Živimo u vremenu velikog tehnološkog napretka i ujedno iznimno neizvjesnom i kriznom razdoblju, u kojem sigurnost u online svijetu postaje prioritet. Viktor Olujić član je Uprave ASEE Hrvatska, a u 20 godina karijere radio je na brojnim pozicijama unutar tvrtke. Kako kaže njegov životopis, zaslužan je za razvoj dijela najuspješnijih internacionalnih proizvoda unutar ASEE Grupe. Primjerice, u suradnji s Mastercardom radio je na specifikaciji CAP-a (Chip Authentication Product) i vodio tim koji je među prva četiri u svijetu implementirao ovo rješenje sigurnosne autentikacije u vlastiti proizvod. Vodio je razvoj sigurnosnog rješenja SxS, koje je danas najprodavaniji internacionalni produkt unutar Asseco Grupe i koji koriste više od 100 banaka i bankarskih grupacija diljem svijeta. S njim smo razgovarali o temama sve učestalijih kibernetičkih napada te organizaciji obrane, manjku stručnjaka, digitalizaciji države, prelasku na euro.
S obzirom na to da imate višegodišnje iskustvo u IT tvrtki, koja je uglavnom usmjerena na financijski sektor koliko su sigurnost i sigurnosna rješenja rasli na ljestvici prioriteta vaših klijenata?
Posljednjih godina svjedoci smo ubrzane digitalizacije cijelog našeg životnog okruženja. Istodobno se povećao i broj sustava koji su postali izloženi kibernetičkim ranjivostima. Sve to uvelike je proširilo opseg posla menadžera kibernetičke sigurnosti, čija uloga ubrzano evoluira kako bi organizacija bila zaštićena od sve većih rizika. Menadžeri sigurnosti su od upravitelja rizika, kontrola i procesa, postali jedinstveni kibernetički i informatički specijalisti sa širokim spektrom znanja, koji omogućuju uvođenje i primjenu novih tehnologija. Ove promjene dovele su do postulata koji su osnova za daljnju izgradnju sigurnog digitalnog društva. To su, primjerice, arhitektura nultog povjerenja (engl. Zero trust security model) koja definira princip “nikome i nikada ne vjeruj, uvijek provjeri”, zatim protokol “nultog razotkrivanja” (engl. zero-knowledge protocol) koji omogućava proces provjere da osoba zna ili posjeduje određenu informaciju bez nužnosti da oda navedenu informaciju ili neki drugi dio informacije, kao i princip smanjivanja korištenja zaporki (engl. passwordless) koji uvelike smanjuje rizik i trošak upravljanja statičkim zaporkama zamjenjujući ih modernijim modelima korištenja biometrije pri autentikaciji i autorizaciji. S obzirom na to da je danas većina napada usmjerena na ostvarivanje direktne ili indirektne financijske koristi, sudionici u financijskoj industriji su među najagilnijima pri uvođenju novih sigurnosnih rješenja i praćenju trendova u kibernetičkoj sigurnosti, a na nama u ASEE je da takva rješenja za njih dizajniramo, razvijemo i primijenimo.
Koliko je napada povezano s konkretnom krađom novca, pojedinaca, a koliko se sada napadaju sustavi? Ili koji su zapravo sada ‘top’ napadi?
Po mom mišljenju, veliku većinu napada izvode kibernetički kriminalci kojima je osnovni motiv novac, u vidu krađe ili ucjene dok se ne plati otkupnina ili će napadači novac dobiti prodajući podatke kojih su se domogli tijekom napada. Pored toga postoje hakeri koji nude svoje usluge u najam i koje zlonamjerni pojedinci i organizacije angažiraju da za njih odrade određeni posao te hakeri koje sponzoriraju pojedine države. Postotak tzv. haktivista koji hakiraju iz svojih uvjerenja i nisu motivirani novcem, zanemarivo je mali. Najčešći modeli napada su ransomware, malware, DDoS, phishing, a u 2021. je bio primjetan trend porasta dezinformacija, koje utječu na ponašanje građana, i taj trend je nastavljen i u 2022. Hakeri su usvojili i počeli koristiti i tehnologije umjetne inteligencije, a ukupan broj napada se konstantno povećava, kako u samoj količini napada tako i u broju različitih tipova napada.
Financijski sektor, u kojem vi poslujete, visoko je na ljestvici interesa kriminalaca. Kako ga branite?
Da, financijski sektor je najčešći cilj kriminalaca, ali je istodobno i sektor koji najagilnije implementira nove tehnologije zaštite. Da bi sustav obrane mogao biti učinkovit, našim klijentima savjetujemo da sustav bude slojevit i da pojedine komponente sustava budu integrirane i vertikalno i horizontalno, odnosno da se svaki događaj koji se dogodi provjerava na dodatna dva različita i međusobno korelirana sustava. Pri tome koristimo tehnologiju AI, koja omogućava bolje praćenje povećane količine podataka koji aplikacije i sustavi generiraju, kao i automatizaciju, odnosno robotizaciju, odgovora na napade.
Možete li navesti neki primjer uspješne obrane, odnosno neki promptno otkriven pokušaj napada koji ste spriječili?
Za mene je ljepota rada u kibernetičkoj sigurnosti upravo to što se uspješne obrane ne broje, za njih vam nitko neće pljeskati niti će vas nagraditi, ali na kraju dana ipak znate da je vaš tim napravio dobar posao. U industriji se najčešće mjeri i bilježi broj napada koji su bili uspješni, odnosno onih u kojima je napadač zaobišao prvu razinu obrane, brzina identifikacije napada, odnosno brzina kojom ste otkrili napadača te brzina reakcije kojom ste izolirali napadača i onemogućili mu daljnje napade, odnosno spriječili daljnju štetu.
Vi se uglavnom bavite rješenjima koja štite sigurnost vaših korisnika, a što je s ASEE, vjerujem da vas hakeri jednako tako dobro poznaju te da vas ne izuzimaju kao metu napada?
Osim proizvodnje softvera, ASEE klijentima pruža i različite usluge, kao na primjer usluge održavanja bankomatske i POS mreže, usluge procesiranja platnih transakcija kroz tvrtke Monri i WSPay u Hrvatskoj i regiji, a na određenim tržištima posjedujemo i licencu za izdavanje elektroničkog novca i pružanja platnih usluga, tako da spadamo i u pružatelje financijskih usluga. Zbog dualne prirode poslovanja, poželjna smo meta za različite napade, koji se i događaju. Napadi na pružatelje financijskih usluga 80-ih godina su bili fizički, najčešće uz prijetnju vatrenim oružjem, a po statistici policije iz Europe izvodili su ih napadači koji su stanovali unutar 200 km od mjesta napada. Hakerski napadi koji se događaju digitalno nisu zemljopisno ograničeni, i moguće je da haker koji vas napada dolazi iz bilo koje zemlje na svijetu. Također broj različitih načina napada raste dramatično, što postaje dodatni izazov za timove koji ih trebaju sprječavati. Posljednjih godina trend je da se unutar specijalističkih udruženja ili centara, u kojima sudjeluje i ASEE, razmjenjuju informacije o načinima napada ili lokacijama s kojih napadi dolaze i u kojima se naknadno rade analize napada.
Kada već govorimo o kibernetičkoj sigurnosti, i neizvjesnim vremenima, kako je postavljena zaštita podataka, u slučajevima katastrofa koje nisu inicirane hakerima, već potresima, poplavama ili drugim vrstama oštećenja infrastrukture?
Očuvanje poslovanja u slučajevima katastrofe dio je posla kojim se bave menadžeri kibernetičke sigurnosti koji ovu temu obrađuju unutar politike, odnosno plana očuvanja poslovanja. Cilj plana je da predvidi i procijeni rizike kojima je organizacija izložena u slučaju pojave prirodne katastrofe ili pojave kombinacije dviju različitih katastrofa, odnosno da predvidi odgovor organizacije na pojavu rizika. S obzirom na to da se život ne može planirati kroz konačan slijed koraka, prije dvije godine smo u Zagrebu bili svjedoci pojave pandemije, potresa i zabrane kretanja stanovnika i djelatnika između različitih županija, koji se dogodio istodobno, a takvu kombinaciju katastrofa i ograničenja je rijetko koji plan mogao u potpunosti predvidjeti. Stoga se odgovori na izvanredne okolnosti rijetko kad odvijaju 100% sukladno planu ili proceduri koja se definira tijekom “mirnodopskog vremena”.
Uobičajene metode zaštite su pohrana sigurnosnih kopija podataka ili uspostava dodatnog podatkovnog centra, na više različitih lokacija koje su međusobno udaljene. Na primjeru recentnih ratnih operacija u Ukrajini je postalo nužno da za tvrtke iz Ukrajine drugi podatkovni centar ili dodatna kopija podataka budu pohranjene izvan njihovih granica. ASEE stručnjaci sudjelovali su u nekoliko projekata uspostave dodatnih podatkovnih centara izvan Ukrajine, i omogućavanja nesmetanog rada ostalih sustava koji su s njima bili povezani. Uz dobro planiranje i kvalitetnu obuku timova, odgovori na katastrofe postaju manje stresni jer su timovi spremniji za reakciju.
S obzirom na vaš djelokrug rada i poznavanje alata i rješenja u svijetu financija, osiguranja, pa i javnom sektoru, kako ocjenjujete digitalizaciju Hrvatske, konkretno javne uprave. Možemo li bolje?
Pohvalno je što se sustav e-građani konstantno dorađuje, uvode se novi servisi i poboljšavaju postojeće usluge, međutim rezultati DESI istraživanja koje provodi EU pokazuju da bismo ga trebali mnogo bolje i brže nadograđivati. Velik problem predstavlja mala otvorenost e-servisa države za suradnju sa servisima iz gospodarskog sektora. Ključna stvar koja nedostaje je jedinstvena platforma za jednostavnu, brzu i pouzdanu identifikaciju građana koju bi elektronički servisi gospodarskih subjekata mogli koristiti, jer pouzdana autentikacija predstavlja temelj za korištenje digitalnih servisa. Nadalje, podaci koje država posjeduje nisu dostupni za korištenje poslovnim subjektima preko API sučelja, što dosta komplicira i poskupljuje poslovanje u državi.
E-bankarstvo većina ljudi je prigrlila, zbog čega usluge e-građana i cijeli sustav korisnici ne doživljavaju kao jednostavno iskustvo? Je li regulativa problem?
Regulativa tu nije problem, nego činjenica da u silosima pokušavamo “digitalizirati” model ophođenja javne uprave s građanima koji je nastao još u davnim vremenima, u kojima se javna uprava obraća građaninu s autoritativne pozicije. Naši sugrađani su u prilici koristiti e-servise velikih svjetskih tehnoloških tvrtki, usluge financijskih pružatelja iz EU, servise e-government država koje su po broju stanovnika četiri puta manje od Hrvatske (npr. Estonija), koji su dizajnirani da budu što je moguće više usmjereniji na krajnjeg korisnika i da njemu korištenje servisa bude što je moguće kvalitetnije, jednostavnije i brže. Dugoročno gledano, servisi koji će biti bolje prilagođeni korisniku (engl. client centric) privlačit će i zadržavati korisnike, a pružatelji usluga koji ne budu pratili taj trend pri razvoju svojih digitalnih sustava će ostajati bez korisnika, a u konačnici i bez građana. Na primjeru sustava e-građana, ono što dosta komplicira korištenje sustava je neusklađenost između pojedinih aplikacija, s obzirom na to da je ponašanje aplikacija kao i način kojim se obraćaju korisniku, poruke i nazivi akcija koje mu nude, različit u svakoj pojedinoj aplikaciji. To dosta usložnjava proces učenja korisnika, a samim tim on lakše odustaje od korištenja takvih aplikacija. I financijski sektor imao je problem neusklađenosti među različitim aplikacijama, ali su ga identificirali prije više od deset godina i počeli raditi na usklađivanju kako internih procesa tako i komunikacije prema korisnicima, pa danas proizvode banke ili osiguravajućeg društva na ujednačen način možete kupiti i u poslovnici, i preko bankomata ili sličnog samouslužnog uređaja, i preko posrednika koji će doći u vaš dom ili na radno mjesto, i na internetskoj aplikaciji i u mobilnoj aplikaciji, dok klijent može započeti određeni proces preko jednog kanala/aplikacije/lokacije i dovršiti ga na drugoj.
Prelazak na euro dogodit će se za dva mjeseca. Radite li i vi i u kojem dijelu na tome? Koji dio je za IT stručnjake najzahtjevniji i gdje očekujete, možda, neke probleme u krajnjem ishodu?
Kao veliki dobavljač rješenja za banke i platne institucije u Hrvatskoj, ASEE je uključen u skoro sve promjene koje će u bankarskom ekosustavu euro donijeti. Najzahtjevniji dio posla je bio na početku projekta i ponovit će se na kraju projekta. Na početku projekta trebali smo analizirati sve module i aplikacije koje banke koriste te utvrditi međuovisnosti u njima kao i utjecaj pri zamjeni domicilne valute te s kolegama iz banaka pripremiti planove i redoslijede akcija tijekom očekivanih nadogradnji, uključivo i testiranja koja su već odrađena i na temelju kojih je Hrvatska dobila suglasnost EU komisije i potvrdu datuma uvođenja eura. Finalizacija projekta će biti zahtjevna jer na datum uvođenja eura, odnosno nekoliko dana prije njega, osim pripreme za puštanje u produkciju svih novih IT modula, bit će potrebno zamijeniti i novčanice koje je se koriste u bankomatima, što je, logistički gledano, velik posao i posao na čijoj pripremi stručnjaci Paytena, članice naše Grupe, rade zadnjih nekoliko kvartala. S obzirom na provedenu pripremu na projektima za uvođenju eura, ne očekujem probleme u bankarskom sektoru niti probleme u digitalnom poslovanju. Eventualni problemi mogu se pojaviti pri plaćanju gotovinom kod trgovaca koji nisu u mogućnosti prihvatiti platne kartice ili neki drugi oblik digitalnog plaćanja, a koji neće na vrijeme osigurati dovoljne količine euro apoena, kao npr. OPG-ovi na placu, trgovine malih i mikro obrtnika, pekare i sl. Takvi problemi će biti kratkotrajni, i mogu potrajati nekoliko dana, dok se u optjecaju ne pojavi dovoljna količina sitnih apoena i kovanica eura. Naši stručnjaci osim na projektima uvođenju eura u Hrvatskoj, tijekom rujna ove godine započeli su i s pripremama za projekt uvođenje eura u Bugarskoj, u kojoj će se promjena domicilne valute dogoditi 1.1.2024.
Koliko ASEE surađuje s državama, ne mislim samo na RH, s obzirom na to da ste međunarodna grupacija, već općenito na države, što im nudite? Kakvi su zapravo rezultati ASEE u ovim krizama i kako vidite budućnost?
Poslovanje ASEE je dosta dobro uravnoteženo, tako da smo u krizi izazvanom pandemijom uspjeli zadržati stope rasta u ukupnom rezultatu. Iako su pojedini dijelovi poslovanja imali problema jer npr. nije bilo turističkih dolazaka pa usluge namijenjene inozemnim turistima nisu ostvarile planove iz pretpandemijskog perioda, pojavili su se neki drugi proizvodi i usluge koje su imali izvanredan uspjeh. Usluge korištenja digitalnih kanala u komunikaciji s klijentima su se strelovito širile, što je pridonijelo širenju naše Live platforme koja je centralni sustav za upravljanje korisničkim iskustvom, kao i potražnja za sustavima digitalnog potpisa i omogućavanje nesmetanog poslovanja u uvjetima spriječenog kretanja ljudi i roba. Na globalnoj razini radimo zanimljive projekte, primjerice u državi Togu uspostavili smo sustave CERT (engl. Computer Emergency Response Team) i SOC (engl. Service Operation Center) na razini države i iste koriste sva ministarstva, u Turskoj se povrat preplaćenog poreza na dohodak obavi u jednom danu putem sustava kojeg je dizajnirala naša kompanija.
S obzirom na to da je u vašem poslu sigurnost podataka na prvom mjestu, mislite li da bi glasanje na izborima ili referendumima bilo jednostavno rješenje za IT struku?
Elektroničko glasanje događa se u dva različita slučaja. Prvi je onaj u kojima su odabiri svakog pojedinog glasača dostupni svim glasačima i dostupan je nadzornom tijelu koje provodi glasanje, npr. odluke uprava i nadzornih odbora trgovačkih društava, odluke vijeća roditelja u osnovnim školama ili sportskim klubovima i slično. S obzirom na to da je u ovom slučaju odabir svakog pojedinog glasača javan, relativno jednostavno je napraviti sprečavanje naknadne izmjene rezultata glasovanja. Drugi slučaj je onaj u kojem odabir pojedinog glasača treba biti tajan i ne smije niti u jednom trenutku postati dostupan drugom glasaču ili tijelu koje organizira izbore. Primjeri ovih izbora su izbori za politička i javna tijela državne uprave, i taj zadatak je dosta teži.
Za prvi slučaj već danas postoji niz rješenja uključujući i rješenje BoardPoint koje razvijamo u ASEE grupi i kojeg koristi Vlada Republike Hrvatske te mnoge tvrtke u Hrvatskoj i regiji. Drugi slučaj je dosta tehnološki zahtjevniji jer uvodi dodatne zahtjeve za privatnost obavljenog glasanja te zahtjev za sprečavanje naknadne izmjene rezultata glasanja, koji su kontradiktorni jedan s drugim. U ASEE radimo na razvoju i modela glasanja u kojem je potrebno osigurati privatnost glasovanja, a trenutačno se u EU provodi nekoliko različitih pilot-projekata u kojima se testiraju takvi procesi korištenjem softverskih komponenti i korištenjem samouslužnih hardverskih komponenti sličnih današnjim bankomatima. Tehnologija na kojima se rade takvi sustavi je kombinacija kriptografije zasnovane na principima tajnog i javnog ključa uz korištenje blockchain tehnologije koja treba osigurati privatnost glasovanja.
Još je jedan bitan faktor u cijeloj priči oko sigurnosti, jesu ljudi, ono što IT zajednica godinama ističe kao veliki problem, odnosno nedostatak stručnjaka. Vi ste velika međunarodna korporacija, ipak, stručnjaka, posebno sigurnosti, koliko mi je poznato, nema u izobilju.
Po mom mišljenju, školski i akademski programi u Hrvatskoj zaostaju za potrebama gospodarstva, a kibernetička sigurnost tu nije iznimka. Za razliku od zemalja EU i USA koje već nekoliko godina imaju srednje školsko obrazovanje u području računalne sigurnosti, u Hrvatskoj, koliko sam upoznat, još nemamo ravnatelja koji je uspio napraviti i certificirati takav program, a potrebe na tržištu su uistinu velike. Na fakultetima FOI-ju i FER-u postoje poslijediplomski specijalistički studiji koji obrazuju kadar koji je potreban za tvrtke koje zapošljavaju kibernetičke stručnjake, ali izazov je da takav studij možete upisati tek nakon dovršetka diplomskog studija pa se relativno malo polaznika za njega odlučuje. Nadam se da će u skorijem vremenu edukacija kibernetičkih stručnjaka postati i dio preddiplomskih i diplomskih studija, kao i da će pojaviti srednja škola koja će početi obrazovati takve stručnjake. U osnovnoškolskom obrazovanju također je potrebno napraviti napor da naši mladi od prvih dana budu upućeni, zaštićeni i spremni za korištenje digitalnih tehnologija pa i u dijelu znanja kibernetičke sigurnosti u njima prilagođenoj mjeri. S obzirom na nedostatak kadra na tržištu, u ASEE smo razvili interni sustav edukacija, gdje sami obrazujemo i ulažemo u razvoj kibernetičkih stručnjaka. Jer danas u svijetu nedostaje mnogo više kibernetičkih stručnjaka nego klasičnih programera.
Intervju je objavljen u tiskanom izdanju, u prilogu Večernjeg lista - Smart, 26.listopada 2022