'Kad ostatak populacije ne promišlja o onome što gleda, čita i sluša, onda praktički nema prepreka za zlouporabu', kaže Silvio Papić, voditelj studija primijenjenog računarstva na Visokom učilištu Algebra. Kao primjer zlouporabe umjetne inteligencije navodi izradu lažnih videa i lažnog glasa kako bi se utjecalo na generalnu populaciju (deepfake).

'Ljudi se ne pridržavaju pravila'

'Tako možemo izraditi uvjerljiv video u kojem predsjednik neke države najavljuje nuklearni napad, što može uzrokovati paniku sličnu onoj kakvu je svojevremeno uzrokovala radio-drama 'Rat svjetova'. Što se tiče regulacije, jasno je da se mora stvoriti jednim dijelom novi zakonodavni okvir, a jednim dijelom će se trebati modificirati postojeći, posebno kada se radi o dokaznim materijalima, ali to je pitanje koje tek trebamo adresirati. Zbog brzine razvoja AI tehnologije pitanje je i procesa koji će omogućiti adekvatnu i pravovremenu modifikaciju regulative', kaže nam Papić.

Pomoću umjetne inteligencije hakerski napadi postaju sofisticiraniji i učinkovitiji. Premda umjetna inteligencija može pomoći i u obrani od tih napada, Papić kaže da je ključno pitanje što će biti uspješnije, jer je i u jednom i u drugom slučaju čovjek taj koji koristi umjetnu inteligenciju.

'Ono što umjetna inteligencija neće moći tako lako kompenzirati jest činjenica da se ljudi ne pridržavaju pravila, pa su skloni zaobilaziti i kršiti pravila, a taj dio možemo adresirati jedino edukacijom zaposlenika. Inače, ako želimo imati potpuno siguran informatičko-komunikacijski sustav, to svakako možemo, ali pitanje je koliko je takav sustav koristan poslovanju moderne tvrtke u vrlo dinamičnom okruženju. Tako da je, bez obzira na tehnologiju, pravo pitanje što neka tvrtka želi od informacijsko-komunikacijskog sustava da bi postigla prihvatljivu razinu sigurnosti istovremeno održavajući uspješno poslovanje', naglašava Papić.

Katedra za kibernetičku sigurnost dio je Algebrina Stručnog studijskog programa primijenjenog računarstva te omogućava studentima stjecanje teorijskih i stručnih znanja iz područja kibernetičke sigurnosti. Gradivo kolegija te katedre kontinuirano se održava te čini aktualnim, kao i laboratorijske vježbe kojima se omogućava upoznavanje studenata s aktualnim sigurnosnim prijetnjama te metodama i načinima zaštite informacijskih sustava.

Popularizacija kibernetičke sigurnosti kao karijernog puta

Osim stručnog studijskog programa, Algebra također svake godine organizira natjecanje Noć hakiranja (Hacking night), koje okuplja kibernetičke entuzijaste i zaljubljenike u IT. Na ovogodišnjem Hacking nightu, održanom 21. travnja, natjecatelji su testirali svoja znanja i vještine zadacima usmjerenima na pronalazak i iskorištavanje ranjivosti odabranih sustava i informacija. Natjecanje je uključivalo razne izazove kao što su prepoznavanje sigurnosnih propusta, simuliranje u kontroliranom okruženju i probijanje grešaka u primjeni kriptografije.

Natjecao se najveći broj timova do sada – njih čak 19. Papić kaže da ga raduje velik interes za takva događanja, a iako je, kako dodaje, bilo vrlo zahtjevno pripremiti sve elemente infrastrukture i osmisliti zadatke, smatra da je opravdan sav taj trud.

'Događaji poput Hacking nighta utječu na podizanje svijesti o važnosti kibernetičke sigurnosti u kontekstu modernog poslovanja, ali i moderne države. Jasno prezentiraju potrebu za ulaganjem u obrazovanje stručnih kadrova i u infrastrukturu, ali i populariziraju kibernetičku sigurnost kao karijerni put današnjim srednjoškolcima i studentima koji će biti budući kibernetički stručnjaci, a svjesni smo koliko smo u deficitu sa stručnjacima tog profila', ističe.

Hacking night

Pobjedu na Hacking nightu odnio je tim 炖鸭 (Kǎoyā / Pečena patka). Kako i inače sudjeluje u natjecanjima na temu kibernetičke sigurnosti, vođa tima Mislav Jurinić kaže da mu je bilo prirodno priključiti se Algebrinu Hacking nightu, na kojem se ujedno upoznao s domaćim stručnjacima i entuzijastima u tom području.

'Zadaci su bili vrlo zanimljivi i izazovni, a posebno mi se svidjelo to što su temeljeni na stvarnim primjerima iz prakse. Uz klasične ranjivosti koje se pojavljuju zbog loše pisanog koda, izdvojio bih kao jednu od najvećih opasnosti u kibernetičkoj sigurnosti neažuriranje softvera.

Stare verzije, a pogotovo one s poznatim ranjivostima, savršen su inicijalni vektor upada. To smo mogli vidjeti pomoću zadataka na Hacking nightu, a i nitko ne bi trebao zaboraviti kaos koji je napravio ransomware WannaCry. Mislim da su danas korisnici sve više upoznati s prijetnjama na webu jer su odmalena u dodiru s tehnologijom, a i sve više kompanija radi na security treninzima za svoje zaposlenike', kaže nam Jurinić.

'Studente učimo kako se trebaju ponašati u kontroliranim uvjetima'

Profesor Papić smatra da je svaka prilika da ljudi vide kako izgleda kibernetički napad u pozadini dobra da se podsjetimo na realnu opasnost i da zaista postoje ljudi koji se profesionalno bave takvim aktivnostima.

'U kibernetičkom prostoru postoji ogromna površina napada koju činimo svi mi, odnosno naši digitalni identiteti i podaci. Sve što radimo u kibernetičkom prostoru može se iskoristiti na neki način protiv nas, a pogotovo je opasno kada hakeri dođu u posjed naših osjetljivih podataka ili do našeg računala. Zato je važno s vremena na vrijeme podsjetiti ljude na činjenicu da postoji realan rizik da, ako ne budemo oprezni i odgovorni, budemo žrtva kibernetičkog napada.

Studenti na Visokom učilištu Algebra imaju priliku steći znanja i vještine potrebne da bi se mogli nositi sa svim izazovima kibernetičke sigurnosti. Naravno da se sve što studenti rade događa u kontroliranim uvjetima učionice poštujući etičke norme, propise i zakone Republike Hrvatske, jer ipak smo mi obrazovna ustanova. Nastavnici koji rade sa studentima jasno prezentiraju sve ono što je potrebno da se studenti zadrže unutar željenih okvira. Osim toga, postoje tehnički elementi koji odvraćaju studente od bilo kakvih nepoćudnih radnji, kao što je npr. mogućnost kontrole logova i slično. Studente učimo kako se trebaju ponašati u kontroliranim uvjetima i koja su tu ograničenja, ali i mogućnosti', navodi Papić.

'Kibernetički napadi vrlo su štetni za tvrtke'

Iako se svijest o kibernetičkoj sigurnosti sve više povećava rastom broja napada, edukacija teško prati taj rast. Kako su napadi sve sofisticiraniji, tako i edukacija o kibernetičkoj sigurnosti mora biti sve naprednija i prilagođenija novim prijetnjama, a to zahtijeva i podrazumijeva stalno ažuriranje nastavnih programa te edukacijskih materijala.

Ističe to Zlatan Morić, voditelj Katedre za kibernetičku sigurnost na Visokom učilištu Algebri, naglašavajući da u tome i leži najveći izazov jer je prilikom svake promjene obrazovnog programa u pozadini stroga procedura koja uvelike usporava razvoj i otežava praćenje dinamičnih promjena u stvarnom svijetu.

'Kibernetički napadi su sve složeniji i sofisticiraniji te često koriste napredne tehnike maskiranja i zaobilaze sigurnosne kontrole kako bi se izbjeglo njihovo otkrivanje. Napadači najčešće koriste tehnike kao što su krađa identiteta, krađa podataka, ransomware, phishing, malware i DDoS napadi. Također, koriste specijalizirane alate i bot mreže koje olakšavaju automatizaciju napada. Najzahtjevniji su uvijek zero-day napadi jer iskorištavaju ranjivosti u sustavima koji još nisu javno poznati', pojašnjava nam Morić.

Najčešće mete napada

Na pitanje tko su najčešće mete kibernetičkih napada, Morić navodi tvrtke i organizacije koje posjeduju osjetljive podatke kao što su financijski podaci, osobni podaci klijenata, intelektualno vlasništvo, poslovne tajne i slično. Među najugroženijim industrijama su, kaže, banke i financijske institucije, bolnički sustavi, pružatelji mrežnih usluga, e-trgovci i industrijske tvrtke.

Takvi napadi mogu naštetiti tvrtki na različite načine, ovisno o njihovoj vrsti. Neki od najčešćih načina su krađa i uništavanje podataka, prekid poslovanja, širenje zlonamjernog softvera te financijske prijevare.

'Ciljevi napada mogu varirati od krađe podataka i identiteta, preko financijskih prijevara, do sabotiranja poslovnih procesa i pokretanja bot mreža za daljnje napade. Napadači se često fokusiraju na organizacije s manje razvijenim sigurnosnim sustavima jer su lakše mete. Zbog toga je važno da tvrtke i organizacije poduzimaju adekvatne mjere zaštite, poput sigurnosnih kontrola, edukacije zaposlenika, redovitog ažuriranja softvera i operativnih sustava, korištenja složenih autentifikacijskih sustava i kriptiranja podataka kako bi se smanjila mogućnost napada', ističe Morić.

'Potrebna su redovita testiranja i općenito veća ulaganja u kibernetičku sigurnost'

Stoga bi pristup kibernetičkoj sigurnosti trebao biti, ističe Morić, proaktivan i preventivan, umjesto reaktivnog. Kao poslodavac, potrebno je osigurati adekvatne sigurnosne kontrole da bi se zaštitili organizacija, zaposlenici i korisnici. To uključuje implementaciju sigurnosnih politika, redovitu edukaciju zaposlenika, kriptiranje podataka, dvofaktorsku autentifikaciju te redovito ažuriranje softvera i operativnih sustava.

'Također bi trebalo provoditi redovita testiranja sigurnosnih sustava kako bi se otkrili eventualni propusti i ranjivosti. Kao privatna osoba, važno je biti svjestan rizika koje donosi korištenje interneta i biti proaktivan u zaštiti vlastitih podataka. To uključuje korištenje snažnih lozinki, naprednih autentifikacijskih metoda poput dvofaktorske autentifikacije, izbjegavanje otvaranja nepoznatih e-mail poruka ili priloga, redovito ažuriranje softvera i operativnih sustava na svojim uređajima te korištenje sigurnosnih kopija', kaže naš sugovornik.

Iako su ulaganja u kibernetičku sigurnost skupa, dugoročno su se pokazala isplativima, jer uspostava adekvatnih sigurnosnih kontrola pomaže u sprječavanju ozbiljnih posljedica uslijed kibernetičkih napada.

'Tvrtke moraju ulagati u kibernetičku sigurnost jer su izložene raznim kibernetičkim napadima, a njihove posljedice mogu biti ozbiljne i dugotrajne. Mogu uzrokovati financijske gubitke, gubitak povjerenja kupaca, smanjenje produktivnosti, ali i potencijalno ugroziti osjetljive podatke o klijentima ili zaposlenicima', upozorava Morić.

No osim tvrtki, neminovna je edukacija javnosti o kibernetičkoj sigurnosti kako bi se ljudi bolje zaštitili. Naš sugovornik ističe da se ona može provesti kroz obrazovne kampanje (organiziranje događaja na kojima će stručnjaci iz kibernetičke sigurnosti govoriti o različitim temama, poput zaštite lozinki, prepoznavanja phishing e-mailova i sigurnog korištenja interneta), online tečajeve (besplatni online tečajevi o kibernetičkoj sigurnosti) i medijska izvješća (televizijske postaje i novine mogu educirati javnost putem izvješća o novim prijetnjama ili ranjivostima, o načinima na koje se zaštititi te o pričama ljudi koji su postali žrtve kibernetičkih napada).

'Najlakše je izvesti phishing napad'

Nadovezao se na to Papić, istaknuvši važnost kibernetičke sigurnosti jer – iako su motivi za napade razni – pojedinci i tvrtke na njih mogu biti spremni tehnologijom, znanjem i procedurama, što će ih učiniti otpornima. To zahtijeva kontinuirano ulaganje u tehnologiju i unapređenje infrastrukture s jedne strane, ali i, što je jednako važno, podrazumijeva ulaganje u procedure, procese i zaposlenike koji će koristiti IKT sustav i znati kako se ponašati da ne izlože sebe ili kompaniju kibernetičkim napadima.

'Dosta kibernetičkih napada cilja upravo na ljude jer su ljudi najslabija karika i to zbog svojih karakteristika da su znatiželjni, lakovjerni, ne pridržavaju se procedura, idu lakšim putem i slično. Puno lakše je izvesti phishing napad šaljući tisuće e-mail poruka i čekati da se netko 'upeca', nego pripremati sofisticirani kibernetički napad kakvi se mogu vidjeti u holivudskim filmovima', ističe.

O Zakonu o kibernetičkoj sigurnosti

Na pitanje što nam donosi novi Zakon o kibernetičkoj sigurnosti, Papić kaže da je on načelno tu zbog usklađivanja s novom direktivom NIS2 (o kibernetičkoj sigurnosti) na razini EU-a koja stavlja izvan snage direktivu NIS1.

'Razlog zbog kojeg je nastala direktiva NIS2 je to što se zaključilo da NIS1 nije adekvatna za okruženje disruptivnih tehnologija, kao što su računarstvo u oblaku, 5G, kvantna računala i slično, a također zbog velikih razlika u načinima i opsegu provedbe direktive NIS1 u različitim članicama EU-a. Ako je jedan od ciljeva novog zakona o kibernetičkoj sigurnosti 'učinkovito upravljanje organizacijom i sigurnosnim procesima u kibernetičkom prostoru EU-a te nacionalnim kibernetičkim prostorima država članica', onda se može zaključiti da bi primjena ovog zakona trebala povećati, da se tako izrazim, razinu sigurnosti kibernetičkog prostora kao cjeline. A kolika će cijena biti za ostvarenje tog cilja i hoće li se pojaviti izazovi koje sada ne vidimo, to ćemo tek vidjeti', kaže Papić.

Smatra da će zakon polučiti pozitivne rezultate samim time što će povećati ukupnu razinu kibernetičke sigurnosti u RH. Jedan od razloga zbog kojih je direktiva NIS1 imala različitu razinu primjene u različitim državama je i trošak koji je generiran i reflektiran u nedovoljnoj spremnosti za njezino implementiranje, ističe Papić.

'Kada pogledamo ocjenu učinka na gospodarstvo u prijedlogu zakona, možemo primijetiti da je kod stavki vezanih za trošak gotovo svugdje odgovor 'ne', što bi dalo zaključak da troška, odnosno utjecaja na pojedine kategorije, praktički neće biti. Smatram da to nije nužno najrealniji zaključak pa bi prilikom implementacije ovog zakona moglo biti neočekivanih situacija koje će generirati taj nepredviđeni trošak, što bi moglo kao posljedicu imati nepotpunu implementaciju svega predviđenog direktivom NIS2.

Ukupno gledajući, ovakav zakon je nužnost koju ne možemo poricati, tako da to trebamo prihvatiti kao izazov kojim, ako ga pametno savladamo, možemo postati konkurentnije gospodarstvo', napominje naš sugovornik.