Nedavno,, točnije 14. veljače, dogodio se hakerski napad na našu najveću naftnu kompaniju Inu. Iz Ine su se prvi put oglasili 16. veljače, a potom 21. veljače priopćenjem u kojem kažu da ne mogu isključiti mogućnost da je zbog napada došlo i do neovlaštenog pristupa osobnim podacima. “Započeli smo s oporavkom sustava te radimo na ponovnoj uspostavi svih usluga koje povremeno nisu radile”, piše u priopćenju Ine. Kako su i prije izvijestili, kibernetički napad prijavljen je mjerodavnim institucijama s kojima Ina potpuno surađuje.
“Napad i mogući neovlašteni pristup podacima se istražuju. Kao i kod svakog kibernetičkog napada, u ovom trenutku ne možemo isključiti mogućnost da je došlo i do neovlaštenog pristupa osobnim podacima”, kažu iz Ine. Još jednom napominju da je opskrba tržišta sigurna, a prodaja goriva na maloprodajnim mjestima nastavlja se odvijati neometano. “Također, provedba svih plaćanja je sigurna, neovisno o tome je li riječ o gotovinskom plaćanju, INA kartici ili bankovnoj kartici”, piše u priopćenju.
U povodu kibernetičkog napada na Inu, koji u trenutku ovog razgovora traje već deseti dan, razgovarali smo s Biljanom Cerin, jednom od 50 najutjecajnijih žena u Europi u području kibernetičke sigurnosti, članicom upravnog odbora najveće svjetske organizacije za certifikaciju stručnjaka za sigurnost informacijskih sustava, (ISC)2.
Ina je izvijestila o kibernetičkom napadu.. Što se događa u Ini?
Sudeći prema službenom priopćenju i trajanju incidenta, Ina se suočila s ozbiljnim kibernetičkim napadom. Iz samog priopćenja nije moguće zaključiti o kakvom je točno napadu riječ ni koji su uzroci ovakvog napada. Jedino što znamo jest da postoje poteškoće u radu sustava za plaćanje komunalnih računa, izdavanje vinjeta, bonova za mobitele. S obzirom na to da je Ina za kontaktiranje s medijima otvorila adresu elektroničke pošte na gmailu, može se zaključiti da je opseg incidenta i širi, no ne treba se upuštati u nagađanja. Vjerujem da Ina trenutačno poduzima sve što je u njezinoj moći da bi ograničila štetu i oporavila svoje IT sustave. Kod incidenata kibernetičke sigurnosti najprije se fokusira na ograničenje štete i očuvanje forenzičkih dokaza. Tek kad se stvari stave pod kontrolu, provode se forenzičke analize i izvlače zaključci.
Kakav je utjecaj kibernetičkih napada na nacionalnu sigurnost?
Narušavanje rada IT sustava u današnje doba ima direktan negativni učinak na društvo, gospodarstvo i ugrožava živote. Šteta prouzročena kibernetičkim napadom može biti znatno veća od štete nanesene tradicionalnim oružjem. Pri tome napadač se ne izlaže gotovo nikakvom riziku. Pogrešno je shvaćanje da je najveća šteta od kibernetičkog napada uzrokovana curenjem podataka ili nedostupnošću IT usluga. Preuzimanje kontrole nad IT sustavima često može imati znatno gore posljedice. Zamislite npr. preuzimanje kontrole nad sustavom za kloriranje pitke vode, isporuku električne energije, upravljanje signalizacijom u željezničkom ili cestovnom prometu, doziranje sastojaka u prehrambenoj i farmaceutskoj industriji...
Sigurnost modernog društva direktno ovisi o kibernetičkoj sigurnosti svake pojedine organizacije koja pruža ključne usluge.
Znači li to da je svaka tvrtka odgovorna za svoj udio u nacionalnoj sigurnosti?
Svaka je organizacija koja pruža ključne usluge zakonski odgovorna za uspostavu odgovarajuće razine otpornosti na kibernetičke napade. Zakon jasno propisuje obvezu uspostave tehničkih i organizacijskih mjera za upravljanje rizikom.
Članica ste upravnog odbora globalne organizacije. Kakva je situacija u upravnim odborima globalnih tvrtki?
Redovita izvješća koja se razmatraju na sjednicama upravnih odbora (Board of Directors) sigurnosno osviještenih tvrtki obvezno uključuju informacije o izloženosti riziku kibernetičke sigurnosti.
Upoznavanje upravnog odbora i dioničara/investitora s rizicima kibernetičke sigurnosti u SAD-u ima znatan utjecaj na vrijednost imovine dioničara. Ovo je do sada najučinkovitiji način za povećanje razine kibernetičke sigurnosti koji sam imala prilike vidjeti. Članovi najviše uprave jako dobro znaju koje informacije o izloženosti riziku kibernetičke sigurnosti moraju imati i što one znače. Odbori prolaze posebne edukacije iz ovog područja i danas je potpuno nezamislivo imati upravu i nadzorni odbor koji ne razumije rizike kibernetičke sigurnosti kojima je tvrtka izložena. Nedostatak iskusnih stručnjaka na najvišoj upravljačkoj razini, koji rizike kibernetičke sigurnosti znaju predstaviti članovima najviših uprava i nadzornih odbora, rezultirao je trendom prelaska najsposobnijih menadžera iz tvrtki koje se bave kibernetičkom sigurnošću u uprave velikih multinacionalnih kompanija.
Što je s nadzornim odborima i upravama hrvatskih tvrtki?
Pristup kibernetičkoj sigurnosti koji se primjenjuje u Hrvatskoj temelji se na obvezi ispunjavanja zakonskih zahtjeva vezanih uz uspostavu odgovarajućih tehničkih i organizacijskih kontrola. Unatoč tome što npr. i Zakon o kibernetičkoj sigurnosti predviđa mehanizam revizije, ova je metoda bez dubokog uključivanja vlasnika i uprave jednostavno neprovediva. Vlasnici, odnosno njihovi predstavnici (nadzorni odbor) moraju razumjeti rizike kibernetičke sigurnosti kako bi upravi dali punu podršku u uspostavi odgovarajućih tehničkih i organizacijskih mjera za njihovu kontrolu. S izuzetkom uprava financijskih institucija koje se rizikom kibernetičke sigurnosti bave u okviru upravljanja operativnim rizikom, uprave hrvatskih tvrtki svoje vlasnike uopće ne izvještavaju o rizicima kibernetičke sigurnosti niti ih vlasnici to traže.
Kolike su štete od kibernetičkih napada?
Najsmjelije procjene kažu da će do 2021. godine ukupna godišnja šteta od kibernetičkog kriminala doseći šest trilijuna dolara. Ovo uključuje troškove nastale uništavanjem podataka, krađom novca, gubitkom produktivnosti, krađom intelektualnog vlasništva, osobnih podataka, prijevara, oporavka nakon napada, forenzičkih istraživanja, obnove i brisanja kompromitiranih podataka i reputacijsku štetu.
Gdje tvrtke najviše griješe?
Povećanje budžeta za zaštitu informacijskih sustava često stvara lažan osjećaj smanjenja rizika i stav „učinili smo sve što smo mogli“. Ulaganje u sigurnost je neizbježno, ali uprava mora uspostaviti sustav upravljanja rizikom koji će osigurati fokus organizacije na bavljenje najvećim rizicima. Uzrok uspješnosti gotovo svakog kibernetičkog napada i dalje je ljudska pogreška. Kibernetička sigurnost mora biti dio korporativne kulture, a ona počinje od uprave i vlasnika. •
