Rastuća digitalizacija koja dotiče svaki aspekt naših života povećala je važnost sajber bezbjednosti, dok opasnosti po informacione sisteme postaju složenije i učestalije. 

Kolika je važnost sajber bezbjednosti u modernom svijetu, crnogorski građani postali su svjesni kada je sredinom avgusta otpočeo do sada najveći sajber napad na informatički sistem javne uprave Crne Gore. 

Zero-day napad traje dok se ne primijene zakrpe

Napad je trajao sedmicama i za posljedicu imao otežan pristup pojedinim podacima i uslugama javne uprave, a o njegovoj ozbiljnosti najbolje govori činjenica da su korišćeni posebno dizajnirani virusi u takozvanim zero-day napadima.

„Zero-day napadi su napadi izvedeni sredstvima ili na način koji do trenutka napada nije bio poznat. Najčešći uzrok za ove napade su propusti proizvođača“, rekao je u razgovoru za Portal Analitika Majo Mićović, direktor firme Sky Express Montenegro, članice ICT Cortexa koja je specijalizovana za sajber bezbjednost. 

Ovakvi napadi su, objašnjava Mićović, naročito opasni upravo zbog toga što ni sam proizvođač nije svjestan postojanja propusta u svom proizvodu i biće neophodan određeni vremenski period za kreiranje zakrpe, čijom primjenom će korisnici moći da preduprijede specifičan zero-day napad.

„Maliciozne softvere napadač može aktivirati odmah po infiltraciji, ali je čest slučaj da se oni nalaze u sistemu duži vremenski period obavljajući razne po korisnika štetne aktivnosti“, rekao je za naš portal Vladan Tabaš, izvršni direktor Čikoma, takođe članice ICT Cortexa.

On je naglasio da je ovaj period, po nekim statistikama, duži od šest mjeseci. 

„U nekom trenutku u cilju sakrivanja tragova može biti aktiviran i neki maliciozni kod sa ciljem nanošenja ekstremnih destrukcija sistema, od kriptovanja pa do potpunog uništenja podataka“, rekao je Tabaš. 

Podaci su, kaže, obično već preuzeti od strane napadača. 

„S obzirom na karakter ove prijetnje mogućnost reakcije korisnika sistema u cilju sopstvene zaštite je minimalna, praktično je nema i formalno se mjeri sa nula dana“, rekao je Tabaš.

Iz tog razloga, kako navodi, napadi koji koriste ove vrste ranjivosti dobili su naziv zero-day napadi.

Mićović ističe da iz ugla gledanja proizvođača, nakon izdavanja zakrpe, zero-day napad prestaje da bude zero-day, međutim, za korisnika taj period traje sve dok ne primijeni proizvođačevu zakrpu. 

„Naravno, postoje i napredna rješenja koja štite i od ovakvih napada“, dodao je on.

Zakon apstraktan i nejasan, neophodne promjene

U cilju unapređenja sposobnosti Crne Gore da se odbrani od budućih sajber napada, ministar javne uprave Maraš Dukaj je najavio „važne zakonodavne izmjene“, kao i osnivanje Agencije za informacionu bezbjednost.

Da su promjene prijeko potrebne, mišljenja su i naši sagovornici.

Prema riječima Mićovića, zakonodavni okvir koji reguliše sajber bezbjednost u Crnoj Gori je donekle apstraktan i nejasan, na što, kako je istakao, stručna javnost već duže vremena ukazuje.

„Krovni zakon, Zakon o informacionoj bezbjednosti, je štur i opšteg karaktera. Zakon o određivanju i zaštiti kritične infrastrukture, kao i podzakonska akta u vidu uredbi, poput Uredbe o mjerama informacione bezbjednosti su nešto precizniji, ali je to ipak nedovoljno“, rekao je Mićović. 

Navodi da je u narednom periodu prije svega neophodno unaprijediti pomenute regulative, definisati specifične oblasti i mjere zaštite, kao i kontrolne tačke na osnovu kojih će postojati mogućnost uvida u stepen usklađenosti sa zakonima. 

„Ovaj proces ne zahtijeva puno vremena, i države u okruženju imaju veoma detaljan zakonski okvir za oblast sajber bezbjednosti, i za početak bi najbolje bilo preuzeti od njih zakonska rješenja, uz adekvatno prilagođavanje domaćem zakonodavstvu“, rekao je Mićović.

Tabaš je istakao potrebu za Zakonom o Agenciji za informacionu bezbjednost kao i potrebu za definisanjem niza „obavezujućih preporuka uputstava koje moraju da se ispoštuju od strane institucija sistema, pa i šire“. 

Naravno, dodaje on, neophodno im je dati i prava inspekcijskog nadzora i sankcionisanja nepoštovanja utvrđenih procedura. 

„Mi imamo CIRT tim (Computer Incident Response Team) ali nažalost nikada im nijesu data ni odgovarajuća ovlašćenja, niti su imali zadovoljavajuću kadrovsku i tehničko-tehnološku opremljenost koju ovakav tim zaslužuje“, podsjetio je Tabaš. 

Pa čak, napominje on, nijesu nikada smješteni u prikladne prostorije. 

„Još gore, kao znak neozbiljnog odnosa prema njihovom značaju CIRT je seljen iz jedne u drugu instituciju čime im je dodatno umanjivan autoritet“, kaže Tabaš.

IT stručnjaci traženi, u javnom sektoru ostaće samo entuzijasti

Posljedice aktuelnog sajber napada ukazale su na značaj postojanja visokoobučenih IT stručnjaka u javnoj upravi. 

Ipak, postavlja se pitanje da li je država u stanju da ih privuče i zadrži s obzirom na to da je IT ekspertima relativno lako dostupno svjetsko tržište gdje često mogu zaraditi znatno više nego radeći u javnoj upravi.

„Privatni sektor je neuporedivo fleksibilniji u pogledu mogućnosti da ispuni potrebe zaposlenih, i da ih učini zadovoljnima, u odnosu na javni sektor gdje nailazimo na niz prepreka“, rekao je Mićović. 

Jedan od najbitnijih faktora jeste plata ali, kako je istakao, nije uvijek sve ni u plati. 

„Iskustvo pokazuje da zaposleni traže svojevrstan „paket“, koji uključuje zaradu, ali i faktore kao što su broj dana odmora, mogućnost „rada na daljinu“, mogućnosti usavršavanja, mogućnosti napredovanja, posjete relevantnim događajima i slično, i naravno, treba imati u vidu da svi imaju svoje viđenje tog „paketa““, naveo je Mićović. 

Tabaš ukazuje na to da su IT stručnjaci su u Crnoj Gori veoma traženi, čim prije, kako je rekao, što naš obrazovni sistem školuje jako malo inženjera koji kasniju mogu postati IT eksperti. 

„Pri tome su programi često zastarjeli i ne prate dinamične promjene koje se dešavaju u informacionim tehnologijama pa na kraju tržište dobija inženjere sa nezadovoljavajućim nivoom znanja. Plate IT stručnjaka u javnom sektoru nijesu na zadovoljavajućem nivou, posebno u odnosu na zarade njihovih kolega u privatnim kompanijama“, smatra Tabaš. 

Ovdje, kaže, prednjače telekomunikacioni operateri i bankarski sektor. 

„Ne treba ni pominjati ponude iz regiona i EU. Zbog toga treba naći modalitete da se značaj IT stručnjaka, a posebno stručnjaka za informacionu bezbjednost prepozna i valorizuje na razne načine. U suprotnom, desiće se ono što sada imamo – u javnom sektoru ostaće samo entuzijasti“, upozorio je Tabaš.

Definisati standarde digitalne zaštite

Posljednji napad podsjetio je na činjenicu da državne institucije imaju različite partnere u djelu održavanja sistema informacione sigurnosti. 

Tabaš napominje da IT sektor godinama naglašava potrebu da se na nivou javne uprave osnuje neka vrsta Agencije za digitalnu transformaciju državne uprave koja bi, kako je kazao, sa potencijalnom Digitalnom koalicijom za Crnu Goru sprovela strateške i operativne ciljeve Strategije digitalne transformacije Crne Gore. 

„Mi smo ranije imali razna ministarstva kojima je Uredom o organizaciji i načinu rada državne uprave bila data formalna nadležnost da se bave poslovima digitalne transformacije državne uprave i bezbjednošću državnih sistema. U praksi je niz ministarstava realizovalo projekte informacionih sistema koji jesu interoperabilni međusobno, ali su heterogene tehnologije i rješenja koja nemaju standardizovane forme na nivou državne uprave postala jako kompleksna za održavanje“, rekao je Tabaš. 

Dodaje da, uz činjenicu nedostatka stručnog kadra, nije dobro rješenje opteretiti neku hipotetičku agenciju da se bavi ovim poslovima, posebno ne, kako je istakao, prenijeti ovako velika ovlašćenja jednoj privatnoj kompaniji. 

„Blizak sam rješenju da Agencija koju sam pominjao treba da definiše standarde koji moraju biti ispoštovani kod implementacije IS-a državnih organa, koordinira njihovu implementaciju (ko god da je vrši) i obavlja kontrolu nad implementacijom propisanih standarda. Ovo važi i za pitanja informacione bezbjednosti i za to odgovarajuću Agenciju“, podvukao je Tabaš.

Državni organi nezainteresovani za edukaciju građana

Dotakli smo se i teme u kojoj mjeri su crnogorski građani u svjesni važnosti digitalne bezbjednosti, ne samo po funkcionisanje savremenog sistema državne uprave već i po zaštitu njihovih privatnih podataka.

„Nažalost, može se reći da se u Crnoj Gori ne pristupa na kvalitetan i efikasan način temi edukacije građanstva u sferi cyber bezbjednosti. Ne možemo očekivati da građani sami pretražuju milione stranica Interneta u potrazi za ovako osjetljivim temama“, rekao je Mićović. 

Dodaje da postoje i u Crnoj Gori i u regionu kompanije koje se bave edukacijom u sferi cyber bezbjednosti i, prema njegovim riječima, dobra i kvalitetna akcija udruženih državnih institucija i ovakvih kompanija dala bi odlične i brze rezultate po tom pitanju. 

„Kao i obično, kad IT cyber kompanije priđu državnim institucijama sa ovakvim idejama i planovima, nema dovoljno razumijevanja ni volje od strane državnih organa da se sa time počne. Srećom, unazad nekoliko nedjelja započeli smo saradnju sa Univerzitetom Crne Gore a na temu formiranja ICT cyber sec kurikuluma kako za studenta a tako i za prekvalifikacije zaposlenih, i moram da kažem sa neskrivenim zadovoljstvom, imamo prve korake u tom smjeru“, rekao je Mićović.

Tabaš je istakao da koliko god novca uložili u sofisticiranu opremu, najslabija karika u sistemu je krajnji korisnik, odnosno čovjek. 

„Veliki problem je to što naši građani, prije svega zaposleni u državnoj upravi, ali i u kompanijama, nemaju svijest da informatička oprema koju koriste na poslu treba i smije da se isključivo koristi za potrebe posla i da samo poslovni podaci i komunikacija treba da se nalaze u njoj. Nikakvo miješanje poslovnih i privatnih podataka, jer već tu nastaju prve potencijalne zloupotrebe čitavog sistema. Da ne govorimo o korišćenju privatnih mailova u poslovne svrhe i obrnuto“, naglasio je Tabaš.