Korisnici ostaju i dalje najslabija karika u informacijskoj i kibernetičkoj sigurnosti

HUMS Panel 2023 o kibernetičkoj sigurnosti

Na nedavno održanim opatijskim Hrvatskim danima sigurnosti , panel  “Na kome je red da plati kaznu” ispunio je kongresnu dvoranu Hotela Ambasador do posljednjeg mjesta.

Alen Delić, zamjenik predsjednika Hrvatske udruge menadžera sigurnosti, ujedno predsjednika Odbora za informacijsku i kibernetičku sigurnost HUMS-a, kao moderator panela nije imao nimalo lak zadatak. Naspram sebe imao je elitu stručnjaka za informacijsku i kibernetičku sigurnost: Brunu Pavića, CSO Span, Milana Parata, Hrvatska udruga banaka, Roberta Žunca, CSO HPB, Svena Škrgatića, CSO A1 Hrvatska, Natašu Glavor, pomoćnicu ravnatelja za Nacionalni CERT, Matiju Grabara, CEO Cratis i Marka Gulana iz Schneider Electrica.

Primjećuju se neke nove metode phishing napada

Panel je bio  posvećen informacijskoj i cyber sigurnosti u kompanijama koje su u sve većem broju izložene phishingu (prijevare u kojima napadač lažnim predstavljanjem i naizgled legitimnim zahtjevom pokušava natjerati žrtvu da učini nešto u njegovu korist).

Nataša Glavor, pomoćnica ravnatelja CARNET-a za nacionalni CERT je još jednom istaknula da nacionalni CERT predstavlja središnje tijelo za prevenciju-obranu od kibernetičkih napada javnih informacijskih sustava u Hrvatskoj. Možemo reći da se nastavlja trend phishing napada kao najčešćeg oblika incidenta koje primamo, konstatirajući pri tom da su gotovo polovina svih zaprimljenih prijava phishing pojave. Glavor je rekla da zatim slijede zlonamjerni kodovi, odnosno maliciozne datoteke koje se šire na različite načine. „Primjećujemo i neke nove metode phishing napada koje prije nismo vidjeli. Hvataju se prilike specifične za pojedinu zemlju. Za Hrvatsku je to bio ulazak u euro zonu. Napadači su taj trenutak iskoristili da prevare korisnike usmjeravajući ih na lažne financijske aplikacije. Primjećujemo i hibridne phishing napade, jer se sastoje od telefonskog poziva s lažnog broja i sms poruka“, rekla je Glavor.

Ljudi su i dalje najslabija karika

Marko Gulan iz Schneider Electrica je istaknuo da se njegova tvrtka bavi procesima automatike. „Kod nas u industriji je druga priča, imamo perfidnije pripremljene phishing napade“, objasnivši da su napadi dobro pripremljeni tako da se grafički šalju sučelja koja su gotovo identična tvrtkama. To nas dovodi do zaključka da su napadi napravljeni tako da netko dugo „čuči“ u sustavu što ide u prilog onoj činjenici da vrijeme koje haker provede u sustavu u prosjeku čini 200-210 dana, u kojem vremenu se snime procedure i procesi te utvrdi gdje će se i kome javiti. Gulan je mišljenja da automotiv i healthcare industrija imaju napredne sustave pa odmah dobiju informaciju da e-mail dolazi iz vana, ipak negdje oko 86 posto ljudi kliknu bez obzira što znaju da je vanjski link, kazao je Gulan.

„Ljudi su i dalje najslabija karika. Bez obzira na tehnologiju koju primjenjuju, čovjek je opet taj kroz kojeg se može proći“,  rekao je Bruno Pavić, CSO Spana.

S njim se složio Milan Parat, iz Hrvatske udruge banaka, koji je rekao da  tehnologija postaje sve važnija ali da korisnici ostaju i dalje najslabija karika. „Rad s krajnjim korisnicima ostaje trajna obveza i prvo sredstvo obrane“, rekao je Parat.

„Ljudi ne shvaćaju vektor napada. Mindset ljudi još uvijek nije na toj razini da možeš anulirati phishing napad“, dodao je Pavić.

„Mladi ispod 25 godina češće nasjednu na zlonamjerne poveznice. Tehnologije idu naprijed, digitalna transformacija otvara rizike u kojima ljudski faktor ostaje najslabija karika. Pitanje sigurnosti je pitanje edukacije zaposlenika“, mišljenja je Robert Žunec, CSO HPB.

Nužna je razmjena informacija o incidentima

Razmjena informacija o incidentima je važna. Dijeljenje informacija nije pitanje konkurencije već je to i pitanje obrane države, ustvrdio je moderator Delić.

U pogledu razmjene informacija Nacionalni CERT radi odličan posao, u financijskoj industriji ih koristimo već nekoliko godina. S njima imamo otvorenu i pravovremenu komunikaciju, istaknuo je Parat.

Nataša Glavor, ukratko je  predstavila  PIXI platformu za prijavu cyber incidenata i pozvala kompanije da prijavljuju cyber napade bez straha da će tako izgubiti reputaciju. “Razmjena informacija je ključna i sve strane moraju od toga imati koristi”, rekla je Nataša Glavor.

Milan Parat iz Hrvatske udruge banaka nastavio je izjavom da te edukativne kampanje moraju biti što jednostavnije i razumljive ljudima koji nisu stručnjaci u IT sektoru jer su mnoge trenutne običnom korisniku odbojne zbog načina na koji su pisane.

Kultura razmjene informacija o uspješnim napadima ne postoji. Dijeljenje informacija je jako bitno jer samo vjerodostojna informacija daje stvarno stanje o ranjivostima u društvu. Propuste treba mapirati i disperzirati na ostale poslovne subjekte, mišljenja je Gulan.

Izraelaci imaju telefonsku liniju na koju možete  prijaviti hakerski napad poslije čega slijedi intervencija  blue teama, nadovezao se Pavić.

„Percepcija usluge je najbitnija od strane korisnika“, rekao je Sven Škrgatić, CSO A1 Hrvatska i nastavio: Da bi to omogućili radi se cijeli niz aktivnosti, od tehnologije do procesa koji  moraju izrazito dobro funkcionirati da bi korisnici bili zadovoljni. Bilo kakvi napadi na takvo okruženje su znatno sofisticiraniji  nego u IT okruženju, tako da sa sigurnosne strane moramo puno ulagati u tehnologiju i procese, rekao je Sven.

Sigurnost mora postojati na svim slojevima. U DC-u mora postojati puno toga da se ne dogodi neka sabotaža. Na kraju dana sve se svodi na edukaciju osoblja i menadžmenta, mišljenja je Matija  Grabar, CEO, Cratisa.

SOC nije srebrni metak za sve probleme u sigurnosti

 Burna rasprava se otvorila na upit moderatora o ulozi SOC-a u ostvarivanju odnosno rješavanju nesigurnosti. Sudionici panela su se ipak složili da SOC ne može riješiti sve probleme u sigurnosti i da on dolazi tek na kraju ispričane priče.

Ukoliko nemate uputstva o pravilnom korištenju SOC-a , razrađeni planovi što će se raditi s upozorenjima, ako ne postoji definiran proces kako se riješiti detektiranih ranjivosti odnosno incidenata onda instalirani SOC daje lažnu sliku sigurnosti, mišljenja su panelisti.

Posljednjih pet minuta, Alen je dao prostora publici za pitanja. Jedno od pitanja bilo je koliko vas je na  primjeru poduzeća u kojem radite  podijelilo informaciju da ste,  postali žrtvom cyber incidenata? Svi sudionici su bili  jednoglasni u konstataciji da napad treba priznati i podijeliti pod svaku cijenu i s javnošću i s korisnicima.

 

DBO/ Foto: HUMS/ Davor Denkovski

Objavljeni sadržaj sufinanciran je sredstvima Fonda za poticanje pluralizma i raznovrsnosti elektroničkih medija.