Praktički od početka prošle godine, kada smo bili primorani zbog situacije sve češće prijeći na rad od kuće, u medijima smo mogli vidjeti razne izvještaje kako je snažno porastao broj hakiranja. Tako je u Americi između 10. ožujka i 15. travnja prošle godine broj hakiranja skočio 330 posto. Sasvim konkretno, u tom periodu izvršeno je preko 32 milijuna hakiranja, odnosno, oko 872 tisuća hakiranja dnevno, tvrdi tvrtka Atlas VPN. FBI je izašao s podacima da je do 2. svibnja prošle godine broj cyber zločina porastao za 800 posto. Pandemija Covid-19 također se krivi za 238 postotno povećanje u kibernetičkim napadima protiv banaka.

Dakle, 2020. godina je dokazala mnogo stvari, a jedna od njih je koliko je bitna kibernetička, odnosno IT sigurnost. Tim povodom, popričali smo ekspertima iz Combisa, voditeljem Odsjeka sigurnosnih tehnologija Rajkom Mihajlovićem, te sigurnosnim stručnjakom Krešimirom Fillom. Combis je inače tvrtka koja je već 30 godina predvodnik brojnih tehnoloških trendova, pa tako i u području računalne sigurnosti na domaćem tržištu. Combis je nedavno predstavio i kompletno novo rješenje 30SEC, odnosno uslugu, kojom kane doskočiti takvim sigurnosnim napadima, te malim, srednjim i velikim tvrtkama ponuditi sveobuhvatno rješenje za zaštitu.

Zašto se prošle godine povećao broj napada?

Filla objašnjava kako se broj napada od početka prošle godine povećao prvenstveno zbog toga što je praktički kompletan radni svijet prešao na rad od kuće. “Samim izmicanjem korisnika iz tih nekih sigurnih poslovnih sustava u kojima su do sada radili i bili donekle sigurni, otvorio se prostor za napad. Rad od kuće nije toliko siguran kao rad iz tvrtke, budući da kod kuće radnici ne mogu imati mnoga tehnološka i sigurnosna rješenja te su procesi rada drugačiji. Napadači u tome vide veliku priliku i iskorištavaju tu činjenicu da je većina radne snage sada od kuće. Praktički, sada su lakša meta”, objašnjava.

Priča kako su tvrtke morale omogućiti rad svojim zaposlenicima od kuće, a time su istovremeno morale napraviti neke izmjene na svojoj infrastrukturi koje su ih dodatno izložile prema internetu, sve s ciljem kako bi zaposlenici mogli što lakše i kvalitetnije raditi od kuće. “Tu migraciju tvrtke su morale napraviti u ekstremno kratkom roku. Kada se nešto u IT-u radi ekstremno brzo i u neplaniranom obimu, onda se vrlo lako i vrlo često pojavljuju sigurnosni propusti, budući da se često u tom brzom dizanju sustava ne misli na sigurnosne aspekte. Time su se tvrtke drastično izložile prema van, a napadači dobili puno veću površinu za napad na tvrtke”, nastavlja Filla.

Takva ubrzana rješenja ostavila su nekakve pukotine, koje koliko god bile male, dovoljne su za napad hakera. “Razlika između ljudi koji brane neki sustav i hakera je u tome što haker treba iskoristiti samo jednu rupu, a ljudi koji ih brane IT sustave moraju ih zakrpati sve. Hakeru je baš ta jedna dovoljna za napad i za kompromitiranje cijele kompanije. Ovaj posao je težak i izazovan i u normalno doba, no sada kada se uzme u obzir činjenica da se sve to moralo napraviti preko noći pod enormnim stresom, možda i s nekim tehnologijama koje do sada niste koristili, tu se otvara jedan golem prostor za nove propuste”, zaključuje Filla.

Imaju svoju ekipu etičnih hakera

Mihajlović je voditelj odsjeka sigurnosnih tehnologija unutar Combisa, a u njegovom timu nalazi se 16 različitih stručnjaka koji su specijalizirani u pojedinim područjima. No, Mihajlović naglašava kako ipak nije cijela sigurnosna ekspertiza unutar njegovog tima, već da su neki sigurnosni elementi pokriveni i s ljudima iz drugih timova. Područja kojima se bavi njegov tim, najlakše se može podijeliti u tri segmenta: defenzivnu sigurnost, ofenzivnu sigurnost i dio consultinga za tvrtke.

“Ofenzivna sigurnost je zapravo naša ekipa etičkih hakera, koji sukladno pravilima struke i sukladno svom znanju, najboljim sigurnosnim praksama i certifikatima koje posjeduju, provode testiranja i provjere ranjivosti sustava. Oni imaju dugogodišnje iskustvo ne samo u financijskom sektoru, već i u državnom i realnom. Oni vrše takozvana penetracijska testiranja, koja se rade u dogovoru s našim korisnicima. Najkraće rečeno, to su testiranja u kojima naši ljudi pokušavaju upasti u sustave naših korisnika kako bi pronašli rupe i propuste”, objašnjava Mihajlović.

Testiranja su nekad propisana

Mihajlović objašnjava kako pojedini sektori, poput bankarskog, nalažu povremena vršenja takvih testiranja, kako bi se dokazalo da su njihovi sustavi, koji čuvaju osobne i financijske podatke korisnika, zaista sigurni. “Time se dokazuje da su oni dovoljno sigurni, da mi kao građani možemo biti mirni i da možemo i dalje surađivati s njima”, kaže. No, dolaskom GDPR-a 2018. godine, odredbe zbog koje su podaci korisnika morali biti još sigurnije pohranjeni, takva penetracijska testiranja postala su česta i u nekim drugim sektorima, koji nemaju tu regulatornu obvezu kao financijski sektor.

“Na tjednoj bazi možemo čitati po portalima kako je negdje probijen neki sustav i kako su ukradeni nečiji podaci. Zbog toga i firme unutar Hrvatske i bliže regije koju pokrivamo žele da povremeno testiramo njihove sustave, kako bi znali koliko su sigurni. Naravno, svi smo svjesni da sto-postotna sigurnost ne postoji, pa se uvijek u okviru takvih testiranja pronađu ranjivosti, no u slučaju da je nešto kritično, odmah informiramo sve kontakte od strane korisnika i nudimo dodatnu pomoć”, objašnjava.

Pronašli su niz propusta u mobilnim aplikacijama

Takva penetracijska testiranja mogu se vršiti unutar kompanije ili izvan nje, odnosno, unutar same tvrtke i njene mreže, ili pak preko interneta. “Recimo, ja mogu sada sjediti u nekoj sobi za sastanke našeg klijenta, pa pokušavati sa svojim laptopom upasti u njegovu mrežu, bilo žičnim ili bežičnim pristupom. Ako to uspijem, pokušavam dalje upadati, pa primjerice izvući nekakvu šifru za e-mail ili slično, te izvaditi neki poslovni podatak ili povjerljivu informaciju koja bi dokazala da sam ja uspio probiti sustav. Sve se dokumentira u obliku detaljnog izvještaja koji se korisniku dostavlja putem sigurne komunikacije, a s ciljem kako bi oni mogli zakrpati tu rupu ili riješiti problem”, priča Mihajlović.

S druge strane, postoje internetski penetracijski testovi, gdje se najčešće radi takozvanom blackbox metodom. Combisov klijent naruči takvo jedno testiranje, i to je sve što je Combisu i njegovim stručnjacima rečeno. Potom oni sami, temeljem raspoloživih informacija na internetu ili na osnovu nekih osobnih podataka koje mogu pronaći o zaposlenicima tvrtke, pokušavaju upasti u sustav klijenta. Primjerice, u najbanalnijem primjeru mogu pokušati pogoditi password nekog zaposlenika, te tako upasti u sustav. No, testiranja preko interneta su i znatno dublja i kompleksnija od pukog pogađanja nečije šifre.

Prošle godine, s obzirom na trenutnu situaciju, Combis je odradio i veći broj testiranja mobilnih aplikacija. “Kada je krenuo lockdown, ne samo u Hrvatskoj već i u regiji, testirali smo veći broj mobilnih aplikacija. S obzirom na to da je sve bilo zatvoreno, veći broj tvrtki je tražio neki način komunikacije ili prodaje svojim korisnicima ili kupcima. Možemo reći da su te aplikacije bile isprogramirane na brzinu, pa se baš i nije vodilo računa o sigurnosti. Stoga smo mi imali tu puno posla. Uspjeli smo pronaći niz ranjivosti u raznim aplikacijama koje su se morale što prije pokrpati. To baš i nije neka dobra stvar, jer je bilo puno takvih aplikacija na tržištu. Ti propusti su mogli dovesti do velike krađe podataka ili do financijske štete, ali i do primjerice neke marketinške štete za kompaniju koja ima nesigurnu aplikaciju”, priča Mihajlović.

Suradnja je najbitnija za sigurnosni tim

Tim koji predvodi Mihajlović sastavljen je od stručnjaka s različitih polja. Kao glavnu karakteristiku svog tima ističe suradnju, koja je nekoć bila uživo, no zbog trenutnih okolnosti moraju se koristiti internetskim komunikacijskim kanalima. “Godinama se trudimo dijeliti znanje unutar tima tako da je svaki član tima ekspert u pojedinom području, primjerice ofenzivnom. Međutim, to iskustvo dijelimo na dva načina. Prvi je taj da svi radimo u istoj prostoriji kao tim (trenutno virtualnoj), a drugi je da na tjednoj bazi imamo redovite komunikacije koje održavamo vezano za pojedine projekte ili klijente. Imamo te tjedne prijenose znanja i iskustava na nekim projektima, a ako je netko bio na edukaciji, ta osoba prezentira i iznese najbitnije stvari za cijeli tim”, tumači Mihajlović.

Upravo je ta neka suradnja u timu najbitnija, budući da se kroz nju može sagledati šira slika sigurnosti. “Nije ideja da svi znaju sve i da su svi eksperti za sva područja. Unutar svakog tima imamo podjelu po tehnologijama u pojedinim područjima, a ideja je da svi imaju široko znanje iz područja sigurnosti. Dakle, unutar tima imamo stručnjake za krajnja računala poput laptopa, mobitela i tableta, pa sve do servera. No, između servera i krajnjih računala također postoji niz drugih uređaja, pa i za te uređaje imamo eksperte”, nastavlja.

Combis mora pratiti razvoj biznisa, legislative i tehnologije

Banke su u rujnu 2019. godine morale otvoriti svoje API-je, odnosno, omogućiti pristup svojim sučeljima. “Tko god je htio raditi financijske transakcije s njima, banke su ih morale biti spremne prihvatiti. Jedna od novosti bila je obveza od HNB-a da banke moraju prije tog go-livea, dakle prije samog početka stupanja na snagu te odredbe, obaviti penetracijska testiranja i ispitivanja ranjivosti tih sučelja prema van. I to je jako bitan dio. To je taj element koji mi moramo pratiti kao tvrtka – kako se stvari mijenjaju u svijetu, u EU i kod nas. Ako dolazi neka regulativa ili direktiva, mi se moramo na vrijeme pripremiti i prognozirati što to znači za nas, naše usluge, za postojeće ekspertize naših ljudi i ono najvažnije – što to znači za naše korisnike. Time procijenimo kako se možemo pozicionirati na tržištu u pravo vrijeme, te kako možemo svoje postojeće usluge proširiti”, objašnjava Mihajlović.

Combis kao tvrtka mora pratiti taj razvoj biznisa, legislative i tehnologije, te kako se oni reflektiraju na realni sektor. “Taj primjer aplikacija koje smo testirali početkom prošle godine, to ne bismo mogli izvesti tako brzo i uspješno da nije bilo našeg iskustva. Upravo zbog toga smo mogli i preuzeti tu zadaću. Da smo tek krenuli s takvim testiranjima, možda ne bi bili toliko brzi i uspješni. Možda bi mogli uzeti samo jedan posao, pa na njemu učiti. Možda bi i zapeli u nečemu, što bi bilo loše. U tom slučaju ne bismo mogli isporučiti kvalitetu koju imamo danas, niti onu koju želimo isporučivati u budućnosti”, zaključuje.

Certifikati su iznimno bitni

Jedna od ključnih karakteristika sigurnosnih stručnjaka i kompanija, ne samo Combisa već i općenito, su certifikati koje posjeduju. Prva takva vrsta certifikata su oni koji se nazivaju industrijski certifikati, odnosno certifikati vezani za pojedinu industriju ili nekog svjetskog vendora. No, Mihajlović i Combis su posebice ponosni na drugu vrstu certifikata, na vendor independent certifikate, koji dokazuju stupanj znanja zaposlenika vezan za informacijsku sigurnost. Tu spadaju certifikati poznatih svjetskih kuća koje su priznate i u Hrvatskoj, a ne samo na međunarodnom tržištu.

Te certifikate je poprilično teško dobiti, budući da pokrivaju široko polje informatičke sigurnosti. Mihajlović tumači kako primjerice za certifikat u Windowsima treba dobro poznavati Microsoft Windows u detalje, raditi s njime iz dana u dan i imati mnogo iskustva. Međutim, za dobivanje certifikata za informacijsku sigurnost, stručnjak mora imati određene godine iskustva i širok spektar znanja. Uz to, takav jedan certifikat košta i preko osam tisuća dolara, što je značajna investicija.

Ta investicija uključuje edukacije, materijale, labose i testiranja, kako bi stručnjaci bili spremni položiti ispit za certifikat, kojim dokazuju da su spremni primijeniti to znanje koje su stekli. “U Combisu se trudimo da svaki naš stručnjak ima i znanje i iskustvo i certifikate. Znanje se većinom stekne učenjem, a certifikat je potvrda tog znanja. Postoje i ljudi koji nemaju certifikate, jer si nisu mogli priuštiti taj trošak, ali se istovremeno ne može reći da nemaju znanja. S druge strane, iskustvo je nešto što se stječe kroz godine na projektima”, objašnjava, te ističe kako Combisovi stručnjaci imaju barem dva ili tri takva certifikata, a neki još i više.

Mihajlović ipak ističe kako certifikati i nisu toliko presudni, za primjerice zaposlenje u Combisu, ako netko ima vrhunsko znanje, no nedostaju mu certifikati kao potvrda. “Imali smo nekoliko kolega u timu koji su bili upravo takvi. Nisu imali certifikat kada su došli raditi za nas, a svoje certifikate tek sada dobivaju. To je nešto što mi kao tvrtka nudimo svojim zaposlenicima. Na kraju krajeva, pokušavamo i na razgovoru za posao o tome razgovarati s njima. Dajemo im do znanja da radimo planski, na više godina koliko god je to moguće, pa sa svakim zaposlenikom razgovaramo o potencijalnom certification pathu, odnosno o njegovim mogućnostima edukacija i certificiranja”, objašnjava.

Drugačiji pristup od dosadašnjeg

30SEC, novi Combisov proizvod, sasvim je drugačiji pristup od njihovog dosadašnjeg poslovanja. Kako tumači Filla, razlika je u tome što tvrtke ne moraju unaprijed plaćati za Combisovu ekspertizu, već to mogu na mjesečnoj razini. “Do sada su tvrtke morale investirati ili kupovati sigurnost, odnosno, morale su dati određeni kapital odjednom. Svatko tko je htio kupiti sigurnosno rješenje ili iznajmiti neke sigurnosne stručnjake, trebao je odjednom uplatiti punu cijenu. To je za mnoge tvrtke prije, a pogotovo sada, znao biti ograničavajući faktor, jer jednostavno, mnoge tvrtke nemaju taj kapital spreman za investiciju, pogotovo ako je riječ o malim ili srednjim tvrtkama”, objašnjava Filla.

“30SEC je osmišljen i namijenjen da Combis može pružati svoje usluge i sigurnosne tehnologije kroz višegodišnje ugovore, ali pomažemo tvrtkama na način da kroz fiksnu mjesečnu cifru dobiju naša rješenja, stručnu podršku i tehnologije. Tvrtke ne moraju odjednom platiti sve, a to je u financijskom svijetu ta razlika između kapitalnih i operativnih ulaganja. Kapitalne investicije plaćate odjednom u cijelosti, a operativni trošak plaćate na mjesečnoj razini. Takav operativni trošak je mnogim kompanijama prihvatljiviji i jednostavniji, jer mogu lakše kontrolirati svoje troškove”, objašnjava.

Istovremeno, nije bitno je li netko zainteresiran za 30SEC postojeći ili budući korisnik Combisa. Usluga je namijenjena svima, a potrebe korisnika trebaju se procijeniti individualno. Naravno, postojeće korisnike već poznaju, pa prema njima mogu biti proaktivniji i ponuditi im neka unaprjeđenja, a za nove korisnike treba provesti audit, odnosno analizu i procjenu, temeljem koje bi mogli dati preporuke za poboljšanje zaštite.

Za korisnike koji žele sveobuhvatan pristup detekciji i odgovoru na sigurnosne prijetnje 30SEC pruža i uslugu sigurnosnog operativnog centra koji je fuzija svih Combis sigurnosnih timova te najboljih tehnologija na tržištu za detekciju, prevenciju i odgovor. Korištenjem te usluge korisnici mogu mirnije spavati jer u slučaju cyber prijetnji Combis ih pravovremeno informira te pomaže u suzbijanju napada.

Pozivi o hakiranju u četiri ujutro

Kao primjer uloge 30SEC-a za klijente je upravo ta potreba za brzim i efikasnim migriranjem na rad od kuće. “Tvrtke, pogotovo ove manje, da bi mogle raditi moraju poduzimati određene korake u poslovanju i što se tiče IT-a. Neke to nažalost ne mogu pratiti jer možda nemaju tehnologiju ili ljude zadužene za to. Općenito, vrlo je malo ljudi koji se bave IT sigurnošću, pa i zbog toga same tvrtke nemaju te mogućnosti da se zaštite. Tu u priču dolazi 30SEC, koji možemo reći popunjava tu rupu na tržištu i potrebe korisnika koji žele veću sigurnost. Mi već imamo spremne tehnologije, ljude i procese unutar tvrtke, koji će im omogućiti da sigurno posluju”, kaže Filla.

“Praktički, svaka tvrtka koja želi unaprijediti svoju sigurnost može u kratkom roku s 30SEC dobiti konkretne prijedloge kako povećati svoju sigurnost, te kako općenito sigurno poslovati. Ako se odluče za suradnju s nama, mi ćemo ta rješenja također brzo implementirati i uspostaviti sve sustave koji će im omogućiti poslovanje na sigurnijoj razini. Poslije toga, osiguravat ćemo im kontinuiranu podršku kako bi im taj IT sustav radio ispravno”, zaključuje.

Krajem našeg razgovora, Filla se prisjetio i situacije u kojoj je bila hakirana jedna velika tvrtka. “Stigao mi je poziv u četiri ujutro i glas s druge strane mi je pomalo panično rekao ‘hakirani smo’ i ‘probijeni smo’. Napadač je tražio da mu se plati tri Bitcoina ili će objaviti sve podatke koje je ukrao. To je također jedna priča koja se sve češće događa, a takve priče su često i vrlo napete. U tom trenutku se obično involvira i cijela uprava kompanije, kompletni sigurnosni i IT sektor, a nekad čak i policija. Prilikom takvih incidenata komunicira se i s drugim tijelima, Poput CERT-a i sličnih, a takvih slučajeva je nažalost sve više”, zaključuje Filla.

Producirano u radionici TG Studija, Telegramove in-house agencije za nativni marketing