Na natjecanju za hakere daju 100.000 kn, stručnjak otkriva zašto je i NATO stigao u Zagreb

Čak 100.000 kuna vrijedan je nagradni fond za programere i IT stručnjake koji će se ovog vikenda u Zagrebu boriti na Security Day natjecanju koje organizira Algebra u suradnji s NATO-om. 

Prijaviti se mogu maturanti, studenti i ICT profesionalci, a svi oni će se boriti po CTF (capture the flag) principu. Baš kao što u igrači u pucačinama skupljaju zastavice za pobjede, tako će i ovdje natjecatelji skupljati zastavice za uspješno obavljene zadateke i na kraju će pobjedu odnijeti natjecatelji s najvećim brojem zastavica, odnosno uspješnih akcija. 

Algebra navodi da ovim Security Day natjecanjem žele osvijestiti važnost kibernetičke sigurnosti, a i NATO vidi svoju ulogu na području kibernetičke sigurnosti te su ušli u partnerstvo s Algebrom. O razlozima ulaska NATO-a u ovo natjecanje, ali i važnosti kibernetičke sigurnosti razgovarali smo sa Zlatanom Morićem, voditeljem katedre za kibernetički sigurnost u Algebri.

Listopad iza nas bio je mjesec kibernetičke sigurnosti u kojem su na razini EU kao prijetnje posebno istaknuti ransomware i phishing. Što bi vi istaknuli kao nove izazove koji nam tek stižu?

Generalno gledano količina cyber napada se povećava. Razlog leži u činjenici da se povećava i broj digitalnih usluga koje koristimo u svakodnevnom životu. Danas imamo jako veliki broj tvrtki kojima je poslovni model vezan uz internet. Na primjer, zamislite kako bi na poslovanje Amazona utjecao pad interneta, ali oni su samo jedan od primjera. Bilo kakav negativni utjecaj na digitalne tehnologije utječe ne samo na tvrtke nego i na društvo u cjelini jer se danas koristimo tim tehnologijama i u komunikaciji s državom kroz javne servise. Primjerice, komunikacija tvrtki s poreznom upravom u dijelu fiskalizacije je digitalna i u slučaju pada sustava nemamo alternativni kanal komuniciranja budući da fiskalizacija funkcionira samo digitalno. Danas ne možemo govoriti o sigurnosti življenja bez da govorimo i o cyber području. Ako je sve povezano putem interneta, sve može biti meta hakerskih napada.

Phishing napadi će i dalje predstavljati jednu od najveći prijetnji jer nam tu tehnologija ne može puno pomoći u obrani, budući da takvi napadi ovise prije svega o ljudima. Dodatno, kako gotovo svuda u razvijenom svijetu imamo trend starenja stanovništva, za očekivati je kako će upravo starije osobe koje slabije razumiju tehnologiju i koji s njom nisu odrasle biti jedna od značajnijih meta tog tipa napada.

Protiv njih će se morati boriti stručnjaci, kojih očito nedostaje. Česte su projekcije o tome kako će nam nedostajati baš 3,5 milijuna stručnjaka. Odakle takav broj?

Trenutno nedostaju stručnjaci u svim ICT područjima. Imamo dosta različitih istraživanja koji nam ukazuju na brojke i ovih 3,5 milijuna je broj predstavljen od strane Digital Skills Jobs Europe i odnosi se na globalnu brojku. Od toga se oko jedne trećine odnosti na zemlje Europske unije. Još više zabrinjava predviđanje na razini EU (iskazano kroz EU Digital Kompas) koje do 2030. godine u EU pretpostavlja 20 milijuna IT stručnjaka. Danas ih je svega oko 8,5 milijuna pa je jasno koliko je velik očekivani nedostatak.

Mislite li da problem nedostatka stručnjaka za cyber sigurnost nije dovoljno adresiran, kad ste krenuli u natjecanje?

Osvještenost o sigurnosnim ugrozama je dosta mala u populaciji i o njoj razmišlja jako mali broj ljudi. Iz godine u godinu brojka ljudi koje će tvrtke i države trebati za osiguravanje digitalnih usluga samo će rasti. Zadatak nas u Algebri kao obrazovnoj ustanovi je probati pronaći način da pokrijemo potrebe gospodarstva i države za stručnjacima koji nedostaju. Od osnivanja jedan nam je od glavnih ciljeva edukacija u područjima u kojima nedostaje radnika i koja su perspektivna. Cyber sigurnost je u tom smislu svakako važno područje, a naše dosadašnje aktivnosti razvoja studija išle su u posljednjem desetljeću prema uvođenju sve većeg broja takvih kolegija u naše studijske programe.

Kako to da ste odlučili natjecanje otvoriti i maturantima, uz studente i postojeće profesionalce?

Prvenstveno nam je cilj povećati broj ljudi koji će se baviti cyber sigurnošću, a naravno da to podrazumijeva i edukaciju. Odlučili smo se za tri skupine natjecatelja jer smo htjeli privući različite dobne skupine. Slijedom toga mogu reći kako će zadaci biti primjereni očekivanoj razini predznanja svake skupine. Dugo smo razmišljali da pokrenemo stručni prijediplomski studij cyber sigurnosti, ali smo zaključili da to nije pravi put jer da bismo se bavili sigurnošću bilo čega, prvo to nešto morate dobro poznavati. Tako je nagrada za najboljeg maturanta stipendija za prvu godinu studija primijenjenog računarstva koji nakon tri godine daje dobre temelje za nastavak studiranja u području kibernetičke sigurnosti na diplomskoj razini.

Možete li pojasniti suradnju s NATO-om? Kako će oni točno biti uključeni u projekt? Jesu li i oni organizacija s nedostatkom stručnjaka?

Danas su svi u nedostatku stručnjaka iako konkretnije potrebe NATO-a ne mogu komentirati. Međutim, kada govorimo o sigurnosti države, nije dovoljna samo vojna sigurnost već i zaštita svih gospodarskih i javnih aktivnosti. NATO je prepoznao želju nas u Algebri da promoviramo kibernetičku sigurnost kroz CTF (capture the flag) natjecanje i da na taj način probamo utjecati na povećanje svijesti o IT sigurnosti u društvu. Posredno, to bi moglo povećati i broj ljudi koji će se ovim područjem baviti kao budućom strukom.

Rat u Ukrajini i dalje traje pa je zanimljivo kakve su tu bile sigurnosne prijetnje i kako je NATO reagirao na njih?

I prije nego je službeno rat u Ukraini počeo krenuli su kibernetički napadi. Prvi veliki kibernetički napad dogodio se 14. siječnja 2022. i srušio je više od desetak ukrajinskih vladinih web stranica. Prema ukrajinskim dužnosnicima, napadnuto je oko 70 vladinih web stranica. Većina stranica je vraćena unutar nekoliko sati nakon napada. Dana 15. veljače, još jedan kibernetički napad onesposobio je više državnih i bankovnih usluga. Kibernetički napadi na Ukrajinu nastavljeni su tijekom invazije, ali s ograničenim uspjehom. Neovisne hakerske skupine, poput Anonymousa, pokrenule su kibernetičke napade na Rusiju kao odmazdu za invaziju. Ne postoje službeni podaci o aktivnostima NATO-a na tom polju, ali za očekivati je kako je i tu postojala određena pomoć Ukrajini u zaštiti nacionalne ICT i druge infrastrukture izložene mogućim IT napadima.

Kakvi su danas trendovi u svjetskim kompanijama oko sigurnosti? Odnosno rade li nešto bolje nego naše kompanije?

Kao i kod svake poslovne odluke sigurnost se gleda kroz novac. Tvrtke procjenjuju rizike i odlučuju kako će se s njima nositi. Neke od njih prihvaćaju rizike, a neke uvode sigurnosne kontrole da bi smanjile ili u potpunosti eliminirale prepoznate rizike. Ipak, veliki broj tvrtki do danas nisu napravile niti prvi korak, a to je detekcija rizika. Već za njega je potrebna viša razina zrelosti tvrtke. Naime, da bismo mogli identificirati rizike moramo prvo imati detaljni popis svega od opreme što posjedujemo (inventar), što također veliki broj tvrtki nema sustavno implementirano. Na pitanje koliko smo lošiji ili bolji od svjetskih kompanija teško je odgovoriti jer se sve gleda kroz rizike kojima smo izloženi, industriju u kojoj pojedina kompanija djeluje te njenu veličinu. Prema informacijama s kojima raspolažem, veće svjetske kompanije imaju dobro razrađene procese upravljanja kibernetičkom sigurnošću, inventarom, rizicima, pa u konačnici i bolje sigurnosne kontrole koje su posljedica svjesnosti o rizicima i utjecaju na njihovo poslovanje. Naravno da i kod nas imamo „svjetske“ kompanije koje su na dosta visokoj razini. Dodatno, u pojedinim industrijama poput financijskog sektora razina zaštite značajno je viša radi postojanja regulatora odnosno veće regulacije poslovanja.

Kako dolazi do najvećih propusta i napada? Je li to zbog loše procjene, ili je tu uvijek ljudska greška krivi faktor?

Zaštita sustava nije lagan zadatak. Morate štititi kompletan sustav i osvijestiti sve ranjivosti te nakon toga uvesti sigurnosne kontrole da bi ih otklonili ili smanjili vjerojatnost da ih netko iskoristi. S druge strane, napadač treba pronaći samo jednu ranjivu točku koju ste propustili zaštititi. Danas napadi najčešće započinju phishing napadom za inicijalni upad u nečiji sustav na način da zapravo prevarom dođu do korisničkih podataka nekoga od zaposlenika. Osim phishing napada ranjive su i tvrtke koje zaostaju u primjeni zakrpa na sustavima koje koriste, pa napadači koriste poznate ranjivosti takvih sustava za upad. To su obično CRM, CMS i slični sustavi izloženi internetu.

Od phishinga se možemo braniti prije svega edukacijom, a od drugih ranjivosti redovitim ažuriranjem sustava. Postoji i treća skupina napada temeljenih na ranjivostima koje su tek otkrivene i za koje ne postoje zakrpe. Ta je obrana najkompleksnija i zahtjeva napredne alate i kontrole, ali se takvi napadi rjeđe događaju.

Vezano uz to, jesu li naše tvrtke dovoljno 'čvrste' s takvim stručnjacima kako bi se oduprle napadima?

U Hrvatskoj imamo dosta vrhunskih stručnjaka u području IT sigurnosti koji dosta rade i za inozemne naručitelje. Radi obima posla većinom su takvi stručnjaci vezani uz tvrtke koje se bave testiranjem sigurnosnih ranjivosti sustava i tu uslugu pružaju ostalim kompanijama. Osim njih u Hrvatskoj djeluju i tvrtke koje nude usluge održavanja sigurnosti kao vanjski partneri. Dakle ne manjka ponude i znanja u ovom području, ali više svijesti samih kompanija i zaposlenika svakako ne bi bilo na odmet.