Pitate li ekonomiste u kojem će se smjeru ubuduće kretati pojedine djelatnosti iu što će se najviše ulagati, kibernetička zaštita u pravilu je između prva tri, paralelno s ulaganjima u tehnološki razvoj. U Hrvatskoj Odjel za Nacionalni CERT već 15 godina štiti hrvatski kibernetički prostor. To je odjel hrvatske akademske i istraživačke mreže CARNET koji se bavi obradom računalnosigurnosnih incidenata, podizanjem svijesti i edukacijom o kibernetičkoj sigurnosti hrvatskih građana.
Tijekom 2022. CERT je obradio ukupno 1296 računalnosigurnosnih incidenata, što je povećanje od sedam posto u odnosu na 2021. godinu. Na vrhu su kao oblik prijevare phishing ja phishing URL, a zatim iskopati.
Sve počinje krajem identiteta
Čak 42,6 posto svih obrađenih incidenata slučajevi su Krađa identiteta (online krađa identiteta). Velika promjena, kažu u CERT-u, odnosi se na povećanje broja klasificiranih incidenata prevara, koji je u 2022. godini zbog povećanog broja građanskih prijava te vrste incidenta došao na drugo mjesto.
– Svakako bismo ga spomenuli kao najveće kibernetičke prijetnje tvrtkama i privatnim osobama phishing ja ransomware. Krađa identiteta zato što je najčešći vektor napada, odnosno od Krađa identiteta sve kreće. Građanima svakodnevno prijete sve sofisticirane phishing-kampanje kreirane radi krađe osobnih i bankovnih podataka. Osim phishing-poruka, postoje phishing URL-ovi koji oponašaju legitimne sustave i lažne internetske trgovine poznatih modnih oznaka. Ransomware naveli bismo kao drugu sljedeću prijetnju jer može uzrokovati zastoj ili čak prekid poslovanja zbog gubitka podataka, a žrtve nisu samo tvrtke nego i pojedinci – objašnjavaju u CERT-u.
U siječnju 2023. godine Nacionalni CERT obradio je ukupno 139 incidenata i može se zaključiti da se od početka godine povećao broj prijetnji tipa poslovnih prijevara – CEO prijevara ja BEC (kompromis poslovne e-pošte), prijevare koje ciljaju korisnike banaka, phishing-prijevare korištenjem QR koda, kritična ranjivost u hipervizoru VMware ESXi, prijevare u kojima se e-poštom šalje maliciozni privitak s ciljem kraće pristupnih podataka za Microsoftov sustav te prijevare koje imitiraju sustav e-Građani.
Profil žrtve
Najčešće mete u gospodarstvu su, potvrđuju u CERT-u, i dalje banke i njihovi korisnici, zatim energetska postrojenja, zdravstvene ustanove, ali i mali i srednji poduzetnici.
– Banke i energetska postrojenja imaju najviši stupanj zaštite, ali su zbog potencijalno visokih nagrada konstantno mete kibernetičkih kriminalaca. Mali i srednji poduzetnici, koji često i ne razmišljaju da bi mogli postati žrtve kibernetičkog napada, posebno su ugroženi. Ransomware-napadi koji zahtijevaju plaćanje otkupnine kako biste potencijalno ponovno dobili pristup svojim podacima, osim reputacijske štete, mogu uzrokovati zastoj ili čak prekinuti poslovanje. Napadači prateći zbivanja te svoje djelovanje prilagođavaju aktualnim temama. Tako smo u Hrvatskoj imali primjere napada koji su ciljali korisnike mobilnog bankarstva, a za napad su iskoristili temu prelaska na euro – ističu u CERT-u.
Unatoč sve većoj svijesti građana da su kibernetički napadi kaznena djela koja se moraju prijaviti, u Ministarstvu unutarnjih poslova kažu da je broj neprijavljenih takvih incidenata još uvijek prilično velik. Međutim, u porastu je u odnosu na prethodna razdoblja
U Ministarstvu unutarnjih poslova dodali su da se kibernetički incidenti često pojavljuju u obliku kampanje; tada se u kratkom razdoblju bilježi vrlo velik broj incidenata sa zajedničkim karakteristikama. Rjeđi su ciljani napadi na vrlo konkretan cilj (npr. određenu tvrtku), ali ti su napadi tada najčešće visokosofisticirani.
S obzirom na trend porasta broja napada i njihovu sve veću sofisticiranost, začuđuje podatak da su ulaganja kompanije u vlastitu kibernetičku zaštitu u opadanju. U CERT-u su iznijeli podatak koji proizlazi iz izvještaja Agencije Europske unije za kibernetičku sigurnost (ENISA), ‘NIS Investments 2022’, izdanog krajem 2022. godine, da je udio ukupnog IT proračuna tvrtki za informacijsku sigurnost 6,7 posto, koliko je za jedan posto manje u odnosu na 2021. godinu.
– Velika poduzeća na području EU u prosjeku odvajaju 120 tisuća eura za kibernetičku sigurnost na godinu, a mali i srednji poduzetnici u prosjeku 5500 eura. Najviše u kibernetičku sigurnost ulazi bankarski sektor, što nije čudno uzmemo li u obzir činjenicu da u prosjeku šteta kibernetičkog incidenta u tom sektoru iznosi 300 tisuća eura, a tu je i reputacijska šteta – dodaju u CERT-u.
Kaznena djela
Iako su ulaganja u kibernetičku sigurnost niža u odnosu na 2021. godinu, stručnjaci kažu da su ukupna ulaganja u kibernetičku sigurnost znatno porasla od 2016. godine, kada je donesena NIS direktiva koja je postavila standarde i zahtjeve u kibernetičkoj sigurnosti na području EU. Pitali smo CERT i mijenjamo li se u kojem smjeru profil hakera koji se bave kibernetičkim kriminalom, na što smo dobili odgovor da nije posve ispravno hakere promatrati isključivo u negativnom kontekstu.
– Jedna od definicija hakera je da je to osoba koja uživa u intelektualnom izazovu u kojem se na kreativan način zaobilaze ograničenja nekog programa ili sustava, ne nužno računalnog – objašnjavaju u CERT-u, živopisno dodajući i SF profilaciju.
Tako danas kibernetički prostor s jedne strane čuvaju stručnjaci kibernetičke sigurnosti, kao što druge, tamnije strane napadaju tzv. akteri i/ili hakeri. Razlozi, motivacija i ciljevi kibernetičkih napada različiti su, ali jedni od najčešćih su nova dobit, vjerojatne i osobne informacije, znatiželja, politika ili dokazivanje.
Počinitelji koji prakticiraju neovlašten pristup računalnom sustavu čine kaznena djela jer su kao takva opisana i definirana u glavi XXV. Kaznenog zakona. U MUP-u kažu da, unatoč tome što raste svijest građana o tome da su kibernetički napadi kaznena djela koja je potrebno prijaviti, broj neprijavljenih cyber-incidenata i dalje je prilično visok, iako jest u porastu u odnosu na prethodna razdoblja.
– Građani i tvrtke najčešće ne prijavljuju takve događaje policiji ako sami mogu otkloniti štetu jer posjeduju kopiju podataka (sigurnosna kopija) te ako ne izgubite podatke koji su bitni za poslovanje, ne vidite razlog za podnošenje kaznene prijave. Međutim, poželjno je da oštećena strana prijavi događaj i radi mogućih sekundarnih posljedica. Počinitelj, naime, može podatke do kojih je došao tijekom upada u tuđi računalni sustav (bankovni podaci, nejavni osobni i poslovni podaci, zaporke, otkrivene ranjivosti računalnog sustava…) upotrijebiti kod početka drugih kaznenih djela – ističu u MUP-u.
Nužna higijena
Najpoželjnije mete i dalje su veće tvrtke, ali one i najviše ulažu u zaštitu. U CERT-u kažu da poslovni subjekti moraju prepoznati kibernetičke prijetnje kao realnu opasnost i uvrstiti ih u procjenu rizika svog poslovanja. Shvatiti ih kao sastavni dio procesa, a sustave koje već imaju nadograditi.
‘Phishing’ i ‘ransomware’ trenutno su najveće cyber prijetnje tvrtkama i građanima. Ove godine zabilježen je porast broja tzv. poslovnih prijevara
Građani se pak trebaju pridržavati pravila ‘kibernetičke higijene’, kao što su korištenje jedinstvene i snažne lozinke za svaki servis, odvojiti privatno od poslovnih uređaja, redovito ažurirati sustave, preuzimati sadržaje iz sigurnih izvora, stvarati sigurne kopije svojih podataka, a prije svega naučiti prepoznati kibernetičke prijetnje na vrijeme te voditi brigu o svojim osobnim podacima i digitalnom tragu. Što, ruku na srce, malo tko od građana čini.
Ono što u budućnosti možemo očekivati, upozoravaju u CERT-u, pojava je novih oblika prijevara s kojima se dosad nismo susretali. Kao primjer navode sve češću domišljatost prevaranata u tome što se, umjesto poveznicom u poštakoriste QR kodom koji vodi na zlonamjerno mreža-sjedište.
– Na taj na
Više o temiIzvor: Leadermedia.hr
