Jedan od vodećih hrvatskih teleoperatera A1 Hrvatska u srijedu je izvijestio kako su bili izloženi hakerskom napadu zbog kojeg su ugroženi podaci oko 150.000 ljudi, što čini 10 posto ukupnog broja korisnika njihovih usluga. Istaknuli su kako su se hakeri domogli osnovnih podataka poput imena, prezimena, adrese, OIB-a, tarifnih opcija i MSISDN, odnosno jedinstvenog broja za pristup korisnika telekomunikacijskoj mreži. Dodali su i da važniji podaci, poput financija ili bankovnih kartica nisu kompromitirani.
U sve je uključen i državni regulator HAKOM te policija koja traga za počiniteljem. Informatički stručnjak i poduzetnik Lucijan Carić, pak, za Net.hr tvrdi da nitko ne bi trebao biti ugrožen.
"Ljudi često misle da su njihovi podaci jako privatni i jako tajni. To zapravo nije točno. Postoji jako puno registara koji su javni po zakonu. Ne možete svoje podatke sakriti. Uostalom ime, prezime i adresa teško mogu biti tajni podaci. Čim odete u sudski registar vidjet ćete imena ovlaštenih osoba raznih tvrtki s njihovim adresama, OIB-om, što je potrebno jer ti podaci razlučuju osobe s istim imenima na sličnim ili istim adresama. Ti podaci su svaki dan dostupni bilo kome tko ima volje otići tamo to pogledati. Mislim da je šteta za pogođene korisnike, kojih ima puno, relativno mala i da je rizik zloupotrebe tih podataka umjeren, jer ne vjerujem da se samo pomoću imena, prezimena, adrese i OIB-a mogu sklapati nekakvi ugovori, a bez da se pritom predoči osobna iskaznica ili da se izvrši plaćanje kreditnom karticom", rekao je Carić.
Dodao je da je pravo pitanje je li haker kopirao digitalne podatke i kome ih je proslijedio, ali i da se eventualna šteta za korisnike može ogledati u prijevarnim mailovima i lažnom predstavljanju. Istaknuo je da je pritom jedina prava šteta zapravo nanesena ugledu A1.
Neprestana borba hakera i tvrtki
Carić objašnjava da se pri zaštiti podataka vodi neprestana borba oko toga hoće li na kraju hakeri uspjeti uzeti podatke ili će ih tvrtke uspjeti zaštititi. Pritom su hakeri u prednosti, jer im je dovoljno uspjeti samo jednom, dok tvrtke moraju konstantno raditi na zaštiti i pritom ulagati ogromna sredstva.
Iz A1 su poručili kako su "odmah po prvim znakovima sumnje na nedopušteni pristup korisničkoj bazi trenutačno i bez odlaganja onemogućili daljnji neovlašteni pristup i poduzeli dodatne mjere zaštite"’.
"Mnoge tvrtke ne ulažu dovoljno u zaštitu ni organizacijski ni tehnološki, jer je to skupo, traži vrlo kvalitetne kadrove i specifična znanja koji su teško dostupni, jer ih je malo. Ima puno ljudi koji pričaju da nešto znaju, ali je vrlo malo onih koji stvarno nešto znaju, pogotovo na višem nivou kad se govori o organizaciji, primjeni tehnologija, podjeli ovlaštenja o načinima postupanja… S druge strane, kad vidite da su te firme, za koje znamo da ulažu ogroman novac za sigurnost i zapošljavaju neke od najboljih talenata koji su dostupni na tržištu, poput Googlea, Microsofta ili Applea, bile izložene hakerskim napadima onda se možete razumno zapitati što jedna relativno mala telekomunikacijska firma može napraviti u svojoj zaštiti i koliko daleko može ići", upozorava Carić.
Iako iz A1 poručuju kako poštuju sve "međunarodne standarde tehničke implementacije mjera zaštite", već se nalaze pod istragom HAKOM-a koji će utvrditi je li to zaista točno. Informatički stručnjak tvrdi kako je nužno koristiti automatizirane metode analize izvornog koda te poštovati pravila sigurnog programiranja i redovito održavati sustav te, najbitnije od svega, ispravno dodijeliti prava korištenja pojedinih dijelova informatičkog sustava.
Traljavo izveden napad
Dodaje i kako je ovaj napad zapravo izveden traljavo. Haker je navodno ostavio jako puno tragova, a kasnije se i javio mailom, ucjenjujući A1 s pola milijuna dolara u kriptovalutama. Carić misli da će prije dobiti kaznenu prijavu, nego novac.
"Ne bih htio biti savjetnik hakera, ali metoda koju je on primijenio je potpuno promašena. Prvo, A1 je priznao da su podaci izgubljeni što znači da oni nisu više pod njihovom kontrolom. Čak i da dođe do povrata podataka, kako možemo znati jesu li oni stvarno vraćeni? Drugo, on ničim ne drži A1 'u šahu'. Nije to nikakav kriptonapad ili onesposobljavanje resursa i poslovanja. Smatram da, ako bi htio novac, ovo je najlošija metoda da ga i dobije. Rezultat njegovog rada i truda je nula. Ništa mu neće biti isplaćeno, potencijalno se izlaže kaznenom progonu. Jedino si je pojačao kazneno djelo. Izveo ga je iz koristoljublja i dodao si nekoliko godina na kaznu, bez da je taj rizik stvarno nečim kompenzirao", ističe informatički stručnjak.
Naglasio je kako su motivi za takav napad različiti, od stjecanja nepripadne imovinske koristi, preko samodokazivanja, ali i osvete te izravnavanja računa. Kaže kako A1, kao i svaka druga tvrtka, ima digitalne baze koje može zaštiti na tri načina.
"Postoje tri načina kako testirati sigurnost sustava. Jedan je da to tvrtke naprave same uz pomoć odgovarajućih alata i tehnologija. Drugo je da to naprave iskusni informacijski stručnjaci koji se bave zaštitom sustava. Treći je da im to hakeri naprave 'besplatno'. Na tvrtkama je koju će metodu provjere sigurnosti informacijskih sustava odabrati. Njihov odabir će biti poznat ili javno nepoznat, ovisno o tome kakav će biti", poručio je Carić i dodao da je to posao koji zahtijeva prekovremeni rad, puno ulaganja, ali i sklonost kompanija da kažnjavaju zaposlenike koji su prekršili sigurnosne protokole.
Dakle, na policiji je da uhvati hakera, na HAKOM-u da vidi jesu li poštovane sve zakonske procedure, a na A1 i drugim tvrtkama da malo više počnu razmišljati o informatičkoj sigurnosti i bolje se zaštite, jer u svakom trenutku mogu ostati bez važnih podataka, a posljedično - bez novca i ugleda.
