KIBERNETiČKI RAT

KBC Zagreb najopasnije napadnut nakon napada na Ministarstvo financija, Poreznu upravu, HNB, Zagrebačku burzu

Kako tvrde iz KBC Zagreb su pritom radi dodatnih provjera bili primorani isključiti sve sustave te će iste vraćati u produkciju kada se uvjere u njihovu sigurnost i ispravnost. Ostaje tek da se vidi o kakvom je tipu napada riječ, koji su podaci kompromitirani.

KBC Zagreb najopasnije napadnut nakon napada na Ministarstvo financija, Poreznu upravu, HNB, Zagrebačku burzu
Depositphotos / Ilustracija

Veliki hakerski napad gotovo je pa paralizirao rad najvećeg domaćeg Kliničkog bolničkog centra Zagreb, potvrđeno je jutros medijima iz ove zdravstvene institucije, kako stvari stoje sve je počelo u četvrtak u ranim jutarnjim satima.

Sve se to dogodilo samo nekoliko sati nakon što su napad na svoje internetska odredišta (web stranice) zabilježili Ministarstvo financija, Porezna uprava, HNB, Zagrebačka burza koje su proradile oko 20 sati.

Kako tvrde iz KBC Zagreb su pritom radi dodatnih provjera bili primorani isključiti sve sustave te će iste vraćati u produkciju kada se uvjere u njihovu sigurnost i ispravnost. Ostaje tek da se vidi o kakvom je tipu napada riječ, koji su podaci kompromitirani.

Pritom treba istaknuti NIS2 i Zakon o kibernetičkoj sigurnosti. Direktiva NIS2, ključno zakonodavstvo o kibersigurnosti na razini Europske unije, predstavlja važan korak prema osiguranju pravnih mjera za povećanje opće razine kibersigurnosti u EU-u. Inicijalna pravila o kibersigurnosti EU-a, uspostavljena 2016., ažurirana su s ulaskom Direktive NIS2 na snagu 2023. godine, kako bi se prilagodila povećanoj digitalizaciji i dinamičnom okruženju prijetnji kibersigurnosti.

Direktivom NIS2 predviđene su pravne mjere koje uključuju pripravnost država članica, obvezujući ih da budu odgovarajuće opremljene, poput timova za odgovor na računalne sigurnosne incidente (CSIRT) i nadležnih nacionalnih tijela za mrežne i informacijske sustave (NIS). Također, postavljeni su temelji za suradnju među državama članicama putem osnivanja skupine za suradnju, koja će podržavati stratešku suradnju i razmjenu informacija.

Dodatno, uspostavljanjem kulture sigurnosti u ključnim sektorima poput energetike, prometa, vode, bankarstva, infrastrukture financijskog tržišta, zdravstvene skrbi i digitalne infrastrukture, Direktiva NIS2 postavlja temelje za održavanje visoke razine kibersigurnosti.

Poduzeća koja se smatraju operatorima ključnih usluga u navedenim sektorima moraju poduzeti odgovarajuće sigurnosne mjere i obavijestiti relevantna nacionalna tijela o ozbiljnim incidentima. Pružatelji ključnih digitalnih usluga, kao što su tražilice, usluge računalstva u oblaku i internetska tržišta, također su obvezni zadovoljiti zahtjeve sigurnosti i obavješćivanja propisane Direktivom.

Zakon o kibernetičkoj sigurnosti donesen u veljači ove godine prepoznao dobavne lance kao ključni aspekt upravljanja kibernetičkom sigurnošću, čak 7 od 10 tvrtki nema nikakvu provjeru dobavnih lanaca na kibernetičke prijetnje i isto toliko ih navodi da nemaju plan i proceduru postupanja s incidentima.

Opseg NIS2 Direktive, u odnosu na opseg NIS1 Direktive, značajnije je proširen, brojem sektora i subjekata, pa tako obuhvaća i javni sektor - tijela državne uprave, druga državna tijela i pravne osobe s javnim ovlastima, privatne i javne subjekte koji upravljaju, razvijaju ili održavaju državnu informacijsku infrastrukturu sukladno zakonu kojim se uređuje državna informacijska infrastruktura te jedinice lokalne i područne (regionalne) samouprave.

U četvrtak 15. veljače 2024., i to ni manje ni više nego novi hrvatski Zakon o kibernetičkoj sigurnosti. Zakonom se uspostavlja okvir strateškog planiranja i odlučivanja u području kibernetičke sigurnosti te utvrđuju nacionalni okviri upravljanja kibernetičkim incidentima velikih razmjera i kibernetičkim krizama.

Postizanje i održavanje visoke zajedničke razine kibernetičke sigurnosti, posebno kroz razvoj i kontinuirano unaprjeđenje politika kibernetičke zaštite i njihove provedbe, razvoj nacionalnih sposobnosti u području kibernetičke sigurnosti, jačanje suradnje i koordinacije svih relevantnih tijela, jačanje suradnje javnog i privatnog sektora, promicanje razvoja, integracije i upotrebe relevantnih naprednih i inovativnih tehnologija, promicanje i razvoj obrazovanja i osposobljavanja u području kibernetičke sigurnosti te razvojne aktivnosti usmjerene na jačanje svijesti o kibernetičkoj sigurnosti od nacionalnog su značaja za Republiku Hrvatsku.

Cilj je ovoga Zakona uspostavljanje sustava upravljanja kibernetičkom sigurnošću koji će osigurati djelotvornu provedbu postupaka i mjera za postizanje visoke razine kibernetičke sigurnosti u sektorima od posebne važnosti za nesmetano obavljanje ključnih društvenih i gospodarskih aktivnosti i pravilno funkcioniranje unutarnjeg tržišta.

Zakonom je obuhvaćen veći broj sektora (19) što pretpostavlja veći obuhvat obveznika Zakona naspram Zakona o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga iz 2018. godine kojim se preuzela NIS Direktiva iz 2016. godine.

Vratimo se malo i na jučerašnje napade. Napad na internetske usluge izveden je DDoS tipom napada koji opterećuje server zbog čega ne dolazi do njegova pada već nemogućnosti isporuke usluge. Raspodijeljeni napad uskraćivanjem resursa odnosno distribuirani napad uskraćivanjem resursa (eng. distributed denial-of-service attack, DDoS) napad cilja web-mjesta i poslužitelje ometanjem mrežnih usluga u pokušaju iscrpljivanja resursa aplikacije. Napadači iza tih napada preplavljuju web-mjesto nasumičnim prometom, što rezultira lošom funkcionalnošću web-mjesta ili potpunim izbacivanjem s mreže. Ove vrste napada koje su sve češće.

DDoS napadi imaju širok djelokrug te ciljaju razne djelatnosti i tvrtke svih veličina diljem svijeta. Određene djelatnosti, kao što su industrija igara, e-trgovina i telekomunikacije, na meti su češće od drugih. DDoS napadi jedna su od najčešćih računalnih prijetnji i potencijalno ugrožavaju vaše poslovanje, internetsku sigurnost, prodaju i reputaciju.

 

 

Kako funkcioniraju DDoS napadi

Tijekom DDoS napada niz botova ili mreža botova preplavljuju web-mjesto ili servis HTTP zahtjevima i prometom. To u načelu znači da više računala napada jedno računalo, što izbacuje stvarne korisnike. Zbog toga pružanje usluge može kasniti ili na neki drugi način biti ometano tijekom određenog razdoblja.

Hakeri tijekom napada mogu ući i u vašu bazu podataka i pristupiti povjerljivim podacima. DDoS napadi mogu iskoristiti sigurnosne propuste i ciljati sve krajnje točke koje su javno dostupne putem interneta.

Napadi s uskraćivanjem usluge mogu potrajati satima, pa čak i danima. Ti računalni napadi također mogu uzrokovati višestruke prekide tijekom jednog napada. Metom mogu postati i osobni i poslovni uređaji.

 

Nadležna tijela određena Zakona o kibernetičkoj sigurnosti

Hrvatska narodna banka (HNB) za bankarski sektor,

Hrvatska agencija za nadzor financijskih usluga (HANFA) za infrastrukture financijskog tržišta,

Hrvatska agencija za civilno zrakoplovstvo (HACZ) za zračni promet,

Ured Vijeća za nacionalnu sigurnost (UVNS) za javni sektor,

Hrvatska regulatorna agencija za mrežne djelatnosti (HAKOM) za elektroničke komunikacije,

Središnji državni ured za razvoj digitalnog društva (SDURDD) za pružatelje usluga povjerenja,

Ministarstvo znanosti i obrazovanja (MZO) za sustav obrazovanja, istraživački sektor i registar naziva vršne nacionalne domene.

 

Za sve ostale subjekte koji ne spadaju pod jedan od navedenih sektora bit će nadležan Nacionalni centar za kibernetičku sigurnost osnovan u okviru Sigurnosno-obavještajne agencije (SOA).

 

NIS2 direktiva predstavlja dosad najopsežniju EU direktivu o kibernetičkoj sigurnosti. Uz pojačane zahtjeve za upravljanjem rizicima i izvještavanjem o incidentima, širu pokrivenost sektora i subjekata te visoke kazne za neusklađenost, stotine tisuća EU organizacija morat će ponovno procijeniti svoje stanje kibernetičke sigurnosti.

Prema NIS2 direktivi, sektori visoke kritičnosti su oni sektori koji su od ključnog značaja za društvo i ekonomiju te bi njihov poremećaj mogao imati značajan negativan utjecaj na gospodarstvo, javnu sigurnost, zdravlje i druge ključne funkcije.

Važni sektori (ili sektori od velike važnosti) također uključuju kritičnu infrastrukturu, no razlikuju se od sektora visoke kritičnosti po tome što njihov poremećaj može imati značajan, ali ne nužno katastrofalan utjecaj na društvo i ekonomiju. Ovi sektori su važni za svakodnevno funkcioniranje i sigurnost, ali njihovo djelovanje može imati nešto manji utjecaj u usporedbi sa sektorima visoke kritičnosti.