se o njoj unaprijed, jer liječenje može biti bolno i skupo Ulaganje u edukaciju zaposlenika, redovito testiranje sigurnosnih sustava i usvajanje najnovijih tehnologija ključni su za održavanje otpornosti. Zapamtite, sigurnost je proces, a ne proizvod, i kao takav zahtijeva stalnu pažnju i prilagodbu.

 

Razgovarao: Alen Ostojić / Foto: HUMS by Davor Denkovski

Objavljeni sadržaj sufinanciran je sredstvima Fonda za poticanje pluralizma i raznovrsnosti elektroničkih medija.