Broj cyber napada na institucije i kompanije kako u svijetu tako i u Bosni i Hercegovini u posljednje vrijeme je u porastu. Unatoč upozorenjima da se i u narednom periodu očekuje pojačan intenzitet ovih napada, u BiH se malo ulaže u cyber sigurnost. Kompanije često smatraju da su premale za napade te da je ulaganje u cyber sigurnost ogroman trošak. Međutim, štete od jednog cyber napada mogu biti višemilionske. S druge strane, ni na nivou institucija BiH nema jedinstvenog i centraliziranog pristupa, ni neke opće strategije za zaštitu od cyber napada.
Damir Dizdarević, CEO Logosofta, za Bloomberg Adriju govori o načinima i sistemima za cyber zaštitu, finansijskim ulaganjima u ovaj segment, štetama od cyber napada, te kako se državne institucije spremaju za buduće napade.
S obzirom na pojačan broj cyber napada u posljednje vrijeme, može li se reći koliko iznosi finansijska šteta od te vrste napada?
Takve procjene je jako teško dati. Ono što je sigurno je da svaki napad nosi sa sobom štetu, finansijsku ili reputacijsku. Međutim, od vrste samog napada zavisi i kako se uopšte procjenjuje njegova štetnost ili neka kvantifikacija štete. Naprimjer, ako se radi o DDOS napadu, koji za cilj ima onesposobljavanje nekog web servisa (najčešće neke web stranice) onda se šteta procjenjuje bazirano na vremenu nedostupnosti i onoga što se putem te stranice radi. S druge strane, phishing napadi često imaju cilj da korisnika ili kompaniju navedu da uplate novac misleći da to rade u regularne svrhe. Tada je šteta dosta lako mjerljiva i jednaka je iznosu ukradenog novca ako prevara uspije. Na kraju, ransomware napadi, koji su najčešće usmjereni na to da kriptuju, odnosno učine nedostupnim korisničke podatke i zatim se traži otkupnina za dekripciju, uglavnom ciljaju na to da putem ucjene od korisnika izvuku novac. Neki se i odluče na plaćanje otkupa, što se dešava u kripto valutama, ali to svakako nije nešto što bi trebalo raditi, jer nema nikakve garancije da će uspjeti. Najteže je procijeniti štetu od napada čiji je rezultat krađa podataka ili nekog intelektualnog vlasništva.
Pročitaj više:Tvrtke nezaštićene, u BiH 4,7 milijuna cyber napada u mjesecu
Kompanije u BiH malo ulažu u cyber zaštitu
Kompanije često nisu ni svjesne da su izložene cyber napadima
Nedavno su objavljene informacije da se očekuje dodatno intenziviranje ovih napada kako prema institucijama tako i prema kompanijama. Da li se išta radi na preveniranju ovih napada i sprečavanju eventualne štete? Na koji način se državne institucije spremaju i koliko ulažu u cyber sigurnost?
Sigurnosne agencije u BiH, kao i dosta stranih agencija, su još prije nekoliko mjeseci izdale sigurnosna upozorenja da se očekuje pojačan intenzitet cyber napada. Važno je da se razumije da to nije nešto što nam je sad "palo s neba" – zvanični podaci koje je recimo prije nekoliko mjeseci objavio FBI govore da se intenzitet cyber napada globalno u posljednje dvije godine povećao za 350 posto. Sigurnosna kriza u Evropi pa i svijetu dodatno je doprinijela tome, pa se tako i jedan dio rata u Ukrajini prenio u cyber prostor. Kao i u klasičnom obliku rata, tako i u ovom cyber ratu uvijek ima kolateralne štete, ali i proširivanja sukoba na globalni nivo, što je na Internetu izuzetno lako. Imajući u vidu sve ovo, svako ko je htio da čita i razumije ove podatke, mogao je vidjeti šta će se dešavati. Nažalost, upozorenja koja su izdata i objavljena u BiH izazvala su dosta male efekte. Neki ih nisu shvatili ozbiljno, neki su razmišljali po sistemu "neće baš mene", a neki su možda i htjeli da reaguju, ali nisu bili u mogućnosti da to urade dovoljno brzo. Što je veći sistem, to je kompleksnije uvođenje novih rješenja i komponenti. Kao i u mnogim drugim stvarima i na ovom polju u BiH nema jedinstvenog i centraliziranog pristupa, ni neke opšte strategije za zaštitu ključnih državnih sistema i resursa od cyber napada. Svako se uglavnom snalazi sam za sebe, a to rezultira time da je nivo zaštite vrlo nepredvidiv, varijabilan i više zavisi od pojedinaca nego od neke unaprijed definisane politike i pravila. Mislim da se kod nas tek odnedavno počinje shvatati da je to realna opasnost i da će se još dugo vremena djelovati reaktivno umjesto proaktivno. Onog momenta kad se razumije da kao što kompanije i institucije moraju da imaju jasne procedure za zaštitu i postupanje u slučaju požara, tako moraju da imaju procedure i metode za zaštitu od cyber napada, stvari će vjerovatno biti bolje. Kada je riječ o privatnim kompanijama, odnosno realnom sektoru, stanje je nešto bolje u finansijskom segmentu, jer su banke oduvijek svjesne da su potencijalna meta napada, pa su nešto više i ulagale, mada u prosjeku nedovoljno. U ostatku realnog sektora svijest je još uvijek na veoma niskom nivou i kompanije uglavnom uče na teži način te počinju ulagati u sigurnosne mehanizme tek nakon što budu izložene napadu.
Kakvi sistemi za cyber zaštitu se nude na tržištu BiH i koliko su efikasni?
Na našem tržištu su generalno dostupni svi sistemi za zaštitu kao i u ostatku svijeta. Budući da je većina tih servisa danas cloud-bazirana, nebitno je zapravo gdje se korisnik nalazi. Efikasnost tih sistema može jako varirati. To je zbog toga što dobrim dijelom od krajnjeg korisnika zavisi da li će sistem za zaštitu implementirati, konfigurisati i koristiti ispravno. Vrlo su česti slučajevi da se u nabavku sigurnosnih sistema uloži veliki novac, ali se onda zbog grešaka u implementaciji oni ne koriste u svom punom kapacitetu. Tu je bitna ekspertiza onih koji sisteme za zaštitu implementiraju, ali i onih koji ih koriste. Nema apsolutno efikasne zaštite, to je naravno jasno, ali od kvaliteta implementacije i ekspertize koja se pri tome primijeni jako zavisi šta će na kraju biti ishod.
S obzirom na to da se govori da je ulaganje u cyber sigurnost ogroman trošak za kompanije, koliko je u prosjeku novca potrebno uložiti u cyber zaštitu?
Da, već dosta dugo preovladava mišljenje da su sigurnosna rješenja skupa i da to predstavlja veliki trošak za kompanije. Međutim, snažnom ekspanzijom cloud baziranih sigurnosnih sistema, ta situacija se mijenja u pozitivnom smislu. Danas je sve manje komponenti za zaštitu koje treba implementirati isključivo lokalno, resursi se koriste iz clouda, što ima višestruke benefite. Takav pristup snižava cijenu rješenja za krajnjeg korisnika i trošak definiše kroz model pretplate, na mjesečnoj ili godišnjoj bazi. Neki prosječni troškovi mogu da budu recimo od pet do deset dolara po radnom mjestu mjesečno. To i nisu tako veliki troškovi, a ne zahtijeva se gotovo nikakva početna investicija. Ovaj iznos naravno može da varira u zavisnosti od rješenja koje se kupuje, složenosti sistema koji se štiti, te šta je fokus zaštite, ali u svakom slučaju je zaštita jeftinija od štete nastale zbog uspješno realizovanog napada.
Da li nam možete navesti neki primjer finansijskog gubitka zbog cyber napada?
Te podatke žrtve napada gotovo nikada ne objavljuju u javnosti. Kako sam rekao ranije, finansijski gubici mogu biti direktni i indirektni, zavisno od toga o kakvoj vrsti napada se radi. Poznati su slučajevi u finansijskom sektoru kada je zbog cyber napada dolazilo do direktne štete od nekoliko miliona KM. To su ipak dosta ekstremni slučajevi i još uvijek se ne dešavaju tako često. Ono što se također dešavalo kod nas su krađe putem phishing napada, gdje su kompanije navođene da izvrše uplate svojim poznatim dobavljačima, ali na račune napadača. Tu je nažalost bilo uspješnih napada i štete su se mjerile u iznosima od 100 do 200 hiljada KM. Indirektne štete, kakve nastaju zbog gubitka reputacije ili nefunkcionisanja nekog sistema je teško procijeniti, a i ako se uradi procjena, ti podaci uglavnom ne dolaze u javnost. Mislim da i nije naročito važno baviti se konkretnim iznosima štete za neke pojedinačne slučajeve. Bitno je da se razumije da štete mogu biti jako velike i da je cyber napad realnost od koje niko nije pošteđen niti sasvim zaštićen.
Danas se suočavamo s napadima nove generacije/Licencirane fotografije
Da li je ikada utvrđeno ko stoji iza dosadašnjih napada?
Gotovo u pravilu, to se rijetko sazna. Za razliku od svakog drugog oblika terorizma i napada, u cyber svijetu je prilično lako osigurati anonimnost. Najčešće (mada i dalje dosta rijetko) se počinioci otkriju kada je motiv napada finansijski, jer u konačnici novac završi kod nekoga. Trag novca je u takvim slučajevima ono što znatno pomaže istražiteljima. Međutim, u scenarijima gdje je cilj onesposobljavanje nekog sistema ili krađa podataka, naručioci, odnosno izvršioci napada se vrlo rijetko otkriju. To je posljedica izrazite decentralizacije interneta, ali i postojanja mehanizama koji obezbjeđuju skrivanje tragova na dosta jednostavan način.
Ima li u BiH dovoljno stručnjaka za cyber sigurnost?
Nema ni u BiH, a nema ni globalno. I to nije posljedica samo generalnog nedostatka kadrova u IT-u, nego i jedne anomalije na samom tržištu IT kadrova, kako u BiH tako i globalno. Već nekoliko godina ogromna većina mladih koji započinju svoju IT karijeru se usmjerava isključivo prema razvoju softvera kao oblasti u kojoj žele da rade. Stvorio se utisak da se u toj oblasti može najbrže napredovati i najbolje zarađivati. Taj utisak je samo djelomično tačan (a ponekad i sasvim pogrešan), ali je rezultirao time da za druge IT oblasti, pa tako i za cyber sigurnost, gotovo da nema interesa ili je taj interes mali. To dalje rezultira time da kod nas nema ni akademskih programa za edukaciju stručnjaka za cyber sigurnost. U BiH ima na desetine fakulteta, državnih i privatnih, s nekim oblikom IT studija, ali svi redom su usmjereni na razvoj softvera. S druge strane, stručnjaka za cyber sigurnost nedostaje u državnom aparatu, u bankama, u telekom industriji, itd. Na kraju, dolazimo do toga da su cyber stručnjaci koji rade danas u BiH pretežno samouki ili su školovani po nekim industrijskim edukacijskim programima. To nije nužno pogrešno i loše, ali kvalitet može jako varirati.
Šta biste preporučili kompanijama i institucijama u BiH? Koji je najbolji pristup zaštiti od cyber napada?
Kao prvo, da revidiraju svoju postojeću zaštitu i strategiju postupanja u slučaju malwarea, odnosno cyber napada. Ako nemaju takvu strategiju ili politiku, treba da je naprave. Klasični pristupi zaštiti kakve smo koristili posljednjih 10-15 godina više nisu dovoljno efikasni. Mi se danas suočavamo s napadima nove generacije, pa i sistemi za zaštitu treba da budu takvi. Bitno je također biti svjestan ranjivih tačaka IT sistema. Fokusirate li se samo na zaštitu jedne komponente sistema, jer vam se ona čini najvažnijom, propust može da se desi na drugoj. Zato je vrlo važan tzv. multi-layer pristup zaštiti. Taj pristup definiše različite mehanizme zaštite u zavisnosti od toga da li štitimo mrežu, servere, radne stanice, korisničke identitete, podatke ili personalne uređaje. Sve su to potencijalne tačke napada i moraju biti obuhvaćene politikom zaštite sistema.
Uskoro se održava najveća IT konferencija u BiH – Network, a Vi ste urednik sadržaja. Možete li nam reći o čemu će se govoriti na ovogodišnjoj Network konferenciji?
Network konferencija već 10 godina, kao najveći IT događaj u BiH, obrađuje aktuelne svjetske IT trendove i teme, pa će tako biti i ove godine. Ipak, naglasak ovogodišnje konferencije će biti upravo na cyber sigurnosti, o čemu ima dosta predavanja, te na modelima hibridnog radnog mjesta, što nam je ostavila pandemija. To su vrlo važne teme koje ćemo uz ostale aktuelnosti iz ICT svijeta obraditi kroz više od 60 predavanja, koje će držati stručnjaci kako iz BiH tako i iz inostranstva.
.webp){kind=icon}
