U organizaciji Samostalnog sektora za informacijske i komunikacijske sustave (SSIKS) MORH-a, u ožujku će biti provedena vježba Kibernetički štit 2018, na kojoj će obučnu skupinu činiti članovi Koordinacije za sustav domovinske sigurnosti. Uz najavu vježbe, tekst koji objavljujemo u suradnji sa SSIKS-om prilika je za upoznavanje s nekim pojmovima vezanim uz kibernetičke napade i obranu od njih…

Države, odnosno njihovi kritični sustavi, sve su ovisniji o informacijsko-komunikacijskoj tehnologiji. Ta ovisnost otvara još jedan mogući način napada na države, uz već postojeće s kopna, zemlje ili zraka. Događaji zadnjih deset godina pokazuju kako su takvi scenariji mogući, a posljedice mogu biti katastrofalne. Iz tog razloga nužno je uvježbavati sve sudionike za takve situacije kako bi se minimizirala šteta i ograničio napad. Međutim, kibernetičke vježbe imaju još jednu ulogu. Naime, riječ je o području koje se još uvijek intenzivno razvija te je zasad prikupljeno relativno malo iskustva. Tijekom kibernetičkih vježbi raspravlja se o potencijalnim posljedicama, mogućim akcijama i reakcijama i slično, čime se stječe iskustvo.
Na važnost kibernetičkih vježbi upućuje i njihov sve veći broj, a provode se na različitim razinama, od pojedinih tvrtki pa sve do razine država i saveza. Kao primjer istaknut ćemo vježbu EU CYBRID 2017, koja je provedena na razini ministara obrane članica EU-a u Tallinnu, Estonija, 7. rujna 2017. godine. Cilj vježbe bio je ukazati na određene strateške teme i razmatranja koji se javljaju vezano uz različite pretpostavljene kibernetičke krize. Također, cilj je bio potaknuti raspravu na ministarskoj razini i dati strateške smjernice za slične krize. Kao drugi primjer vježbe istaknut ćemo Cyber Coalition, koja se provodi jednom godišnje i na kojoj sudjeluje i Republika Hrvatska kao članica NATO-a. Za razliku od vježbe EU CYBRID 2017, riječ je o vježbi više tehničkog karaktera.
Vježba Kibernetički štit 2018
Vježba EU CYBRID 2017 bila je i poticaj za organiziranje hrvatske vježbe Kibernetički štit 2018, namijenjene članovima Koordinacije za sustav domovinske sigurnosti kojom predsjeda potpredsjednik Vlade i ministar obrane Damir Krstičević. Podsjetimo, to je međuresorno tijelo koje ima nadležnost koordiniranja rada i usklađivanja razvoja sposobnosti sustava domovinske sigurnosti. Na prvoj sjednici Koordinacije 23. studenog 2017. sudjelovali su predstavnici Ureda Predsjednice Republike Hrvatske, ministarstava, OSRH, Ravnateljstva policije, Ureda Vijeća za nacionalnu sigurnost, Sigurnosno-obavještajne agencije, Vojne sigurnosno-obavještajne agencije, Državne uprave za zaštitu i spašavanje, Zavoda za sigurnost informacijskih sustava, Hrvatske vatrogasne zajednice i Hrvatske gorske službe spašavanja. Vježba Kibernetički štit 2018 bit će provedena na sastanku Koordinacije u ožujku ove godine. Ciljevi vježbe su: 1. jačanje svijesti o sigurnosti svih korisnika kibernetičkog prostora i sigurnosti kritične infrastrukture; 2. poticanje rasprave o smjernicama za postupanje na strateškoj razini te ukazivanje na moguće izazove u slučaju kibernetičke krize; 3. ukazivanje na značaj koordinacije unutar javnog sektora i suradnje javnog, akademskog i gospodarskog sektora; 4. ukazivanje na važnost strateških komunikacija u kriznim situacijama; 5. ukazivanje na ulogu Koordinacije za sustav domovinske sigurnosti.
Kibernetički napadači u svijetu?
Kibernetičke napadače možemo podijeliti u nekoliko kategorija, ovisno o njihovim resursima, znanjima i vještinama te motivima. Ipak, vrijedi izdvojiti tri osnovne kategorije.
Prva kategorija, najslabija, pojedinci su ili grupe ograničenih resursa i znanja. Njihova djelovanja uglavnom su motivirana nekim aktivizmom ili vlastitim dokazivanjem. Primjerice, grupa Anonymous spadala bi u tu kategoriju.
Druga su kategorija kibernetičke kriminalne grupe. Na raspolaganju imaju znatno veće resurse od prve kategorije, a njihovi ciljevi nisu fiksno definirani. Napast će bilo koga ako smatraju da će im to donijeti odgovarajuću dobit.
Treću kategoriju čine tzv. APT grupe (engl. Advanced Persistent Threat). Sponzoriraju ih države ili njihove agencije koje imaju na raspolaganju značajnu infrastrukturu te vrlo velike resurse. U njima se nalaze dobro obučeni pojedinci sa stručnim znanjima. Namjena takvih grupa je ispunjavanje političkih i strateških ciljeva države za koju rade.
Od nabrojenih najopasnije su APT grupe, ali one rijetko napadaju pojedince i općenito je mala vjerojatnost da će nekog napasti. Međutim, kad je država u pitanju, onda su APT grupe glavna prijetnja.
Kako nastaju moguće ugroze?
Kad napadači žele ostvariti neki cilj, najjednostavniji način na koji to mogu postići je tzv. društvenim inženjeringom (engl. social engineering). Naime, riječ je o tome da se raznim trikovima i metodama pokušava od pojedinca postići poduzimanje neke akcije koja će pomoći napadaču, a istodobno naštetiti žrtvi ili organizaciji u kojoj ona radi. Primjerice, slanje poruka elektroničke pošte u kojima se traže vjerodajnice (korisnička imena i lozinke) dosta su česti i to se zove phishing. Poseban oblik phishinga je spear phishing. To je ciljani napad u kojem napadač točno zna koga želi napasti i onda se još dodatno prilagođuje osobi koju napada.
Idući je čest oblik napada korištenje zloćudnog koda. Ideja je da se navedeni zloćudni kod instalira na računalo žrtve te tako napadaču omogući neke funkcije, primjerice udaljen pristup računalu. Postoje različite varijante zloćudnog koda, npr. virusi, crvi, trojanci itd., a uglavnom se razlikuju po načinu širenja.
Posebna je vrsta zloćudnog koda ransomware. Može doći u raznim oblicima (virus, crv, trojanac), koji kad se pokrene na računalu odmah počne šifrirati sve dokumente do kojih ima pristup. Nakon toga ucjenjuje žrtvu da mora platiti određeni iznos kako bi mogla doći do svojih podataka.
Računalo koje je zaraženo zloćudnim kodom u određenim slučajevima ostaje prikriveno. Pritom se sva računala grupiraju u veliku mrežu zaraženih računala koja se naziva botnet. Broj zaraženih računala u takvoj mreži može biti i veći od sto tisuća. Primjerice, najveći zabilježeni botnet imao je prema procjeni istodobno aktivno 450 000 računala. Ta su računala raspršena po cijelom svijetu pa se određeni dio nalazi i u Republici Hrvatskoj. Botnet čeka naredbe svojeg vlasnika te za njega može izvršavati različite zadaće. Botnet se često koristi za slanje spam-poruka u kojima se reklamira ilegalna roba, ali jedna je od ključnih upotreba i za tzv. DDoS napade. Ideja je da se žrtva preplavi tolikom količinom prometa da legitimni korisnici jednostavno ne mogu doći do usluge.
Kako se branimo?
U SSIKS-ovoj najavi obrazloženi su i načini obrane od kibernetičkih napada. Obrani možemo pristupiti iz perspektive pojedinca, organizacije ili države. Najbolji je način obrane za pojedinca dobra lozinka, koju neće koristiti na različitim mjestima. Slijedi nadogradnja programske podrške, korištenje antivirusa nadograđenih najnovijim informacijama o zloćudnom kodu koji se nalazi na internetu, te na koncu, što veći oprez tijekom korištenja interneta. Pod oprezom se podrazumijeva ograničenje kretanja na provjerene web-stranice, neotvaranje sumnjivih elektroničkih poruka i slično.
Obrana iz perspektive organizacije znači da se pojedinci unutar nje ponašaju u skladu s preporukama. Organizacija usto može (i mora) imati tim ljudi čija je zadaća njezina obrana od napada. Tim može biti dediciran ili to obavljati uz postojeće poslove. Ako je riječ o organizacijama koje ovise o internetu ili su potencijalno zanimljive napadačima (primjerice, banke su zanimljive kriminalcima), poželjnije je da se sigurnošću bave dedicirane osobe.
Konačno, iz perspektive države određene su organizacije posebno kritične. Država se stoga posredno ili neposredno brine o tim organizacijama jer joj napad na njih može naštetiti. Pritom država može imati cijele agencije zadužene eksplicitno za kibernetičku sigurnost (kao što je to, primjerice, Zavod za sigurnost informacijskih sustava), a također se briga za kibernetičku sigurnost integrira u postojeća tijela koja se općenito bave sigurnošću.
Budući da su kibernetički napadi nenadani, a ponekad ih je teško i otkriti, javlja se problem kako reagirati u trenutku kad se za njih sazna. To je posebno problematično ako je napad još u tijeku te svaka sekunda koju napadač dobiva znači veću štetu za onog koji se brani. U tom su slučaju ključne kibernetičke vježbe koje omogućuju onima koji se brane pripremu za napad kako bi što brže i efikasnije reagirali i time umanjili potencijalno katastrofalne štete. Jedna od takvih vježbi upravo je Kibernetički štit, koja treba pokazati i da se svijest o postojanju kibernetičkih prijetnji treba proširiti u sve dijelove državnih institucija, pa i među donositelje odluka. Kad se uzme u obzir da je riječ o članovima Koordinacije za sustav domovinske sigurnosti, tijela koje bi trebalo biti ključno za taj sustav, vježba još više dobiva na značaju.

Relevantni normativni akti
Pitanje kibernetičke i informacijske sigurnosti u Republici Hrvatskoj regulirano je nizom normativnih akata. Tijekom izrade vježbe Kibernetički štit 2018 težilo se obuhvatiti ključne dijelove nekih od njih. To su:
• Strategija nacionalne sigurnosti
• Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu NSKS-a
• Zakon o informacijskoj sigurnosti
• Zakon o elektroničkim komunikacijama
• Zakon o sustavu domovinske sigurnosti
• Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
• Uredba o mjerama informacijske sigurnosti
• Pravilnici UVNS-a i ZSIS-a.

Pojmovnik

Advanced Persistant Threat (APT) – najsposobnija kategorija napadača s najviše resursa na raspolaganju, gotovo isključivo sponzorirana od neke države ili nekog njezina tijela. Služi za provođenje politike i strategije države korištenjem ofenzivne (napadačke) mogućnosti u kibernetičkom prostoru.
Distributed Denial of Service (DDoS) napad – napad koji se najčešće provodi tako da se žrtvu optereti golemom količinom lažnih zahtjeva koji dolaze iz različitih izvora (zato raspodijeljeni, odn. distributed). Na taj način legitimni korisnici imaju problema s pristupom uslugama koje žrtva nudi, što samu uslugu čini nedostupnom. Ovisno o žrtvi, posljedice takvog napada mogu varirati od male smetnje do katastrofalnih ishoda kao što su gubici života, odnosno velika materijalna šteta.
Denial of Service (DoS) napad – sličan je DDoS napadu, pri čemu se za napad koristi samo jedan izvor.
Ransomware – zloćudni kod koji zaključava ili na neki drugi način onemogućuje pristup računalu i podacima na njemu te od korisnika zahtijeva otkupninu kako bi podaci bili vraćeni. Pritom nema nikakvog jamstva da će plaćanjem otkupnine podaci doista biti vraćeni.
Table-top exercise – tip vježbe kod kojeg su svi sudionici zajedno za stolom te rješavaju neki zajednički problem. Dio komunikacije ostvaruje se putem papira, iako se očekuje i rasprava oko pojedinih pitanja i problema. Moderne inačice te vježbe provode se uz pomoć računala koje zamjenjuje stol i papir kao medije za razmjenu informacija. Vježba Kibernetički štit 2018 tog je tipa.
Trojanski konj / trojanac – zloćudni kod koji se širi tako što se pretvara ili doista sadrži nekakvu korisnu funkciju. Pritom sadrži i nekakvu prikrivenu funkciju koja napadačima omogućuje ostvarenje cilja. Ta vrsta zloćudnog koda najčešće omogućuje napadačima da putem interneta pristupe računalu na kojem je instaliran te preuzmu punu kontrolu nad njim.
Virus – oblik zloćudnog koda koji za širenje mora imati domaćina (kao virus u biologiji). Najčešći je domaćin poruka elektroničke pošte koja u privitku nosi virus.
Zloćudni kod – opći naziv za bilo kakav programski kod (softver) pisan s namjerom da svojim izvršavanjem prouzroči neku štetu. Zloćudni kod može se podijeliti prema načinu širenja.

Pripremio: Domagoj Vlahović