Cyber sigurnost je postala izrazito kompleksna

Philipp Amann, viši strateški analitičar za Europolov Europski centar za cyber kriminal (European Cybercrime Centre EC3) jedan je od predavača na predstojećoj konferenciji Cyber Risk 2016 koja se održava u Zafrebu 17. ožujka u organizaciji Instituta za osiguranje, Hrvatskog foruma za urbanu sigurnost i časopisa Zaštita i Svijet osiguranja. Amannov tim je odgovoran za strateške i taktičke proizvode, uključujući izvještaj „Procjena prijetnji organiziranog kriminala“, a Amannova iskustva uključuju različita područja, kao što su financijski sektor, globalno razoružanje i kontrola oružja, usavršavanje zakona i međunarodno pravo. Govornik na našoj konferenciji ima bogato iskustvo u cyber sigurnosti i borbi protiv cyber kriminala, upravljanju elektronskim dokazima i forward-looking analizama. Magistrirao je i doktorirao poslovnu informatiku na Sveučilištu u Beču, te magistrirao računalnu forenziku i istragu cyber kriminaliteta na Sveučilištu u Dublinu. 

Molim vas da čitateljima Zaštite pružite presjek nekih osnovnih činjenica o Europskom centru za cyber kriminal? Što svojim radom pokrivate? 

Europski centar za cyber kriminal (EC3) koordinira Europolove napore u jačanju zakonskog odgovora EU na cyber kriminalitet. Osnovan u siječnju 2013., EC3 je postao središte EU u borbi protiv cyber kriminala. EC3 je jedan od tri operativna centra u Europolu koji se oslanja na postojeću agencijsku strukturu, procedure, ekspertizu i snagu Europolove mreže. Centar ima mandat da podupire zemlje članice EU u rješavanju:

- cyber kriminaliteta, poput nedozvoljenih ulazaka u cyber prostor, kriminala kojeg uzrokuje malware i krađe podataka kao i kriminalitet koji zahvaća kritičnu infrastrukturu;. 

- seksualne eksploatacije djece i cjelokupnog kriminaliteta povezanog s distribucijom materijala o zlostavljanju djece, video - zapisa zlostavljanja djece kao i putovanja prijestupnika vezana uz seksualno napastvovanje djece; 

- prijevara kod međunarodnih plaćanja poput online prijevara, prijevara s karticama, malwarea na bankomatima; 

- kriminalnih radnji koje uključuju probijanje zaštite antivirusnih servisa, angažiranje tzv. mula za prijenos novca i novčane transakcije i slično.

EC3 omogućuje visoku razinu tehničke, analitičke i digitalne forenzične ekspertize u podršci oko istraga cyber kriminaliteta među zemljama članicama EU i trećih strana. U obavljanju toga, Centar blisko surađuje s brojnim EU i međunarodnim zakonodavnim partnerima poput Interpola i nevladinih zajednica poput tvrtki koje se zalažu za sigurnost na Internetu, financijskog sektora i akademskih zajednica koje su uključene u borbu protiv cyber kriminala. Nakon rujna 2014., EC3 također aktivno podupire Joint Cybercrime Action Taskforce (J-CAT), inovativne državotvorne okvire za jačanje operativne suradnje u borbi protiv međunarodnog cyber kriminaliteta. J-CAT je trenutno sastavljen od službenika povezanih sa cyber kriminalitetom iz 11 zemalja. Tijekom 2015. EC3 operativni timovi poduprijeli su 131 visokoprofilnih operacija borbe protiv cyber kriminala. 

 

Kako postajemo globalno sve povezaniji, ovisnost o ICT i cyber prostoru se povećava, a to uključuje pojavljivanje novih vrsta kritičnih infrastruktura. Sa sve većim brojem uređaja koji se oslanjaju na Internet, to što smo na mreži, više nije iznimka nego je pravilo, a često toga uopće nismo ni svjesni. I dok takva promjena otvara velike mogućnosti i prednosti za pojedince, poslovanje i društvo, također povećava i rizik zloporabe od strane kriminalaca i ostalih čimbenika. Heterogenost i visoka razina fragmentacije današnjeg softverskog i hardverskog sustava često dolazi u kombinaciji s nedostatkom sigurnosti i privatnosti što cyber sigurnost pretvara u iznimno kompleksnu stvar. Po tom istom obrascu, cyber ugroze se sada često repliciraju širom različitih sustava i potencijalno velikog broja uređaja s obzirom da se isti softvarski proizvodi koriste u različitom kontekstu.   

U relaciji sa cyber kriminalitetom zamijećujemo povećanu industralizaciju i razvoj kriminalne ekonomije bazirane na uslugama, odnosno ono što mi zovemo Crime as a Service model koji djeluje izvan kriminalnih foruma i tržišta. Takva ekonomija Crime as a Service omogućuje laki pristup do kriminalnih proizvoda, usluga i alata i omogućuje široj bazi, ne nužno tehnički obrazovanih cyber kriminalaca, lansiranje globalnih napada ogromnih razmjera koji su različiti i po pitanju cijene, rizika, utjecaja i ekonomskih šteta. 

 Tzv. CaaS (Crime as a Service) model može podržavati različite grupe, uključujući i teroriste. U kombinaciji s rastućom penetracijom Interneta u zemljama koje su prethodno imale malu internetsku pokrivenost dolazimo do stvaranja globalnih izazova i rizika cyber sigurnosti. 

 

Cyber kriminal je istinski međunarodni kriminal koji tipično zahvaća dvije ili više jurisdikcija. Također uključuje infrastrukturu i podatke koji su zbog velikog intenziteta kontrolirani i držani od strane privatne industrije. Posljedično, međunarodna suradnja i javno-privatno partnerstvo su ključni u prepoznavanju ugroza koje sa sobom nosi cyber kriminal. Kao što sam spomenuo ranije, cyber kriminal također postaje pojačano industrijaliziran. podržavan od strane kriminalne industrije bazirane na uslugama. Po mom mišljenju, jedan od glavnih izazova je povezan s prepoznavanjem ili poteškoćama u identifikaciji i lociranju kriminalnih grupa, što je povezano s kriminalnom zloporabom legitimne enkripcije i anonimih servisa. 

Drugi ključni izazov su neadekvatno legalni alati ili legislativa kada je riječ primjerice o međugraničnoj suradnji i pristupu dokazima. To je zakomplicirano činjenicom da su elektronički dokazi nestabilni i da podaci i cjelokupna infrastruktura sele na oblak što dodatno komplicira zakonodavnu dimenziju, ali također stvara i nove izazove za digitalne forenzičare. Ostali ključni izazovi povezani su s međunarodnom suradnjom i javno-privatnim partnerstvom s obzirom da nema jasnog okvira za strukturne veze s privatnom industrijom i međunarodnim partnerima, primjerice kada je riječ o dijeljenju informacija i inteligencije. 

Konačno, brzina kojom se tehnologija razvija, stvara izazove za predstavnike zakona i digitalnu forenziku posebno. To pak uključuje rastuću digitalizaciju dokaza što stvara posljedične promjene obujma kriminalne zloporabe novih tehnologija. Za digitalne forenzičare to znači da trebaju stalno osvježavati svoje vještine i biti spremni prilagoditi se novih vrstama cyber kriminala vrlo agilno. Dakle, stalno učenje, trening i edukacija su ključni u borbi protiv cyber kriminala. Međutim, suradnja, koordinacija i razmjena najboljih praksi, naučenih lekcija, alata, tehnika i slično na nacionalnim i međunarodnim razinama jednako su važne. Pridonose, naime, zatvaranju jaza mogućnosti u području koje zahtijeva blisku suradnju i podršku industrije i akademske zajednice. 

EC3 može igrati ključnu ulogu u tome, primjerice putem treninga koje organizira i trening inicijativa koje podržava na razini EU. Centar je također tvorac kompleta forenzičkog alata, koji je razvijen kao dio FREETOOL projekta. Taj alat je dostupan predstavnicima zakona u EU besplatno. 

 

Smatram da će porast broja povezanih uređaja Interneta stvari i ukupni volumen digitalnih podataka stvoriti velike izazove za digitalnu forenziku. Kako bi bili u stanju ispitati cijeli niz različitih digitalnih uređaja, kapaciteti digitalnih forenzičara trebaju se stalno osvježavati i poboljšavati. Obujam podataka koje treba ispitati zahtjevat će bolje alate za podršku. pohranu, analizu i vizualizaciju podataka. Slično tome, specijalisti-digitalni forenzičari trebat će usvojiti bolje analitičke vještine obrade podataka. Podaci, zajedno s ukupnom infrastrukturom nastavit će se pomicati na oblak što već sada stvara tehničke i zakonodavne izazove za digitalne forenzičare. Pojačana upotreba enkripcije učinit će ponešto od postojećih digitalnih forenzičnih pristupa manje učinkovitim. Evolucija virtualnog novca također će otežati istragu kriminalnih transakcija. EC3 će nastaviti imati vrlo aktivnu ulogu, ne samo u koordinaciji i podršci uspješnim multinacionalnim i međunarodnim operacijama, već i u doprinosu u razvoju preventivnih mjera i standardiziranog treninga u području digitalne forenzike. 

 

Internet stvari će stvoriti širu površinu za napade i više napadačkih vektora što će učiniti stvari izazovnijima u uspostavljanju osnove cyber sigurnosti i obrani protiv različitih ugroza predstavljenih putem Interneta stvari. Koncept poput „Donesi svoj vlastiti uređaj“ (Bring Your Own Device BYOD) dodatno će pridonijeti onome što se često smatra crnom sjenom u IT tvrtkama jer očito stvara značajan broj izazova povezanih sa sigurnosti. Kako sakupljamo sve više i više podataka tako stvaramo proporcionalni volumen izazova za digitalnu forenziku s obzirom da se količina podataka koja se treba analizirati sve više povećava. Ali količina podataka koja može biti prikupljena i analizirana također nudi brojne mogućnosti u uvjetima cyber sigurnosti. Big Data analitika i podacima vođena sigurnost neki su od temeljnih koncepata u ovom području. 

 

Sigurno se može reći da se cyber kriminal povećava u EU i po obujmu i po financijskom utjecaju. S obzirom da trenutno ne postoje standardizirani načini prikupljanja statistike širom Europe, a incidenti vezani uz cyber kriminal se različito klasificiraju prilično je teško dati precizne brojke. Kao EC3 vidimo samo određene postotke problema ili ono što nam izvjeste zemlje članice.

 

Teško je izdvojiti mete jer svatko može postati žrtvom cyber kriminalaca naprosto zato što mu nedostaje svjesnosti da treba uspostaviti dobru obranu. Zahvaljujući CaaS modelu svaki pojedinac i svako poslovanje je u riziku, primjerice cyber kriminalci ustvari ne mare hoće li ransomware kojeg šire zahvatititi pojedinca, poslovni subjekt, bolnicu, sveučilište ili policijsku postaju. Međutim, jedan od glavnih ciljeva za cyber kriminal u Europi je ipak financijski sektor te korisnici financijskih usluga poput online bankarstva. Kod ostalih sektora možemo zamijetiti da je avionska industrija posebno zahvaćena što je jedan od razloga što smo uspješno podržali brojne globalne preventivne akcije zrakoplovne cyber sigurnosti.  

 

To nije nešto na što mogu odgovoriti. Stvarne kazne za cyber kriminal razlikuju se od zemlje do zemlje. Zahvaljujući prije spomenutim razlikama u terminologiji i klasifikaciji također nije jednostavno dobiti jasnu sliku broja slučajeva cyber kriminala kao ni broj  cyber kriminalaca koji su završili na sudu. 

 

Vjerujem da će spomenuta Direktiva pomoći osigurati veću razinu mrežne i informacijske sigurnosti i otpornosti širom EU. Konkretne mjere poput uspostavljanja i povezanosti kompjuterskog tima za hitne odgovore u zemljama članicama i potreba za usvajanjem nacionalnih strategija i planova suradnje u kombinaciji s obveznim prijavama  incidenata zasigurno će pridonijeti rješavanju ove važne problematike.

  

Izvještaji pokazuju da dronovi mogu biti korišteni kao napadački vektor, primjerice kod mobilnih telefona, ali također i za svrhe nadzora i prepoznavanja. Dronovi iz kućne radinosti predstavljaju i fizički rizik. Kada je o cyber sigurnosti riječ, to znači da će biti teže braniti fizičke parametre no također će se biti teže boriti protiv cyber napada u formi dronova koji izvlače podatke s uređaja. Uzimajući u obzir činjenicu da dronovi mogu operirati s udaljenosti moglo bi biti teško identificirati napadače. 

 

Uzimajući u obzir obujam i ekonomski utjecaj cyber kriminaliteta, preventive i podizanje svijesti igraju vitalnu ulogu u borbi protiv ove prijetnje za građane EU, industriju i naše društvo u cjelini. 

To zahtijeva koncentrirane napore svih dionika, svih nas. Cyber kriminalci postaju očito bolje organizirani na globalnoj razini. Zbog toga trebamo usvojiti jednaki pristup. Očito je da je učinkovitije i zasigurno mnogo bolje za potencijalne žrtve kada se zločin može prevenirati umjesto da ga se mora naknadno istraživati, pogotovo ako znamo za ranije spomenute izazove. Posljedično, rast prevencije i svjesnosti su esencijalni za rad EC3. S našim ključnim partnerima inicirali smo brojne projekte i inicijative poput razvoja smjernica za komunikacijsku strategiju EU fokusiranu na preventivu i podizanje svjesnosti kao i razvoj priručnika društvenih medija za predstavnike zakona. EC3 također podupire individualne inicijative zemalja članica EU i radi s EC3 savjetodavnim grupama i ostalim partnerima na razvoju nove svjesnosti i preventivnih inicijativa. I naravno, aktivno koristimo društvene medije kako bi komunicirali s javnosti (EC3 Twitter Account: @EC3Europol).

Generalno gledano, EC3 promovira dizajn sigurnosti, sigurnost “po defaultu” i privatnost “po defaultu” kao bazične vodeće principe prilikom razvoja novog softvera i hardvera. To je još jedno područje gdje je bliska suradnja s industrijom esencijalna kako bi se prihvatili nužni principi. 

 

Pomislio bih da većina zemalja gleda na cyber prijetnje i cyber kriminalitet kao na top prioritet. Zašto neke zemlje vide cyber kriminal rizikom od najveće zabrinutosti a neke ne, pitanje za razmišljanje na nacionalnim razinama. I nije nešto što bismo mi mogli komentirati. Ali možda to otkriva stvarni rizik nacionalne izloženosti kao i razinu cyber sigurnosti i otpornosti. Kao što je već spomenuto, prilično je teško proizvesti točne brojke zbog nedovoljnih izvještaja o cyber kriminalitetu kao i osnovnih definicija o tome što se podrazumijeva pod cyber kriminalom, što se podrazumijeva pod prijevarom u bankama, a što se smatra tradicionalnim kriminalom. A rekao bih da se slučajevi ekonomske eksponiranosti još manje izvješćuju.

 

To je izvan djelokruga našeg rada, ali smatram da smo nažalost u stadiju gdje nije pitanje hoće li, nego kada će tvrtka pretrpjeti gubitak podataka. Stoga, koliko one brzo reagiraju, koliko su otporne, kakva je njihova komunikacijska strategija i napokon kakva je razina njihove suradnje s nadležnima, imat će značajan utjecaj na njihovu reputaciju.