Hakerski napad na stranicu hrvatskog ministarstva izazvao je veliku pozornost javnosti, no stručnjaci upozoravaju da medijska buka oko ovakvih incidenata može biti kontraproduktivna — i da napadačima daje upravo ono što traže.
Nakon što je na stranici Ministarstva rada, mirovinskog sustava, obitelji i socijalne politike osvanula poruka „Smrt ustašama, živela Velika Srbija”, a odgovornost preuzela skupina INF Grupa, portal Dnevno.hr razgovarao je s Markom Gulanom, konzultantom za kibernetičku sigurnost s posebnim fokusom na kritičnu infrastrukturu i sustave industrijske automatizacije za područje jugoistočne Europe.
Gulan je incident smjestio u kontekst koji je drugačiji od onoga koji su mnogi zamišljali. Prema njegovoj ocjeni, ne radi se o sofisticiranom napadu niti o ozbiljnoj ugrozi za nacionalnu sigurnost, već o haktivizmu — obliku digitalnog vandalizma kojim se, najčešće iz hobizma ili političkih pobuda, iskorištavaju poznate ranjivosti javno dostupnih web sustava. Ipak, incident nije ostao bez šire dimenzije — posebice u kontekstu aktualnih političkih tenzija između Hrvatske i Srbije, u kojima srpski politički vrh optužuje Zagreb da stoji iza prosvjeda diljem Srbije. Gulan ne isključuje mogućnost da ovakve skupine mogu biti instrumentalizirane, ali naglašava da sama poruka ne predstavlja ozbiljnu prijetnju i da joj se ne treba pridavati previše pažnje.
„Čak bih rekao da bi mediji ovakvu stvar možda trebali prešutjeti”
Gulan je na samom početku razgovora definirao prirodu ovog napada. „S obzirom da je netko ostavio takvu, recimo, pikzibnersku poruku, rekao bih da se radi o čistim haktivistima koji su iz svog hobizma pronašli ranjivost u samoj stranici ili sustavu na kojem je stranica napravljena. Ne znam je li stranica napravljena u WordPressu ili nekom drugom CMS-u (Content Management System — sustav za upravljanje sadržajem), ali svi ti sustavi su dosta glomazni i vrlo često se na njima mogu pronaći ranjivosti. Takvih haktivističkih poruka svako malo bude i ne bih rekao da je to nekakva ugroza za nacionalnu sigurnost”, rekao je Gulan.
Na pitanje mogu li ovakve skupine biti instrumentalizirane u svrhu hibridnog ratovanja, odgovorio je oprezno „Ne tvrdim da jesu, ali mogu biti instruirani od strane političkih aktera. Kao što sam opisao već, ovo je jedan haktivistički pristup, a eventualno rubno može biti povezan s hibridnim djelovanjem. Je li ova poruka opasna? Rekao bih da nije. Poruka mržnje u javnom prostoru imamo jako puno, tako da ni ovo ne smatram nekom značajnom ugrozom. Ovo je jedan dječački pokušaj. Puno su opasnije one dojave o bombama nego sada ovakvo što. Da je napadač bio ozbiljniji, sigurno bi uložio više sredstava i novca, onda bi srušio dobar dio te javne i kritične infrastrukture. Ovo nije djelovanje pravih hakera i ovakvim stvarima ne treba pridavati previše pažnje. Čak bih rekao da bi mediji možda ovakvu stvar trebali prešutjeti da se napadačima ne bi davalo legitimiteta u njihovom djelovanju”, upozorio je Gulan.
Web stranica nije ministarstvo: „Ugasite televizor, igrica i dalje radi”
Na pitanje jesu li stranice hrvatskih javnih institucija općenito lako oborive, Gulan je najprije objasnio zašto je to strukturalni problem. „Što se tiče web stranica, one su generalno veliki problem. Ili imamo takozvani CMS. Jedan od naših najpoznatijih CMS-ova je od varaždinske tvrtke Marker, to je sustav koji je razvijen od nule. Međutim, postoje javno dostupni Wix, WordPress, Webflow, ima raznih platformi na kojima se mogu raditi stranice i obično se za izradu stranice koristi puno pluginova, odnosno dodataka. Oni su svi više-manje razvijeni po opensource modelu, razvija ih zajednica. Onda jedan pojedinac odluči da više neće razvijati i održavati neki plugin, međutim njega ni onda nije lako maknuti sa stranice. Onda često takvi dijelovi puni rupa ostaju na stranicama i kada im hakeri ili haktivisti otkriju dovoljno takvih ranjivih elemenata, krenu u napad”, objasnio je.
„Treba odvojiti web stranicu na kojoj se prezentiraju informacije i samo okruženje Ministarstva rada. Stranica je, recimo to tako, samo ekran. Kada igrate PlayStation i ugasite televizor, igrica i dalje radi. To se i ovdje događa. Znači, ovaj incident na web stranici, mislim da apsolutno nije ugrozio rad ministarstva. Jesu li stranice naših javnih službi lako oborive? Svaka stranica je vjerojatno ranjiva, ali pitanje je u kojem obimu. Na dnevnoj bazi me poduzetnici pitaju i kažu: ‘Joj, na stranicu mi se naselio neki kineski bot i preusmjerava sav moj promet na nekakve divlje web shopove.’ Nažalost, koliko ste uložili u svoju web stranicu, toliko ona i vrijedi”, rekao je Gulan.
Javni natječaji za kibernetičku sigurnost: „Ogolite se pred napadačem”
Na pitanje postoji li sustav kibernetičke sigurnosti na razini svakog ministarstva ili postoji neki krovni odjel, Gulan je odgovorio. „Koliko mi je poznato, HNB, HANFA, banke i drugi — to moraju imati. Je li dobar ili loš, ne znam. Imaju odjel, ali čini mi se da bi se to moglo svesti na ‘check box’. Velika većina javne infrastrukture centralizirana je u APIS-ovom CDU-u, Centru dijeljenih usluga, odnosno državnom cloudu. APIS ima dobar cyber security odjel. Sad, ne znamo točno gdje je web sjedište ministarstva, ali svako ministarstvo ima svoje IT tehničare, a razina sigurnosti vodi se ili od strane APIS-a za CDU ili svako od tih javnih tijela može kroz javni natječaj ili direktnu pogodbu potpisati ugovor o godišnjim uslugama odgovora na incidente ili proaktivnog održavanja sustava sigurnosti s određenim tvrtkama.”
Gulan je pak skeptičan oko javnih natječaja te vrste. „Mislim da je nekako najgore tražiti sigurnosnu uslugu kroz javne natječaje jer se onda morate prema van ogoliti i reći za što sve tražite specijaliste — pa će onda i napadač dobiti solidan uvid u to gdje vas može gađati i što je tanko kod vas.”
„Budite sigurni da će oni još danas znati tko stoji iza ovoga”
Na kraju razgovora Gulan je ponovio je kako incident ne zaslužuje pretjeranu reakciju, ali zasigurno neće proći nezapaženo u nadležnim tijelima.
„Uglavnom, puno ljudi je vidjelo ovu poruku danas i napadači su dobili maksimizaciju svog djelovanja. Sad su se sigurno mnogi digli na noge, ali ja bih rekao da to treba zanemariti. Stranica kao stranica — rekao bih da je jednako sigurna stranica od Plive, Ministarstva, samo je pitanje kada će taj neki odsječak na stranici postati vektor ranjivosti i koliko će to brzo netko pokrpati. Mislim da se to na dnevnoj razini događa tisuće puta u Hrvatskoj.”
„Mislim da ne bi trebalo dizati tenzije iz ovog slučaja i malo je nezahvalno ovako komentirati na prvu i reći da bi Hrvatska trebala poslati diplomatsku notu. Ne znamo ništa o napadačima i jesu li sponzorirani ili nisu.” Ipak, naglašava da incident sa sobom nosi i zakonske obveze: „S obzirom da je došlo do kompromitacije web stranice i da je ova vijest došla u medije, mi danas s pravom ili bez prava imamo značajni incident i narušavanje javne infrastrukture, što donosi novi val pitanja jesu li naše stranice sigurne.”
Za kraj je poručio da javnost ne treba strahovati i da će hrvatske službe vrlo brzo otkriti tko stoji iza toga „Logika koja se vrti iza ekrana je zaštićena, radi i ja sam siguran da je naša državna infrastruktura sigurna od ovakvih pikzibnerskih napada. Nacionalni centar za kibernetičku sigurnost, koji je još uvijek pod Sigurnosno-obavještajnom agencijom (SOA), definitivno radi najbolje moguće. Mislim da je poteškoća već uklonjena i da će oni vrlo brzo znati što se dogodilo. Naš cyber odjel MUP-a — koliko god ljudi mislili da su to uhljebi — to je nešto što jako dobro funkcionira i budite sigurni da će oni još danas znati tko stoji iza ovoga i kakav je motiv”, zaključio je Gulan.
