General-bojnik Yigal I. Unna ima iznimno bogato iskustvo u vođenju kibernetičke zaštite u Izraelu, počev od službe u Izraelskim obrambenim snagama, preko rada u Službi unutarnje sigurnosti, da bi od 2004. radio pri Uredu predsjednika Vlade Izraela, gdje je od siječnja 2018. do siječnja 2022. obnašao dužnost generalnog direktora Nacionalnog ravnateljstva za kibernetičku sigurnost Izraela (INCD).

Poslije toga je nastavio karijeru u privatnom sektoru. U intervjuu za Poslovni dnevnik dao je vrlo korisne savjete o organizaciji kibernetičke obrane kako na nacionalnoj, tako i na korporativnoj razini.

Možete li mi reći nešto više o nastanku INCD-a?
Nacionalno ravnateljstvo za kibernetiču sigurnost je nastalo kao Nacionalni kibernetički stožer 2002. pri Službi unutarnje sigurnosti (Shin Bet).

To je bila prva organizacija te vrste u svijetu i u početku je organizacijski potpadalo pod Shin Bet, gdje sam radio s činom general-bojnika te je njezina zadaća bila da objedini sve institucije zadužene za kibernetičku sigurnost u jedinstvenu “pjesmicu” za obranu kibernetičkog prostora Izraela. Poslije se izdvojila iz Shin Beta, te je postala neovisno tijelo središnje države.

Kolika se važnost pridaje kibernetičkoj sigurnosti u Izraelu govori i činjenica da sam tijekom mog mandata, od 2018. do 2022., odgovarao najvišoj političkoj instanci u Izraelu, Predsjedniku Vlade.

Što malo i srednje poduzeće može učiniti da se zaštiti od kibernetičkih prijetnji? Trebaju li se oslanjati isključivo na svoje pružatelje internetskih usluga ili trebaju razviti vlastite sposobnosti kibernetičke obrane? Većina naših tvrtki krajnjih korisnika nastoji većinu poslova vezanih uz IT i kibernetičku sigurnost povjeriti integratorima sustava, prvenstveno zbog općeg nedostatka iskusnih IT stručnjaka na tržištu. Biste li preporučili nacionalni program obuke za razvoj internog osoblja za kibernetičku sigurnost? Tko to treba koordinirati? Vlada ili organizacije poput gospodarskih komora, nevladinih organizacija itd.?
Osnovno je ne biti lak plijen i biti malo bolji od konkurencije. Ako malo više pažnje posvetite osnovnoj kibernetičkoj sigurnosti i zaštiti od kibernetičkih prijetnji, šanse da postanete plijen su relativno male, jer je u prirodi kibernetičkih napadača da traže slabe točke.

Što se malih i srednjih poduzeća tiče, trebaju koristiti i usluge specijaliziranih tvrtki, ali istovremeno i razvijati vlastite sposobnosti kibernetičke zaštite. Ne postoji hermetička zaštita, ali tvrtkama su potrebne zaštite od distrubuiranih napada uskraćivanja usluge (DDOS), usluge proširene detekcije i odgovora (XDR), područja u kojima izraelske tvrtke nude odlična rješenja po povoljnim cijenama.

Svaka tvrtka bi trebala imati direktora za informacijsku sigurnost ili osobu koja bi bila zadužena za informacijsku sigurnost, čija bi glavna zadaća bila otkrivanje, praćenje i uklanjanje ranjivosti. Dovoljno je pratiti ranjivosti prvog dana (n-day vulnerabilities), i uklanjati ih. Time se značajno umanjuje rizik od kibernetičkog kriminala. Takve investicije nisu pretjerano velike, a povrat na investicije je ogroman. Glede koordinacije, optimalno rješenje koje smo implementirali u Izraelu je – Vlada.

Međutim, privatne ili nevladine organizacije, iako su ograničene resursima, vremenom i kadrovima mogu popuniti praznine, naročito u slučajevima gdje su vlade slabe. Standardizirani nacionalni program obuke kadrova iz područja kibernetičke zaštite bi bio dobro rješenje, kao i redovite vježbe, koje bi uključivale i javni i privatni sektor, koje bi potakle razmjenu mišljenja i iskustava.

Što biste savjetovali visokotehnološkoj start-up tvrtki da zaštiti svoje intelektualno vlasništvo? Sve veći broj start-upa su IT i visokotehnološke tvrtke, što ih čini ranjivijima na kibernetičke napade. Nadalje, Hrvatska je i članica EU-a i NATO-a, što je čini atraktivnom metom za kibernetičke napade. Prema vašem iskustvu, koliki je ulog za gospodarstvo poput hrvatskog?
Svaka visokotehnološka tvrtka je potencijalna meta za kibernetičke napade. Pošto je Hrvatska članica NATO-a, to je čini logičnom metom kibernetičkih napada. Ulozi su veliki, svaki start-up bi morao voditi računa o kibernetičkoj sigurnosti i zaštiti intelektualnog vlasništva. Posljedice napada na državne institucije i kritičnu infrastrukturu mogu imati nesagledive posljedice.

Nedavno ste bili u Varšavi na #Improvate Cyber Security Summitu, gdje ste Poljsku opisali kao državu na prvoj liniji, kako kibernetičku tako i kinetičku? Gdje vidite Hrvatsku u novoj sigurnosnoj arhitekturi u istočnoj Europi? Jeste li imali sličnih susreta s dionicima kibernetičke sigurnosti u Hrvatskoj?
Hrvatska je trenutačno čvor koji povezuje istočnu, jugoistočnu i srednju Europu, zbog svojeg zemljopisnog položaja, svoje privrede i znanja. Zbog članstva u NATO-u te zbog činjenice da podržava Ukrajinu, kao i većina drugih zemalja, nalazi se na meti kibernetičkih napada.

Nemate, za razliku od Poljske, kinetičku ugrozu na vašim granicama, ali što se kibernetičkih ugroza tiče, u istom ste rovu s ostatkom NATO-a. Radio sam s jednom izraelskom informatičkom tvrtkom koja pruža usluge izobrazbe na području kibernetičke sigurnosti s kojima surađuju izraelski stručnjaci, koji su među najboljima na svijetu, te sam imao susrete i s hrvatskim stručnjacima iz te područja.

Koje su, po Vašem mišljenju, ključne komponente uspješne strategije kibernetičke obrane neke zemlje ili skupine industrija?
Suradnja! Trenutačno u tome prednjače banke, ali svaka privredna grana bi morala imati skupinu menadžera zaduženih za kibernetičku sigurnost, koji bi međusobno surađivali i razmjenjivali informacije, čak i ako su u pitanju konkurentske tvrtke jer kod kibernetičkih napada ne postoji konkurencija, već zajednička ugroza. Pri INCD-u imamo posebnu internetsku stranicu, koja sliči na Facebook, gdje menadžeri za informacijsku sigurnost, njih oko 2500, koji su prošli sigurnosnu provjeru, razmjenjuju informacije.

Dat ću vam primjer: sjevernokorejski hakeri su 2018. izveli devastirajući napad na jednu banku u Čileu. Ne samo da su ukrali novac, nego su i izbrisali sve podatke, čime su napravili još veću štetu. To se dogodilo oko 7 sati ujutro po lokalnom vremenu, dakle oko ponoći po izraelskom vremenu.

Prva osoba koja je primjetila napad se oglasila, onda se oglasila još jedna koja je imala veze u Čileu, i koja je dala više detalja o tom napadu, poslije još jedna, koja je imala još bolje veze u Čileu, pa je nastala vrlo žučna rasprava, ali su tijekom rasprave raščlanili napad i sve tehničke detalje vezane za njega, tako da sam u 9 ujutro imao sve detalje vezane za taj napad, kompletnu sliku o tome što se dogodilo te su svi dijelovi slagalice bili tu.

Tako smo mogli pomoći bankama u Izraelu da identificiraju i uklone potencijalne slabosti. Nije bitno gdje se događa kibernetički napad, ako se danas dogodi u Boliviji ili Čileu, sutra vi možete biti sljedeći, te je proaktivno djelovanje ključno.

Da li je svakoj državi potrebna državno tijelo za obranu kibernetičkih napada ili neko kibernetičko zapovjedništvo? Trenutačno u Hrvatskoj imamo dva CERT-a, a niti jedan o njih ne radi 24 sata dnevno, već samo radnim danima tijekom radnog vremena. Da li je to dovoljno za kredibilnu cyber obranu? Također postoji i Nacionalni vijeće za kibernetičku sigurnost, osnovano 2016., ali to je međuinstitucionalno savjetodavno tijelo, bez ikakvih izvršnih ovlasti, a obuhvaća 16 različitih vladinih i državnih tijela. Kojim putem naprijed? Stvaranjem organizacije po uzoru na onu u Izraelu ili Luksemburgu?
Da, treba! Ako kombinirate sve raspoložive resurse zajedno, to će biti znatno učinkovitije nego štititi samo određena područja. Do 2016. Izrael se primjerice fokusirao samo na kritičnu infrastrukturu, ali od tada smo shvatili činjenicu da je i kritična infrastruktura u interakciji s ostalim dionicima na Internetu te da je sve povezano, tako da smo morali početi štititi sve.

Postojanje dva CERT-a je bolje nego ništa, ali svakako nije idealno rješenje, jer više nema granice između državnih institucija, kritične infrastrukture i privatnog sektora, jer su svi u međusobnoj interakciji, tako da je bolje organizirati obranu cyber prostora pod jednim tijelom.

Zašto jedno središnje tijelo? Zato što postojanje više organizacija zaduženih za obranu različitih sektora neminovno vodi do birokratskih čarki, što vodi u konačnici do neučinkovite obrane i rasipanja resursa. Zašto Vlada?

Zato što ona može okupiti najviše resursa, zato što ona nema poslovnu konkurenciju i zato što ima interes štititi svaki dio digitalne infrastrukture u zemlji, te, što je važno, ima pristup povjerljivim informacijama koje su prikupili državni organi ili koji su stigli od partnerskih zemalja, a tim informacijama privatni sektor jednostavno nema pristup. Luksemburg je razvio odličan model, ali po tehnološkim potencijalima ste ga već premašili. Zašto se onda ne bi ugledali na Izrael?

Važno je spomenuti da već imate izvrsne domaće tehnološke tvrtke i da bi domaća primjena njihovih rješenja i uspješna obrana od cyber napada zahvaljući njihovoj uporabi bila za njih najbolja reklama. Također, možete pratiti i model Francuske ili Ujedinjenog Kraljevstva, koji su razvili odličnu suradnju između državnog sektora, znanstvene zajednice i sveučilišta te privatnog sektora, koji popunjavaju rupe gdje i kada je to potrebno.

U Izraelu, INCD broji otprilike oko 350 djelatnika, koji su na prvoj crti obrane izraelske cyber infrastrukture, a svaki sektor industrije je pokriven jednim malim odjelom, tako da se čitava informatička infrastruktura zemlje, od Vlade, preko banaka, pa sve do privatnog sektora može uspješno boriti. Zato je uveden i poseban broj telefona, 119, gdje svatko može kontaktirati INCD, što nam pomaže da čujemo pojedinačne šumove i simptome problema, kako poslije ne bi čuli buku i došli u situaciju da ne otkrijemo uzrok problema na vrijeme.

Kako se državna institucija može nositi s konkurencijom privatnog sektora, gdje su plaće znatno više, posebno u Hrvatskoj, gdje postoji kronični nedostatak IT kadra?
Nedostatak IT kadra je akutni problem u čitavom svijetu. Ono što državna institucija poput INCD-a može ponuditi je akcija i znanje koje se može steći. Ja imam 34 godine iskustva rada u sektoru, od toga sam 18 godina proveo u ofenzivnim operacijama, tako da znam razmišljati kao napadač, samim tim u boljoj sam poziciji razvijati i obranu računalnih sustava. Plaća može biti nešto manja, ili znatno manja u javnom sektoru, i to privremeno, ali adrenalin i uzbuđenje koje osjećate na prvoj crti obrane od cyber napada su nezamjenjivi!

Poslije toga, iskustvo koje ste stekli možete poslije višestruko bolje naplatiti. Drugi motivirajući faktor je rad za javno dobro i domoljublje. Ja sam već godinu i pol dana u privatnom sektoru, ali nisam osjetio ni djelić uzbuđenja koji sam osjećao radeći za državu.

Da li održavate vježbe s privatnim sektorom?
Naravno, to je sastavni dio kopperacije i holističkog pristipua cyber sigurnosti. Na primjer, pošaljemo na stotina lažnih mailova privatnim tvrtkama, u kojima piše da su podaci kreditnih kartica djelatnika komprimitirani i da moraju kliknuti na link. Umjesto malware-a dobiju upozporenje od INCD-a, gdje piše da je to što su učinili velika greška! Prosječno 40 posto svih djelatnika kojima se takvi mailovi pošalju kliknu na potencijalno opasne linkove, što ukazuje na važnost kontinuirane edukacije.

Godine 2017. INCD je objavio Izraelsku metodologiju kibernetičke obrane (ICDM) 1.0, koja implementira NIST Cyber security Framework 1.0, a 2021. objavio je sljedeću generaciju, ICDM 2.0 koja usvaja NIST Cyber security Framework 1.1. Kolika je važnost implementacije NIST Cyber Security Frameworka i može li se on učiniti kompatibilnim s postojećim EU okvirom za standardizaciju?
Implementacija standarda je važna, ali sama po sebi nije dovoljna. Svaki put kada se neki standard objavi, on već zastarijeva. Kibernetički prostor se konstantno mijenja i evoluira brže nego što pisač može ispisati. Birokracije su prespore što znači da, iako su standardi važan skup smjernica, važnije je pratiti potencijalne ugroze.

Ako dođete pred upravni odbor vaše tvrtke kao menadžer za kibernetičku sigurnost, održat će te prezentaciju o usvojenom standardu i to je u redu. Međutim, ako upravni odbor ocijeni da je samo uvođenje standarda dovoljno, onda je to velika greška.