Svatko od nas može postati meta hakera
Konferenciju IT Risk održanu u četvrtak, 19. 3. 2015. u hotelu Westin u Zagrebu organizirali su Institut za osiguranje i časopis Svijet osiguranja u suradnji s Hrvatskim forumom za urbanu sigurnost i časopisom Zaštita tvrtke Tectus d.o.o. iz Zagreba, uz potporu Britanskog veleposlanstva, UK Trade and Investment ureda i Cyber Risk and Insurance Foruma. Sponzori konferencije su jedan od vodećih svjetskih reosiguratelja Gen Re, tvrtka za integriranu sigurnost i digitalnu forenziku iz Zagreba INsig2 i hrvatska IT tvrtka Megatrend poslovna rješenja
U 2014. oko 1000 web poslužitelja u Hrvatskoj bilo je na neki način kompromitirano. Broj cyber incidenata stalno se povećava, a ako uspoređujemo s 2013. godinom, to je porast od čak 20 posto. “Sredinom prošle godine hrvatski poslovni korisnici bili su uvelike zaraženi Zeus malwareom koji je harao Hrvatskom i Velikom Britanijom”, rekao je Darko Perhoč, pomoćnik ravnatelja CARNet-a i voditelj Nacionalnog CERT-a.
Govoreći o projektu ACDC i ulozi portala nacionalnog centra podrške u smanjenju cyber rizika u Hrvatskoj, objasnio je da se među najčešće napade na krajnje korisnike ubrajaju krađa identiteta, kompromitirana računala, krađa intelektualnog vlasništva, ucjena kriptiranim sadržajem i slično. Perhoč je bio jedan od uvodnih govornika na konferenciji IT Risk, na kojoj se govorilo o tome kako se zaštititi i umanjiti ekonomsku štetu nakon cyber napada.
S obzirom na posjećenost (oko stotinu sudionika) i zainteresiranost sudionika za aktualnosti iz cyber sigurnosti, nema sumnje da su cyber rizici sve više u fokusu interesa i poslovnih subjekata i krajnjih korisnika, ali i samih IT stručnjaka i osiguratelja. Sigurnosne računalne prijetnje u svijetu, a tako i u Hrvatskoj, sve su brojnije. Teško im odolijevaju ne samo male tvrtke nego i velike korporacije i organizacije, iako u računalnu sigurnost ulažu puno sredstava. Štete od cyber napada mogu biti enormne, a to su na vlastitom primjeru u proteklim godinama osjetile mnoge tvrtke.
Ne čudi stoga što se, primjerice, lani udio osiguranja od cyber rizika u 2014. godini udvostručio u odnosu na 2013. godinu. Police osiguranja cyber rizika mogu pokriti širok raspon troškova i gubitaka povezanih sa cyber kriminalom, uključujući krpanje rupa u računalnim mrežama, lociranje hakera, obavještavanje korisnika i troškove sudskih tužbi, kao i unaprijed predviđenih poslovnih i PR kampanja.
Konferencija je bila podijeljena u dva modula. Prvi se odnosio na cyber rizike i sigurnost IT sustava, a drugi na osiguranje cyber rizika, a održane su i dvije panel rasprave, kao i radionica o važnosti kriznog menadžmenta koju je vodio Michael Shen, zamjenik dopredsjednika grupe Liberty Specialty Markets iz Londona.
Kristina Posavec iz Odjela za visokotehnološki kriminalitet MUP-a svojim je predavanjem o konkretnim posljedicama cyber napada, upoznavanjem sudionika s profesionalnim i naivnim mulama, odnosno ljudima koji pomažu hakerima u cyber kriminalitetu, privukla veliku pozornost slušatelja. Upozorila je da većina ljudi ne provjerava podatke koji im stižu, recimo o promjeni računa, a koji ustvari predstavljaju čest oblik krađe podataka. Savjetovala je i da se računala ne diraju ako poslovni ili fizički subjekt shvati da je ostao bez novca na računu jer je u tom slučaju presudna dobra forenzika računala. A o forenzici je govorio Jerko Burić iz tvrtke INsig2, koji je istaknuo da danas uopće nije pitanje hoćete li biti napadnuti nego kada, te da posebno zabrinjava nemogućnost brzog detektiranja napada.
Tomislav Šutija iz tvrtke Megatrend pojasnio je da su u doba interneta podaci najvažniji dio ICT-a koji imaju najveću vrijednost. Informacije o IT rizicima sudionicima su pružili i vrhunski stručnjaci iz područja cyber sigurnosti poput Freddyija Dezeurea, direktora CERT-a za institucije, agencije i tijela Europske unije iz Brisela, koji je predstavio pregled trenutačnih cyber prijetnji i kako one utječu na upravljanje rizikom, ili pak Cinzia Altomare, autorica i članica znanstvenog odbora priznatog web portala posvećenog pitanjima osiguranja odgovornosti Giuffrè, koja je stigla iz podružnice General Reinsurancea u Milanu. Kao menadžerica fakultativnog reosiguranja, istaknula je da su cyber rizici nešto što se više nikako ne može izbjeći. U SAD-u su oni najizraženiji, no ni Europa nije imuna, iako je Europska komisija o tom problemu počela brinuti puno kasnije od SAD-a. U svijetu se, istaknula je, svakoga dana dogodi čak oko dva milijuna cyber napada.
Na panelu koji je moderirao neovisni IT stručnjak Matija Gračanin govorilo se o potrebi unaprjeđenja web poslužitelja, važnosti svijesti o računalnom osiguranju te problemu otvaranja zaraženih linkova. Moglo se čuti da uprave tvrtki još nisu u dovoljnoj mjeru svjesne rizika s obzirom na to da im je budžet za cyber sigurnost jako teško osigurati. Ivica Perica iz tvrtke Deloitte Croatia kazao je da cyber aktivnost traži proaktivnost, odnosno predviđanje što bi se sve moglo dogoditi. Michael Shen je, pak, govorio o rasponu pokrića cyber osiguranja i istaknuo razliku od običnog osiguranja od odgovornosti. On smatra da, ako tvrtka nema dobro pokrivene cyber rizike, njezini će klijenti otići konkurenciji. Jednako je tako i s osigurateljima, ako ne mogu ponuditi dovoljno kvalitetne police cyber osiguranja, tvrtka će potražiti osiguratelja koji to može. Specijalizirana cyber polica koja pokriva sve cyber rizike svakako je najbolje rješenje. Miroslav Štampar iz Zavoda za sigurnost informacijskih sustava istaknuo je kako svatko od nas može postati meta hakera, te kako su nove vrste prijetnji kriptomalveri i razvoj umjetne inteligencije.
A o čemu tvrtke trebaju voditi računa prilikom kupnje police cyber osiguranja, raspravljalo se na panelu koji je moderirao Tin Lesić iz Aona Hrvatska. Moglo se čuti da, dok su inozemne tvrtke koje rade u Hrvatskoj itekako svjesne opravdanosti polica osiguranja od cyber rizika, to nije slučaj s lokalnim tvrtkama, a ni s menadžmentom tvrtki koji ne prihvaća ove probleme kao top probleme u sigurnosti. Lesić je istaknuo i da je Aon, primjerice, razvio potpuno besplatan alat za dijagnostiku cyber rizika koji izračunava koliko je vaša tvrtka izložena cyber riziku jer će ti rizici u budućnosti biti još izraženiji.