Foto: Pixabay, D. KOVAČEVIĆ
Stručnjak iz Hrvatske udruge menadžera sigurnosti o izazovima kibernetičke sigurnosti
povezane vijesti
- Novi detalji hakerskog napada na Luku Rijeka. Nije zatražena otkupnina, sve je počelo prošlog vikenda
- Hakeri napali Luku Rijeka! Traže otkupninu za ukradene račune, dosjee i povjerljive informacije
- Dnevno se u svijetu dogodi 600 milijuna kibernetičkih napada, a jedna vrsta prijevara posebno brine stručnjake
S napretkom tehnologije rastu i naše mogućnosti. Za čuti se s nekim s drugoga kraja svijeta dovoljno je dva puta stisnuti gumb i već smo »tamo«.
No, napredak u isto vrijeme otvara i mogućnost da ga se zlouporabi. Stvari koje smo ne tako davno čitali samo u romanima (znanstvene) fantastike i distopijskim romanima tako polako postaju stvarnost. Od tehnologije skeniranja lica, i to baze ljudskih šarenica, po kojima se osoba može identificirati kao po otisku prsta, mogućnosti su danas nebrojene.
Naravno, tehnologija tu nije nikakav »krivac«, već možemo samo problematizirati načine na koji je ljudi koriste.
No, najvažnije je kako neku novu tehnologiju javnost vidi, hoće li je prihvatiti ili joj se oduprijeti. U takvim slučajevima nemalu ulogu igra sigurnost – upotreba neke tehnologije će se opravdati namjerom da je tu »radi naše sigurnosti«, a zapravo ne mora biti tako. S druge strane, kako se sve više infrastrukturno oslanjamo na digitalni svijet, već je dugo važno kako čuvamo kritičnu infrastrukturu koja nam omogućuje da sve naše poslove, i privatne i državne, možemo obavljati nesmetano, bez upada neželjenih aktera.
U tom smislu u Hrvatskoj je nedavno predstavljen nacrt novog Zakona o kibernetičkoj sigurnosti koji treba slijediti direktivu Europske unije NIS2 o sigurnosti.
O svemu tome razgovarali smo s Alenom Delićem iz Hrvatske udruge menadžera sigurnosti.
Dvosjekli mač
Ponajprije smo se dotaknuli tehnologije skeniranja lica koja je već vrlo razvijena. Ta znamo da ju ima »svaki drugi« pametni telefon pomoću koje ga se može otključati, no skeniranje lica ima i puno širu primjenu. U pozitivnom smislu može olakšati hvatanje kriminalca, no to je uvijek dvosjekli mač. Jer, u crnim scenarijima država ga može koristiti za traženje onih koji moralno nisu ništa skrivili, ali su državi nepodobni. Kako bilo, u Kini se naprimjer tehnologija prepoznavanja lica uvelike koristi, a u Europskoj uniji radi se na njenoj zabrani. Naš sugovornik smatra kako je takvu zabranu vrlo teško provesti.
– Problem koji ima Europska unija proizlazi iz njezinih namjera. EU želi biti predvodnik zaštite prava pojedinaca, prava potrošača, ljudskih prava. Želi regulirati nešto i očekuje da će time diktirati funkcioniranje za cijeli svijet, no to nije realno. Što znači da će tehnologija prepoznavanja lica biti zabranjena u EU-u?
Hoćemo li zabraniti tehnološkim tvrtkama da razvijaju bilo kakve proizvode i usluge koje koriste prepoznavanje lica?- pita se Delić.
Primjećujemo da bi, načelno, zabrana korištenja te tehnologije išla prema državnom aparatu i policiji, osim u slučajevima terorizma. Naravno, i u tim slučajevima tehnologija se može zlorabiti, no u demokratskom društvu trebali bi postojati mehanizmi i za takvu kontrolu.
– Sve vam je stvar kako se neka tehnologija predstavi široj javnosti. Mogao bih se kladiti da sada provedemo anketu i pitamo ljude je li nam potrebno da država koristi tehnologiju prepoznavanja lica ili čak i otiske prsta na koje smo se navikli, da bi ljudi rekli – ne. Ali s druge strane, kad imate perspektivu rata gotovo na granicama EU-a, i ako javnost bude uvjerena da je to radi njene sigurnosti, ona će na to pristati.
Percepcija građana je uvijek iznimno bitna, podcrtava naš sugovornik. Dodaje kako se tehnologija prepoznavanja lica, osim u Kini, uvelike koristi i u Singapuru.
Baze podataka
– Singapur je iznimno razvijena država u tehnološkom pogledu, ima ogroman broj kamera po ulicama te mogućnost da se temeljem prepoznavanja lica kazni nekoga tko je, naprimjer, prešao cestu na neoznačenom mjestu. No, oni je koriste na iznimno jasan način. Zakonski je to dobro definirano i jako dobro štite svoje sustave, opisuje Delić.
Naravno, da bi se takvi sustavi razvili, potrebno im je jako puno podataka, fotografija ljudskih lica, a mi ljudi ih najčešće dajemo i dobrovoljno, kroz različite aplikacije koje se predstavljaju kao zabavne, na primjer, one u kojima se možete pomladiti ili postarati, ili nedavni »hit«, u kojem nas na temelju fotografije računalni program može prikazati kao popularni filmski lik. No, svi ti programi prikupljaju osobne podatke, u ovom slučaju fotografije.
– To je izvrstan primjer kako se ljudima nešto prikazalo kao zabava da bi se prikupili podaci i razvila tehnologija. Sama tehnologija prepoznavanja lica je iznimno napredovala i sad zapravo nema »natrag«. Jedino je pitanje na koje će se načine koristiti, kaže Delić.
Od novih načina prikupljanja podataka tu je i projekt Worldcoin, koji je pokrenuo Sam Altman, suosnivač i direktor tvrtke OpenAI, koja je razvila ChatGPT.
Worldcoin Altman vodi zajedno s Alexom Blaniom, u tom projektu se u zamjenu za skeniranje šarenice, dijela oka pomoću kojeg se lako može utvrditi identitet pojedinca, ljudima koji se odazovu nudi kriptovaluta.
Osnovna ponuda projekta je »World ID«, koji tvrtka opisuje kao »digitalnu putovnicu« kako bi dokazala da je njezin vlasnik pravi čovjek, a ne program umjetne inteligencije. Kako bi dobio World ID, korisnik se prijavljuje za osobno skeniranje šarenice pomoću Worldcoinove srebrne kugle, otprilike veličine kugle za kuglanje.
Nakon što skeniranjem šarenice kugla potvrdi da je osoba pravi čovjek, stvara se World ID.
Skeniranje se nudi na 127 lokacija diljem svijeta: u Španjolskoj, Argentini, Keniji, Japanu, Indiji… I, prema odazivu koji javlja Reuters, čini se da ljudi nisu previše zabrinuti što će s njihovim podacima činiti Worldcoin.
– Worldcoin je samo jedan od projekata kojih ima jako puno. Ljudi koji razvijaju takve baze podataka imaju ogroman broj dostupnih ljudi, danas nas je na svijetu više od osam milijardi… A, ponavljam, tu je ključna percepcija građana. Dok svi ne počnemo sustavno učiti ljude da sami mogu prepoznati određene rizike. To mora početi od malih nogu, od vrtića pa preko škole, fakulteta, zatim na poslu. Dok ne počne sustavno obrazovanje u tom pogledu nećemo napraviti bitne pomake.
No, dobro je što je edukacija o informatičkoj i kibernetičkoj sigurnosti ušla u društveno odgovorno poslovanje pa će sada veći broj kompanija učiti svoje zaposlenike i korisnike o različitim rizicima. To je pomak u dobrom smjeru, ali koji treba još pojačati. I ne mislim tu samo na Hrvatsku, već i Europu i cijeli svijet. No, to se ne može riješiti kroz dan-dva nego je potrebno jako puno godina, opisuje Delić. Za kraj smo se dotaknuli i nacrta prijedloga novog Zakona o kibernetičkoj sigurnosti.
On predviđa jačanje Centra za kibernetičku sigurnost koji je uspostavljen unutar Sigurnosne obavještajne agencije, kao i usklađivanje s propisima EU – NIS2. Otvara se pitanje je li dobro da SOA bude agencija koja će biti nositelj Centra, a s obzirom na njezinu primarnu djelatnost i potrebu tajnosti koju kao sigurnosna agencija ima.
Rano upozorenje
– Iz perspektive Hrvatske udruge menadžera sigurnosti nama je skoro potpuno svejedno tko će voditi neki centar, tko je regulator ili tko vrši nadzor. Vidjeli smo u izjavi SOA-e da se ne radi o reguliranju nego o jačanju kapaciteta, sposobnosti otpora.
No, iako nam se ne čini važnim tko će biti nadzor, tj. regulator, bitno je da su pravila jasno definirana, da se zna na koji način se podaci prikupljaju i da se zna koje se mjere provode. Suzdržao bih se od komentiranja hoće li SOA imati informacije koje ne bi trebala imati jer smatram da je to puno kompleksnije pitanje, kaže Delić.
Dodaje kako je kod zakona dobro što će zahtijevati i od tijela javne uprave i od privatnih firmi bitnih za sigurnost infrastrukture u Hrvatskoj da podignu razinu svoje sigurnosti.
– Dio sektora to već dobro radi, jer su i zakonski primorani, poput bankarskog, no ovime će se njihov broj proširiti. Dobro je i što će sada sigurnosne informacije biti centralizirane u jednoj agenciji. A to je važno kako bi se, kada se dogodi neki napad, poput onog na Inu prije nekoliko godina, mogli brzo drugim organizacijama dojaviti o kakvim se napadu radi i na što više treba obratiti pozornost u tom trenutku, kaže Delić.
Zaključuje da koje god tijelo ili kako ga god zvali, bilo ono regulator ili nadzornik, centar informacija, nije sto posto odgovorno da štiti bilo koju organizaciju.
– Svaka organizacija, bilo tijelo javne vlasti ili privatna organizacija, zadužena je provoditi mjere zaštite. U nekim sektorima je to više regulirano, naprimjer banke i telekomi, a drugdje manje, naprimjer u tijelima javne vlasti.
No, ovaj novi zakon će i njih prinuditi da pojačaju sigurnost. Tek na to dodajemo dodatnu razinu, na primjer SOA-in sustav SK@UT kao središnji sustav za otkrivanje, rano upozorenje i zaštitu od državno sponzoriranih kibernetičkih napada, APT kampanja te drugih kibernetičkih ugroza. To je zapravo sustav koji analizira mrežni promet prema internetu i s njim povezane anomalije i sličan je komercijalnim rješenjima koje koriste neke kompanije i same, kaže naš sugovornik.
Na kraju zaključuje da je važno da nitko ne bi trebao moći ugraditi sustave za zaštitu u bilo koju organizaciju bez znanja i pristanka te organizacije.
– Vanjski sigurnosni sustavi ne smiju utjecati na rad organizacije. Također, sustavi sigurnosti se ne smiju testirati bez znanja organizacije čiji se sustav testira, ali mislim da to neće biti sporno, zaključuje naš sugovornik.
Problem i nedostatak kvalificiranog kadraGovoreći generalno o kibernetičkoj sigurnosti u Hrvatskoj, Alen Delić iz Hrvatske udruge menadžera sigurnosti podsjeća na statistike prema kojima je, prije šest-sedam godina, Hrvatska imala jedan od najvećih brojeva zlonamjernih programa u internetskom prostoru. Također, iako se možda često smatra da smo »mali i nezanimljivi« za kibernetičke napade, Delić kaže da je slučaj upravo suprotan. – Hrvatska je članica Europske unije i NATO-a, dakle po tome sigurno nismo nezanimljivi. Naravno da to moramo kategorizirati, ali sigurno da će netko s lošim namjerama, ako bude htio »napasti« EU ili NATO, prije ići kod nas koji možda imamo slabije zaštićene sustave. No, nismo mi tu jedini koji zaostajemo. Mislim da cijeli svijet ima problem s razumijevanjem viših upravljačkih razina o važnosti općenito informacijske sigurnosti i kibernetičke sigurnosti. Uprave, kako javnih, tako i privatnih tvrtki, nerijetko ulažu premala sredstva u tu vrstu sigurnosti. Problem je i nedostatak kvalificiranog kadra koji bi se sigurnošću mogao baviti. Jedan od načina kako će se ovi problemi riješiti je uska suradnja privatnog i javnog sektora. To je u svijetu potpuno normalno i htjeli mi to ili ne, i privatni sektor ima veliku važnost u cjelokupnoj obrani nacionalne sigurnosti. To je nešto na što će se u budućnosti morati osloniti i Hrvatska, opisuje Delić. |