Hakiranje KBC-a možemo gledati kao jedan u nizu šamara koji se događa institucijama u Hrvatskoj zbog čega se slobodno možemo pitati: zašto pobogu moramo učiti na greškama i to baš na ovako osjetljivom području?

U razgovoru s izv. prof. dr. sc. Stjepanom Grošem, inače profesorom na specijalističkom studiju Informacijska sigurnost na FER-u, razgovarali smo o tome kako se rješava slučaj KBC-a, kako izgleda ransomware napad, što je potrebno napraviti kada se on dogodi te kako brzo unaprijediti kibernetičku sigurnost.

“Tko nije u struci, uopće nema osjećaj za kibernetičku sigurnost”

Čudno je što nismo prije doživjeli ovakav napad, komentira Stjepan odmah na početku. Značajni incidenti relativno su česti na zapadu, dodaje, ali naša javnost i mediji ne prate u detalje takve situacije. Ipak, ističe kako ne treba upirati prstom jer odgovornost nije tako lako utvrditi, a linč neće ništa promijeniti.

U situaciji kada nema dovoljno novaca za lijekove i slično, teško je donijeti odluku da se novci odvajaju na sigurnost, kad statistički gledano nije velika vjerojatnost da će se napad doista i dogoditi. S druge strane, ako nestane lijekova i opreme, to će se itekako osjetiti.

Da ne govorim na potpun nedostatak osjećaja za kibernetičku sigurnost ljudi koji nisu u struci zbog čega postoji značajna sklonost podcjenjivanju tih opasnosti. Naravno, ne znači da nema baš nikakve odgovornosti, ali treba pristupiti hladne glave. 

Kako se KBC trenutno pokušava oporaviti od napada? Stjepan smatra kako KBC reinstalirava sve kompromitirane sustave, a mogući ishodi su raznoliki jer oni ovise o tome što je kompromitirano. Iako Stjepan ističe da je nezahvalno nagađati ishod jer ne znamo što se točno dogodilo, ali može se pretpostaviti da su trenutno samo podaci ugroženi:

No, treba imati na umu da se u bolnicama nalaze i uređaji koji, ako se kompromitiraju, mogu naštetiti ljudima, primjerice rendgeni, razne pumpe! To se u ovom slučaju gotovo sigurno nije desilo, ali, treba biti spreman i za takve scenarije u budućnosti.

Ransomware napad: otkrit ćete ga kad je već gotovo

Trenutni ransomware napadi sastoje se od dva koraka: krađe i šifriranja podataka, zbog čega “krađa” u digitalnom svijetu nije isto što i u fizičkom svijetu, objašnjava Stjepan.

Ako neki kriminalac ukrade, primjerice, 100 eura žrtvi, tada kriminalac ima novce, žrtva ih više nema. U digitalnom svijetu, “krađa” podataka se svodi na kopiranje i nakon krađe i kriminalac i žrtva imaju podatke. Zbog toga je u digitalnom svijetu puno teže detektirati krađu! U fizičkom svijetu primijetite da nečega nema, u digitalnom ne primjećujete ništa.

Uglavnom, nakon ovog drugog koraka, šifriranja, nastupa trenutak kada žrtva više nema podatke i podaci se trebaju spašavati. To je i trenutak kada se najčešće primjećuje da se dogodio napad.

Postoji li način da se podaci dešifriraju bez otkupnine?

Međutim, baš kao što ima needuciranih programera koji ne koriste jake i provjerene metode šifriranja kada razvijaju neku aplikaciju, tako ima i neopreznih i manje sposobnih kriminalaca. Izrada dobrih kriptografskih aplikacija je vrlo delikatna stvar i puno je načina da se pogriješi te na taj način poništi sigurnost sustava, ističe Stjepan:

I sad dolazimo do pitanja kako znati jesu li kriminalci pogriješili? Prvo se treba proučiti zloćudni program koji je kriminalac napisao i iz njega rekonstruirati način šifriranja. Tek se onda može reći ima li koja pogreška koja omogućava da se napravi alat za dešifriranje i na taj način vrate podaci bez da se išta plati kriminalcima.

Međutim, to je mukotrpno jer analiza se mora raditi u binarnom kodu koji se sastoji od iznimno puno, vrlo jednostavnih naredbi i to, potencijalno, može trajati mjesecima.

Što uopće znači “sva datoteka je spašena”?

Kada je šef SOA-e izjavio kako je “sva datoteka spašena”, na internetu se pokrenula rasprava što je pod time mislio. Komentiralo se i kako se možda mislilo na bazu podataka. Stjepan navodi kako se ta izjava mogla odnositi na razne stvari…

Spašavanje može značiti puno toga, primjerice, moguće da su imali digitalne kopije koje su mogli koristiti te koje su služile za rekonstrukciju.

Moguće je da su imali i fizičke kopije na papirima koje su ponovo upisivane u računalni sustav. Spašene mogu biti i tako da ih je moguće dešifrirati jer su kriminalci napravili pogrešku tijekom šifriranja – iako se ovo sve rjeđe događa.

Je li pametno ne pregovarati?

Premijerov stav o nepregovaranju s kriminalcima je ispravan jer pregovaranje samo potiče njihovo djelovanje, smatra Stjepan. Uz to, ističe da nikada ne možete biti sigurni da ćete plaćanjem vratiti podatke i da neće biti objavljeni na crnom tržištu.

Ima slučajeva u svijetu kada se ipak pregovara i plaća. Ponekad se to kaže, često puta se prešuti, a ponekad – kao u slučaju Colonial Pipelinea – se znatan dio sredstava vrati uz pomoć raznih agencija. Međutim, povrat sredstava mogu napraviti rijetki.

Stručnjaci za sigurnost su skupi i dugo se obrazuju, ali postoji alternativa

U koga uprijeti prstom zbog toga što je KBC bio nespreman za ovakav napad? Zbog raznih aktera koji su uključeni u proces teško je tek tako reći gdje su sve učinjene greške. Ipak, Stjepan smatra kako sve seže do samog vrha, tj. do Vlade RH:

Ali, Vlada RH radi ono što će im omogućiti pobjedu na idućim izborima, a pobjedu im svakako neće donijeti jako dobra kibernetička sigurnost. Stvar je još zanimljivija, jer ako imamo dobru kibernetičku sigurnost i dobro smo odradili posao, onda nema napada! I kako onda vidimo da radimo dobar posao? To je dilema koju ima skoro svatko, u cijelom lancu od najviše pozicije do najniže pozicije.

To ne znači da se u državi ne radi ništa po pitanju kibernetičke sigurnosti, radi se dosta, i mislim da RH relativno dobro stoji u usporedbi s okruženjem. Ali treba još puno napraviti.

Ipak, stručnjaci ovog profila su dosta skupi i teško ih je pronaći na tržištu. Razlog tome je što edukacija takvog kadra traje dulje od edukacije jednog programera. Kako bi osoba bila sposobna tražiti ranjivosti u programima, tako mora znati programirati i niz detalja vezanih uz pogreške koje se rade te specifičnosti programskih jezika – koje programeri ne moraju znati, zaključuje Stjepan.

Tu se otvara još jedan potencijalni izvor stručnjaka za sigurnost, a to je iz redova vlastitih ljudi koji su dobri stručnjaci za nešto, primjerice mrežnu administraciju, sistemsku administraciju pa da im se nadogradi znanje iz sigurnosti.

U svakom slučaju, unaprjeđivanje sigurnosnih protokola kreće sa zapošljavanjem/edukacijom odgovarajućeg kadra ili ugovaranjem manjih agencija te definiranjem budžeta za sve potrebno u tom procesu, zaključuje Stjepan.