Stručnjak za kibernetičku sigurnost i ravnatelj Centra za nestalu i zlostavljanu djecu otkrivaju što je to kibernetička higijena, ali i kako učiti djecu da prepoznaju prijetnje koje su danas sve raširenije
Kako su hakeri po Hrvatskoj ukrali 36 milijuna kuna: 'Sve je više napada, na meti su i djeca'
Hakeri su u prvih devet mjeseci ove godine u Hrvatskoj ukrali 36 milijuna kuna, otkrili su nedavno iz MUP-a i nacionalnog CERT-a, posebno naglasivši da se tu radi o iznimno konzervativnoj procjeni, jer se to odnosi samo na one prijavljene napade. Stvarni broj daleko je veći, a policija je tako istaknula i da je broj prijavljenih napada u odnosu na prošlu godinu porastao. Jedan od najtežih oblika kibernetičkih napada su ransomware napadi, odnosno zlonamjerni ucjenjivački softveri kojima se od žrtve pokušava ishoditi otkupnina da bi se oslobodio pristup računalu.
Upravo su ransomware napadi i phishing napadi bili ovogodišnja tema europskog mjeseca kibernetičke sigurnosti. Phishing je i jedan od najraširenijih oblika napda, na koje policija najčešće i upozorava, a radi se o napadima gdje se pokušava na razne načine, poput lažnih linkova ili lažnih web adresa raznih instituacija, doći do povjerljivih podataka.
Ljudska pogreška je tako jedan od najčešćih elemenata na koje se naslanjaju hakeri.
Telekom A1 Hrvatska je ove godine bio na meti online napada, a njihov direktor za kibernetičku sigurnost i tehnološki operativni centar, Sven Škrgatić, u razgovoru za 24sata govorio je o tome gdje su najčešći propusti i zašto je važno da i velike kompanije progovaraju o sigurnosti te kako su i potesi u Zagrebu i Petrinji utjecali na sigurnost podataka.
Tvrtke su danas na meti ogromnog broja različitih napada svakog dana koji dolaze iz brojnih smjerova. Koliko ste vi u prošloj godini imali napada koje ste odbili?
Vidimo eksponencijalni rast cyber napada na globalnoj razini u zadnje dvije godine. Posljednja istraživanja navode povećanje broja malware napada i za 358% u pandemijskoj 2020. godini, u odnosu na 2019., dok je taj postotak u 2021. iznosio 125%. U 2022. godini ovaj trend se nastavlja. Također, susreli smo se i s brojnim kriznim situacijama koje su imale utjecaj i na sigurnost informacijskih sustava, kao što su potresi u Zagrebu i Petrinji koji su imali direktan utjecaj na fizičku infrastrukturu. Moramo spomenuti i lockdown koji je imao utjecaj na osiguranje kontinuiteta kritičnih poslovnih procesa. Kibernetičke prijetnje usmjerene su na različita područja, što znači da moramo adresirati i široki spektar izazova. I najveće kompanije poput Vodafonea, Microsofta, Nvidije, Samsunga, Ubisofta, pa i nas, doživjele su sigurnosne napade unatoč svakodnevnim provjerama. Upravo zato fokus stavljamo na edukaciju i sigurnost, kako naših zaposlenika, tako i naših korisnika.
Kakvi su najčešći napadi kojima ste izloženi? Najviše je ove godine zazvonila krađa podataka, i pokušaj ucjene.
Važno je konstantno ulagati u sigurnost kompanije i implementirati najmodernija rješenja, no istovremeno biti svjestan kako apsolutna zaštita nikada ne postoji. Ono što je izuzetno važno jest kontinuirana edukacija zaposlenika jer u najveće prijetnje u svijetu trenutno spadaju tehnike socijalnog inženjeringa, kao što je phishing, koje se oslanjaju na ljudsku pogrešku, najčešće zaposlenike i njihovu neopreznost ili lošu informiranost. Tu su također ransomware i malware napadi, zastarjelost i neodržavanje infrastrukture, te nepostojeća ili neadekvatna sigurnosna politika tvrtke.
Ne čujemo često da velike kompanije progovaraju o sigurnosti podataka. Vi ste na meti kao i svaki drugi korisnik interneta, a s druge imate i iskustvo rada s različitim rješenjima. Koji je najčešći propust koji rade ljudi, odnosno tvrtke? Gdje je glavna rupa za podatke?
Smatramo da je vrijeme da svi zajedno razgovaramo općenito o sigurnosti na internetu. Iako uvijek prvenstveno mislimo na tajnost vlastitih podataka i identiteta, sigurnost na internetu označava i zaštitu laptopa/osobnih računala, sigurnost pri korištenju mobilnih uređaja te općenito zaštitu naših online aktivnosti. No, moramo biti iskreni – apsolutna sigurnost ne postoji, ali postoje određene mogućnosti koje mogu značajno smanjiti rizik od ugroze.
Kao najčešće mete napada vidimo sustave koji obrađuju osobne podatke i/ili provode financijske transakcije, ali možemo reći kako meta napada može biti bilo tko, kompanija ili pojedinac. Zbog toga je digitalna i informatička pismenost svakog korisnika iznimno bitna jer će razne maliciozne poruke i pozivi koji su često inicijalni vektor napada biti na vrijeme prepoznati. Također, našim poslovnim korisnicima nudimo i cjelovita ICT sigurnosna rješenja, kao što je automatsko penetracijsko testiranje koje otkriva mogućnosti napada na unutarnje i vanjske površine te ocjenjuje sigurnosnu pripremljenost za nove napredne ugroze.
Često slušamo o pojmu kibernetička higijena? Možete li to malo pojasniti?
Kada govorimo o kibernetičkoj higijeni zapravo govorimo o održavanju visoke razine sigurnosti korisnika interneta. Kao što vodimo računa o našoj osobnoj higijeni, tako trebamo voditi računa i o našem online identitetu i korištenju kibernetičkog prostora. Upravo je tu važna edukacija svih nas – od onih najmlađih koji većinu svog vremena provode u online svijetu, do njihovih roditelja koji možda nisu upoznati s novim, svakodnevnim prijetnjama koje tamo postoje.
Koliko je korona promijenila stvari u protekle dvije godine? Velik dio naših života se preselio u online sfere, a EU naglašava phishing i ransomware kao glavne teme ovogodišnjeg mjeseca kibernetičke sigurnosti. Jesu li to i glavne prijetnje u svakodnevici običnih korisnika?
Kao što sam već napomenuo, pandemija i lockdown imali su velik utjecaj na poslovanje kompanija. Mnoge od njih nisu bile spremne za hibridni radi ili rad od kuće te su brojni njihovi podaci postali izloženi. Kompanije su morale osigurati nivo sigurnosti sa svih lokacija te uređaja s kojih su se korisnici spajali kao i za tehnologije koje su koristili pri spajanju. Phishing je jedna od metoda socijalnog inženjeringa u kojoj napadači, najčešće koristeći elektroničku poštu, navode žrtve da otvore određene privitke, slijede zlonamjerne poveznice, ostave osobne ili pristupne podatke te navedu žrtvu na neku drugu aktivnost od koje oni mogu imati korist. Riječ je o zasigurno trenutno najvećoj prijetnji u svakodnevnom životu korisnika.
IBM u svom izvještaju o probojima podataka za 2022. navodi da tvrtkama treba 277 dana u prosjeku da identificiraju i suzbiju neki proboj podataka. Kakve mjere treba poduzimati da bi se to smanjilo?
Identifikacija „proboja“ u informacijski sustav može biti izazov jer napadači u nekim slučajevima, nakon što su ostvarili pristup, ne provode „vidljivije“ aktivnosti koje su zahtjevnije na resurse ili generiraju značajnije količine log zapisa pa ih je teže prepoznati. Zato je bitno uspostaviti preventivne i detektivne mjere nadzora nad svim točkama ulaska u sustav, kao i na ostalim komponentama sustava, i osigurati dostupnost relevantnih log zapisa te uspostaviti procese pravovremene identifikacije i reakcije na sigurnosno relevantne događaje. Kompanije takve mjere sve više i više implementiraju pa se tako i prosječna vremena i reakcije na incidente zadnjih godina smanjuju.
Koje su nove prijetnje koje nas čekaju u sljedećoj godini? Od čega treba najviše strahovati?
Smatram kako se tehnike prijetnji u narednoj godini neće značajnije mijenjati, ali da će im broj biti sve veći te će biti prisutne na različitim platformama kojima se korisnici služe za komunikaciju i obradu podataka, npr. e-mail, WhatsApp, Viber…. Očekujem također kako će metode socijalnog inženjeringa dodatno napredovati te da će kontinuirani porast korištenja uređaja spojenih na Internet, tzv. Internet of Things, doprinijeti pojavljivanju novih prijetnji.
Tomislav Ramljak, voditelj Centra za nestalu i zlostavljanu djecu, istaknuo je kako je u Hrvatskoj lani bio skok od čak 60 posto u iskorištavanju djece za pornografiju, a kaže da se bilježi i rast vrbovanja djece kroz igre. Upravo to je ističe, sve veći problem, jer roditelji nisu upoznati s rizikom koji može biti prisutan u njima.
Koji su najnoviji pokazatelji oko sigurnosti na internetu? Imaju li razne aktivnosti uspjeha ili brojevi kaznenih djela vezanih uz online kriminal stalno rastu?
Zbog pandemije koja je uzrokovala da djeca još više provode vremena za ekranima dogodio se porast broja kaznenih djela na štetu djece prilikom korištenja tehnologije. Veliki problem na koji ukazuje Europol svakako je velika količina eksplicitnog materijala koja su djeca sama napravila (sexting), a vrbovanje djece u igricama je poraslo. Sve to potvrđuje porast kaznenog djela iskorištavanja djeteta za pornografiju jer je u RH u 2021. godini zabilježeno 363 slučaja, dok je u 2020. godini bilo 227 slučaja. Ovaj porast od 60% treba zaista biti alarmantni pokazatelj da su potrebne neophodne promjene, prije svega ulaganje u prevenciju te suradnja policije i Centra za nestalu djecu.
Edukacija se često naglašava kao ključnom za povećanje sigurnosti na internetu. No mnoge ovakve kampanje, čak i ova koja je na razini EU u listopadu, nisu toliko vidljive u javnosti. Kako bi to trebalo po vama poboljšati?
Prije svega zajedničkim nastupom i povećanjem vidljivosti. Također, kompanije koje zarađuju od pružanja usluga interneta trebaju odvojiti više sredstava kako bi financirali provjerene preventivne programe koji su neophodni kako bi djeca bila još više zaštićena na internetu, preuzeti dio odgovornosti te se više angažirati oko ovog pitanja. S A1 Hrvatska surađujemo već šest godina i zajedničkim snagama radimo na edukaciji mladih kada je u pitanju sigurnost na internetu i odgovorno gejmanje. Početkom ove godine predstavili smo i rezultate zajedničkog istraživanja o rizičnom ponašanju i seksualnom uznemiravanju na internetu među srednjoškolcima. Samo holistički pristup ima dugotrajne rezultate, a za to je upravo potreban i angažman tvrtki iz ove domene.
Ransomware i phishing su glavna tema europske kampanje ove godine. Kako možemo djecu učiti da lakše prepoznaju ovakve napade kad se većina njihove komunikacije odvija kroz chatove, ali i kroz Snapchat i TikTok?
Mislim da digitalna pismenost kao i kritičko razmišljanje trebaju biti predmeti od prvog razreda osnovne škole. Djeca danas provode više vremena u digitalnom okruženju nego u stvarnom i neophodno ih je pripremiti na taj svijet. Stopa kibernetičkog kriminala je u porastu svake godine i potrebne su promjene i usvajanje minimalnih znanja za osnovnu zaštitu kod korištenja digitalne tehnologije.
Što je sa sigurnosti u igrama? Roblox, Minecraft i razne online igre također su plodno tlo za razne napade i pokušaje prikupljanja podataka.
Video igre postaju sve veći problem. Nažalost, roditelji nisu upoznati s rizikom koji može biti prisutan u njima, prije svega mislim na razvijanje ovisničkog ponašanja. Dosta je često i vrbovanje djece prilikom in-game komunikacije, kao i prevara prilikom kupnje raznih artikala u igrama. Svakako se roditelji trebaju zainteresirati za digitalno igralište svoga djeteta i mislim da su video igre odličan alat za razvijanje odnosa. Ali, za to je potrebna volja i vrijeme roditelja, a najbolja prevencija je kvalitetan i snažan odnos roditelja/skrbnika i djeteta.