Kibernetički napad: priznati ili ne?

Piše: Tomislav Pongrac

Napomena: mogućnost izbora iz naslova uskoro će nestati za veći dio ozbiljnijih subjekata u HR. To postaje obveza prema Zakonu o kibernetičkoj sigurnosti i odgovarajućoj Uredbi.

Digitalno – stvarno

Poput mnogih, često povezujem digitalni i stvarni svijet. Ima mnogo primjera i događa se nesvjesno. Recimo, kad koristim dobro dizajniranu aplikaciju gdje je sve funkcionalno i dostupno, to je vrlo sličan osjećaj kao posjeta prozračnoj, prostranoj prostoriji punoj svjetla, u kojoj mi je sve nadohvat ruke i udobno. Suprotan osjećaj — nelagoda i frustracija — javlja se pri korištenju loše funkcionalne aplikacije ili weba.

Postoji još jedna veza digitalnog i fizičkog svijeta koja možda nije očita na prvi pogled: cyber security i zdravlje. Interakcije s drugima imamo i u fizičkom i u digitalnom svijetu. Kad smo bolesni i potencijalno zarazni, čak i ako smo sposobni za rad, najčešće se suzdržavamo od odlaska među ljude. Želimo zaštititi druge od rizika zaraze, upravo onako kako očekujemo da će i oni zaštititi nas.

Što kad se dogodi kibernetička kompromitacija?

Ako proširimo usporedbu sa zarazom na digitalni svijet, nema velike razlike. Tvrtke međusobno koriste digitalne usluge, povezuju se partnerskim i korisničkim VPN-ovima, surađuju i razmjenjuju podatke. Kroz uspostavljene kanale komunikacije kreću se poslovni podaci, ali i potencijalno zlonamjerne radnje.

U bliskoj okolici smo posljednjih nekoliko mjeseci imali više slučajeva kompromitacija koje su javnosti bile više ili manje poznate. Svi ti slučajevi komunikacijski su se obrađivali na vrlo različite načine: neki su davali štura priopćenja za javnost, proglašavajući pobjedu, dok drugi nisu objavljivali ništa i prepustili su glasinama da govore umjesto njih. Potonji su tako svojim partnerima i korisnicima prepustili da samostalno pokušaju zaštititi svoje sustave od nepoznate prijetnje.

Zaista, u slučaju kompromitacije pojavljuje se nekoliko nedoumica:

Reći što se dogodilo te na siguran način opisati kako se odvio napad i kako se od njega obraniti
- Opasnosti
  - Izložiti se potencijalnim kritikama da nismo dovoljno dobro štitili sustav
  - Otkriti neku od vlastitih ranjivosti
  - Izložiti se potencijalnim pravnim posljedicama i tužbama oštećenih strana
- Prednosti
  - Omogućiti poslovnim partnerima da se odgovarajućim mjerama zaštite od opasnosti
  - Zadržati povjerenje poslovnih partnera da mogu računati na obavijest kad god postoji potencijalno opasna situacija

Ne reći što se dogodilo
- Opasnosti
  - Vrlo je vjerojatno da će se informacija proširiti bez obzira na pokušaj zataškavanja
  - Izgubit ćemo povjerenje poslovnih partnera s kojima surađujemo i s kojima smo informatički povezani
  - Izlažemo se potencijalnim pravnim posljedicama jer smo znali za kompromitaciju, a nismo je razotkrili, čime smo ugrozili partnere
- Prednost
  - Ako uspijemo sačuvati tajnu, možemo u miru nastaviti s trenutnim kibernetičkim praksama (⚠️ not recommended ⚠️) ili popraviti stanje kibernetičke sigurnosti i nadati se da se problem neće ponoviti

I? Priznati ili ne?

Vidio sam više kompromitacija u životu i nijedna nije bila ugodna. Takav događaj uzrokuje mnogo stresa, osjećaja krivnje ili nedostatnosti, ponekad i međusobnog optuživanja. S pozicije naknadne pameti mnogi se u organizaciji pitaju zašto ranije nisu zatvorili baš tu ranjivost koja ih je “koštala glave”. Ljudski je impuls sakriti i prešutjeti ovako neugodnu situaciju — nadamo se da će, ako šutimo o tome, jednostavno nestati. Nažalost, u situaciji kibernetičke kompromitacije, šutnjom si nanosimo veliku štetu. Najveća šteta nastaje u odnosu s poslovnim partnerima. Jednom izgubljeno povjerenje između poslovnih partnera gotovo je nemoguće vratiti u potpunosti.

Vrlo očekivano, moja pozicija o temi iz naslova slaže se s konsenzusom u svijetu kibernetičke sigurnosti: definitivno i bez iznimke treba prijaviti, barem poslovnim partnerima i nadležnim tijelima. Postoje brojni načini na koje se može prijaviti kompromitacija bez otkrivanja vlastitih ranjivosti ili sigurnosne infrastrukture. Također, poslovne partnere možemo obavijestiti o tehničkim karakteristikama napadača i značajno im pomoći u zaštiti, bez ugrožavanja vlastite sigurnosti.

Vjerujem da će se s ovim stavom i argumentima složiti svi odgovorni ljudi koji dugoročno promišljaju o razvoju svoje tvrtke i odnosima s partnerima.

Povratak na Novosti

Kolačić	Trajanje	Opis
_GRECAPTCHA	5 months 27 days	Ovaj kolačić postavlja Googleova usluga reCAPTCHA za prepoznavanje robota radi zaštite web stranice od zlonamjernih napada.
cookielawinfo-checkbox-advertisement	1 year	Postavljen pomoću "GDPR Cookie Consent" dodatka (plugin) za pristanak na kolačiće GDPR-a, ovaj se kolačić koristi za bilježenje pristanka korisnika za kolačiće u kategoriji "Marketinški kolačići".
cookielawinfo-checkbox-analytics	11 months	Postavljen pomoću "GDPR Cookie Consent" dodatka (plugin) za pristanak na kolačiće GDPR-a, ovaj se kolačić koristi za bilježenje pristanka korisnika za kolačiće u kategoriji "Analitički kolačići".
cookielawinfo-checkbox-functional	11 months	Postavljen pomoću "GDPR Cookie Consent" dodatka (plugin) za pristanak na kolačiće GDPR-a, ovaj se kolačić koristi za bilježenje pristanka korisnika za kolačiće u kategoriji "Funkcionalni kolačići".
cookielawinfo-checkbox-necessary	11 months	Postavljen pomoću "GDPR Cookie Consent" dodatka (plugin) za pristanak na kolačiće GDPR-a, ovaj se kolačić koristi za bilježenje pristanka korisnika za kolačiće u kategoriji "Neophodni kolačići".
cookielawinfo-checkbox-others	11 months	Postavljen pomoću "GDPR Cookie Consent" dodatka (plugin) za pristanak na kolačiće GDPR-a, ovaj se kolačić koristi za bilježenje pristanka korisnika za kolačiće u kategoriji "Ostali kolačići".
cookielawinfo-checkbox-performance	11 months	Postavljen pomoću "GDPR Cookie Consent" dodatka (plugin) za pristanak na kolačiće GDPR-a, ovaj se kolačić koristi za bilježenje pristanka korisnika za kolačiće u kategoriji "Kolačići izvedbe".
CookieLawInfoConsent	1 year	Bilježi zadano stanje gumba odgovarajuće kategorije privole i status CCPA. Djeluje samo u koordinaciji s primarnim kolačićem.
viewed_cookie_policy	11 months	Postavljen pomoću "GDPR Cookie Consent" dodatka (plugin) za pristanak na kolačiće GDPR-a, ovaj se kolačić koristi za pohranjivanje je li korisnik pristao na korištenje kolačića ili nije. Ne pohranjuje nikakve osobne podatke.

Kolačić	Trajanje	Opis
_ga	2 years	Kolačić _ga, koji instalira Google Analytics, izračunava podatke o posjetiteljima, sesijama i kampanjama, a također prati korištenje stranice za analitičko izvješće stranice. Kolačić anonimno pohranjuje informacije i dodjeljuje nasumično generirani broj za prepoznavanje jedinstvenih posjetitelja.
_ga_V0MPFFVKJN	2 years	Ovaj kolačić instalira Google Analytics.

Kibernetički napad: priznati ili ne?

Rješenja

Tvrtka

Korisnici