SIGURNOST VODE: O čemu se razgovaralo na panelu Fizička i cyber (ne)sigurnost javne vodoopskrbe?

Panel sigurnosti voda

Posljednjeg dana opatijskog savjetovanja Kritične infrastrukture: Sigurnost vode i javne vodoopskrbe, u četvrtak, 26. lipnja 2020. održan je panel Fizička i cyber (ne)sigurnost javne vodoopskrebe. Na panelu su sudjelovala dvojica trenutno vrsnih poznavatelja informacijske sigurnosti i hibridnog ratovanja, Alen Delić, DIVERTO i dr.sc. Gordan Akrap, ravnatelj Instituta za istraživanja hibridnih sukoba, Zagreb.

Panel je otvorio moderator, dr.sc. Branko Mihaljević, predsjednik Upravnog vijeća Poslovnog učilišta integralna sigurnost i razvoj iz Zagreba, pitanjem  jesu li pojmovi cyber ,informatička i kibernetička sigurnost sinonimi ili postoji razlika između njih te se nastavio raspravom o sigurnosti u digitalnom svijetu.

Akrap:

  • prijevod cyber security na kibernetička sigurnost je u potpunosti netočan. Ne treba slijepo slijediti sve što definicije nalažu, odnosno što je napisano u zakonu jer se on često mijenja.  informacijska sigurnost je niz aktivnosti, mjera i radnji koji podrazumjeva zaštitu informacija i prostora kojima se informacije skupljaju u računalu na način da se one štite u fizičkom, digitalnom i operativnom smislu. Sigurnost u digitalnom svijetu se dijeli na 4 razine, sve ovisi o ljudima jer o njima ovisi prelazak na novu razinu sigurnosti.

Delić:

  • za najviše napada odgovoran je čovjek koji koristi vrlo jednostavne metode socijalnog inženjeringa.

Mihaljević: Strategija nacionalne sigurnosti je važan dokument, a  2017. dobili smo Zakon o domovinskoj sigurnosti. U tom kontekstu govorimo o 9 mjera i 29 aktivnosti, razvoju kibernetičke obrane,  prevenciji kibernetičkih napada. Cyber sigurnost na globalnoj razini je relativno uzdrmana?

DeliĆ:

  • Stanje 2020 u RH =broj napada konstantno raste, vrijeme Covid-a najpopularniji su fishing napadi čije će se posljedice vidjet kasnije u godini (84 postotno povećanje  napada). Trenutno se skupljaju informacije, trend vrste napada je slican kao prethodne godine, koriste se zastarjeli mehanizmi napada jer se neki subjekti još ne znaju nositi s istima, primjer INA i gradsko komunalno za vodoopskrbu iz 2017.godine.
  • 1200 prijavljenih slucajeva, puno neprijavljenih
  • Više se zarađuje od cyber napada nego od pretprodaje droge
  • Mozemo samo nagađati što će biti u budućnosti

Akrap:

  • Hrvatska ima određene kapacitete kojima može identificirati određena događanja u cyber prostoru. No pitanje je koliko lokalna zajednicaima sposobnosti za identifikacijom napada poglavito u vodno-prehrambenom i energetskom sektoru. Dobro je da smo integrirani s EU I NATO, ali privatni sektor je upitan jer nije poznato želi li prihvatiti novosti za napredak
  • Budiće napade možemo očekivati u energetskom, informacijskom i komunikacijskom sektoru jer se iz njih najlakše napadi prelijevaju u sve druge
  • Moram istaknuti da izraelska verzija HEP-a dnevno prepoznaje oko 100 tisuća cyber napada

Delić:

  • Niti jedan vodovod u Hrvatskoj nema kapaciteta prepoznati ozbiljan cyber napad, odnosno kompleksnije napade, a da bi se do toga došlo mora se uvesti provjera ranjivosti i penetracijska testiranja, potrebno poboljšanje komunikacije na mreži radi bolje komunikacije različitih sektora. Kako na razini cijelog svijeta ne postoji dovoljno ljudi sa znanjem o cyberu, onda je razumljivo da je u Hrvatskoj privatni sektor sektor snažniji od državnog cyber sektora  jer je u  mogućnosti investirati u dodatne edukacije i osoposobljavanja kadra.

Generalno, vodovodi trebaju znati koji se resursi koriste za određene usluge, potrebna je provedba analize rizika koliko god ona bila kompleksna, informirati se o tome što se zbiva na tržištu i razmjenjivati informacije s kolegama u sličnim sektorima a zatim stvarati napredne mehanizme za mrežnu obranu. Kada dođe do incidenta, potrebno je imati jasne procedure u kojima se zna točno tko što radi.

Akrap:

  • Sigurnost vodooksrbe svedena je na običnu bravu i tu završava priča o sigurnosti vodovoda, naravno malo karikiram, ali nedovoljno investiranje predstavlja problem za sigurnost jer su centri za preradu i distribuciju vode neadekvatno zasticeni. Znate i sami, dok se nesto ne dogodi tema neće biti pokrenuta. Pitanje je koliko su lokalni vodovodi spremni odnosno imaju li mogućnosti unaprijediti vlasitu zaštitu. Mišljenja sam da bi se manji vodovodi trebali integrirati s većima kako bi podnijeli financijsko, organizacijsko i ljudsko opterećenje jer sigurnost počiva na institucijama.
  • Iran prije 8 9 godina virus ubacen u sustav koji je za cilj imao spriječiti prepoznvanje da se sustav sam od sebe uništava- potrebno dodatno rucno provjeravati sustave.

Delić:

  • Svakako je potrebna i sigurnosna provjera dobavljača, jer se 26 do 27 posto incidenata događa zbog neprovjeravanja dobavljača.

Mihaljević: Tko bi se trebao baviti problematikom cyber sigurnosti u tvrtkama?

Delić:

  • Cyber sigurnost mora biti dio informacijske sigurnosti i biti odvojeno od IT-a, ili izravno pod upravom ili u korporativnoj sigurnosti pod uvjetom d aona ima korporativnu funkciju.

Akrap:

  • Pružatelju usluga kritične infrastrukture moraju tretirati ulaganja u vlastitu sigurnost kao porezno olakšanje koje će država opraštati tvrtama kako bi one to dalje mogle uračunati u obranbena proračunska izdvajanja – ulažemo u sigurnost države ne vlastitu – podižemo razinu sigurnosti. Drzava je uvijek na raspolaganju za distribuciju informacija i upozorenja, ona ne treba reagirati na svaki cyber napad već na one koji su detektirani i potvrđeni i kada su točno utvrđeni. Najbolja obrana je mogučnost učinkovitog odgovora. Najbolja obrana jest integracija znanja, mogučnosti i sposobnosti sredstava koja postoje u državnom, javnom i privatnom sektoru. Zajedničko djelovanje je ključ sigurnosti.

Mihaljević: Koji su problemi u identifikaciji cyber napada?

Delić:

  • U RH ne postoji napredna razina obrane od cyber napada, zaostajemo za svijetom, potrebno je korak po korak napredovati ka konačnom cilju

Akrap:

  • Hibridne prijetnje se trebaju znati prepoznati i detektirati. Mislim da je važno permanentno raditi na razvoju sposobnosti osoba, na njihovoj edukaciji i razvoju. Samo tako možemo polučiti rezultat u odgovoru na moderne prijetnje.

Organizator savjetovanja je Poslovno učilište integralna sigurnost i razvoj, uz potporu Hrvatske udruge menadžera sigurnosti.

 

PO/ Foto: HUMS