Stručnjaci o prijetnji A1: 'Slažem se da je to možda djelo jednog čovjeka, balavca'; 'Ako stvarno želite novac, ne biste išli u medije'

Marko Rakar, informatički stručnjak, rekao je u HTV-ovoj emisiji "Otvoreno" kako je haker ili grupa hakera ušla u poslovni sustav A1 koristeći aplikaciju koju njihovi agenti koriste na prodajnim mjestima.

"Stekli su način da se logiraju u aplikaciju i onda su eventualno u aplikaciji uspjeli dignuti svoja korisnička prava da mogu pristupiti većem broju korisnika koje su onda skinuli ili alatima za pojedinačno skidanje ili skidanjem cijele baze podataka. To je ono što pretpostavljamo da se dogodilo. Nadamo se da će A1 kao i sve velike tvrtke kada su izložene ovakvim napadima, rade se post mortem izvještaji, i onda se obavijesti javnost što se dogodilo i što su napravili da se to ne ponovi", rekao je Rakar.

Kazao je kako mu se čini da hakeru ili hakerima nije fokus bio na krađi podataka nego da je cilj bio skrenuti pozornost.

"Ljudi koji hakiraju s ozbiljnim namjerama, o njima nećete ništa čuti. Oni se ne oglašavaju, naprave prijetnju, izvrše je i jednostavno nestanu, ne ulaze u diskusije".

Đuro Lubura, telekomunikacijski stručnjak, smatra da građani ne trebaju biti pretjerano zabrinuti zbog krađe podataka jer je velik dio tih podataka ionako javan - ime, prezime, OIB, adresa.

"Ne mislim da se s njima nešto spektakularno može dogoditi", poručio je.

Tko želi novac, ne ide u medije

Haker koji je provalio u korisničku bazu A1 traži novčanu naknadu u kriptovalutama ili će u protivnom objaviti podatke na hakerskim ili dark net forumima. Denis Periša, računalni haker i informatički stručnjak, rekao je kako ne vidi na koji bi se način ti podaci mogli zloupotrijebiti.

"Slažem se da je to možda djelo jednog čovjeka, balavca. Ako ste ekipa, hakeri, morate se dogovoriti što će biti", rekao je Periša i pojasnio razliku između pojmova black hat i white hat.

"Black hatovi razmišljaju direktnije u djelu gdje će ostvariti neka sredstva ili moć, to su ljudi koji prouzročuju štetu ili traže financijsku korist. White hatovi su suprotno, oni koji se bave sigurnošću i sprječavaju takve napade. Svi misle da se mogu izvući s blackcoinima, ta sredstva se mogu likvidirati i oni se mogu brzo naći", kaže Periša dodajući kako mu se čini da je napad izveden amaterski.

"Ako stvarno želite novac, ne biste išli u medije", rekao je Periša. 

Negativan reputacijski rizik za firmu

Gordan Akrap, Institut za hibridne sukobe, rekao je kako napad na A1 nije ni prvo niti posljednje upozorenje.

"Činjenica je da ovo predstavlja ozbiljan negativan reputacijski rizik za firmu. To se je situacija koja se nažalost događa, ali zato treba razmišljati unaprijed, pripremati tehnologiju, računalna rješenja uz obuku ljudi kako bi se sigurnosni rizici sveli na minimum", rekao je.

Prave i učinkovite obrane nema, kazao je Akrap, dodajući da svatko u nekom trenutku može postati žrtva.

"Živimo u sustavu gdje se moramo razvijati i prilagoditi novim sustavima. A1 ne samo da mora obavijestiti javnost što se dogodilo, nego na nacionalnoj i europskoj razini mora izvijestiti o svakom incidentu koji egzistira u digitalnom svijetu nadlaženi sigurnosni sustav. Treba se vidjeti što je dovelo do propusta, je li to ljudska ili tehnološka greška ili pak kombinacija, i podijeliti tu informaciju unutar tog sektora kako se drugima te greške ne bi ponavljale", rekao je Akrap.

"Stare, klasične ratove više nitko ne može dobiti sam, a danas pogotovo digitalne. Vi nikad ne znate kad možete postati kolateralna žrtva takvog sukoba".

Zlatan Morić, voditelj Katedre za kibernetičku sigurnost, Visoko učilište Algebra, rekao je kako javnost za većinu hakerskih napada ne zna. 

"U pravilu firme pokušaju platiti bez da se bilo što objavi i da se to sve sakrije. Kad govorimo o tim napadačima, postoje različite skupine, postoje kriminalne organizacije i zadnja kategorija, koja je zadnjih godina najizraženija, tzv. advanced resistance threats - to su većinom state sponsored skupine koje za određenu državu rade napade". 

Ideja white hat hakiranja, kazao je Morić, je ljude naučiti kako hakeri razmišljaju da bi se mogli obraniti.

"Ako ste meta takve skupine, ne možete ništa napraviti, oni će upasti u sustav. Taj napadač treba naći jednu vašu malu grešku, a vi morate zakrpati sve propuste koji postoje u sustavu. Oni nisu vremenski ograničeni, imaju veliki izbor načina na koji to mogu napraviti", rekao je Morić.

Rakar je rekao kako tvrtke imaju obvezu obavijestiti sve korisnike čiji su podaci ukradeni.

"Da se dogodio neki drugi tip štete, da je otuđen novac od tvrtke ili je fizički prouzročena šteta u pogonu, i osobni podaci nisu izneseni iz firme, onda nema potrebe da se to objavljuje na velika zvona. Takve situacije se pokušavaju riješiti na najdiskretniji mogući način", rekao je.

U slučaju da se utvrde propusti, kazne su velike. Tvrtke mogu platiti i do 10 milijuna kuna. Lubura je rekao da su hakerski napadi kombinacija umješnosti i propusta.

Nužno ulagati u cyber sigurnost

"Ozbiljne kompanije ulažu ozbiljne novce u svoju sigurnost, ali apsolutna sigurnost ne postoji. Danas je sve više cyber napada i bit će ih sve više u budućnosti. Mi bismo iz svega ovoga trebali nešto naučiti i osvijestiti kompanije da je nužno ulagati u cyber sigurnost", rekao je Lubura dodajući da se u velikoj većini firmi ne ulaže dovoljno.

Također, rekao je da u Hrvatskoj ta profesija uopće nije regulirana.

"To su ljudi koji moraju imati visoka znanja, moraju proći sigurnosnu provjeru, a mi nemamo sustav koji bi te ljude licencirao. Dakle, dovoljno je da netko kaže da je stručnjak za cyber sigurnost i mi mu možemo vjerovati ili ne", rekao je.

Istaknuo je kako je sve više državno sponzoriranih cyber napada, na što je i SOA upozorila.

"Meni je drago da se o tome priča, ali morat ćemo kao država više tome posvetiti pažnje u budućnosti i morat ćemo znati tko su ti ljudi koji nas štite. I firme koje bi htjele uložiti u zaštitu, teško same mogu prepoznati tko je taj koji može pružiti pravu razinu zaštite", rekao je Lubura.