Što je kibernetički napad na ključnu nacionalnu infrastrukturu i kako se obraniti?

S preko 20 godina iskustava u savjetovanju klijenata u području upravljanja rizikom i usklađenošću u informacijskim sustavima, te klijentima diljem svijeta, Stanko Cerin i tvrtka Ostendo Consulting ubrajaju se u regionalno najrelevantnije izvore informacija iz ovog područja. Povodom kibernetičkog napada na INU, razgovarali smo kako kritičnu nacionalnu infrastrukturu učiniti sigurnijom. Kibernetički napad je stvarnost, ističe Cerin

Koliko je kibernetički napad realan i koje su mu posljedice?

Moderno društvo nezamislivo je bez računalnih servisa i komunikacija. Ne mislimo tu na društvene mreže, nego na onu ključnu infrastrukturu bez koje jednostavno ne možemo funkcionirati. Opskrba vodom, strujom, plinom, gorivom, mobilne i zemaljske mreže, upravljanje prometom (zračnim, željezničkim, cestovnim, pomorskim), navigacija, proizvodnja lijekova i hrane, rad zdravstvenog, sudskog i obrambenog sustava...  Sve ove funkcije neophodne za život kakav danas živimo, ovisne su o radu računalnih sustava. Ova je ovisnost stvarana malo, pomalo. Desetljećima. Sustavi za upravljanje kritičnom infrastrukturom često su odvojeni od ostalih sustava i građeni na tehnologijama koje jednostavno ne podržavaju njihovu međusobnu komunikaciju, ali...

Čak i takvi sustavi zahtijevaju održavanje, mogućnost daljinskog ili automatskog upravljanja ili isključivanja.  Oslanjanje na mrežu svih mreža za ove je potrebe praktički neizbježno. Ugradnja svakog, a pogotovo kompleksnog i skupog sustava automatizacije u sustave proizvodnje energije, lijekova, hrane, distribucije vode, plina... podrazumijeva i sklapanje ugovora o održavanju. Ovakvo održavanje u pravilu podrazumijeva i neku vrstu udaljenog pristupa ovom sustavu za potrebe dijagnostike i servisa.

Ukratko, kritična infrastruktura je povezana na internet na ovaj ili onaj način. Da stvari budu gore, sustavi automatizacije na kojima sve to počiva građeni su desetljećima, izuzetno su skupi i kompleksni za zamjenu i u pravilu nisu dizajnirani na način koji bi pružio zadovoljavajuću razinu sigurnosti kod spajanja na internet.

Još 2007. Idaho National Laboratory je dokazao kako se jednostavnim kibernetičkim napadom može fizički uništiti elemente električne mreže. Aurora Generator Test kako su ga nazvali, rezultirao je eksplozijom generatora u samo 3 minute. Sve je snimljeno i dostavljeno američkoj službi domovinske sigurnosti (Department od Homeland Security).  Video je dostupan ovdje. Rezultat kibernetičkog napada ne mora biti  samo nedostupnost društvenih mreža. On može biti nedostupnost energije, grijanja, namjerno krivo navođenje vlakova, ciljano trovanje vode za piće ili ometanje rada hitne medicinske pomoći.

Kako se zakonodavstvo odnosi na kibernetičku sigurnost? Riječ je o tome da je to zakonska obveza...

Društvo je prepoznalo svoju ovisnost o tehnologiji i rizike koji iz toga proizlaze. EU je još 2006. donijela tzv. NIS (Network and Information Systems) direktivu kojom se od zemalja članica traži uspostava sustavnog upravljanja kibernetičkom sigurnošću ključnih nacionalnih infrastruktura. Hrvatska je NIS direktivu u svoje zakonodavstvo uvela izglasavanjem Zakona o kibernetičkoj sigurnosti operatera ključnih usluga i davatelja digitalnih usluga (NN 64/18).

Zakon zahtijeva uspostavu tehničkih i organizacijskih mjera za zaštitu ključne infrastrukture u skladu sa rizicima. Otvoreno je pitanje kako te rizike identificirati i izmjeriti, te kako korelirati razinu rizika sa odabirom tehničkih i organizacijskih mjera, tj. kako postići da one budu adekvatne u odnosu na rizik. Na žalost, sustavno upravljanje rizikom kibernetičke sigurnosti za većinu je hrvatskih tvrtki i javnu upravu potpuna nepoznanica. Zato ćemo u ovom članku na opisu scenarija jednog od najopasnijih kibernetičkih napada današnjice prikazati kako treba izgledati sustav upravljanja kibernetičkom sigurnošću koji mora implementirati svaki obveznik Zakona o kibernetičkoj sigurnosti, a ostale bi se tvrtke trebale duboko zamisliti ako im to nije plan.

Kako izgleda tipični kibernetički kriminalac? Da li oni investiraju u napade?

TA505 samo je jedna organizirana grupa kibernetičkih kriminalaca kakvih danas ima mnogo. Potvrđeno je da su u samo 6 mjeseci uspješno napali 26 kompanija. Pomnožimo li to sa iznosom od 200.000 USD što je čini se uobičajeni iznos otkupnine za podatke koji su u ovakvim napadima korumpirani,  dolazimo do ne zanemarivog iznosa od 10 milijuna dolara godišnjeg „prihoda“. Tim novcem može se financirati ozbiljan razvoj virusa i raznih alata za kibernetičke napade.  Ciljevi se pomno biraju po šteti koju bi ima napad mogao nanijeti, sposobnosti plaćanja,  a ponekad i po političkom ključu.

Ne treba zaboraviti ni sve brojnije kibernetičke odjele tajnih službi kojima, budimo to svjesni, osnovni zadatak nije obrana od kibernetičkog napada, već sam napad. Izgradnja i financiranje ovakvih timova prioritet je sve brojnijih zemalja. Vremena kad su se kibernetički napadi pokretali iz dječjih soba su prošla.

Kako ćemo predvidjeti kibernetički napad? Kako se pripremiti?

Glavna je karakteristika kibernetičkog napada da ne znate kada ni na koji način će se dogoditi. Zato svaka organizacija mora kontinuirano identificirati opasnosti od ovakvih napada, te graditi i održavati otpornu organizacijsku i tehničku arhitekturu.

Kad se priča o odgovornosti u kibernetičkoj sigurnosti, uvijek se spominje krajnja odgovornost uprave. Kako ćemo upravi prezentirati rizike kibernetičke sigurnosti kad se radi o tehnički terminima?

Uspostavljene odgovornosti za upravljanje rizikom kibernetičke sigurnosti su preduvjet za izgradnju kibernetički otporne organizacije. Najviša uprava mora biti upoznata sa rizicima kibernetičke sigurnosti kojima je organizacija izložena. O njima mora redovito i transparentno izvještavati nadzorni odbor, nadležna tijela, vlasnike i ostale uključene strane. Razumijevanje rizika od strane uprave, neizostavan je preduvjet za izgradnju kibernetičke sigurnosti. To ne znači da članove uprave moraju biti stručnjaci za kibernetičku sigurnost, nego da osoba koja je odgovorna za ovo područje mora biti u stanju rizike prezentirati na upravi razumljiv način. Pojmovi poput „IP filter“, „firewall“, „SSL“, „PKI“, „Heartbleed“ i sl. su potpuno zabranjeni u ovoj komunikaciji. Izvješće o izloženosti riziku kibernetičke sigurnosti mora biti obavezan dio kvartalnog izvješća za nadzorni odbor, a prezentirati ga mora predsjednik uprave. Po potrebi, nadzorni odbor može tražiti i stručna objašnjenja koja može dati voditelj kibernetičke sigurnosti (CISO).

Kako izgleda rizik kibernetičke sigurnosti koji uprava razumije i kako ga identificirati?

Pravovremena identifikacija rizika kibernetičke sigurnosti uvod je u postupak upravljanja rizikom. Rizici kibernetičke sigurnosti ubrajaju se u tzv. operativne rizike - rizike od gubitaka koji nastaju radi grešaka u odvijanju ili neodgovarajućih internih procedura, sustava ili politika, grešaka zaposlenika, grešaka u radu IT sustava, prijevare ili kriminalnih aktivnosti.

Ovakvi su rizici, za razliku od npr. kreditnih rizika, vrlo teški za identifikaciju jer ne postoje statistički podaci na koje bi se mogli osloniti. U pravilu, najvećim štetama rezultiraju događaji uzrokovani događajem koji nismo mogli predvidjeti. Npr. banka ne može predvidjeti da će njen IT sustav biti napadnut od zloupotrebom ranjivosti operativnog sustava koja nije javno objavljena. Upravo takve ranjivosti su osnova vrlo uspješnih tzv. zero day napada. Ipak, neke stvari se mogu predvidjeti. Sasvim je izvjesno da će IT sustav biti izložen kibernetičkom napadu. Samo ne znamo kada i kakvom. Zato svaka organizacija mora pratiti zbivanja vezana uz kibernetičku sigurnost u svijetu i razumjeti na koji se ona način odnose upravo na nju. ICT sustave, ali i poslovne procese treba kontinuirano poboljšavati u skladu s dostupnim informacijama o provedenim napadima i ranjivostima.

Koliki je rizik od kibernetičkog napada? Kako ga identificirati?

Javno dostupne informacije nam govore da je vjerojatnost kibernetičkog napada izuzetno visoka. Zašto? Kriminalne skupine su fokus svojih napada prebacile se nasumičnog odabira pojedinaca na tvrtke koje su izdašnije u plaćanju otkupnina za svoje podatke. Veliki broj javno objavljenih napada odnosi se na ransomware - napadač u ovakvom napadu kriptira podatke na IT sustavima tvrtke, te putem ucjene prodaje ključ za dekripciju. Iznosi ovih ucjena ovise o tvrtci, a mogu biti i u milijunima dolara.

Što sve utječe na razinu rizika kibernetičke sigurnosti?

Rizik ovisi o vjerojatnosti uspješno provedenog napada i potencijalnoj šteti koju on može nanijeti organizaciji. Šteta je relativno fiksna veličina i uključuje direktnu štetu radi prekida rada IT servisa (podrazumijevajte da se radi o svim servisima) koji će kod brojnih organizacija značiti potpun prekid poslovanja (proizvodnje struje, isporuke pitke vode, naftnih derivata, plina, hrane lijekova...). Ne zaboravite da i industrijski upravljački sustavi mogu stati ili nanijeti štetu (vidi Aurora projekt na početku teksta). Pružate li usluge koje bi mogle direktno ili indirektno  nanijeti štetu vašim korisnicima, obavezno i to uzmite u obzir. Šteta od nestanka električne energije ne mjeri se cijenom struje nego štetom koja je time nastala kompletnom gospodarstvu. Šteta od trovanja pitke vode mjeri se ljudskim životima, i td. Tu je naravno i reputacijska šteta. Pričamo li o kritičnoj nacionalnoj infrastrukturi, šteta je uvijek jako, jako visoka.

Vjerojatnost uspješno provedenog napada, je znatno zanimljiviji element izračuna rizika. Vrlo je dinamičan, možemo ga mjeriti i što je najvažnije od svega, na njega možemo utjecati. Postoje doduše i police osiguranja pomoću kojih prividno možemo utjecati i na potencijalnu štetu, no to kod kritične infrastrukture u pravilu nije primjenjivo jer je cijela poanta štetni događaj spriječiti, a ne osigurati se u slučaju da do njega dođe. Ne možemo razmišljati na način da su nam ljudske žrtve prihvatljive ako ćemo obiteljima poslije isplatiti odštetu.

S druge strane, da će do napada doći već smo ustanovili  i to je neminovna činjenica. Vjerojatno je već došlo. Hoće li on biti uspješan ovisi o spremnosti organizacije na napad s jedne strane, te sposobnosti, angažiranosti i inovativnosti napadača s druge. Što je organizacija atraktivnija za napad, to će napadač biti sposobniji. Dakle i atraktivnost organizacije posredno utječe ne rizik, ali je kao i potencijalna šteta relativno fiksna vrijednost.

O čemu ovisi uspješnost kibernetičkog napada?

Uspješnost napada ovisi o cijelom nizu čimbenika, poput: sigurnosti arhitekture IT sustava, uspostavljenih tehničkih i organizacijskih kontrola, postojećim ranjivostima u elementima IT sustava itd. Mjerenjem učinkovitosti ovih elemenata, te stavljanjem u relaciju sa prethodno opisanim elementima rizika, možemo dobiti prilično realnu sliku izloženosti organizacije riziku kibernetičke sigurnosti.

U čemu se izražava rizik?

Jedinice u kojima će se rizik izražavati mogu biti razne, a trebale bi biti usklađene sa specifičnostima organizacije i industrije. Tako će se primjerice u financijskom sektoru rizik primjereno izražavati u obliku ALE (Annualized Loss Expectancy - očekivani godišnji gubitak), dok će se primjerice u državnim institucijama rizik označavati na skali od 1 do 10. Bez obzira na način izražavanja, uprava, ali s njom i nadzorni odbor moraju razumjeti rezultate i donijeti odluku o prihvatljivoj razini rizika na skali koju koriste. Sve rizike koji prelaze ovu vrijednost, organizacija mora umanjiti, a to će u pravilu činiti djelovanjem na najlakše promjenjivu veličinu u svom izračunu - vjerojatnost uspješnosti kibernetičkog napada, odnosno ranjivost organizacije.

Uspješnost kibernetičkoj napada ovisiti će o sposobnosti odbijanja napada (otpornosti ljudi i tehnologija na kibernetički napad) i spremnosti na učinkoviti odgovor (sposobnosti za brzu i preciznu identifikaciju napada, sposobnosti za minimizaciju štete).

Kako hrvatske organizacije upravljaju rizikom kibernetičke sigurnosti?

Uprava koja nije u stanju jednostavno i transparentno izvještavati nadzorni odbor i vlasnike o riziku kibernetičke sigurnosti, ne upravlja rizikom. Recimo da je ukupna šteta o kibernetičkog napada procijenjena na 250 milijuna kuna. Da bi dobili ALE, morat ćemo izračunati očekivanu učestalost uspješnog kibernetičkog napada.

Obzirom da se ovi napadi provode svakih 14 sekundi, ali i analizom pristigle elektroničke pošte sa malicioznim sadržajem, možemo slobodno zaključiti kako bi nas, pod uvjetom da ne implementiramo nikakve zaštitne mjere, ovakav napad pogodio svaki dan. Obzirom da se nakon napada ne bi mogli oporaviti, recimo 6 mjeseci, realna su 2 uspješna napada godišnje, pa nam je ALE od kojega krećemo 500 milijuna kuna.

To naravno nije realna situacija jer u obzir moramo uzeti i učinkovitost svih organizacijskih i tehničkih mjera koje smo implementirali kako bi povećali otpornost na ovakav napad. Primjerice, većinu malicioznih mailova će presresti antivirus, ključni serveri su od zloćudnog prometa zaštićeni vatrozidovima, organizacija radi sigurnosne kopije podataka, djelatnici su educirani da ne otvaraju sumnjivu poštu, organizacija se brine o redovitom ažuriranju sigurnosnih postavki IT sustava. Sve su to elementi koji utječu na krajnju razinu rizika i svakome od njih treba dodijeliti neku vrijednost.

Ukupna učinkovitost obrambene moći sustava trebala bi se izračunavati kao zbroj učinkovitost svih implementiranih mjera na način da bi on u idealnom (nedostižnom) slučaju iznosio 100%.  Vjerojatnost događaja bila bi (1 - učinkovitost obrambene moći, npr. 95%) * faktor atraktivnosti mete, za banku npr. 2. ALE bi se primjerice mogao izračunavati kao šteta * vjerojatnost (ALE = 250 milijuna * 0,1 = 25 milijuna).  Ovaj je podatak upravi, a pogotovo nadzornom odboru - gotovo beskoristan. Još je beskorisniji ako je metodologija procjene rizika temeljenja na numeričkoj skali od 1 do 10 ili bilo kakvoj drugoj. Što bi to značilo da je rizik od uspješnog kibernetičkog napada 7 od 10?!  A upravo to je podatak kojim danas raspolažu uprave samo najnaprednijih hrvatskih organizacija. Ostale nemaju ni to!

Kako onda možemo osigurati razumijevanje rizika na svim razinama uprave i učinkovitost investicija u kibernetičku sigurnost? Kako primijeniti indikatore rizika (KRI)?

Uprava, vlasnici, nadzorni odbor, nadležan tijela i sve zainteresirane strane moraju razumjeti otpornost organizacije na rizik kibernetičke sigurnosti, a to mogu jedino ako se on promatra u kontekstu vremena, utjecaja implementacije tehničkih i organizacijskih mjera te utjecaja promjena u okruženju rizika. Za operativne je rizike karakteristično to da se identificiraju i procjenjuju slobodnom procjenom stručnjaka - dakle kvalitativno i često subjektivno. Pobornici kvantitativnih metodologija procjene rizika (u pravilu dolaze iz svijeta osiguranja i bankarstva) tvrdit će da se operativni rizik može procjenjivati i isključivo kvantitativnim metodologijama baziranim na čvrstim činjenicama, odnosno statističkim podacima o gubicima nastalim od operativnog rizika, no priroda operativnog rizika koji se svaki put manifestira na drugačiji način lako će pobiti ovu tvrdnju.

Zato je najbolji pristup procjeni i upravljanju rizikom definirati početnu točku na gore opisan način, osigurati da zainteresirane strane što bolje razumiju o čemu se radi, te uspostaviti sustav mjeriti odstupanje od inicijalne vrijednosti rizika. Kako? Definiranjem indikatora koji utječu na vrijednosti uzete u obzir kod izračuna (štetu i vjerojatnost). Primjerice, godišnji promet, postotak dobiti i vrijednost dionica mogu biti indikatori koji ukazuju na štetu.

S druge strane, na vjerojatnost će najviše utjecati indikatori koji ukazuju na učinkovitost organizacijskih i tehničkih kontrola. Neki primjeri uključuju: vrijeme proteklo od identifikacije ranjivosti na IT sustavu do ažuriranja sustava,  vrijeme potrebno od jave objave ranjivosti do identifikacije od strane organizacije, varijacije u postotku zadržanih poruka elektroničke pošte koja sadrži maliciozne poruke, uspješnost testiranja znanja zaposlenika o prihvatljivom načinu korištenja informacijske imovine, brzina reakcije IT tima za podršku...

Organizacija bi morala maksimalno automatizirati prikupljanje KRI, te ih direktno uključiti u izračun rizika. Gledano sa stajališta vlasnika (nadzornog odbora) i uprave, nedostatak povratne informacije o stvarnom učinku investicija u tehničke i organizacijske kontrole, jedna je od najvećih prepreka uspješnom upravljanju kibernetičkom sigurnošću. Uključivanje KRI u metodologiju izračuna rizika i izvješćivanja uprave, dobit ćete upravo tu informaciju. KRI se ne fokusira na pojedinačnu kontrolu ni ranjivost, već na dostizanje ciljeva sigurnosti.

Drugim riječima, kupnja sustava za otkrivanje ranjivosti može se činiti kao atraktivna investicija u kibernetičku sigurnost, no ako ona nije rezultirala kraćim ukupnim periodom od objave ranjivosti do njenog ažuriranja, bio je to bačen novac. Dakle dobro definirani indikatori rizika daju upravi i vlasnicima omogućavaju transparentan uvid u izloženost riziku i učinkovitost investicija u kibernetičku sigurnost. Uprava će tada imati jasnu informaciju o isplativosti svake pojedine sigurnosne investicije. Ne samo to, nego će kvaliteta direktora korporativne sigurnosti i informatike postati mjerljiva, što će na vrijeme ukazati na potrebu uvođenja organizacijskih promjena.

Ovo je ujedno i razlog iz kojega su upravo nadzorni odbor i uprava jedine prave adrese za stratešku uspostavu kibernetičke sigurnosti. Bez mjerenja učinkovitosti, vrlo odgovorno radno mjesto direktora korporativne/informacijske sigurnosti vrlo lako postaje solidno plaćeno utočište za nezainteresirane i nesposobne kadrove koje će se smijeniti nakon prvog uspješnog kibernetičkog napada, no je li to cilj ili je možda cilj napadu se uspješno oduprijeti?

Zakon inzistira na primjeni tehničkih i organizacijskih mjera. Možete li navesti nekoliko tipičnih primjera koje bi svaka organizacije trebala uspostaviti? Što je dizajn otpornosti (tehničke i organizacijske mjere)?

Najbolja obrana protiv kibernetičkog napada je sigurno dizajnirana arhitektura IT sustava i procesa koji ga okružuju. O obrani od kibernetičkog napada, uključujući mogućnosti odbijanja, detekcije, limitiranja štete i oporavka nakon napada, razmišljati se mora u fazi dizajna ICT infrastrukture. Segmentacija računalne mreže u izolirane cjeline jedan je od dobrih načina stvaranja prepreka uspješnom kibernetičkom napadu.

Korisnička računala ne bi trebala imati pristup dijelovima računalne mreže na kojima se nalaze poslovni servisi gdje god je to moguće provesti. Svi komunikacijski portovi koji nisu neophodni za rad pojedinih servisa moraju biti zatvoreni za promet.

Pristup datotekama koje sadrže sigurnosne kopije mora biti zabranjen svima osim sustavu koji ove kopije radi. Razmotrite mogućnosti izgradnje backup rješenja na drugom operativnom sustavu od onoga čiju kopiju ono radi. Primjena rješenja u kojima korisničko računalo samo radi sigurnosne kopije svojih podataka i radi toga ima pravo pisanja po sustavu za pohranu sigurnosnih kopija, krajnje je opasna.

S povećanjem kompleksnosti IT infrastrukture, raste i njena ranjivost. Svaki novi element sustava dolazi sa svojim nedostacima i sigurnosnim propustima.

Zato je izuzetno važno pratiti sve informacije o identificiranim ranjivostima u pojedinim IT rješenjima i ove ranjivosti brzo uklanjati.

Isto tako, kod dizajna novih IT sustava, sigurnosni zahtjevi moraju biti integrirani u funkcionalne specifikacije, a sam postupak razvoja mora biti siguran. To znači da se razvojni inženjeri moraju pridržavati pravila sigurnog kodiranja, moraju međusobno provjeravati sigurnost napisanog koda i uvesti odgovarajuća testiranja prije puštanja sustava u produkciju.

Povjerljivi podaci moraju biti odgovarajuće zaštićeni od neovlaštenog pristupa i izmjene. U Hrvatskoj se zaštita podataka enkripcijom ne koristi dovoljno.

Za uspješnost kibernetičkog napada, napadaču je najvažnije ostvariti što je moguće veću razinu prava na napadnutom sustavu. Zato je napad na računala korisnika sa administratorskim računom izuzetno učinkovit. Odgovorna organizacija mora osigurati da se administratorski korisnički računi koriste isključivo kada za to postoji stvarna potreba.

Ovo su samo neke mjere zaštite koje bi svaka odgovorna organizacija morala uspostaviti.

Kako ćemo uopće znati da smo napadnuti? Kako ostvariti pravovremenu detekciju napada?

Obzirom da ne možemo znati kakav točno kibernetički napad možemo očekivati, niti na koji sustav će se on dogoditi, morat ćemo smisliti univerzalan sustav ranog upozoravanja i plan odgovora na incident. Za osmišljavanje univerzalnog sustava ranog upozoravanja, potrebno je razmotriti zajedničke karakteristike kibernetičkih napada.

Iskustvo pokazuje da postoje dva osnovna cilja napada: krađa ili uništavanje vrijednih podataka ili sprječavanje pružanja usluge. Sprječavanje pružanja usluge, u pravilu se provodi tzv. DDoS (Distributed Denial of Service napadom). Zajednička karakteristika ovih napada je da utječu na brzinu kojom napadnuti server opslužuje klijente. Detekcija degradacije u brzini odgovora dobar je rani pokazatelj napada u toku. Detekcija napada na same podatke je znatno složenija, ali ne i nemoguća. Stvari na koje se treba fokusirati su neuobičajeni pristup podacima, a pogotovo ako je u kombinaciji sa povišenom aktivnošću procesora.

Većina kibernetičkih napada danas, podatke će kriptirati i nakon toga tražiti otkupninu. Enkripcija je procesorski zahtjevan zadatak,  te će računalo koje je provodi pokazati značajno povećanje procesorske aktivnosti. Brojni sustavi za nadzor radi IT sustava omogućavaju i nadzor zauzeća procesora. Antivirusni softver također može nadzirati rad procesora i protumačiti ga sumnjivom djelovanjem.

Da bi netko mogao nanijeti štetu podacima, prvo im mora pristupiti. Želi li ih uništiti, morat će se pobrinuti i da datoteka koja sadrži podatke nije zaključana od strane druge aplikacije. Zato će kibernetički kriminalac pokušati ugasiti IT servise koji tradicionalno zaključavaju datoteke (npr. baze podataka, mail servere i sl.), te IT servise koji bi njegovo djelovanje mogli detektirati (npr. antivirus). Iznenadna nedostupnost ovih servisa također je dobar rani pokazatelj napada u toku. Naravno, kad se radi o nestrukturiranim podacima, poput office dokumenta i slično, oni će napadaču biti laka meta jer se u pravilu nalaze na lokaciji kojoj zaraženo računalo ima pristup i ništa ih ne štiti.

Odlična metoda detekcije napada na nestrukturirane podatke je DLP (Data Loss Prevention), odnosno sustav za sprječavanje curenja povjerljivih podataka. Ovakav će sustav, naravno ako je dobro konfiguriran,  detektirati pristup povjerljivim podacima i postupiti u skladu s unaprijed definiranom politikom. Slanje upozorenja za slučajeve kada računalo pristupa neuobičajeno velikoj količini ovakvih podataka, dobar je način rane detekcije.

Što ako do napada ipak dođe, i on bude uspješan? Kako odgovoriti na incident?

U slučaju detektiranog napada, organizacija mora biti spremna odgovoriti na incident. Preduvjet uspješnog odgovora su unaprijed definirane odgovornosti i planovi. Mora se znati tko će o kibernetičkom napadu biti prvo obaviješten, što će on poduzeti, kako će zaustaviti napad ili ga ograničiti na izolirani dio sustava, kako će procijeniti štetu i kako će osigurati uspješan i pravovremeni oporavak sustava.

Plan odgovora na incidente pripremat će se u skladu sa specifičnostima svake pojedine organizacije, njene ICT infrastrukture i kadrovske sposobnosti. Planovi će biti to učinkovitiji što je organizacija sigurnije dizajnirala arhitekturu IT sustava i procesa koji ga okružuju. Ovi će planovi često ovisiti i o vanjskim dobavljačima koje je potrebno uključiti u njihovu izradu.

Organizacija bi temeljem procjene rizika trebala predvidjeti nekoliko scenarija napada kojima bi pokrila sve ključne sustave, te izraditi odgovarajuće planove odgovora na incidente.

Dobar plan je plan koji provjereno radi. Dakle, testirajte ga! Zapišite sve čime niste zadovoljni i poboljšajte to. Osigurajte da učesnici u provedbi planova znaju što su njihovi zadaci.

I za kraj, kakva je sigurnost hrvatske kritične infrastrukture...

Zakonom o kibernetičkoj sigurnosti propisano je da svi davatelji ključnih i digitalnih usluga u Republici Hrvatskoj moraju osigurati visoku zajedničku razinu kibernetičke sigurnosti. Nejasno je iz Zakona na koji se način upravlja rizikom i kako se odabiru tehničke i organizacijske mjere zaštite koje je potrebno implementirati. Budu li se uprave i nadzorni odbori operatera kritične infrastrukture pridržavali ovdje opisanih principa, imat ćemo kibernetički mnogo sigurniju zemlju uz mnogo manji trošak.