Sadržaj nastao u suradnji s: ASEE Solutions
NA METI hakera u lipnju našlo se nekoliko hrvatskih institucija, među kojima su bili Ministarstvo financija, Porezna uprava, HNB i Zagrebačka burza. Idućeg dana došlo je do nezapamćenog napada na najveću hrvatsku bolnicu - KBC Zagreb.
Kao posljedica napada neko vrijeme nisu radili linearni akceleratori, a u ruke napadača dospjeli su nalazi i osobni podaci pacijenata s raznih odjela, za što su kasnije tražili otkupninu.
Šteta od prijavljenih kibernetičkih napada prošle godine iznosila je 10.5 milijuna eura, prema informacijama MUP-a. U Hrvatskoj, kao i u ostatku Europske unije, tvrtke i institucije već odgovaraju na izazove povećavajući svoju otpornost na sigurnosne prijetnje.
Jedna od najvažnijih EU regulacija je NIS2 direktiva (Directive on Security of Network and Information Systems), koja postavlja visoke standarde zaštite mreža i informacijskih sustava. Direktiva je stupila na snagu 16. siječnja 2023. te pruža pravni okvir za povećanje sigurnosti u ključnim sektorima, kao što su energetski sektor, zdravstvo, financije i digitalna infrastruktura.
U skladu s tim, sve tvrtke i subjekti koji pružaju usluge važne za društvo i gospodarstvo, kao što su ministarstva, banke, ali i kompanije koje pružaju usluge (primjerice hoteli), moraju osigurati zaštitu svojih sustava. Cilj regulative je smanjenje rizika od kibernetičkih prijetnji i povećanje otpornosti. Nijedan podatak ne bi smio dospjeti u neovlaštene ruke.
Da svi ti podaci ostanu sigurni, brinu se Luka Babić, Mattia de Filippo, Željka Jurić, Rino Rodin i Vanja Kubat iz tvrtke ASEE Solutions (ASEE), jedne od najvećih IT kompanija u regiji koja razvija i implementira softverska rješenja i usluge u jugoistočnoj Europi, Turskoj, Španjolskoj, Portugalu, Andori, Kolumbiji, Peruu i Dominikanskoj Republici. Kompanija pruža ICT rješenja za različite industrije, uključujući financijski sektor, plaćanja, javnu upravu i telekomunikacije.
ASEE Solutions Hrvatska je dio ASEE grupe i zapošljava više od 350 ljudi. Među njima je i naših pet sugovornika.
Njihovi svakodnevni zadaci su različiti. Mattia de Filippo, koji u ASEE-u radi već godinu dana kao sistemski inženjer, odgovoran je za praćenje performansi servera i ažuriranje operativnih sustava kako bi održao sigurnost.
Željka Jurić vodi tim product menadžera, a njezine odgovornosti obuhvaćaju upravljanje proizvodima s obzirom na zahtjeve klijenata i nadolazeće regulative, održavanje visoke razine sigurnosti u svim rješenjima s obzirom na nove prijetnje koje dolaze i upravljanje zadovoljstvom klijenata.
Za Vanju Kubata, koji se kao software architect bavi dizajnom i razvojem identity&access IT rješenja, svakodnevni zadaci uključuju analizu tehnoloških noviteta, komunikaciju s klijentima, specifikacije i razvoj softvera, dok Rino Rodin, specijalist za iOS i macOS platforme, najviše radi na razvoju rješenja za zaštitu mobilnih aplikacija od zlonamjernih napada. On je u ASEE-u razvojni programer.
Njihov kolega Luka Babić u ASEE-u analizira zahtjeve klijenata i piše specifikacije za razvoj novih proizvoda u ulozi solution architecta.
Najveći izazov im je staviti se u perspektivu napadača
Rodin je istaknuo da mu je najveći izazov bio razviti rješenje za obfuskaciju, otežavanje čitljivosti izvornog koda, i provjeru integriteta iOS aplikacija.
"Morao sam razviti i perspektivu napadača kako bih mogao razumjeti metode napada te osmisliti učinkovite metode zaštite", objasnio je i dodao da ga najviše zanima rješavanje kompleksnih sigurnosnih izazova.
Za Babića je najizazovniji zadatak bila priprema prijave za međunarodni natječaj za multi-factor authentication rješenja. Radilo se o natječaju koji je zahtijevao detaljni plan implementacije ASEE MFA rješenja na cloud platformi. U relativno kratkom vremenu bilo je potrebno upoznati se s novim informacijama, detektirati potencijalne probleme, kako ih izbjeći te na kraju isporučiti kompletnu prijavu za natječaj.
"Trebao sam brzo obraditi nove informacije i isporučiti prijavu u kratkom vremenu, što je zahtijevalo mnogo pažnje za detalje", kazao je.
Meta može biti bilo tko
Kibernetički kriminalci često ciljaju organizacije koje upravljaju osjetljivim podacima, poput banaka i zdravstvenih institucija. Mattia de Filippo upozorava da su najveće mete upravo oni koji upravljaju financijskim i zdravstvenim podacima, dok je Rodin objasnio kako napadači razmišljaju drugačije od korisnika i programera te traže slabe točke u sustavima.
Kubat je naveo da, pored kvalitetnog sigurnosnog rješenja koje uključuje višefaktorsku autentifikaciju, komunikaciju različitim kanalima i kriptografiju, ipak na kraju korisnik nesvjesno može omogućiti napadaču pristup zaštićenom resursu.
"Napadači koriste phishing i spoofing napade, koji se temelje na manipulaciji povjerenjem korisnika", kazao je i istaknuo važnost edukacije korisnika kao bitnu kariku obrane.
Kao stručnjaci za kibernetičku sigurnost, članovi ASEE tima smatraju da je ključ u proaktivnom pristupu.
"Redovito testiramo i ažuriramo sustave i razvijamo nova rješenja, uvijek gledajući kako bismo unaprijed zaštitili podatke i sustave svojih klijenata", naveo je De Filippo.
Jurić je istaknula da ASEE održava visoke standarde sigurnosti kontinuiranom suradnjom s klijentima i stalnim usavršavanjem svojih rješenja prateći industrijske standarde, najbolje sigurnosne prakse prilikom razvoja rješenja i nadolazeće regulative.
"S obzirom na stalne promjene u tehnologiji, važno je da budemo korak ispred prijetnji", dodao je Rodin naglasivši važnost suradnje s fakultetima i stručnjacima za sigurnost.
Edukacija svih dionika i implementacija regulativa ključ su sigurnosti
Regulative poput NIS2 direktive, tj. Zakona o kibernetičkoj sigurnosti u Hrvatskoj, imaju ključnu ulogu u oblikovanju sigurnosnih rješenja. S tim se slaže i Jurić, koja naglašava da su edukacija i povjerenje krajnjih korisnika bitni.
Babić je dodao da, iako regulativa može predstavljati izazov na početku, dugoročno pridonosi stvaranju rješenja koje će biti prepoznato na tržištu, a time i konkurentno.
Jurić smatra da je povećanje ulaganja u sigurnost posljedica sve sofisticiranijih napada i novih regulativa. Klijenti koji upravljaju osjetljivim podacima svojih korisnika svjesni su rizika, pa kontinuirano ulažu u sigurnosna rješenja. Babić je također istaknuo da se od 2020. godine, kad je pandemija povećala online aktivnosti, ulaganje u sigurnost ubrzalo.
Naposljetku, svi su se složili da je za prevenciju kibernetičkih napada bitno educirati građane, odnosno krajnje korisnike. Jurić smatra da je važno podizati svijest korisnika o prijetnjama poput phishing napada te posljedicama koje oni donose (krađa podataka), dok je Babić dodao da je edukacija o sigurnosnim prijetnjama nužna kako bi se smanjio broj napada na krajnje korisnike. ASEE organizira brojne webinare i radionice te radi na edukaciji korisnika, a s obzirom na stalne prijetnje i brzo mijenjajuću tehnologiju, ASEE Solutions ne samo da štiti svoje klijente već i podiže sigurnost na višu razinu.
Za kraj smo ih pitali zašto su izabrali razvijati karijeru baš u ASEE Solutionsu.
"ASEE pruža slobodu za predlaganje poboljšanja, a okružen sam iskusnim kolegama koji rado dijele svoje znanje", kazao je De Filippo.
Rodin je dodao da ASEE potiče stalno usavršavanje i suradnju s kolegama iz raznih zemalja, čime radno iskustvo postaje bogatije.
Za Babića je ključna prednost rada u ASEE-u mogućnost napredovanja i promjene smjera karijere unutar kompanije.
"Ovdje možete ići od programiranja do analize poslovnih procesa, što vam daje šansu da naučite nove vještine bez napuštanja kompanije", objasnio je.
ASEE Solutions, kao partner u području kibernetičke sigurnosti, podržava poslovne subjekte i institucije u usklađivanju s ovim zahtjevima pomažući im da ojačaju svoju otpornost i smanje rizike od napada. Na tome rade kontinuirano pa najavljuju četvrtu konferenciju o kibernetičkoj sigurnosti Alert, na kojoj će okupiti brojna ugledna imena, kompanije i renomirane stručnjake. Konferencija će se održati 15. svibnja 2025. u Zagrebu.
Sadržaj donose Index i ASEE Solutions u skladu s najvišim profesionalnim standardima.