Firme u pravilu pokušaju platiti bez da se išta objavi

Marko Rakar, informatički stručnjak, rekao je kako je haker ili grupa hakera ušla u poslovni sustav A1 koristeći aplikaciju koju njihovi agenti koriste na prodajnim mjestima.

– Stekli su način da se logiraju u aplikaciju i onda su eventualno u aplikaciji uspjeli dignuti svoja korisnička prava da mogu pristupiti većem broju korisnika koje su onda skinuli ili alatima za pojedinačno skidanje ili skidanjem cijele baze podataka. To je ono što pretpostavljamo da se dogodilo. Nadamo se da će A1 kao i sve velike tvrtke kada su izložene ovakvim napadima, rade se post mortem izvještaji, i onda se obavijesti javnost što se dogodilo i što su napravili da se to ne ponovi, rekao je Rakar.

Kazao je kako mu se čini da hakeru ili hakerima nije fokus bio na krađi podataka nego da je cilj bio skrenuti pozornost.

– Ljudi koji hakiraju s ozbiljnim namjerama, o njima nećete ništa čuti. Oni se ne oglašavaju, naprave prijetnju, izvrše je i jednostavno nestanu, ne ulaze u diskusije.

Đuro Lubura, telekomunikacijski stručnjak, smatra da građani ne trebaju biti pretjerano zabrinuti zbog krađe podataka jer je velik dio tih podataka ionako javan – ime, prezime, OIB, adresa.

– Ne mislim da se s njima nešto spektakularno može dogoditi, poručio je.

Tko želi novac, ne ide u medije

Haker koji je provalio u korisničku bazu A1 traži novčanu naknadu u kriptovalutama. ili će u protivnom objaviti podatke na hakerskim ili dark net forumima. Denis Periša, računalni haker i informatički stručnjak, rekao je da ne vidi kako bi se ti podaci mogli zloupotrijebiti.

– Slažem se da je to možda djelo jednog čovjeka, balavca. Ako ste ekipa, hakeri, morate se dogovoriti što će biti, rekao je Periša i pojasnio razliku između pojmova black hat i white hat.

– Black hatovi razmišljaju direktnije u djelu gdje će ostvariti neka sredstva ili moć, to su ljudi koji prouzročuju štetu ili traže financijsku korist. White hatovi su suprotno, oni koji se bave sigurnošću i sprječavaju takve napade. Svi misle da se mogu izvući s blackcoinima, ta sredstva se mogu likvidirati i oni se mogu brzo naći, kaže Periša dodajući kako mu se čini da je napad izveden amaterski.

– Ako stvarno želite novac, ne biste išli u medije, rekao je Periša. 

Negativan reputacijski rizik za firmu

Gordan Akrap, Institut za hibridne sukobe, rekao je kako napad na A1 nije ni prvo niti posljednje upozorenje.

– Činjenica je da ovo predstavlja ozbiljan negativan reputacijski rizik za firmu. To se je situacija koja se nažalost događa, ali zato treba razmišljati unaprijed, pripremati tehnologiju, računalna rješenja uz obuku ljudi kako bi se sigurnosni rizici sveli na minimum, rekao je.

Prave i učinkovite obrane nema, kazao je Akrap, dodajući da svatko u nekom trenutku može postati žrtva.

– Živimo u sustavu gdje se moramo razvijati i prilagoditi novim sustavima. A1 ne samo da mora obavijestiti javnost što se dogodilo, nego na nacionalnoj i europskoj razini obavijestiti o svakom incidentu koji egzistira u digitalnom svijetu nadlaženi sigurnosni sustav. Treba se vidjeti što je dovelo do propusta, je li to ljudska ili tehnološka greška ili pak kombinacija, i podijeliti tu informaciju unutar tog sektora kako se drugima te greške ne bi ponavljale, rekao je Akrap.

– Stare, klasične ratove više nitko ne može dobiti sam, a danas pogotovo digitalne. Vi nikad ne znate kad možete postati kolateralna žrtva takvog sukoba.

Za većinu hakerskih napada javnost ne zna

Zlatan Morić, voditelj Katedre za kibernetičku sigurnost, Visoko učilište Algebra, rekao je kako mi za većinu hakerskih napada ne znamo. 

– U pravilu firme pokušaju platiti bez da se bilo što objavi i da se to sve sakrije. Kad govorimo o tim napadačima, postoje različite skupine, postoje kriminalne organizacije i zadnja kategorija, koja je zadnjih godina najizraženija, tzv. advanced resistance threats – to su većinom state sponsored skupine koje za određenu državu rade napade. 

Ideja white hat hakiranja, kazao je Morić, je ljude naučiti kako hakeri razmišljaju da bi se mogli obraniti.

– Ako ste meta takve skupine, ne možete ništa napraviti, oni će upasti u sustav. Taj napadač treba naći jednu vašu malu grešku, a vi morate zakrpati sve propuste koji postoje u sustavu. Oni nisu vremenski ograničeni, imaju veliki izbor načina na koji to mogu napraviti, rekao je Morić.

Klikni na "like" i pridruži nam se na Facebooku

Rakar je rekao kako tvrtke imaju obvezu objaviti i obavijestiti sve korisnike čiji su podaci ukradeni.

– Da se dogodio neki drugi tip štete, da je otuđen novac od tvrtke ili je fizički prouzročena šteta u pogonu, i osobni podaci nisu izneseni iz firme, onda nema potrebe da se to objavljuje na velika zvona. Takve situacije se pokušavaju riješiti na najdiskretniji mogući način, rekao je.

U slučaju da se utvrde propusti, kazne su velike. Tvrtke mogu platiti i do 10 milijuna kuna. Lubura je rekao da su hakerski napadi kombinacija umješnosti i propusta.

Nužno ulagati u cyber sigurnost

– Ozbiljne kompanije ulažu ozbiljne novce u svoju sigurnost, ali apsolutna sigurnost ne postoji. Danas je sve više cyber napada i bit će ih sve više u budućnosti. Mi bismo iz svega ovoga trebali nešto naučiti i osvijestiti kompanije da je nužno ulagati u cyber sigurnost, rekao je Lubura dodajući da se u velikoj većini firmi ne ulaže dovoljno.

Također, rekao je da u Hrvatskoj ta profesija uopće nije regulirana.

– To su ljudi koji moraju imati visoka znanja, moraju proći sigurnosnu provjeru, a mi nemamo sustav koji bi te ljude licencirao. Dakle, dovoljno je da netko kaže da je stručnjak za cbyer sigurnost i mi mu može vjerovati ili ne, rekao je.

Istaknuo je kako je sve više državno sponzoriranih cyber napada, na što je i SOA upozorila.

– Meni je drago da se o tome priča, ali morat ćemo kao država više tome posvetiti pažnje u budućnosti i morat ćemo znati tko su ti ljudi koji nas štite. I firme koje bi htjele uložiti u zaštitu, teško same mogu prepoznati tko je taj koji može pružiti pravu razinu zaštite, rekao je Lubura.

Dovoljan je jedan krivi klik

Periša je rekao kako danas više nije toliko popularno biti haker kao nekada.

– Novi klinci su drugačiji, neko malo osobno dokazivanje, prije se tražilo informacije. Slažem se, maksimalna sigurnost se ne može postići. Najslabija je karika čovjek. Samo jedan krivi klik je dovoljan, rekao je.

– Imali smo hrvatsku grupaciju hakera, ja sam bio među njima, ali imali smo i srpsku. Nas je država hapsila, a njimaje davala računala da to rade, rekao je Periša dodajući da je njegova hakerska karijera završila brzo i naglo.

Morić smatra da je bitno raditi simulacije napada.

– Danas premisao svake firme mora biti – napadač već neko vrijeme ima pristup našem sustavu. Da iza napada na A1 stoji neka ozbiljnija skupina, A1 bi za to saznao nakon šest mjeseci. U pravilu, prosjek je 42 dana. Ne bi iščupao samo ove podatke, nego bi se potrudio uništiti neke podatke da bi bio siguran da će kasnije to uspjeti monetizirati, rekao je.

Lubura je rekao da su kartičarske kuće prepoznale problem. Velika većina takvih kuća i banaka jamče da ukoliko podaci budu zlouptrijebljeni, da vam to neće biti naplaćeno.

– Njima je svima u interesu da se e-trgovina odvija. Treba biti pametan. Ako vam piše neki princ da ste osvojili nasljedstvo, naravno da vam to treba biti sumnjivo i da nećete ostaviti svoje podatke. Samo treba razmišljati, rekao je Lubura.

Državno sponzorirani napadi

– Nije bitno jesmo li veliki i mali, mi smo dio EU i NATO-a i preko nas se može ući u određene sustave. Prije nekih šest sedam godina jedan od najvećih vodovodnih sustava bio je pod hakerskim napadom 17-18 dana prije nego su oni to uopće saznali. Oni koji su preuzeli kontrolu, mogli su se igrati s razinom klora, što je opasno za zdravlje. Kad je krenula pandemija, u Izraelu je bio snažan hakerski napad iz Irana, prijetnja je otkrivena nakon šest sati. S druge strane, nikad nije utvrđen identitet napadača u Velikoj Britaniji, rekao je Akrap.

– Jedan odgovor je da odvraćate protivnika s obrambenim mjerama i odgovorom koji će uslijediti ukoliko vas napadnu, s druge strane Izrael se u potpunosti osvetio Iranu. To je rat koji traje, to što ga mi kao javnost ne vidimo, to je druga stvar. Zato je pitanje digitalne sigurnosti jedno od nužnosti, poručio je.