Kibernetička sigurnost: nulti rizik ne postoji

Kad je riječ o vojnim i sigurnosnim organizacijama, jasno je da je pitanje kibernetičke zaštite danas praktički ključno za njihovo normalno funkcioniranje i u miru i u ratu

Većina ljudi danas ima drugi život na različitim oblicima računala te internetu. Milijarde korisnika spojene su na internet i pristup se gotovo svrstava u osnovne ljudske potrebe, poput hrane, odjeće i krova nad glavom. No korištenje interneta donosi i opasnosti. Jedna od najvažnijih stvari koje treba imati na umu kad je riječ o kibernetičkoj sigurnosti jest da je ideja o nultom riziku mit.

Rizici se nalaze posvuda na internetu stoga je važno zaštititi sebe, svoje mreže i uređaje. Sprečavanje kibernetičkih napada sveobuhvatan je proces kojem svaki pojedinac mora pridonij-eti. Kibernetička sigurnost odnosi se na kibernetički prostor te na zaštitu dostupnosti, cjelovitosti i povjerljivosti podataka. Prvi korak u poboljšanju zaštite od prijetnji iz kibernetičkog prostora razumijevanje je onoga što točno treba zaštititi. Tek nakon toga može se procijeniti što je potrebno učiniti. U vidu se prije svega moraju imati podaci koje je potrebno štititi, od koga se trebaju štititi te koliko su osjetljivi. Tek je tad moguće procijeniti koliko na njihovu zaštitu treba potrošiti novca, vremena i drugih resursa.

Kad je riječ o vojnim i sigurnosnim organizacijama, jasno je da je pitanje kibernetičke zaštite danas praktički ključno za njihovo normalno funkcioniranje i u miru i u ratu. Različite razine vojnih organizacija koriste različite sustave koji mogu biti kibernetički ugroženi, od običnih osobnih računala ili službenih mobitela i tableta, pa sve do kompleksnih senzorskih, informacijskih te oružnih sustava koji danas za svoj rad koriste i eksterna ili ugrađena računala, pa njihova ugroza može prouzročiti katastrofalne posljedice. Dakle, kako bi se osigurala adekvatna zaštita, potrebno je poznavati različita okruženja u kojima kibernetička sigurnost može biti ugrožena.

Kućna računala i mobiteli

Pođemo li od osnovnog kućnog računala, među najčešćim je ugrozama prodor, slučaj kad netko zlonamjeran izvana može pregledavati sadržaj na vašoj platformi, koristiti ga za pristup drugim računalima ili napad na druga računala i dr.

Slične probleme može izazvati i zlonamjerni softver (malware). U velikim organizacijama česta su zajednička računala: kad dijelite računalo s drugima, postoji opasnost da ne primjenjuju odgovarajuću kibernetičku higijenu, što može imati za posljedicu zarazu zlonamjernim softverom, hakerski proboj itd. Nadalje, povežete li svoje računalo putem virtualne privatne mreže s drugim računalnim mrežama, kao što je npr. računalna mreža na vašem radnom mjestu, zlonamjerni softver na tim udaljenim mrežama ili hakeri koji vrebaju na uređajima spojenim na te mreže mogu potencijalno napasti i vaše računalo. Zanimljivo je da i u virtualnom svijetu postoji pojam fizičke sigurnosti, koji znači zaštitu od neovlaštenog fizičkog pristupa. U kontekstu kibernetičke sigurnosti cilj je fizičke sigurnosti osigurati da digitalni sustavi i podaci ne budu izloženi riziku zbog načina na koji su fizički smješteni ili čuvani. Što se tiče prijenosnih (mobilnih) uređaja, sa stanovišta kibernetičke sigurnosti oni su sami po sebi rizični jer su stalno povezani s nesigurnim internetom, često su na njima pohranjene povjerljive informacije, mogu primati dolazne poruke od strana s kojima nikad niste komunicirali, zbog ograničenih resursa često se ne koriste sigurnosni softveri (npr. antivirusni), mogu se lako izgubiti, biti ukradeni ili slučajno oštećeni. Usto, često se povezuju s nesigurnim i nepouzdanim Wi-Fi mrežama.

Osobe koje vjeruju da kriminalci (ili vojnički: protivnici) mogu napasti njihova računala i ostale uređaje povezane s internetom ponašaju se drugačije od osoba koje ne prihvaćaju tu stvarnost, tj. sa skepsom gledaju na mogućnost kibernetičkog napada (Ilustracija: NATO Communications and Information Agency)

Opkop oko dvorca

Ne tako davno jedini uređaji spojeni na internet bila su klasična računala – stolna i prijenosna – te poslužitelji. Danas je situacija bitno drugačija. Od pametnih telefona do sigurnosnih kamera, hladnjaka, automobila, aparata za kavu, opreme za vježbanje, sustava za upravljanje bojišnicom te najrazličitijih elektroničkih uređaja – svi imaju ugrađena računala, od kojih su mnoga stalno povezana s internetom ili nekom drugom mrežom.

Internet stvari (Internet of Things – IoT) ekosustav je povezanih uređaja. Eksponencijalno je rastao zadnjih nekoliko godina, no sigurnost takvih uređaja često je neadekvatna. Mnogi IoT uređaji ne sadrže adekvatnu sigurnosnu tehnologiju. Čak i oni koji to imaju često nisu ispravno konfigurirani da bi bili sigurni. Hakeri mogu iskoristiti IoT uređaje kako bi vas špijunirali, ukrali vaše podatke ili pokrenuli napade uskraćivanja usluge na druge uređaje i prouzročili neku drugu štetu. Potrebno je zaštititi i mrežnu opremu (npr. preklopnik/switch, usmjerivač/router) jer se ona može hakirati zbog usmjeravanja prometa na lažne stranice, krađe podataka, pokretanja napada, blokiranja pristupa internetu i dr.

Nakon što se utvrdi što je potrebno zaštititi važno je primijeniti odgovarajuće mjere. Osnovni elementi zaštite uključuju obranu perimetra, vatrozid (firewall) / usmjerivač, sigurnosni softver i sigurnosnu kopiju. Zaštita kibernetičkog perimetra digitalni je ekvivalent gradnji opkopa oko dvorca kojim se omogućavao ulazak samo na određenom mjestu koje je pritom bilo strogo nadzirano. Taj digitalni jarak može se izgraditi tako da se niti jedno računalo ne povezuje izravno s internetom već putem usmjerivača i vatrozida. Danas se u kućnom okruženju najčešće koriste moderni usmjerivači koji obično uključuju mogućnosti vatrozida te blokiraju većinu dolaznog prometa kad takav promet nije generiran kao rezultat aktivnosti koje su pokrenuli uređaji zaštićeni vatrozidom. Što se tiče sigurnosnog softvera, za osnovnu zaštitu računala poželjno je koristiti antivirusni softver, antispam softver na bilo kojem uređaju na kojem se koristi e-pošta te omogućiti automatsko ažuriranje uređaja.

U kontekstu kibernetičke sigurnosti sigurnosno kopiranje odnosi se na stvaranje dodatne kopije ili dodatnih kopija podataka (koji se mogu sastojati od podataka, programa ili drugih računalnih datoteka) ako je izvornik oštećen, izgubljen ili uništen.

Operater Bundeswehrove Eskadrile mornaričkog zrakoplovstva 3 “Graf Zeppelin” upisuje podatke 13. rujna 2022. tijekom leta nad Sjevernim morem u mornaričkom patrolnom zrakoplovu P-3C Orion. Nije potrebno napominjati koliko je važna zaštita tih računala i podataka (Foto: Bundeswehr / Jana Neumann)

Računalo u ormaru

Određeni aspekti fizičke sigurnosti vrlo su bitni za kibernetičku sigurnost. Prije samo nekoliko desetljeća timovi odgovorni za zaštitu računala i pohranjenih podataka bili su usredotočeni posebno na fizičku sigurnost. Zaključavanje računala u zaštićenom području dostupnom samo ovlaštenom osoblju često je bilo dovoljno da zaštiti računala i njihov sadržaj. Početak internetske ere, zajedno s masovnim korištenjem osobnih računala, potpuno je promijenio rizike. Međutim, potreba za fizičkom sigurnošću i dalje je jako važna.

Fizička sigurnost znači zaštitu od neovlaštenog fizičkog pristupa. Držanje računalnog poslužitelja u zaključanom ormaru primjer je fizičke sigurnosti. U slučaju osjetljivih, a pogotovo klasificiranih podataka kakvi su često vojni, fizička sigurnost iznimno je važna. U kontekstu fizičke sigurnosti uređaji se mogu podijeliti u dvije kategorije: stacionarne i mobilne.

U prvu spadaju oni uređaji koji se rijet-ko premještaju. Treba imati na umu da se ti uređaji mogu ukrasti, oštetiti ili zloupotrijebiti te stoga moraju biti adekvatno zaštićeni. Šteta ne mora biti nanesena namjerno – ona može biti i posljedica nepažnje ili neznanja.

S druge strane, mobilni uređaji često se premještaju, što bi u vojnom kontekstu značilo da s korisnicima, bili to pojedinci ili zapovjedništva, često idu u operativno okružje. Iskustva pokazuju da prenosivost drastično povećava mogućnost gubljenja ili krađe uređaja. Ako nije odgovarajuće zaštićen, a za vojne potrebe i kriptiran, pametni telefon stalno je povezan s nesigurnom mrežom (internetom). Može sadržavati osjetljive podatke, pristupne kodove e-pošti i društvenim mrežama, a u najvećem broju slučajeva nedostaje mu sofisticirani sigurnosni softver koji se nalazi na stolnim računalima. Često se nalazi na mjestima na kojima postoji opasnost od krađe, izvan vidokruga je, koristi se na terenu, što znači odstupanje od rutine i tako dalje.

Skupnik Nicolas Fedorenko, pripadnik 502. komunikacijske eskadrile Američkog ratnog zrakoplovstva, provodi kibernetički sigurnosni nadzor u bazi San Antonio – Randolph u Teksasu (Foto: USAF / Senior Airman Tyler McQuiston)

Kad je u pitanju fizička zaštita opreme i podataka, pogrešno je implementirati različite sigurnosne kontrole od slučaja do slučaja. Umjesto toga, puno je bolje izraditi i implementirati plan fizičke sigurnosti. Taj bi se plan trebao temeljiti na načelima prevencije te legitimnim korisnicima pružiti osjećaj sigurnosti, a onima s lošim namjerama biti faktor odvraćanja. Svaki bi plan fizičke sigurnosti trebao sadržavati tri komponente – kontrolu pristupa, nadzor i označavanje.

Najveći rizik – zaposlenici

U većinu su kibernetičkih sigurnosnih incidenata uključeni zaposlenici organizacije u kojoj se incident dogodio. To se dokazuje gotovo svakodnevno. Usto, dijelite li računalo s kolegama koji su manje svjesni prijetnji iz kibernetičkog prostora, oni mogu biti najveći rizik za vašu kibernetičku sigurnost.

Važno je imati na umu da svatko tko može fizički pristupiti računalu potencijalno može pristupiti i podacima na tom računalu. Moguća zaštita u tom je slučaju enkripcija podataka. Možda je najvažniji prvi korak u uspostavi kibernetičke sigurnosti razvoj svjesnosti da su svi korisnici računala potencijalne mete kibernetičkih napada.

Osobe koje vjeruju da kriminalci (ili vojnički: protivnici) mogu napasti njihova računala i ostale uređaje povezane s internetom ponašaju se drugačije od osoba koje ne prihvaćaju tu stvarnost, tj. sa skepsom gledaju na mogućnost kibernetičkog napada.

Danas je uobičajeno da važne digitalne podatke pohranjujemo na vanjskim fizičkim lokacijama, to jest izvan podatkovnih sustava i skladišta podataka pod vlastitom kontrolom. Brojni podaci o svakoj osobi vjerojatno su pohranjeni na računalnim sustavima koji pripadaju mnogim tvrtkama, organizacijama i vladinim agencijama. Ponekad se ti sustavi nalaze unutar objekata organizacija kojima pripadaju, ponekad se nalaze u zajedničkim podatkovnim centrima, a ponekad su sami sustavi virtualni strojevi iznajmljeni od treće strane. Osim toga, neki se takvi podaci mogu nalaziti u sustavima temeljenim na oblaku, koje nudi treća strana.

Pripadnica Američke kopnene vojske koristi tablet sa službenom aplikacijom za financijske transakcije SmartVoucher (Foto: US Army / Mark R. W. Orders-Woempner)

Takvi se podaci mogu podijeliti u više kategorija. Jedan od načina, a u svrhu odlučivanja o njihovu osiguranju, jest sljedeći:

– korisnički računi i podaci koje korisnik kontrolira

– podaci koji pripadaju organizacijama s kojima je korisnik voljno i svjesno uspostavio odnos, ali korisnik nema kontrolu nad podacima

– podaci u posjedu organizacija s kojima korisnik nikad nije svjesno uspostavio odnos.

Svaki od tih slučajeva zahtijeva primjenu drugačije strategije.

Poslužit ćemo se civilnim primjerom: kad koristite internetsko bankarstvo, kupujete online ili čak pregledavate mrežne stranice, ostavljate različite vrste podataka stranama s kojima komunicirate. U tim slučajevima imate kontrolu nad znatnom količinom podataka koji se odnose na vas. No, ne možete u potpunosti kontrolirati sigurnost tih podataka jer nisu u vašem posjedu.

Iako svaka situacija i račun ima jedinstvene atribute, određene strategije mogu pomoći da vaši podaci budu sigurni od trećih strana.

Npr., prilikom online kupnje preporučuje se korištenje poznatih, renomiranih trgovina. Preporučuje se instaliranje samo službene (autorizirane) aplikacije iz renomiranih trgovina kao što je Google Play i Apple App Store. U cilju dodatne zaštite mogu se koristiti usluge kao što su PayPal i Apple Pay, koje omogućavaju plaćanje putem interneta bez davanja stvarnog broja kreditne kartice. Prilikom službene komunikacije putem računala treba se služiti isključivo službenim komunikacijskim kanalima, tj. poruke sa službenog e-maila slati na službeni e-mail.

Danas je djelovanje mnogih oružnih sustava, pa i onih nešto manjih, povezano s računalima: na fotografiji je sustav američkih marinaca M32A1 LHMBC (Lightweight Handheld Mortar Ballistic Computer), koji se koristi za gađanje minobacačima M252A1 kalibra 81 mm (Foto: USMC / Cpl. Jonathan L. Gonzalez)

 

Identifikacija i autentifikacija

Za većinu je računalnih sustava prva crta obrane identifikacija te provjera autentičnosti. To je tehnička mjera koja neovlaštenim osobama sprečava ulazak u računalni sustav. Identifikacija i autentifikacija kritične su komponente računalne sigurnosti s obzirom na to da su osnova za kontrolu pristupa i uspostavljanje odgovornosti korisnika. Kontrola pristupa omogućava da sustav identificira korisnika i dodijeli mu sve što mu je potrebno za rad.

Identifikacija je način na koji korisnik sustavu daje traženi identitet, a autentifikacija je način potvrđivanja te identifikacije.

Kibernetički stručnjaci Norveške akademije za kibernetičku obranu ispred terenskog informacijsko- -komunikacijskog središta na zimskoj vježbi (Foto: Torbjørn Kojsvold / Norwegian Armed Forces)

Postoje tri načina provjere identiteta korisnika (koji se mogu koristiti sami ili u kombinaciji):

– nešto što pojedinac zna (npr. lozinka, Personal Identification Number – PIN)

– nešto što pojedinac posjeduje (npr. token, pametna kartica)

– nešto što pojedinac jest (npr. otisak prsta, šarenica i mrežnica oka).

Iako se može činiti da svaki od spomenutih načina pruža snažnu autentifikaciju, postoje i problemi. Može se npr. dogoditi da netko sazna ili pogodi tuđu lozinku ili osoba izgubi pametnu karticu i slično.

Najčešći je oblik identifikacije i autentifikacije korisničko ime i lozinka. Ta se tehnika temelji isključivo na nečemu što korisnik zna.

Lozinke se već jako dugo koriste. Integrirane su u mnoge operacijske sustave, a i korisnici i administratori sustava upoznati su s njihovim korištenjem. Kad se pravilno koriste u kontroliranom okruženju, mogu pružiti učinkovitu sigurnost.

Sigurnost sustava zaporki ovisi o čuvanju tajnosti lozinki. Nažalost, postoji mnogo načina na koje se ta tajna može otkriti.

Mjere kibernetičke sigurnosti svakodnevno se primjenjuju u obrambenim sustavima. Njima se za Citizen Airman, časopis pričuve USAF-a, pozabavio i karikaturist W.C. Pope “Odredite novu lozinku… Molimo, uključite slova, brojeve, rune, hijeroglife i dimne signale…” (Karikatura: W.C. Pope / 439th Airlift Wing Public Affairs / prijevod HV)

Posjedovanje i znanje

Iako se neke tehnike temelje isključivo na nečemu što korisnik posjeduje, ipak se većina kombinira s nečim što korisnik zna.

Sigurnosni uređaji koje korisnik posjeduje u svrhu identifikacije i autentifikacije nazivaju se tokeni. Postoje dvije vrste tokena – memorijski i pametni. Memorijski tokeni pohranjuju, ali ne obrađuju informacije. Uobičajena civilna primjena memorijskih tokena za autentifikaciju jest kartica koja se koristi na bankomatima. Pritom se koristi kombinacija nečega što korisnik posjeduje (kartica) s nečim što zna (PIN).

Pametni token proširuje funkcionalnost memorijskog ugradnjom jednog ili više integriranih krugova u sam uređaj. Kad se koristi za provjeru autentičnosti, pametni token još je jedan primjer autentifikacije na temelju nečega što korisnik posjeduje (tj. samog tokena). Pametni token obično zahtijeva od korisnika navođenje nečega što zna (PIN ili lozinka) kako bi ga otključao za upotrebu.

Tehnologije biometrijske provjere autentičnosti koriste jedinstvene značajke pojedinca u svrhu utvrđivanja njegova identiteta. To uključuje fiziološke atribute (otisci prstiju, šarenica oka) ili atribute ponašanja (glas, potpis).

Biometrijska autentifikacija tehnički je složena i skupa, a za korisnika može biti i problematična. Međutim, te se tehnologije i dalje razvijaju kako bi postale pouzdanije, jeftinije i jednostavnije za korištenje.

Administracija autentifikacijskih podataka ključan je element za sve vrste sustava za provjeru autentičnosti. Sustavi za identifikaciju i autentifikaciju trebaju kreirati, distribuirati i pohranjivati autentifikacijske podatke. Vezano uz lozinke, to uključuje njihovo stvaranje, izdavanje korisnicima te održavanje datoteke. Sustavi tokena uključuju stvaranje i distribuciju tokena/PIN-ova i podataka koji govore računalu kako prepoznati važeće tokene/PIN-ove. Za biometrijske sustave to uključuje stvaranje i pohranjivanje profila.

Na kraju još jednog teksta o kibernetičkoj sigurnosti važno je iznova naglasiti da, unatoč primjeni svih raspoloživih tehnoloških rješenja, razvoju svjesnosti, edukaciji i drugim mjerama, apsolutno siguran sustav ne postoji.

Ted Schlein, vodeći svjetski investitor u području kibernetičke sigurnosti, svojedobno je izjavio: “Na svijetu postoje samo dvije vrste tvrtki – one koje su probijene i to znaju te one koje su probijene, a to ne znaju.”

(Foto: U.S. Army Aviation and Missile Command / Traci Boutwell)

Kibernetički prostor višeslojna je platforma koja se sastoji od:

  • podataka – financijske transakcije, tekstovi, svi oblici medija i dr.
  • fizičkih elemenata – sateliti, kabeli, mrežna oprema i dr.
  • ljudi – stvaraoci i korisnici podataka
  • logičkih elemenata – operativni sustavi, aplikacije i web-preglednici.

Procjena mjera sigurnosti

Nakon što se definira što treba štititi i kako to treba štititi, potrebno je utvrditi razliku između potrebnih i primijenjenih mjera sigurnosti.

Softver

– Jesu li svi softverski paketi (uključujući i sam operativni sustav) legalni?

– Podržavaju li dobavljači trenutačno sve softverske pakete (uključujući i sam operativni sustav)?

– Jesu li svi softverski paketi (uključujući i sam operativni sustav) ažurirani?

– Jesu li svi softverski paketi (uključujući i sam operativni sustav) postavljeni na automatsko ažuriranje?

– Je li na uređaju instaliran sigurnosni softver?

– Je li sigurnosni softver konfiguriran za automatsko ažuriranje?

– Uključuje li sigurnosni softver tehnologiju protiv zlonamjernog softvera – i je li to u potpunosti omogućeno?

– Je li primijenjen i u potpunosti omogućen vatrozid?

– Je li primijenjena antispam tehnologija?

– Je li primijenjeno sigurnosno kopiranje?

– Kriptiraju li se osjetljivi podaci pohranjeni na uređaju?

Hardver

– Je li hardver nabavljen od provjerenog dobavljača?

– Imate li neprekidno napajanje koje štiti uređaj od iznenadnog isključivanja u slučaju nestanka električne energije?

– Pokreće li sav vaš hardver najnoviji firmware (firmware je softver ili skup instrukcija o tome kako uređaj komunicira s drugim računalnim hardverom)?

– Je li postavljena BIOS (basic input/output system) lozinka?

– Jesu li onemogućeni svi nepotrebni bežični protokoli?


 

TEKST  Vladimir Štimac