Morić: SOA je u zadnje dvije godine spriječila tristotinjak napada

Napadači prekidom poslovnog dijela utječu na poslovanje

Ove godine Europska komisija donijela je Direktivu o mjerama za visoku zajedničku razinu kibernetičke sigurnosti Unije (Direktiva NIS2). Ona se mora ukomponirati u zakonodavstvo država članica. U čemu je razlika od NIS1 direktive?

Voditelj katedre za kibernetičku sigurnost visokog učilišta Algebra Zlatan Morić rekao je u HTV-ovoj emisiji "studio 4" da je razlika u obuhvatu.

- Znači, Europska unija je prethodno donijela NIS direktivu i obuhvatila je kritičnu infrastrukturu kao neki način kako zaštititi kritične organizacije unutar Europske unije, s tim da unutar tih kritičnih organizacija nije štitila kompletne kompanije, nego samo onaj dio koji je bitan za nacionalnu sigurnost, istaknuo je Morić.

- Ono što se pokazalo kroz vrijeme, ako vi unutar neke tvrtke štitite samo tehnički dio, a poslovni dio ostavite recimo manje zaštićen, ono što se događa da napadači prekidom i tog poslovnog dijela u načelu utječu na poslovanje. Ono što smo imali kod nas, primjerice, napad na INA-u koji se dogodio. Znači, napad nije bio na operativni dio, jer tamo su i dalje radile rafinerije. Ali jest na kartično poslovanje, pa nitko nije mogao kupovati od INA-e, dodao je. 

Otpor ne postoji 

Prirodno je i normalno da se štiti kritična infrastruktura, gotovo u svim zemljama članicama, odnosno u svima. Naftovodi, željeznice, promet, nekakva sigurnost. Otkud je dan put otpora u Hrvatskoj? Koja su dva glavna izazova ove nove NIS direktive?

- U principu otpor ne postoji među ljudima koji se bave sigurnošću, poručio je Morić.

Morić je naglasio da će problem biti obuhvat kompanija, koje će morati biti sukladne tom zakonu. A taj obuhvat je u principu napravljen na način kako te tvrtke svojim djelovanjem mogu utjecati na nacionalnu sigurnost.

U povijesti se vidjelo da ako neka određena tvrtka ima dobro riješenu sigurnost, a njen dobavljač koji pruža neke usluge nema tu sigurnost, pa će napadač napasti njih i preko njih će u principu ugroziti nacionalnu sigurnost.

Bitne su informacije da će netko napasti 

Kad je riječ o samom operativnom djelovanju vezano za sigurnost, pristup koji je Hrvatska izabrala, a koji su izabrali također neke države u svijetu, ima pokriće prema nekim trendovima u sigurnosti.

Prije 30 godina su se tvrtke štitile na način "Castle-and-moat".

- Jer imaju zidove oko firme i to je sigurno. To smo vidjeli da to nije dobro, pa smo onda uzeli neki zero trust model, ne vjeruj nikome, sve provjeravaj. To smo isto također vidjeli da nije dobro jer samo sigurnosne kontrole ne mogu pomoći, treba imati neki sustav da detektira kad je netko upao. Znači mi trenutno imamo situaciju da prosječno prođe 270 dana da tvrtka uopće sazna da je haker upao u sustav. To je puno, kazao je voditelj Katedre za kibernetičku sigurnost Visokog učilišta Algebra Zlatan Morić.

Bitne su i kontrole za sigurnost da netko ne uspije.

- Ali moramo imati i sustav koji će detektirati ako je netko već uspio upasti u sustav. I to je naravno sve unaprijedilo, naravno hakeri uvijek pronalaze nove načine kako to sve zaobići i ono što je u zadnjih par godina jako postalo hit u kibernetičkoj sigurnosti je Threat intelligence, poručio je Morić.

Nije više bitno da imamo sigurnosne kontrole koje štite od upada u sustav, koji će detektirati da je netko upao, nego je jako važna informacija da će netko sutra napasti.

Percepcija SOA-e i sigurnost

Je li problem u prihvaćanju organizacijskog modela ili imamo onaj lokalni dio o percepciji Hrvata i SOA-e?

- Mislim da nemamo taj problem percepcije, nego imamo trenutno, dio koji je strah, to još uvijek ne zna što će oni kao operativno tijelo raditi, poručio je Morić.

Već niz godina postoji sustav SCOUT, koji je operativno u njihovoj nadležnosti, odnosno Centar za kibernetičku sigurnost koji je sastavni dio.

- I sad, jako veliki broj ljudi radi neznanja kako taj sustav radi, smatra u redu, sad on ima i pristup mojim podacima. I ljudi ne žele da netko ima pristup njihovim podacima, s tim da taj sustav uopće ne dozvoljava pristup podacima, on samo detektira konekcije koje imate putem mreže i obavještava vas ako je ta konekcija prema nekom, odnosno nekoj adresi za koju SOA ima informacije da bi mogla biti u pozadini neki kriminal ili neka hakerska skupina, istaknuo je Morić.

SOA je do sada obavljala nadzor na tim sustavom, dakle to nije ništa novo, samo što će se vjerojatno proširiti obuhvat njihova djelovanja i možda građani ne znaju, ali barem im se tako priča po ovim sigurnosnim krugovima, da je SOA u zadnje dvije godine spriječila nekakvih tristotinjak napada.

- U principu, ono što opet zabrinjava sve ljude u Hrvatskoj i kad se priča o nadležnosti, odnosno oni nisu regulator, oni će biti operativno tijelo koje će provoditi te mjere. SOA po zakonu ne smije iznositi informacije što radi, dodao je Morić.