Ako ste mislili da se to dogodilo nekome drugome, prevarili ste se. Policija je u Hrvatskoj otkrila i kazneno prijavila ukupno 1688 kibernetičkih napada. Oni su, prema konzervativnim procjenama - napravili više nego 10,5 milijuna eura direktne štete. Tko nas i kako može zaštititi u Studiju 4 objašnjava Stjepan Groš član Stručnog vijeća Specijalističkog studija informacijske sigurnosti FER-a.
Kibernetička sigurnost košta, a studij jamči dobar posao
13.07.2024.
11:10
Autor: D.M./Željko Kardum/HRT
Stjepan Groš u Studiju 4
Foto: HTV / HRT
- Moramo sami sebe zaštititi. Svako je zadužen za svoju vlastitu sigurnost. Oni koji za to nemaju vlastitih resursa, uvijek imaju mogućnost podugovora, angažmana nekoga tko će im pomoći, kaže Stjepan Groš.
Komentirajući navode mnogih da ih od kibernetičkih napada mora štititi država, odgovara: "Država nema pravo ulaziti u sustave, gledati po njima i dirati podatke"
Stjepan Groš
Foto: HTV / HRT
- Da biste se odgovarajuće zaštitili morate uvoditi promjene u vaše sustave i svoje ljude uvježbavati i educirati. Država nema ovlasti da tu išta učini. Oni koji računaju da će ih zaštititi SOA, MUP ili Carnet imaju jako lošu računicu, dodao je Groš.
Ovlasti države da intervenira u sustave koji su bitni
Naglasio je kako državu brine što postoje sustavi (poput telekoma ili sustava elektroenergetike) koji su bitni, a u privatnom su vlasništvu i nisu adekvatno 'čuvani'. Naime, takvi sustavi mogu naštetiti drugima. Stoga ona pokušava sebi iznaći ovlasti, što je poanta Zakona o kibernetičkoj sigurnosti. Prvenstveno kako bi 'natjerala' takve sustave da se brinu o sigurnosti, a u krajnjem slučaju i da intervenira.
Svaka sigurnost košta
Postoje različite privatne sigurnosne agencije koje se često angažiraju za analizu i forenzično istraživanje napada u tvrtkama i odjelima daju preporuke.
- To se tako inače radi. Skupo je imati tim za značajnije incidente. Radi se o ljudima koji su visoko specijalizirani i ne mogu raditi nešto drugo dok nemaju posla. Tvrtke imaju takve ljude za 'slabije' incidente primjerice čišćenje virusa ili malicioznih kodova, kaže Groš.
Video, laži i umjetna inteligencija
Potvrdno je odgovorio na pitanje 'Je li umjetna inteligencija poput Chat GPT-ja olakšava neke od kibernetičkih napada?'.
- Ta se tehnologija pokušava koristiti u različitim segmentima sigurnosti. Ali, samo u određenim segmentima daje dobre rezultate. Primjerice kad treba sročiti dobar mail, naročito na stranom jeziku. U tom slučaju jako je teško raspoznati da se radi o prevari. Umjetna inteligencija ima uspjeha i kod lažiranja fotografija, čak i videa, dodaje.
Smatra kako u tom slučaju nije točno definirano radi li se o kibernetičkom napadu jer se time - napadaju ljudi i radi se o psihologiji. "Male sive ćelije se moraju uvijek uključiti", naglašava. Prema NIS2 direktivi i Zakonu o kibernetičkoj sigurnosti, navodno - puno će veći broj tvrtki potpasti pod obvezu zakona, a ljudi na to nisu spremni. Rokovi za prilagodbu, kaže Stjepan Groš - nisu pretjerano stravični.
Veliki izazovi
- Uredba koja će obuhvatiti tehnički dio trebala bi biti gotova do kraja godine. Potom treba definirati tko potpada pod obveze Zakona. Nakon što dobiju službenu obavijest da su obveznici - postoji rok od dvije, tri godine za pripremu, objašnjava i napominje da bi s pripremom trebalo krenuti čim prije.
Smatra da će velikih izazova biti
- Mi ne znamo kakvo je stanje. Znamo s konferencija koje se bave sigurnošću da će dolazi neki skup ljudi i onda situaciju gledamo kroz prizmu tog skupa ljudi. Ali, tu ima puno drugih koji ne dolaze na konferencije, a bit će obuhvaćeni zakonom, rekao je dodavši da jedna tvrtka ne može kvalitetno biti zaštićena ako nisu zaštićeni - njezini dobavljači.
Vezano za to kazao je kako su MUP i MORH itekako svjesni opasnosti. Što se tiče energetike i vodoprivrede, dodao je - radi se o industrijama koje su tradicionalno potencijalne mete napada i one su, htjele ili ne - počele primjenjivati puno tehnologija, a zanemarile su segment zaštite.
Razgovor u studiju
Foto: HTV / HRT
- Postoje principi kako se kreće. Treba zadužiti jednu osobu da za to bude odgovorna. Ničega neće biti bez odgovornosti, ovlasti, budžeta i podrške uprave. Ima i tvrtki koje pomažu pri uspostavi procedura. Najjednostavnije je nazvati neku tvrtku i pitati za savjet, kaže Groš.
Procesi zaštite sigurnosti uvijek kreću od upravljanja
Financijski trošak se, dodaje - ne može izbjeći. I treba se uložiti, kako se ne bi dogodilo ono što se dogodilo, primjerice - KBC-u Zagreb.
- Iako je zanimljivo da kad napravimo dobro posao i zaštitimo se - to se ne vidi, dok nema napada. (...) A napadači se prilagođavaju i imamo igru mačke i miša koja će trajati uvijek. Voditi računa o sigurnosti je proces. A taj proces uvijek kreće od upravljanja, onda se spušta na tehniku, poručuje.
Studij informacijske sigurnosti jamči dobar posao
- Specijalistički studij informacijske sigurnosti FER-a trebao bi riješiti problem nedostatka kadra. Želite zaposliti stručnjaka za sigurnost i ne možete ga naći. Dodatni problem je što edukacija jednog takvog stručnjaka traži više vremena. Stoga se ide u smjeru da se 'dogradi' znanje ljudima koji su zaposleni u tvrtkama i koji su eksperti za određeno sigurnosno područje. Neki će ostati u tvrtkama i bolje će znati brinuti o sigurnosti, a neki će promijeniti svoj profesionalni put, objašnjava Groš.
Studij je prošlo 14 generacija, ove godine ima osam studenata, a prošlih ih je godina bilo nešto više, naročito prije krize 2008. godine. Studij traje godinu dana, a završava se uglavnom za godinu i pol, dvije godine, jer su studenti zaposleni.
- Studij jamči dobar posao. Naši bivši studenti su na mjestima voditelja sigurnosti i specijalista. Imaju dobre pozicije u kompanijama, zaključio je
Poslušajte cijeli razgovor:
Vijesti HRT-a pratite na svojim pametnim telefonima i tabletima putem aplikacija za iOS i Android. Pratite nas i na društvenim mrežama Facebook, Twitter, Instagram, TikTok i YouTube!
Autorska prava - HRT © Hrvatska radiotelevizija.
Sva prava pridržana.
hrt.hr nije odgovoran za sadržaje eksternih izvora