Jesmo li sigurni da smo sigurni? Gost: Marko Gulan, konzultant za kibernetičku sigurnost

zimska služba Zagreb 2023

U nastavku našeg serijala „Jesmo li sigurni da smo sigurni?“, na pitanja urednika  Alena Ostojića, izravno u opuštenom i ugodnom razgovoru na opatijskim Hrvatskim danima sigurnosti 2023., odgovarao je gospodin Marko Gulan, konzultant za kibernetičku sigurnost za jugoistočnu Europu iz tvrtke Schneider Electric SEE, ujedno i predsjednikom odbora za OT i industrijsku sigurnost pri Hrvatskoj udruzi menadžera sigurnosti (HUMS).

Na Hrvatskim danima sigurnosti 2023., sudjelovali ste na panelu o informacijskoj i kibernetičkoj sigurnosti –  Na kome je red da plati kaznu?. Jedan od zaključaka panela je da su korisnici i dalje najslabija karika u informacijskoj i kibernetičkoj sigurnosti

Moram za početak naglasiti da je panel „Na kome je red da plati kaznu?“ možda jedan od najsadržanijih panela na kojim a sam sudjelovao, s panelistima iz svih gospodaskih djelatnosti. Jedan od zaključaka koji se nametnuo je da su korsnici i dalje naslabija karika. Međutim, kad kažemo korisnici vrlo često se stekne dojam da se radi o zaposlenicima operaterima i da se radi samo o njihovim greškama uslijed svakodnevnog poslovanja. No, ljudska greška o kojoj govorimo može biti i propust tehničkog osoblja koji su greško napravili slučajno ili namjerno. Ljudski faktor, tj. ta „najslabija karika“ može biti i upravljačka struktura koja sigurnost promatra zdravo za gotovo i koja se nečinjenjem i neulaganjem u sigurnost previše oslanja na operatere.

Kažu da se svakih 35 sekundi u svijetu dogodi jedan kibernetički napad. Čini mi se da nije više pitanje hoćemo li biti,  već kad ćemo postati ili jesmo li već meta kibernetičkog napada

Različita istraživanja i različiti parametri nam daju različite statistike. Posljednje statistike koje sam analizirao kažu da je vrijeme od 35 sekundi smanjeno na svakih 14 sekundi, što dovodi do ogromnog broja napada. Međutim ako u obzir uzmemo „sive i crne“ podatke, bojim se da su statistike još dramatičnije. Danas je pravo pitanje koje trebamo promatrati, kako ste i sami naveli, kada ćemo biti napadnuti i naša ulaganja i investicije u kibernetičku sigurnost bi trebale biti usmjerene na podizanje sigurnosne razine i otpornosti sustava. Kad promatramo kibernetičku sigurnost dobro se fokusirati na cilj, tj ono što želimo postići ulaganjem u sigurnost. Ali trebali bismo biti svjesni i motiva napadača. Dakle postoje napadi kod kojih napadač ima skoro pa neograničene resurse u smislu vremena, znanja i novca i kod takvih napada gotovo pa je sigurno da će napad biti uspješan. Ovo su najčešći slučajevi napada na industriju i kritične infrastrukture.

E kad postanemo svjesni ove činjenice tada ćemo investirati u sigurnost tako što ćemo napadača demotivirati da nas nastavi napadati (jer bi mu dobit bila manja od utrošenih resursa), a druga taktika bi bila da sustave dizajniramo tako da nakon uspješnog napada šteta koju ćemo imati bude minimalna, odnosno da vrijeme oporavka bude čim kraće i da nema negativnih posljedica na poslovanje.

Tvrtkama treba nekoliko mjeseci da otkriju napad. I sami ste na Hrvatskim danima sigurnosti 2023. istaknuli da vrijeme koje haker provede u sustavu iznosi 200-210 dana. Jesu li hrvatska poduzeća svjesne stvarnih izazova koje donosi kibernetički prostor?

Ako je suditi po izjavama predavača i panelista iz gospodarstva na Hrvatskim danima sigurnosti, može se steći dojam da tvrtke i gospodarstvo razmišljaju i shvaćaju pomalo koja je važnost kibernetičke sigurnosti danas. No smatram da je realnost ipak malo drugačija i da je gospodarstvo u fazi razmišljanja, što nas dovodi do blagog zaostajanja za trendovima rasta i razvoja kibernetičkih prijetnji. Dodatni je problem što je kibernetička sigurnost u većini tvrtki percipirana kao isključivo IT tema, što se pokazuje sve više kao greška. I sam podatak da napadači stoje u sustavu do 210 dana u prosjeku a da ih pri tome nitko ne opazi govori nam da je pred nama ogroman prostor za poboljšanja i da sa razmišljanja trebamo u čim kraćem roku podizati razinu sigurnosti. Vrlo je važno skinuti stigmu sramote uslijed neznanja i prepoznati trenutak kada se obratiti profesionalcima za pomoć. Kibernetička sigurnost zaista nije nešto što bi trebao riješiti „mali od kuma“.

Neću vas pitati što navodi pojedince da postanu hakeri, ali što mislite da su glavni motivi hakerskih napada?

Motivi hakera mogu biti različiti i svaki od njih je opasan na svoj način. Danas je možda najrasprostanjeniji oblik napada na krajnje korisnike, tj na fizičke osobe kako bi im se preuzeli korisnički računi i kako bi napadač pribavio sebi protupravnu imovinsku korist. U manjem broju slučajeva napadačev motiv može biti i stvaranje svoje botnet mreže.

Međutim motivi napada u kojima napadač ciljano napada tvrtke (najčešće njemo nepoznate tvrtke) i sustave zarazi ransomwareom za koje traži otkupninu značajno su opasniji od prvo navedenih napada.

Nadalje motivi napada mogu biti i osobna osveta ili industrijska špijunaža gdje cilj napada nije ostvariti novčanu dobit, već naštetiti ugledu tvrtki, ili stvoriti komparativnu prednost.

Nešto manje su opasni haktivisti koji kao i aktivisti u fizičkom svijetu žele poslati poruke svojih ideologija.

Međutim sponzoriranim napadima koji imaju za cilj destabilizirati društvo i otežati rad kritične infrastrukture, a koji su danas u značajnom porastu, vrlo je teško doći do motiva. Upravo ti napadi su danas pogubni jer su usmjereni na sustave proizvodnje i transporta energije, sustave transporta i logistike, sustave zdravstva, pitke vode i svih ostalih industrijskih postrojenja.

O kibernetičkoj sigurnosti govorimo kao multidisplinarnoj grani koja uz tehničke stručnjake zahtijeva stručnjake za procjenu i upravljanje rizicima te za uspostavu kontinuiteta poslovanja. Imaju li poduzeća te stručnjake ili još bolje gdje ih mogu potražiti?

Možda je ključno pitanje treba li svaka tvrtka imati baš sve stručnjake. Mišljenja sam kad bi napravili anketu na reprezentativnom uzorku tvrtki i kad bi pitali tvrtke koji im je plan oporavka, otpornosti i uspostave kontinuiteta poslovanja da bismo došli do poražavajuće činjenice kako većina tvrtki ova bitna pitanja prepuštaju slučaju.

Odlična je vijest da na domaćem tržištu imamo vrlo jakih i kompetentnih i tvrtki i stručnjaka koji su prisutni kako na domaćem tako i na regionalnom tržištu.

Ja ću biti slobodan istaknuti OT cybersecurity kao jedan od tržišnih imperativa i kao područje koje nam mora biti u fokusu jer nam je toliko važno a u isto vrijeme je toliko zanemareno.

Koje su neke od zabluda koje poduzeća imaju o kibernetičkoj (ne)sigurnosti?

Puno smo puta čuli jednu od najvećih grešaka, a to je „ma neće mene!“. Bez obzira koliko tvrtka bila mala na tržištu, trebamo biti svjesni da napadači u veliko broju slučajeva ne znaju koga napadaju, ne znaju koliko je velika i značajna tvrtka.

Jedna od velikih zabluda je već spomenuta, a to je mišljenje kako je kibernetička sigurnost isključivo odgovornost IT odjela u tvrtkama. Slažem se da je jedan dio kibernetičke sigurnosti IT dio, međutim vrlo veliku ulogu u uspostavi kibernetičke sigurnosti imaju i uprave, i financije i odjeli investicija. Gotovo da nema segmenta poslovanja koje je imuno na kibernetičke prijetnje.

Jedna od najvećih zamki tvrtkama je bavljenje sigurnošću kao naknadnom mišlju. Jedini ispravni način je načelo security-by-design, sve ostalo dugoročno je nesiplativo.

Kad se govori o kibernetičkoj sigurnosti, IT je najčešće prva asocijacija, a fokus je na zaštiti podataka, informacija, elektroničke komunikacije,  zaporki i računala. No o najvažnijem aspektu se ne govori – zaštita industrijskih postrojenja, točnije Operativne Tehnologije (OT). Možete li pojasniti pojam Operativne tehnologije?

Spomenuli smo OT nešto ranije. Drago mi je da je jedno pitanje orijentirano prema OT-ju.

OT (Operativne tehnologije) je pojam koji se odnosi na hardware i software koji se koristi za nadzor i upravljanje fizičkim procesima kao što su proizvodnja energije, upravljanje vodama, proizvodnja hrane i pića… OT-ju je u fokusu primarno safety,  jer negativnim djelovanjem u kibernetičkom prostoru može doći do značajnih šteta u fizičkom svijetu, tj. ugroze za zdravlje i živote ljudi.

OT se uslijed masivnog vala digitalne transformacije počeo tretirati kao IT sustavi i svakodnevno možemo čitati o posljedicama napada na OT sustave. Specifičnost OT sustava je životni vijek koji je čak i više desetaka godina. Ako ga usporedimo s IT sustavima čiji je životni vijek 3-5 godina možemo zaključiti koji sigurnosni izazovi prijete OT sustavima. Nadalje OT sustavi su usmjereni dostupnošću, dok je IT usmjeren zaštiti podataka. Dok se IT sustavi patchiraju čim prije kad iziše nova zakrpa, OT sustavi se patchiraju prema pomno određenim planovima i to ponekad znači da sustavi moraju raditi i ako postoji kritična ranjivost. Ova kompleksnost zahtjeva redefiniranje sigurnosne strategije OT sustava.

Ovo su samo neke od najznačajnijih razlika. Međutim važnost percipiranja ovih razlika je ključna kako bismo mogli uspostaviti konvergenciju IT i OT sustava i da sustavi budu otporni na negativna kibernetička djelovanja.

Važno je za naglasiti kako kibernetička djelovanja nisu samo ona djelovanja koja dolaze isključivo sa interneta. OT je vrlo osjetljiv i na najmanje devijacije koje mogu nastati unutar samog sustava.

Kao vrijedan alat u zaštiti kibernetičkog prostora, SOA transformira svoj Centar za kibernetičku sigurnost u Nacionalni centar kibernetičke sigurnosti čime ćemo dobiti svojevrsni kišobran kibernetičke sigurnosti. Početkom lipnja ove godine na otvaranju Prve SK@UT konferencije, ravnatelj SOA-e Daniel Markić, upozorio je d aje u prvih šest mjeseci ove godine zabilježeno 15 državno-sponzoriranih kibernetičkih napada. Koliko bilježimo kibernetičkih napada na hrvatska poduzeća?

Možemo konstatirati kako i u Hrvatskoj bilježimo povećani broj kibernetičkih napada, ali točan broj napada je nepoznat. MUPovo izvješće je javno dostupno, međutim MUP se bavi samo prijavljenim slučajevima.

Vrlo je teško pružiti bilo kakav smisleni odgovor o broju napada na hrvatska poduzeća. Posljednje i neke vrlo subjektivne zaključke temeljene na razmjeni iskustava u neformalnom communityju su bile da je u Hrvatskoj dnevno oko stotinjak kibernetičkih napada (svih vrsta), a da je prosječna otkupnina koju hrvatske tvrtke mogu platiti i da im to ne opterećuje poslovanje je do 20.000 €. Naglašavam još jednom da su ovo vrlo subjektivne procjene i da ne moraju biti točne.

Ističete da je dijeljenje informacija o kibernetičkim napadima bitno jer samo vjerodostojna informacija daje stvarno stanje o ranjivostima u kibernetičkom prostoru te da propuste treba mapirati i disperzirati na ostale poslovne subjekte. Postoji li kultura razmjene informacija o kibernetičkim napadima?

Na žalost kultura razmjene informacija o kibernetičkim napadima kod nas, ali i globalno je vrlo loša. Gotovo pa su prijavljeni samo oni napadi koje subjekti trebaju prijaviti po sili zakona.

I tu zapravo dolazimo do jedne paradoksalne situacije. Ukoliko se nekoj tvrtci dogodi da tijekom noći netko fizički provali u tvrtku i pri tome ništa ne otuđi, tvrtka će promptno napraviti prijavu nadležnim tijelima. Ukoliko netko nekome prijeti ili ga ucjenjuje, velika je vjerojatnost da će oštećena strana promptno napraviti prijavu, a vrlo često takve prijave budu medijski popraćene. Ali kad se isti scenariji dogode u kibernetičkom prostoru velika je vjerojatnost da nitko neće napraviti prijavu nadležnom tijelu. Moje je pitanje zašto je veća sramota da je netko „provalio“ u server zbog nedostatne zaštite, nego da je netko provalio u fizički prostor zbog nedostatnih sigurnosnih mjera.

Tvrtke su najčešće nemotivirane prijaviti slučajeve kibernetičkih napada zbog straha od gubitka reputacije ili osude okoline.

Ne prijavljivanjem napada iz kibernetičkog prostora stvara nam percepciju da kibernetičkih napada nema što nam daje lažnu sigurnost.

Je li SOC srebrni metak za sve probleme u kibernetičkom prostoru?

Ovo pitanje sa SOC-om me vraća jedno 15-ak godina unatrag, kada je bilo uvriježeno mišljenje među tvrtkama da će sve svoje poslovne probleme riješiti ako implementiraju sustave za upravljanje dokumentima i sustave za upravljanje odnosa s kupcima. Najčešće su ti projekti završavali gubitkom novca jer se tražio sveti gral poslovanja.

Bojim se da se danas SOC gleda kao sveti gral sigurnosti.

SOC je, u terminima kuće, krov. Ali krov ima svoju svrhu i moguće ga je postaviti tek kad kuća ima sve elemente. Ukoliko tvrtke nemaju posložene sustave, ukoliko ne poznaju površinu napada i ukoliko ne definiraju asete koje trebaju štiti, tada SOC nema baš neku funkciju.

Prije SOC-a potrebno je definirati sigurnosne procese i procedure, presložiti i redefinirati, tj napraviti rearhitekturu sustava, uvesti redovito testiranje sustava od trećih strana kako bi osigurali objektivnost, definirati redovite assessmente sustava i kao jedan od prioriteta ulagati u ljudski kapital. Nakon uspostave osnovnih sigurnosnih mjera mogu uspostavljati SOC. Sve ostalo je bacanje resursa.

Na Hrvatskim danima sigurnosti 2023. , dr.sc. Aleksandar Klaić iz Centra za kibernetičku sigurnost SOA-e je istaknuo da će budući obveznici NIS2 direktive, morati u cijelosti svog poslovanja primjenjivati mjere kibernetičke sigurnosti jer je  poslovanje povezano i nije ga moguće razdijeliti primjerice na na ključnu uslugu ili samo na IT. Hoće li novi Zakon o kibernetičkoj sigurnosti donijeti otporniji sustav kibernetičke sigurnosti poslovnih subjekata?

Vrlo sam optimističan po pitanju novog zakona o kibernetičkoj sigurnosti u koji je transponirana NIS2 Direktiva. Otpornost sustava ovisit će najviše o samim tvrtkama. Ukoliko usklađenost sustava tvrtki sa novim zakonom bude samo temeljen na pukom popunjavanju minimalnih zahtjeva dobit ćemo lažnu percepciju sigurnosti. Kibernetička sigurnost ne bi trebala biti nešto što radimo zbog zakona, već zbog zaštite poslovanja. Uvjeren sam da će svijest o važnosti kibernetičke sigurnosti u 2024 biti vrlo visoka i da će tvrtke početi sa investicijama u sigurnost i prije donošenja novog zakona. Benefiti investicije u sigurnost tvrtkama će se uvijek isplatiti, sve ostalo su špekulacije koje će dovoditi do gubitaka.

Svjedoci smo lažnih vijesti koje postaju sve uvjerljivije, imamo li načine borbe protiv njih?

Lažne vijesti, poluinformacije i dezinformacije su jedno od najpodlijih alata današnjice. One su rak rana današnjeg društva. Na lažnim vijestima se danas, na žalost, odgajaju generacije.

Jedno je sigurno, lažne vijesti ne možemo anulirati, ali ono što možemo raditi je razvijanju kritičkog razmišljanja posebno kod mladih. Jedino sustavnim obrazovanjem ljudi možemo razviti osjećaj odgovornosti kod ljudi, jer ako nam je tehnologija dana kao alat onda ju nikako ne smijemo koristiti kao oružje. A lažne vijesti su vrlo razorno i opasno oružje.

 

Razgovarao: Alen Ostojić     Foto: HUMS/ Davor Denkovski

Objavljeni sadržaj serijala Jesmo li sigurni da smo sigurni?, sufinanciran je sredstvima Fonda za poticanje pluralizma i raznovrsnosti elektroničkih medija.