Sigurnost na internetu sve je ugroženija. Pritom se to ne odnosi samo na brojne prijevare na koje mahom nasjedaju građani, već i na kibernetički kriminal na puno višoj razini.

Naime, javno izvješće Sigurnosno-obavještajne agencije (SOA) pokazuje da je lani otkriveno čak 38 APT-ova, odnosno kibernetičkih napada sponzoriranih iz drugih država na mete u Hrvatskoj. To je sedam napada više nego pretprošle godine te čak 28 više nego 2020.

Gledajući ukupne brojke, tijekom 2024. prijavljeno je 2390 kaznenih djela kibernetičkog kriminala, što je 17,6 posto više u odnosu na ranije godine.

"Digitalni prostor postaje mjesto počinjenja sve većeg broja kaznenih djela te se tradicionalni kriminalitet premješta u internetski prostor", navodi se u izvješću o radu policije.

Na meti su osobni podaci

Glavni cilj cyber kriminalaca najčešće su osobni podaci, koji otvaraju mogućnost različitih vrsta prijevara. Pritom su najslabija karika zaposlenici tvrtki jer često ne znaju prepoznati sumnjive poruke, pa ni ne reagiraju na pravi način, ustvrdio je u razgovoru za Poslovni dnevnik Neven Matas, direktor za kibernetičku sigurnost kompanije Infinum.

"Kibernetička sigurnost ne smije biti shvaćena kao jednokratna aktivnost ili trošak nego kao ulaganje u budućnost. Dovoljna je samo jedna uspješna prijevara da ugrozi višegodišnje poslovanje, podatke i svu digitalnu imovinu kojom tvrtka raspolaže”, ustvrdio je Matas.

No, gotovo dvostruko veći broj kaznenih djela u ovoj domeni u proteklih pet godina nije pratila dvostruko veća uspješnost u njihovu rješavanju. Dok su nadležne institucije 2020. godine razriješile 65 posto takvih nedjela, lani je taj postotak pao na svega 46 posto.

“Posljedica je to anonimnosti koju kriminalcima pruža internetska tehnologija te činjenica da i dalje najveći broj kibernetičkih napada dolazi iz izvora izvan EU-a”, stoji u MUP-ovom izvješću.

Ruski napadi

SOA je Zakonom o kibernetičkoj sigurnosti postala središnje državno tijelo za kibernetičku sigurnost. Iz te agencije upozoravaju da je cilj sve većeg broja APT napada špijunaža državnih tijela, odnosno krađa podataka od značaja za nacionalnu sigurnost.

Dovoljno se prisjetiti lanjskih napada na internetske stranice glavnih financijskih institucija u Hrvatskoj, od Ministarstva financija, preko Porezne uprave, Hrvatske narodne banke, pa sve do Zagrebačke burze. Za taj napad je odgovornost preuzela ruska hakerska skupina NoName057(16).

Samo dan kasnije hakerska grupa LockBit izvršila je napad na KBC Zagreb te ukrala medicinsku dokumentaciju, pravne podatke te podatke o organima i darivateljima. Uz to, na meti su bile i poznate kompanije poput Badela 1862 i Labuda. Ove godine je, pak, najznačajniji hakerski napad bio na Institut Ruđer Bošković. No, šteta u tom slučaju nije bila značajna jer su stručnjaci IRB-a uspjeli vratiti većinu izgubljenih podataka i nisu pronašli dokaze o njihovu izvlačenju.

"Dvije trećine značajnih napada na ciljeve u Hrvatskoj provele su ruske državno-sponzorirane APT grupe. Uz već poznate APT grupe, pojavljuju se novi napadači. Sve su brojniji ucjenjivački (ransomware) napadi u kojima su napadači napredne kibernetičke kriminalne grupe, ponajviše ruske”, navodi se u izvješću SOA-e.

Nesrazmjer u zaštiti

Izvješće o stanju Digitalnog desetljeća za ovu godinu pokazuje da je čak 26,1 posto poduzeća u Hrvatskoj doživjelo barem jedan incident povezan s informatičkom sigurnošću. Europski prosjek je 21,5 posto napadnutih tvrtki.

Obrana tvrtki i institucija u nas je izazov, jer ulaganja u sigurnost mnogima predstavljaju nepotreban trošak, iako je jasno da su financijska i kadrovska ulaganja nužna. Problematično je i to što nemamo dovoljno kadrova koji su kadri boriti se protiv hakerskih napada. 

"Podaci iz CADMUS analize ukazuju na sustavni nerazmjer između onoga što poslodavci traže i onoga što obrazovni sustav trenutačno nudi. Većina dostupnih seminara i certifikata fokusira se na razvojne i inženjerske kompetencije te na alate i tehnologije, dok je ponuda za razvoj kompetencija potrebnih za razinu odlučivanja, strateško upravljanje sigurnošću te za koordinaciju aktivnosti za izgradnju otpornosti organizacije znatno ograničena", ustvrdio je Tomislav Dominković, glavni izvršni direktor Sveučilišta Algebra Bernays.

Tako se napredak u kibernetičkoj sigurnosti u Hrvatskoj, o kojemu piše Izvješće Digitalno desetljeće za 2025., svodi samo na zakonodavni okvir, jer je lani u Zakon o kibernetičkoj sigurnosti uvrštena i europska direktiva NIS2.