Početkom veljače jedno je poduzeće sa slavonskobrodskog područja ostalo bez nekoliko stotina tisuća kuna. Bili su žrtva tzv. BEC (Business E-mail Compromise) prevare – nepoznata osoba presrela je njihovu elektroničku komunikaciju s poslovnim partnerom, tvrtkom iz Turske, što ih je u konačnici koštalo nekoliko stotina tisuća kuna. Mogli smo čitati i o hakerskom napadu na A1, kada je maloljetni haker od tog teleoperatera tražio da mu uplate pola milijuna američkih dolara ili će kompromitirane podatke korisnika prodati na dark webu.
S obzirom na česte vijesti o raznoraznim prevarama, važnosti sigurnosti na internetu i činjenici da kibernetički zločini postaju sve veći problem, poslali smo upit MUP-u. Zanimalo nas je kolika je materijalna šteta nastala takvim vrstama zločina te koliki je porast zabilježen u proteklih nekoliko godina.
Podaci o šteti koje smo dobili iz MUP-a svjedoče o razini problema. Materijalne štete za sva kaznena djela iz Glave kaznenih djela protiv računalnih sustava, programa i podataka Kaznenog zakona bilježe veliki rast – u 2018. godini zabilježena je šteta u iznosu od 7.350.262,00 kuna, u 2019. u iznosu od 4.799.195,00 kuna, u 2020. godini u iznosu od 40.125.656,00 kuna, a u prošloj godini od čak 77.816.990,00 kuna.
U 2021. godini je, prema preliminarnim podacima MUP-a, evidentirano ukupno 1.563 kaznenih djela kibernetičkog kriminaliteta.
Razriješeno 65 posto slučajeva
Kako se navodi u MUP-ovoj publikaciji Covid i kriminalitet u 2020., u 2020. prijavljeno je 1.188 kaznenih djela kibernetičkog kriminaliteta, što predstavlja pad za 59,5 % u odnosu na 2019. kada je prijavljeno 2.930 takvih djela, međutim, ne radi se o padu kriminaliteta, već je – kako u publikaciji pojašnjava MUP – tijekom 2020. došlo do usklađivanja statističkog prikaza kaznenih djela kibernetičkog kriminaliteta s odredbom Kaznenog zakona o produženom kaznenom djelu. Naime, navedena odredba nalaže da se postupanje počinitelja, iako čini više odvojenih radnji, ne tretira statistički kao više djela, nego kao jedno produženo djelo, jer se radi o ostvarenju istih kaznenih djela. Razriješeno je 65 posto slučajeva, a jedan počinitelj prosječno počini 5,5 djela.
Tijekom 2020. evidentirana su sva tri glavna oblika kibernetičkih napada (cryptolocker ransomware, DDoS i internetske prijevare) te su oni i nadalje dominantne prijetnje.
Covid kriza pojačala problem
Covid kriza osim na zdravstvenom, probleme donosi i na kibernetičkom planu – dovela je do povećanog broja sigurnosnih incidenata i napada.
Krešimir Filla, sigurnosni stručnjak iz Combisa, za Faktograf potvrđuje da je kibernetički kriminal godinama u kontinuiranim rastu. Glavni motiv je zarada kaže Filla, a očekuje i daljnji rast ovakvog tipa kriminala.
Objašnjava i zašto: “Jedan od glavnih razloga za povećanje je drastično promijenjen način rada u tvrtkama gdje je s omogućavanjem rada od kuće proširena površina za napad na iste. Kako bi se omogućio nesmetan rad udaljenoj radnoj snazi, mnoge tvrtke su opustile sigurnosne mjere kako bi poslovanje moglo nastaviti nesmetano te time dodano povećale ranjivost na napade. Dodatno, prošlu godinu obilježio je veliki broj kritičnih ranjivosti u softverskim proizvodima najvećih svjetskih tvrtki, što su kriminalci i kapitalizirali. Uz navedeno, zbog ubrzane digitalizacije, kompleksnost IT sustava raste velikom brzinom, što je teško popratiti iz sigurnosne perspektive.“
Filla dodaje da na globalnoj razini postoji manjak stručnjaka na polju kibernetičke sigurnosti, a problemu doprinosi i kada tvrtke (privatne i državne) nemaju prikladne budžete za zapošljavanje i zadržavanje sigurnosnih stručnjaka, što dovodi do toga „da je te tvrtke puno lakše kompromitirati, što kriminalne skupine svakako iskorištavaju”.
Vlatko Košturjak, CTO u Divertu, kaže da ne vidi da će se trend povećanja kibernetičkog kriminala u budućnosti smanjiti.
“Sve više populacije se digitalizira, pa tako i kriminalci. Jednostavno, svi prate trendove, a kriminal nije iznimka. Zbog nedostatka znanja i iskustva, pridošlice u digitalni svijet su laka meta i kriminalci jednostavno iskorištavaju ponuđeno. Ponekad je i nama profesionalcima teško prepoznati prevaru ili sofisticiraniji napad na prvi pogled. S druge strane, digitalni prostor i populacija koja koristi taj digitalni prostor je u porastu, pa je teško očekivati pad ovakve vrste kriminala”, kaže.
Iz nacionalnog CERT-a, CARNET-ova tijela čiji je zadatak obrada računalno-sigurnosnih incidenata u RH, navode da broj računalno-sigurnosnih incidenata koji obrađuju “varira iz mjeseca u mjesec te nije moguće jednoznačno odrediti je li trend u porastu ili opadanju. Primjerice, u prosincu 2021. godine obrađeno je 75 incidenata, za razliku od prethodnog mjeseca kada je obrađeno 126 incidenata, što možemo pripisati blagdanima, odnosno manjem broju prijava incidenata u to vrijeme”, kazali su nam.
Najveći porast incidenata na početku epidemije
Iako je transformacija poslovanja na rad od kuće i online rad u velikoj mjeri utjecala na rast kibernetičkog kriminala, Fila napominje i da zbog investicija u sigurnosne produkte tvrtke lakše uspijevaju detektirati napade, što rezultira i percepcijom o porastu broja ovakvog tipa napada. “Na žalost, još uvijek se dobar dio napada detektira kada je prekasno, jer nabava sigurnosnih produkata nije jedina stvar koju je potrebno napraviti da bi se tvrtke, a i pojedinci, zaštitili od kibernetičkih napada”, dodaje Filla.
Slično navode i iz CERT-a. Oni su također tijekom pandemije zabilježili povećanje računalno-sigurnosnih incidenata, kao i onih povezanih s Covid-19 temama, kao što su phishing kampanje koje korisnike navode na odavanje osjetljivih podataka služeći se temama poput najnovijih statistika. “Najveći porast takvih incidenata zabilježen je na samom početku pandemije, odnosno u ožujku i travnju 2020. godine, na što su korisnici pravovremeno upozoreni. U 2020. godini je obrađeno više incidenata nego u 2021. godini, što svakako možemo povezati s pandemijom. Osim već spomenutih phishing kampanja, povećan je rizik od računalno-sigurnosnih incidenata zbog rada od kuće”, kazali su iz CERT-a za Faktograf.
Kako se navodi u CERT-ovom izvještaju za 2020. godinu, tijekom te godine je zaprimljeno i obrađeno ukupno 1.710 prijava koje se mogu klasificirati kao računalno-sigurnosni incidenti u nadležnosti Nacionalnog CERT-a. Vodeći tipovi incidenata su phishing URL, phishing i pogađanje zaporki.
“Pandemija je povećala ranjivost na računalno-sigurnosne incidente najviše zbog rada od kuće. Organizacije su bile primorane brzo djelovati i organizirati rad od kuće. Nažalost, većina njih na to nije bila spremna te nisu imali dovoljno vremena za ojačavanje sustava. Napadači su se fokusirali na iskorištavanje ranjivosti i VPN sustave što je bio slučaj i kod ozbiljnijih napada poput napada na SolarWinds i Microsoft Exchange. Važno je napomenuti kako je osim tehničkih zaštita važna i svijest korisnika o prijetnjama koje dolaze s interneta”, dodaju iz CERT-a.
Košturjak kaže da je Covid-19 uzrokovao ubrzanu digitalizaciju gdje su se „doslovno preko noći izložili servisi i aplikacije koje su donedavno bile iza zatvorenih vrata, odnosno vatrozida. Bez dodatnih sigurnosnih provjera i implementacije sigurnosnih kontrola takvi sustavi jednostavno zovu napadače“. Košturnjak smatra da je sada „krajnje vrijeme da se takvi sustavi provjere ili testiraju, te da se krene u sustavni pristup izlaganja servisa i aplikacija i sa sigurnosne strane. To uključuje i aktivan sigurnosni nadzor i nakon implementacije“.
Filla ističe da raste svijest oko problema kibernetičke sigurnosti i kibernetičkog kriminala, ali „ne iz razloga zbog kojeg bi trebalo i ne tempom kojim bi trebalo“. Glavni okidač obično su slučajevi kompromitacije i napada na tvrtke.
Što nas očekuje?
Ovaj problem koji je ojačao covid krizom nakon nje neće nestati, na što upozoravaju i iz MUP-a.
Filla očekuje nastavak trenda napada na tvrtke iznuđivačkim tehnikama, prvenstveno napade iznuđivačkim kodom (ransomware) te prijetnje objavama ukradenih podataka u slučaju neisplate otkupnine. Očekuje i upade kroz lanac nabave te kompromitacije nedovoljno zaštićenih okruženja u oblaku, što spada među najrelevantnije metode napada na tvrtke. Uz sve to, aktualniji će biti i napadi na Internet spojene uređaje (Internet of things; IoT).
Kibernetički kriminal koristit će se i u geopolitičkim sukobima, pa tako Filla kaže da se može očekivati “i porast u napadima na kritičnu infrastrukturu te povećan broj napada na državne institucije”.
“Nedostatak radne snage na polju kibernetičke sigurnosti biti će jedan od glavnih problema s kojima će se tvrtke i dalje suočavati, a s povećanom adopcijom kripto valuta, očekujem i povećanje napada na pojedince s ciljem krađe istih, te normalno, nastavak trenda krađe osobnih podataka”, navodi.
Filla razinu cyber-sigurnosti u Hrvatskoj opisuje kao ‘osrednju’. Ovu ‘trojku’ podiže financijski sektor koji je prepoznao važnost sigurnosnih rješenja.
„Porastom količine cyber-kriminala i kao posljedica povećane svijesti o kibernetičkim napadima koji su se dogodili u proteklom razdoblju, tvrtke u svim vertikalama pokazuju sve veći interes za uključivanje sigurnosti u poslovne procese, ali se suočavaju s navedenim nedostatkom radne snage i ekspertize koja sigurnost može uspostaviti i održavati na nivou potrebnom da bi se kibernetički napadi spriječili i detektirali na vrijeme te na njih adekvatno odgovorilo“, ističe sigurnosni stručnjak iz Combisa.
Košturjak u praksi vidi veliku razliku između reguliranih i nereguliranih industrija. “Jednostavno, područja i industrije koje su regulirane pokazuju određenu zrelost, dok je ispravan pristup ili posvećenost ove teme kod nereguliranih više iznimka. Tako prati i ulaganje. Oni koji to moraju, ulažu više, jer su regulirani“, kaže, pa dodaje da se sigurnost više percipira kao trošak, a manje kao investicija.
Ističe i da je sve više ozbiljnih sigurnosnih incidenata kod nas, ali još ih je više, i ozbiljniji su, u našem susjedstvu. Stoga se može očekivati prelijevanje toga trenda i ovdje. Smatra da treba raditi na prevenciji, ali i biti pripravan i za ozbiljnije incidente. „Ukratko, dosta je napravljeno na regulatornom dijelu i tehničkom, ali postoji još veliki prostor za poboljšanje. Ono što i reguliranoj i nereguliranoj industriji nedostaje je aktivan pristup obrani i informacijskoj sigurnosti. Što prije krenemo, manji ćemo imati jaz, jer sigurnost je kontinuirani proces i na njemu treba svakodnevno raditi i poboljšavati. To znači kontinuirano educirati ljude, poboljšavati tehnologiju i procese, jer vrlo brzo možemo postati arhaični, odnosno neupotrebljivi“, zaključuje Košturjak.