Informatički kriminalci vrebaju propuste

Virusi, 'crvi' i druge 'infekcije' te finansijske krađe i krađe ličnih podataka najviše ugrožavaju informatičku sigurnost (EPA)

Piše: Tomislav Šoštarić

Prema istraživanju Eurostata, Hrvatska je internetski najnesigurnija zemlja u Europskoj uniji – u odnosu na svakog četvrtog Europljana, ili 25 posto korisnika koji su se susreli sa sigurnosnim problemima poput virusa, crva i drugih ‘infekcija’ te financijskim krađama ili krađama osobnih podataka, u Hrvatskoj je takvih čak 42 posto.

Iako upozoravajući, ovi podaci naišli su na sumnju dijela hrvatskih stručnjaka. Lucijan Carić, stručnjak za informatičku sigurnost, kaže kako ih je teško zanijekati, ali i potvrditi.

Velika ‘tamna brojka’

“Ako govorimo o sigurnosnim problemima u informatici i informatičkom kriminalitetu potrebno je znati da je tzv. tamna brojka, odnosno broj neprijavljenih i time javnosti nepoznatih incidenata i kaznenih djela, vrlo velika. Također, podaci koji se mogu skupiti često ne govore dovoljno o tome da li su pojedini problemi ozbiljni i koliko su ozbiljni”, kaže Carić.

Čovjek najslabija karika

Carić i Skendžić upozoravaju da se nikada nikome ne bi trebali slati podaci o vlastitim korisničkim računima i lozinkama, o kreditnim karticama, pinovima i sl.

“Niti jedan pružatelj usluga na internetu nikada vas neće tražiti da mu date svoje korisničko ime i lozinku, osim tijekom uobičajene procedure priključivanja na servis, tzv. autentikacije. Niti jedna banka nikada putem maila neće vas tražiti broj vaše kartice, njen pin. Neće vam doma slati svoje službenike da provjere niste li prethodno kod njih podignuli krivotvorene novčanice ili ponuditi da umjesto vas odu do bankomata i podignu vam novac. Čovjek je najslabija karika svakog sigurnosnog sustava, treba biti oprezan, čak i nepovjerljiv, a neka od ponašanja koja sam opisao su standard i svako iskakanje ili iznimka treba unaprijed biti sumnjiva”, navodi Carić.

Svaka metodologija u tom smislu i na ovom području, objašnjava, ima neki problem. Primjerice, ako se broji svaki pokušaj infekcije virusom i svaki pokušaj kompromitacije web stranice ili informatičkog sustava, bez da se razmatraju posljedice toga, može se lako steći potpuno kriva slika.

“Pokušaji kompromitacije koji su uspješno spriječeni raznim sigurnosnim sustavima, tek su puko brojanje nečega čega ‘ima u zraku’, ali se ne manifestira među korisnicima. Identifikacija stotina ili tisuća nesigurnih web stranica ne znači ništa ako te stranice nitko ne koristi. Štoviše, u tom slučaju je čak logično očekivati da će biti nesigurne, budući da ih, kao nerelevantne, vjerojatno više nitko ni ne održava”.

No, Carić ne želi time poricati postojanje problema niti ga umanjiti, ali ističe da su problemi informatičke sigurnosti veliki izazov kojem nije izložena samo Hrvatska već sve zemlje, institucije, tvrtke i privatni korisnici.

Visoka aktivnost i zarada informatičkih kriminalaca

Među rizicima su maliciozni računalni programi, u koje ubrajamo viruse, crve i trojanske konje. Primjerice ‘Ransomware’.

“Proteklih godina informatički kriminalci posebno su aktivni po pitanju izrade trojanskih konja koji enkriptiraju (šifriraju) podatke na napadnutom računalu i nakon toga od vlasnika traže ‘otkupninu’ za dešifriranje. Ovakav oblik elektroničke ucjene vrlo je raširen i, nažalost, djelotvoran. Nedavno sam rekao kako sam gotovo siguran da su samo u kratkom razdoblju postojanja ove vrste rizika informatički kriminalci u Hrvatskoj zaradili više novca nego svi proizvođači antivirusnih programa ikada”.

Carić smatra da je antivirusna industrija na rizike reagirala presporo i nedovoljno inventivno, No, ističe i da se oni pojavljuju i šire munjevito i u milijunima varijanti, pa je teško očekivati učinkovit odgovor na vrijeme.

Na udaru su i tvrtke – ako se pogleda struktura poduzeća u Hrvatskoj, navodi, za velik broj malih tvrtki zaštita je gotovo nemoguća misija.

“Ne radi se samo o novcu, već i o potrebnom angažmanu i neophodnom znanju. Veća poduzeća i institucije u pravilu će imati postavljene sustave za zaštitu i vlastite stručnjake ili će potrebne usluge kupiti na tržištu. No, i dalje, zbog sve veće složenosti zaštite, potrebe ulaganja sredstava, a i dalje prisutnog rizika da doživite incidente, rekao bih da ne postoji dovoljno odlučan pristup zaštiti”.

Ni banke nisu sigurne

Carić ističe da je velik broj napada i pokušaja napada na korisnike elektroničkog bankarstva i same banke, pri čemu su neke banke propustile pratiti najnovije trendove napada i nisu na vrijeme unaprijedile svoje sustave. Vrlo je lako, kaže, prebacivati krivicu samo na korisnika jer on nema izbora već koristiti sustav kakav mu banka daje, odnosno nameće.

“Dan danas za kritične aplikacije koriste se platforme i rješenje za koja se zna da su problematična i nesigurna. Pored toga, nedavni napadi na banke pokazali su da ni one nisu sigurne jer se u nekim recentnijim slučajevima spominjala šteta i do milijardu eura. Naime, informatički kriminalci su shvatili da od klijenta možete ukrasti onoliko novca koliko klijent ima, dok od banke možete ukrasti sav novac svih klijenata”.

Važnost ‘back-upa’

Univerzalnog savjeta za zaštitu, kaže Carić, nema. No, ističe da je svakako bitno imati backup – arhivske kopije podataka, za što postoje dobri i ne preskupi sustavi arhiviranja preko interneta (cloud back-up).

“Vrlo je važno da sustav za arhiviranje ne bude izložen istim rizicima kao i računala čije sadržaje pohranjuje. Zato ne bi smio biti dostupan kao tradicionalni dijeljeni disk, što se pokazalo velikom pogreškom. Također, treba čuvati više verzija istog sadržaja kroz vrijeme. Na ovaj način izbjegavate da vam ostane ažurna samo zadnja verziju podataka koja može biti kompromitirana”.

I Aleksandar Skendžić iz informatičkog časopisa Vidi kaže da bi se o istraživanju moglo raspravljati te ne vjeruje da je situacija tako alarmantna. Problem bi pak, kaže, mogla biti prilična zastupljenost nelicenciranog softvera i slabo ulaganje u antivirusni softer.

Što se tvrtki i institucija tiče, problemi su vezani uz sigurnosnu politiku koja je propisana Zakonom o informacijskoj sigurnosti.

“Odredbe Zakona su jasne, ali ne postoje mjere koje bi ‘prisilile’ pridržavanje istih, iz čega proizlazi rizik narušavanja sigurnosti. Sigurnosna politika je vrlo važan čimbenik u računalnoj sigurnosti. Ona definira planiranje i opisuje ciljeve ili procedure sigurnosti. Sigurnosna politika može biti definirana kao izjava ciljeva koji se postižu određenim postupcima. Uvjeti u kojima sigurnosna politika može djelovati su opći, a ne specifični. Implementacija sigurnosne politike predstavlja svojevrstan nacrt sigurnosti unutar određenog sustava”, kaže Skendžić.

‘Socijalni inženjering’

Kad se radi o ‘listi’ problema ugrožavanja računalne sigurnosti, Skendžić nabraja neovlaštene autentifikacije korisnika, odnosno krađe lozinki, identiteta i slično, potom krađe tokena, pametnih kartica, razne virusne infekcije uzrokovane korištenjem nelicenciranog softvera pa sve do krađe podataka uzrokovanih ‘socijalnim inženjeringom’.

Uz već spomenuti ‘Ransomware’, Skendžić ističe ‘phishing’ kao jedan od oblika socijalnog inženjeringa u kojem napadači pokušavaju doći do brojeva kreditnih kartica, lozinki korisničkih računa i sl. putem elektroničke pošte, odnosno elektroničke poruke.

Poimanje tehnologije kao u 19. stoljeću

Hrvatska, smatra Carić, nema ‘državnu’ informatičku strategiju ni po pitanju ‘državne informatike’ ni po pitanju mogućnosti koje nove tehnologije nude razvoju gospodarstva te informatička sigurnost, kao važna komponenta nacionalne sigurnosti, praktično ne postoji. Tek nedavno se tržište jače pokrenulo po pitanju širokopojasnog interneta.

“Preregulirani smo, prebirokratizirani, porezi su nam nebeski visoki, a standard usluga koje za taj novac dobivamo vrlo nizak…Naši propisi i poimanje tehnologije više odgovaraju standardima 19. stoljeća, isto kao što pogledi na politiku odgovaraju drugoj četvrtini dvadesetog stoljeća, a svjetonazor srednjem vijeku. No, budućnost informatike i informatičara je svijetla i za njih se ne brinem, no za Hrvatsku ne mogu reći isto”.

No, ističe, mnogo sigurnosnih ugroza, osim od ‘napadača’, dolazi i zbog nemara korisnika. “Razina edukacije korisnika, po našem mišljenju, ima još puno prostora za popunjenje kroz seminare, radionice i slično. Razina edukacije kod korisnika raste, no još uvijek ne znamo i ne prihvaćamo kako se pravilno zaštititi”.

Kada se pak govori o institucijama i tvrtkama, razlog visoke razine narušavanja sigurnosti je nepoštivanje, odnosno nepostojanje ili neprovođenje sigurnosne politike.

Kupovina preko interneta i e-bankarstvo

Pritom ističe da načini zaštite podataka i educiranost ljudi u hrvatskim tvrtkama ne zaostaju za načinima zaštite podataka u EU i drugim zemljama – u sedam velikih IT tvrtki s više od 2.100 zaposlenih, što ističe kao veliku brojku za zemlju poput Hrvatske, te sa 2.750 tvrtki u toj djelatnosti, po podacima iz 2013. godine, Skendžić smatra da se mogu pronaći kvalitetna rješenja. 

“Sva tehnološka rješenja su nam dostupna, a jedino ograničenje je cijena rješenja. Da li smo spremni to i platiti?”.

Prema podacima iz 2013. godine, od sveukupnog broja internetske populacije u Hrvatskoj, 17 posto njih koristi internet za kupovinu proizvoda.

Dok Carić kaže kako su internetski trgovci koji imaju reputaciju u pravilu sigurni, Skendžić dodaje da je, primjerice,  prema američkom Zakonu o povjerenju online kupaca za svaku tvrtku protuzakonito davanje broja kreditne kartice korisnika trećim stranama.

Ipak, preporučuje da se prilikom kupnje napravi  kopija web stranice, iz čega se jasno vidi što je naručeno, sa svim relevantnim podacima.

Što se tiče e-bankarstva, Skendžić kaže da je sigurnost na visokoj razini. “Ali dodatni oprez je svakako preporučljiv kada govorimo o načinu čuvanja tokena – nikome ga davati, posuđivati”, upozorava Skendžić.

Izvor: Al Jazeera