Sudeći prema objavljenim revidiranim rezultatima, iza Span Grupe je najbolja poslovna godina u povijesti zaključena rastom svih ključnih poslovnih pokazatelja. “Prihodi Grupe u 2022. godini iznose 829,7 milijuna kuna, što predstavlja porast od osam posto u odnosu na 2021., a neto dobit Grupe na kraju 2022. iznosila je 50,5 milijuna kuna, što je povećanje od 112 posto u odnosu na 2021. Najveći rast prihoda ostvarile su usluge s poslovnog područja Razvoj softvera i poslovnih rješenja, koje je raslo 62 posto, i područja Infrastrukturne usluge, Cloud i Cyber security, koje je u promatranom razdoblju ostvarilo rast od 49 posto”, naveli su iz Spana nakon što su podvukli crtu za prošlu godinu. Međutim, tema ovog razgovora nije ukupno poslovanje grupacije, već kibernetička sigurnost s kojim se Span profilirao na tržištu, a ponajviše uslugama Sigurnosnog operativnog centra (SOC), sigurnosti u Cloudu te kroz Span Centar kibernetičke sigurnosti (SKCS). O tome smo razgovarali s Brunom Pavićem, direktorom sigurnost (CSO) i članom Uprave Span Centra kibernetičke sigurnosti.
Spanov Centar kibernetičke sigurnosti otvoren je prošle godine, uz predstavljanje užoj stručnoj javnosti. Kako funkcionira Centar i koju ulogu ima u ponudi rješenja i usluga Grupe?
Želimo da Spanov Centar kibernetičke sigurnosti bode centar izvrsnosti, okuplja stručnjake iz područja kibernetičke sigurnosti i da se tu provode edukacije prema najboljim standardima. Na tržištu nedostaje kibernetičkih stručnjaka, a naš cilj je da ih educiramo kako bi odmah mogli biti konkurentni na tržištu rada. Treninzi koje provodimo u suradnji s našim partnerima u skladu su sa svim svjetskim standardima.
Osim za edukaciju, u Centru se može simulirati ‘pravi’ hakerski napad, odnosno može se učiti obrana od cyber napada. Koliko su tvrtke, IT stručnjaci i ‘obični’ pojedinci zainteresirani educirati se i koristiti usluge Centra i vaših ljudi?
Interes za Centrom je zadovoljavajući - provodimo jako puno treninga podizanja svijesti koji su namijenjeni općoj populaciji. Zapravo, svatko tko je u doticaju s internetom trebao bi proći jedan takav trening. Također, provodimo i specijalizirane tečajeve za IT security stručnjake i one koji će to tek postati. Simuliranje hakerskog napada je dobra metoda jer se sudionici kroz faze napada uče i fazama obrane. Nema dobre obrane ako ne poznajete vektore napada.
Span je kroz svoje video i društvene kanale, primjerice Spanoptic podcastu angažiran na razmjeni iskustva i poticanju diskusije o temama važnima za IT sektor, cyber sigurnost, umjetnu inteligenciju, blokchain i neka druga područja. U medijskim gostovanjima s vaše strane dali ste i dajete niz savjeta što je tvrtkama činiti u slučaju hakerskog napada. Što je potrebno napraviti u slučaju napada, blokade poslovanje ili krađe podataka?
Danas napad na infrastrukturu ima utjecaj na poslovanje jer je sve digitalizirano. U trenutku kada imate hakerski napad zapravo imate problem s poslovanjem koje vam direktno utječe na financije, reputaciju, isporuke, SLA - odnosno ima veliki utjecaj na tvrtku. Ne postoji formula kojom možete odgovoriti na napad. To je skup aktivnosti između velikog broja stručnjaka iz različitih odjela, a na kraju veliku ulogu imaju i menadžeri koji bi trebali razumjeti i vidjeti širu sliku kod realiziranog napada i shodno tome poduzimate adekvatne radnje.
Od kuda danas prijete glavni cyber rizici za tvrtke i pojedince, odnosno gdje su organizacije najranjivije na kibernetičke napade? Po vašoj ocjeni na kojoj je razini kibernetička sigurnosti u Hrvatskoj, kao i svijest među organizacijama i pojedincima?
Cyber rizici i prijetnje s kojima se mi susrećemo u većini slučajeva nisu sponzorirani od stranih država ili aktivista, već su usmjereni na financije - stoga je teško odrediti odakle ti pojedinci ili manje organizacije djeluju. Svima su poznati napadi iz Rumunjske, Rusije, Sjeverne Koreje, ali danas imamo i napadače iz Afrike, Srednje Amerike i tako redom. Veće organizacije imaju bolje sustave, ali i veću izloženost cyber prijetnjama, no ipak vidimo kako je standard napada na manje i srednje tvrtke u porastu. Hrvatska je davno prestala biti nezanimljiva, članica smo NATO-a i EU. Naše tvrtke djeluju na stranim tržištima, imamo puno velikih korporacija koje imaju sjedišta za Istočnu Europu u RH itd, stoga je naša izloženost jednaka kao i u nekim razvijenijim državama. Svijest se podiže svakodnevno. Kroz edukacije upoznajemo korisnike s prijetnjama, ali i mediji mogu pomoći u tome. Što će se više pisati o cyber napadima - svijest u kompanijama i javnosti će rasti.
Možete li po ovom pitanju usporediti Hrvatsku sa susjedstvom i šire, s obzirom na vaše iskustvo, kontakte, putovanja i rad na tržištu?
Hrvatska Vlada trebala bi imati više sluha za kibernetičku sigurnost. Pogledajte Izrael - cijeli biznis je nastao iz toga. Krucijalan je eko sustav u kojem državne institucije i poslovni svijet surađuju. Iz toga nastaju tvrtke i njihova rješenja koja se poslije prodaju na međunarodnom tržištu. Veliku ulogu u tome imaju CERT i SOA koji su na dobrom putu i preuzeli su odgovornost za provedbu strategija. Svaka država koja ne donese strategiju i Zakon o cyber sigurnosti i ne odredi provedbeno tijelo ne može operativno ni provoditi procese. Ne stojimo mi loše u odnosu na druge, ali ima prostora za napredak.
A što kada zaposlenici ukradu podatke? Prijeti li organizacijama veća opasnost od vanjskog napada ili od unutarnjih slabosti, nepažnje i nedostataka?
Krađa podataka postala je svakodnevnica, ali se mora razumjeti što je to krađa podataka. Pa i mene su jednom skoro optužili da sam krao podatke, zbog neznanja menadžmenta i nerazumijevanja procedura primopredaje. Postoje tehnologije i rješenja koje sprječavaju krađu, a tu je Microsoft definitivno broj jedan. Uostalom, i Kazneni zakon je jasan - krađa intelektualnog vlasništva je regulirana i ima propisane kazne zatvora. Imamo iskustva s tim i nemamo obzira prema takvim postupanjima. Jako je bitno propisati politike i procedure, definirati što vam je važno, koja šteta za vas tu može nastati i naravno shodno tome postupati. Kranja postupanja su podizanje kaznene prijave i sudskog postupka. Industrijska špijunaža na našim prostorima za sada nije imala prevelike značajke, dok vani predstavlja jedan od važnijih vektora, odnosno ugroza, tako da broje veću ugroženost od unutarnjih napada.
Koja je razlika između ‘običnog’ i terorističkog hakerskog napada? Pri tome se možemo nadovezati na hakerske napadačke jedinice koje drže i sponzoriraju pojedine države.
Onaj trenutak kad se hakerski napadi na državne institucije, firme u vlasništvu države i kritičnu infrastrukturu budu smatrali terorističkim činom - bit će puno lakše provodit postupanja od strane državnih tijela. Napad koji provodi, primjerice, Iran prema Izraelu ili obrnuto od strane napadačkih jedinica koje su formirane u sklopu obrambenih jedinica ne možemo nazvati terorističkim napadom nego je to čin rata. Međutim, kad te iste napade provode primjerice Hezbolah ili Hamas onda su to teroristički napadi - iako su sponzorirani od strane države ili pojedinaca koji u tom trenutku imaju interes da se takav način provede. Imamo svježi primjer iz Ukrajine gdje su ruski hakeri napadali kritičnu infrastrukturu, a kad bi se Ministarstvo obrane Rusije pohvalilo da je takav napad uspio - onda je to bio dio akcije, dok su obrnuto smatrali terorističkim činom jer država ne bi preuzimala odgovornost. Moramo imati na umu da se većina takvih napada ne može odigrati ako nemate sponzorstvo od države u bilo kojem smislu.
Jeste li naišli na slučaj da je jedini način rješavanja problema pri hakerskom napadu bilo - plaćanje ucjene?
Imali smo nekoliko slučajeva, međutim kod nas je to strogo zabranjeno pa za korisnike nalazimo druga rješenja. Plaćanjem ucjene hakerima dajete vjetar u leđa da budu još bolji, uspješniji i da na kraju imaju novaca za razviti druge napade. Jednostavnim riječima - financirate ih i na temelju toga se dalje razvijaju. Kod nas je to regulirano Zakonom i strogo se kažnjavaju takve radnje, premda osobno poznajem neke manje tvrtke koje su platile kodove i na kraju ih nisu dobili. Naša inozemna iskustva uvelike mogu pomoći tvrtkama kod napada. Imamo i jednu prednost: Span Grupa ima preko 800 zaposlenih i doslovno, ako je potrebno, uključimo cijeli odjel ili kombinaciju odjela u odgovor na napad. Dosad su svi korisnici prepoznali naš pristup, a najveća reklama nam je kad su firme koje se bave sličnim poslom, da ne kažem konkurencija, rekle korisniku: zovi Span.
Možete li navesti neke od ozbiljnijih kibernetičkih napada kod nas i u inozemstvu unazad godinu dana?
Jedino ono što je javno dostupno; mi o napadima na korisnike ne pričamo i nikad ne otkrivamo detalje. U Hrvatskoj se svakodnevno događaju napadi, ali se o njima jako malo govori. Tema postane javna jedino kad AZOP nekoga kazni ili policija u svom izvješću navede napad. Tada se spominje šteta i korisnik, ali bi bilo jako vrijedno podijeliti i više detalja. Mislim da se sad phishing napadi mogu vidjeti svakodnevno dok su APT napadi na tjednoj bazi. Neka naša rješenja u potpunosti mogu otkloniti phishing napad. Korisnicima savjetujemo da pređu na sustave bez passworda i slično.
Cyber rizici i prijetnje s kojima se u Hrvatskoj susrećemo u većini slučajeva nisu sponzorirani od stranih država ili aktivista, već su usmjereni na financije
Kod hakerskih napada problem predstavlja i to što kompanije nisu transparente i ne dijele informacije nakon napada, a što može biti korisno nekom drugom pri napadu. Kako to promijeniti?
O napadima treba pričati i dijeliti iskustva. Imamo zatvorenu skupinu stručnjaka iz svih djelatnosti u RH - odnosno sve važnije osobe iz područja cyber securitya. Neovisno o tome jesu li naši korisnici ili ne, dolaze na skup i tu pričamo o aktualnim napadima i problemima. Skup je zatvoren, o njemu se ništa ne objavljuje i dolazi se isključivo na poziv. Span je na vrijeme shvatio i preuzeo ulogu pokretača promjena u RH, međutim to nije dovoljno. Sve kompanije koje su imale kibernetički napad trebale bi pričati o tome, to nije sramota. Uzmite primjer da vas udari auto na nekom opasnom križanju ili vam se dogodi neki drugi događaj; upozorit ćete svoje prijatelje, kolege, partnere o tom nemilom događaju - tako je i primjer s napadom. Možda vam se rješenje krije iza ugla, a ako se o tome ne priča onda ćete teško sami doći do nekih konkretnih rješenja. Možda je taj put netko već odradio i može vam pomoći. Pričajte o napadima, uključite IT firme, tražite pomoć.
Surađujete li osobno, odnosno surađuje li Span s kolegama i tvrtkama iz područja informacijske sigurnosti u Hrvatskoj i inozemstvu? Razmjenjujete li korisne informacije i iskustava?
Davno smo prepoznati kao lider u području cyber sigurnosti i dosta tvrtki želi s nama dijeliti iskustava i rješenja. Naši zaposlenici odlaze na sve važnije konferencije jer je razmjena iskustava izrazito važna i nužna za uspjeh. Span posluje i u inozemstvu - i iskustava iz SAD, Velike Britanije, pa čak i Ukrajine pomažu nam kod korisnika u RH.
Dražen Najman