Nikola Dujmović: Ruski hakeri informacije prosljeđuju FSB-u, a novac zadržavaju za sebe
Donošenje novog Zakona o kibernetičkoj sigurnosti poslužilo je kao povod za razgovor s predsjednikom Uprave Spana Nikolom Dujmovićem. Osim o provođenju NIS2 direktive koju će tvrtke obveznice morati ozbiljno shvatiti jer donosi visoke kazne slične onima koje propisuje GDPR, Dujmović je govorio i o niz zanimljivih, pa čak i zabavnih detalja iz svijeta sigurnosti.
Nikola Dujmović, predsjednik Uprave Spana, u posljednje vrijeme sve češće priča o kibernetičkoj sigurnosti. Navedena tema nekad se nije previše vezivala uz Span, dok se to danas sve češće događa.
Dujmović pojašnjava kako je sigurnost danas puno važnija nego nekad kad su se njome bavili samo „networkingaši i Unixaši“. Ističe kako strani korisnici već godinama koriste njihove usluge upravljanja identitetom – svojevremeno zanemarivanu disciplinu – koja sad, u svjetlu sve veće brige o kibernetičkoj sigurnosti, doživljava procvat.
Zakon o kibernetičkoj sigurnosti prošli tjedan je izglasan u Hrvatskom saboru i uskoro bi trebao biti objavljen u Narodnim novinama. Zakon, na razini države članice, regulira provođenje NIS2 direktive koju su dužne provesti sve države Europske unije.
„NIS2 se u Hrvatskoj smatra nametnutim, ali potreba postoji. Napadi i eksploatacije su stalno prisutni. Mi bismo željeli pomoći da hrvatska industrija ne doživi NIS2 kao GDPR, i provede ga ‘samo da se napravi’.“ – kaže Dujmović. Podsjeća i kako su rokovi za provođenje mjera dugi i iznose i do tri godine, ali kako je upitno hoće li u Europi biti dovoljno resursa koji će se moći angažirati bude li se čekalo sve do zadnjeg trenutka.
Na pitanje o broju incidenata u Hrvatskoj odgovara kako je službeni autoritet za incidente Nacionalni CERT, kojem također ne budu prijavljeni svi incidenti. Iz tog razloga službena statistika pokazuje manje incidenata nego se zapravo dogodi. NIS2 direktiva će uvesti obvezu prijave incidenata, pa će statistika biti bolja.
Span mjesečno zabilježi oko 8000 sigurnosnih incidenata svih veličina. To uključuje oko 1500 različitih vrsta pokušaja napada na samu tvrtku i oko 6500 koji se događaju kod njihovih korisnika.
Ruski hakeri zadržavaju novac, a informacije prosljeđuju službama
„Vidimo kako ruski skeneri prolaze i traže rupe (sigurnosne propuste, op. FH)“ – kaže Dujmović i otkriva kako je broj incidenata značajno porastao prije godinu i pol dana zbog rata. Veliki broj incidenata odnosi se na državno sponzorirane napade, odnosno napade grupa koje su na bilo koji način povezane s nekom od država.
Pojašnjava kako grupe koje djeluju iz Rusije u pravilu zadržavaju novac koji prikupe napadima, dok informacije prosljeđuju svojoj Saveznoj službi sigurnosti (FSB). Napadači iz Sjeverne Koreje u pravilu imaju financijske kvote koje moraju ispuniti kako bi njima financirali životni stil svojih elita. Dok Ruse prvenstveno zanima kritična infrastruktura, Korejcima meta napada nije bitna.
Za veliki broj napadnutih tvrtki nije bitno samo da se izvuku, primarno im je zadržati kontinuitet poslovanja. Ako primjerice veliki špediter zbog problema uzrokovanih napadom na sustav ne može voziti 15 dana, kupci će pronaći alternativu.
Umirovljenici spasili napadnutu tvrtku
Kao dobar primjer brzog snalaženja u trenutku napada navodi jednu hrvatsku tvrtku. Zaključavanje njihovog sustava privremeno je onesposobilo proizvodnju, na što su doskočili angažmanom svojih umirovljenika koji su (za razliku od trenutnih zaposlenika) znali raditi bez računala.
Kod napada ransomwareom, napadači traže plaćanje otkupnine, kako bi vratili podatke koje su zaključali. Osim što plaćanje otkupnine nije jamstvo da će podaci doista biti vraćeni, Dujmović upozorava kako je i protuzakonito, jer se prema američkim zakonima smatra financiranjem terorizma. Kad bi se doznalo da je firma poput njihove (u teoretskom slučaju) platila otkupninu, odmah bi izgubili ugovore s ključnim partnerima.
Doduše, neke iznimke očito postoje. U slučaju napada na američki Colonial Pipeline, FBI se hvalio kako su zaplijenili dio sredstava koje je ta korporacija platila hakerima.
Jedna od jačih država kad je u pitanju kibernetička sigurnost je Izrael. U tamošnjoj službi 8200 navodno je nastao Stuxnet – vjerojatno najsloženiji virus koji je krajem 2009. i početkom 2010. godine ciljano uništio Siemensove centrifuge za obogaćivanje urana u iranskoj nuklearnoj elektrani Natanz. On je navodno unesen na način da je jedan od zaposlenika kupio „prazni“ USB zaražen virusom napravljenim isključivo kako bi nanio štetu samo u toj elektrani. Na svim drugim mjestima u svijetu gdje se proširio nije radio ništa. Cijela priča o tom napadu je vrlo impresivna i može se pronaći ovdje.
Takav način zaraze računalnim virusom danas u Spanu ne bi prošao, jer svi USB-ovi prije korištenja u firmi moraju biti prethodno provjereni i odobreni. U protivnom ih računalo uopće ne doživljava. Span koristi još jače sigurnosne mjere nego ih propisuje NIS2.
Kad je u pitanju Izrael, Spanovci su se i sami iznenadili kad su im u toj državi demonstrirali situacije kakve su viđali samo u serijama i filmovima. Na primjer, kad iz sigurnosnih razloga treba provjeriti snimke s kamera, tamošnji stručnjaci posjeduju tehnologiju koja im to omogućava pregled ne samo javnih snimaka napravljenih na određenom području, nego i privatnih. Nabaviti je mogu isključivo državne agencije.
Jedno vrijeme tolerirao uljeza koji je koristio Netflix
Dujmović kaže kako je moć kibernetičkog uvida ogromna. Sugerira da se s podacima treba ponašati oprezno, kao da su lozinke koje koristimo već hakirane. To se često i događa, a dogodilo se i Dujmoviću s Netflixom. Rekao je kako je svojevremeno u nekom trenutku shvatio kako netko s Filipina koristi njegovu lozinku za pristup tom servisu preko kojeg se mogu gledati filmovi. To ga nije začudilo jer zna da se na dark webu po niskim cijenama prodaju ukradene lozinke, a cijela situacija mu je bila bezazlena i simpatična tako da je neko vrijeme i tolerirao uljeza. No, u jednom trenutku ukradeni Netflix su vjerojatno gledala i uljezova djeca (sudeći po tome da su se tada gledali crtani filmovi u aplikaciji) koja su jezik aplikacije prebacili na filipinski. Trebalo je vremena dok to nije popravio, nakon čega je promijenio lozinku i onemogućio uljeza.
Najvažnije informacije o NIS2 direktivi u Hrvatskoj Povodom nedavnog izglasavanja Zakona o kibernetičkoj sigurnosti u Hrvatskom saboru, Antonija Vojnović i Vedran Benić iz Spana medijima su prezentirali kako će provođenje NIS2 direktive izgledati u praksi. Riječ je o direktivi koja propisuje sigurnosne procedure potrebne kako bi se zaštitila ključna infrastruktura i koja se naslanja na prethodno donesenu NIS direktivu. Obveznici NIS2 direktive dijele se na ključne i važne subjekte. Ključni subjekti su tvrtke i institucije iz određenih sektora koji imaju više od 250 zaposlenika i godišnji promet veći od 50 milijuna eura ili oni s ukupnom godišnjom bilancom većom od 43 milijuna eura. Važni subjekti su tvrtke i institucije iz određenih sektora s više od 50 zaposlenika i godišnjim prometom većim od 10 milijuna eura ili oni s ukupnom godišnjom bilancom većom od 10 milijuna eura. Kao što se može vidjeti u galeriji ispod članka, ključni subjekti su oni koji uz navedene uvjete dolaze iz područja energetike, burze, otpadnih voda, prometa, zdravlja, javne uprave, banaka, vode za piće i onog koji se bavi svemirom. Važni subjekti dolaze s područja poštanskih i kurirskih usluga, gospodarenja otpadom, izrade, proizvodnje i distribucije kemikalija, proizvodnje, prerade i distribucije hrane, proizvodnje medicinskih proizvoda, računala, elektroničke opreme, strojeva i vozila, istraživanja te pružatelji digitalnih usluga, odnosno pružatelji internetskih tržišta, tražilica i društvenih mreža. Provođenje mjera kod ključnih subjekata moći će se nasumično provjeravati, dok će kod važnih subjekata inspekcija dolaziti samo uz najavu i ako postoji dokaz ili informacija o kršenju NIS2 odredbi. Novčane kazne za ključne subjekte iznosit će do 10 milijuna eura ili dva posto godišnjeg prometa, dok će kod važnih subjekata iznositi do sedam milijuna eura ili 1,4 posto godišnjeg prometa. Trenutno se čeka donošenje Zakona na snagu, a potom i donošenje Uredbe o kibernetičkoj sigurnosti. U roku godine dana od stupanja Zakona na snagu, nadležna tijela imat će rok za dostavu Obavijesti o kategorizaciji. Godinu dana od primitka Obavijesti o kategorizaciji, firme se moraju uskladiti sa zahtjevima kibernetičke sigurnosti. Ključni i važni subjekti imat će točno propisane mjere kibernetičke sigurnosti koje će trebati provesti. One mogu biti tehničke, operativne i organizacijske, a u NIS 2 Direktivi podijeljene su u 10 osnovnih skupina. Samo neke od njih su: upravljanje rizicima, sigurnost u nabavi, upravljanje pravima pristupa, plan kontinuiteta i oporavka od katastrofe te upravljanje incidentima. U roku od dvije godine od isteka jednogodišnjeg roka za usklađivanje, sukladnost se mora verificirati u postupku nezavisne ocjene sukladnosti ili samoocjene. |