Professional Documents
Culture Documents
Ključne riječi: Kibernetička sigurnost, Nacionalna nijama. Aktivan pristup u praćenju IKT trendova,
taksonomija, Sigurnost energetskih sustava novih modela poslovanja i industrijskih tehnologija,
Key words: Cyber Security, National Taxonomy, preduvjet je održivom razvoju i dugoročnoj konku-
Security of Energy Systems rentnosti energetskih kompanija. Iz tog razloga autori
smatraju da će tehnološki naprednije kompanije
ostvariti veću sigurnost sustava te lakše širiti poslo-
Sažetak vanje i prestizati konkurenciju. Razvojni potencijal
sigurnosti energetskih sustava predstavlja novi inter-
Energetski i IKT (informacijsko komunikacijske disciplinarni izazov kojem se predviđa rast u vrlo
tehnologije) sektor danas predstavljaju dvije tehno- bliskoj budućnosti. Cilj ovog rada je analiza trenutnog
loške grane koje sve više funkcioniraju u simbiozi, stanja te osnovno pojašnjenje problematike kiberne-
autori su došli do zaključka da određene IKT tehnolo- tičke sigurnosti energetskih sustava sukladno novoj
gije imaju značajnu primjenu u energetskom sektoru, regulativi. S obzirom na trendove brzog povećanja
a energetski sektor pruža podršku IKT sektoru kroz kibernetičkih napada na energetske sustave, autori
osiguranje potrebne energije kroz primarna i rezervna smatraju da je važno razmotriti sigurnosne aspekte
napajanja. Takvi procesi integracije su neizbježni i integracije IKT tehnologija te predvidjeti alate, proce-
predstavljaju evoluciju poslovanja. Autori u ovom dure, tehnologije i kadrove kojima takav sustav može
stručnom članku analiziraju trenutne promjene u nadvladati izazove.
pristupu sigurnosti IKT podrške energetskim kompa-
24
������������������������������������������������������������������������
Abstract
The energy and ICT (engl. Information and
Communications Technology) sectors today represent
two technology branches that increasingly function in
symbiosis, the authors have concluded that certain ICT
technologies have significant application in the energy
sector and the energy sector provides support to the
ICT sector by providing the necessary energy through
primary and backup power supplies. Such integration
processes are inevitable and represent the evolution of Slika 1. Kibernetička sigurnost kao dio kompleksnog sustava
business. Through this article, authors analyzed the Izvor: www.kmco.com/resource-center/article/looking-
current changes in access to ICT security support for forward/information-security-cyber-security-it-security-
energy companies. An active approach to tracking ICT whats-the-difference/
trends, new business models and industrial techno-
logies is a prerequisite for sustainable development
and long-term competitiveness of energy companies. Dok bi odstupanje u normalnom funkcioniranju
For this reason, authors believe that more technologi- jedne vrste komunikacijskog i informacijskog
cally advanced companies will achieve greater system sustava energetskog sektora moglo proći nezapaženo,
security, and will be able to expand their business and neispravan rad nekih drugih sustava mogao bi imati
become more competitive. The development potential teške posljedice na funkcioniranje države, dovesti do
of energy system security represents a new interdisci- gubitka života, zdravlja ljudi, velikih materijalnih šteta,
plinary challenge that is expected to grow in the very onečišćenja okoliša i drugih funkcionalnosti bitnih za
near future. The aim of this paper is an analysis of the kvalitetno funkcioniranje društva u cjelini.
current state of affairs and the basic clarification of Od početaka razvoja komunikacijsko-informacijske
the cyber security of the energy systems in accordance tehnologije do danas, odstupanja u njihovom
with the new regulations. Given the rapid increase of ispravnom radu nastajala su zbog različitih razloga,
cyber-attacks on energy systems, authors consider ICT od ljudskih pogrešaka ili zlonamjernih postupaka, do
important to consider security aspects of ICT techno- tehnoloških grešaka ili organizacijskih propusta.
logy integration. Digitalnim povezivanjem niza komunikacijskih
i informacijskih sustava javnog, akademskog i
gospodarskog sektora, stvoren je suvremeni kibernetički
1. Uvod prostor koji sačinjava ne samo ova međusobno povezana
infrastruktura, već i stalno rastuća količina raspoloživih
Kibernetička sigurnost vezana je uz tehnološki podataka te korisnici koji međusobno komuniciraju u
razvoj koji nigdje nije bio toliko dinamičan i sveobu- sve većem broju, pri čemu koriste rastući broj različitih
hvatan kao što je u području komunikacijske i informa- usluga, neke potpuno nove, a neke tradicionalne, ali u
cijske tehnologije. Cilj je uvijek usmjeravan ka brzom novom virtualnom obliku.
razvoju i uvođenju novih usluga i proizvoda, dok su Odstupanja od ispravnog rada IKT sustava ener-
sigurnosni aspekti u pravilu imali vrlo mali utjecaj na getskog sektora ili njihovih dijelova više nisu samo
široko prihvaćanje novih tehnologija. tehničke smetnje, već predstavljaju opasnost global-
Korisnici IKT sustava unutar energetskih kompa- nih sigurnosnih razmjera. Njima se suvremena druš-
nija najčešće imaju minimalno znanje o tehnologiji tva suprotstavljaju nizom različitih aktivnosti i mjera
koju koriste, a način primjene tehnologije je takav da zaštite, koje skupno nazivamo kibernetička sigurnost.
je vrlo teško procijeniti sigurnosna obilježja većine S obzirom da se računala i računalne mreže danas
komercijalnih proizvoda s obzirom na zaštitu povjer- mogu iskoristiti za izvođenje velikog broja potpuno
ljivosti, odnosno privatnosti podataka korisnika. Sve je neprihvatljivih i društveno iznimno opasnih ponašanja,
to dovelo do toga da se odnos energetskih kompanija bilo je potrebno žurno neka ponašanja kriminalizirati.
prema komunikacijskoj i informacijskoj tehnologiji U današnjoj IKT eri, brzina (odnosno sporost)
zasniva gotovo isključivo na korištenju bez evaluacije kriminaliziranja koja se do prije koju godinu smatrala
rizika i kontinuiteta poslovanja (Slika 1.). normalnom, jednostavno je daleko od prihvatljive.
________________________________________________________________________ 25
Najčešće prijetnje u 2016. trend u 2016. Najčešće prijetnje u 2017. trend u 2017. Trendovi rangiranja
Izvor: ENISA Threat Landscape Report 2017., 15 Top Cyber-Threats and Trends
________________________________________________________________________ 27
strategije kibernetičke sigurnosti dalo je naslutiti brojne o kibernetičkom kriminalu donijelo je Vijeće Europe
promjene u funkcioniranju sustava. Nakon donošenja 23. studenoga 2001. godine, a stupila je na snagu 1.
direktive EU o mjerama za visoku zajedničku razinu srpnja 2004.
sigurnosti mrežnih i informacijskih sustava širom Ukoliko promatramo zakonodavni okvir, važno
Unije, počelo se polako uviđati da područje kibernetičke je sagledati dvije grupe regulative. Prva grupa odnosi
sigurnosti na nivou države zahtijeva moderniji i se na pravni okvir RH, a druga na pravni okvir EU.
kvalitetniji sustav upravljanja. Taj sustav upravljanja Te dvije grupe imaju različitu dinamiku, ali suštinski
trenutno je donesen samo za područje kibernetičke konvergiraju jedinstvenim rješenjima. Važno je
sigurnosti ali njegove poluge i mehanizmi predstavljaju napomenut da je EU 2004. godine osnovala Agenciju
model upravljanja koji će u budućnosti sigurno biti Europske unije za mrežnu i informacijsku sigurnost
primjer pozitivne transformacije sveobuhvatnog ENISA (ENISA engl. European Union Agency for
poslovanja. Kako bi znali planirati sigurnosni sustav Network and Information Security) koje predstavlja
važno je imati ulazne statističke parametre o napadima središte izvrsnosti za kibernetičku sigurnost u
u prethodnom razdoblju (Tablica 1). EU. Agencija je smještena u Grčkoj sa sjedištem u
Heraklionu na Kreti i operativnim uredom u Ateni.
ENISA aktivno pridonosi visokoj razini mrežne i
3. Zakonodavni okvir informacijske sigurnosti, takozvani NIS (engl. Network
and Information Security) unutar EU. Nakon toga EU
Pojam „kibernetički“ uveden je u pravni poredak je 2. veljače 2013. donijela Strategiju kibernetičke
RH ratifikacijom Budimpeštanske konvencije o sigurnosti, a Vlada Republike Hrvatske 7. listopada
kibernetičkom kriminalu još 2002. godine. Konvenciju 2015. Odluku o donošenju Nacionalne strategije
Transport nafte
Nafta Bez iznimke –
naftovodima
Proizvedeno nafte pojedinog naftnog
Nafta Proizvodnja nafte 50.000 t/god
polja u tonama godišnje
Motorni benzini: 200.000 t/god
Proizvodnja naftnih Proizvedeno naftnih derivata pojedine
Nafta Dizelsko gorivo: 200.000 t/god
derivata rafinerije u tonama godišnje
Plinska ulja: 100.000 t/god
Ukupni skladišni kapacitet nafte
Nafta 1.000.000 m3
pojedinog terminala u m3
Skladištenje nafte i
naftnih derivata Ukupni skladišni kapacitet naftnih
Nafta derivata pojedinog skladišta (na istoj 60.000 m3
lokaciji) u m3
Broj krajnjih kupaca priključen na Više od 100.000 obračunskih mjernih
Plin Distribucija plina
distribucijski sustav mjesta.
Plin Transport plina Bez iznimke –
25 % potrošnje plina u RH u
Plin Skladištenje plina Potrošnja plina u RH, u kWh
prethodnoj godini
Prihvat i otprema
Plin Kapacitet uplinjavanja UPP u m3/h Više od 500.000 m3/h
UPP – a
Godišnja proizvodnja plina predana u
Proizvodnja
Plin transportni sustav na pojedinom ulazu, 1.000.000 kWh
prirodnog plina
u kWh
Izvor: Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18)
28
������������������������������������������������������������������������
kibernetičke sigurnosti i Akcijskog plana za provedbu Kako bi svi dionici na području informacijske i
Nacionalne strategije kibernetičke sigurnosti ( NN kibernetičke sigurnosti na nacionalnoj razini imali
108/15). Potom je 6. srpnja 2016. donijeta Direktiva ujednačene kriterije pri klasifikaciji događaja u svojim
2016/1148 Europskog parlamenta i Vijeća o mjerama informacijskim sustavima i računalnim mrežama te
za visoku zajedničku razinu sigurnosti mrežnih i kako bi uspješno generirali i razmjenjivali informacije
informacijskih sustava širom Unije, takozvana NIS o tim događajima potrebno je utvrditi zajednički
Direktiva (engl. concerning measures for a high common jezik odnosno taksonomiju. Nakon prihvaćanja
level of security of Network and Information Systems i usvajanja Nacionalne taksonomije računalno-
across the Union). sigurnosnih incidenata stvorit će se preduvjeti da sva
Zakon o kibernetičkoj sigurnosti operatora ključnih tijela i institucije koje će razmjenjivati informacije o
usluga i davatelja digitalnih usluga stupio je na snagu računalno-sigurnosnim događajima to čine tako da su
26. srpnja 2018. (NN 64/18) Zakonom je propisan rok svim sudionicima u toj razmjeni u potpunosti jasni i
od 90 dana da svako nadležno sektorsko tijelo provodi kontekst i detalji o pojedinom događaju ili incidentu.
postupak identifikacije operatora ključnih usluga po Također će bit moguće započeti rad na ostalim
sektorima s popisa iz priloga I., gdje su navedeni i dijelovima mjera koje uključuju definiranje protokola
kriteriji za naftu i plin (Tablica 2.). za razmjenu anonimiziranih podataka o značajnim
Također je propisano da svako nadležno sektorsko sigurnosnim incidentima, te uspostaviti platformu ili
tijelo mora dostaviti obavijest u roku od 8 dana. Tada tehnologiju za razmjenu podataka. Bez prihvaćenog
počinje teći rok od 30 dana nakon kojeg su Operatori nacionalnog sustava klasifikacije, izgradnja platforme
ključnih usluga dužni obavijestit tijelo nadležno ili tehnologije za razmjenu podataka nije moguća.
za prevenciju i zaštitu od incidenata (CSIRT engl: Važno je znati da EU planira kontinuirano
Computer Security Incident Response Team), bez poboljšavati zakonodavni okvir, prateći nove
neopravdane odgode te ga obavješćivati o incidentima tehnologije, prijetnje, napade, potreba zajednice
koji imaju znatan učinak na kontinuitet usluga koje gospodarstva i institucija. Sukladno tome, početkom
pružaju. Krajnji rok za početak slanja obavijesti, ove godine raspisana je poziv vrijedan 50 miliona eura
sukladno zakonu, je 1. prosinac 2018. Operatori za pilot projekt razvoja mreže centara kibernetičke
ključnih usluga dužni su provesti mjere za osiguravanje sigurnosti širom EU.
visoke razine kibernetičke sigurnosti najkasnije do 1. Osim zakonodavnog okvira koji se izravno tiče
studenoga 2019. godine. energetskog sektora, 30. siječnja 2018. donesena je
Nakon zakona donesena je Uredba o kibernetič- Provedbena uredba komisije (EU) 2018/151, koja
koj sigurnosti operatora ključnih usluga i davatelja se odnosi na pružatelje digitalnih usluga. Uredba
digitalnih usluga (NN 68/18), koja je stupila na snagu obuhvaća upravljanje rizicima kojima je izložena sigur-
4. kolovoza 2018. Uredbom je propisano da će u roku nost njihovih mrežnih i informacijskih sustava. S obzi-
od 90 dana tijelo nadležno za prevenciju i zaštitu od rom da su danas sve energetske kompanije primatelji
incidenata, donesti smjernice za dostavu obavijesti o digitalnih usluga, iznimno je važno da se proces podi-
incidentima sa znatnim učinkom, kojima se određuje zanja kibernetičke sigurnosti usporedni i koordinirano
način dostave obavijesti i obrasci za obvezno obavješći- provodi kod svih dionika kritične infrastrukture unutar
vanje o incidentima sa znatnim učinkom. Konačni rok kibernetičkog prostora.
za donošenje smjernica je 2. studeni 2018. Iz dinamike
implementacije proizlazi da su rokovi relativno kratki i
da se od sudionika očekuje brza kadrovska i tehnološka 4. Osnovna taksonomija računalno-
transformacija. sigurnosnih incidenata
Kao standard komunikacije dionika kiberne- Nacionalna taksonomija izrađena je korištenjem
tičke sigurnosti u lipnju 2018. donesena je Nacionalna modela AVOIDIT taksonomije (engl. Attack Vector,
taksonomija računalno-sigurnosnih incidenata. Naci- Operational impact, Defense, Information Impact,
onalna taksonomija računalno-sigurnosnih incidenata and Target) razvijene na Odjelu za računalne
nastala je temeljem Akcijskog plana za provedbu Naci- znanosti Sveučilišta u Memphisu, SAD (University
onalne strategije kibernetičke sigurnosti. Prvi korak of Memphis, Department of Computer Science) uz
u provođenju ovog cilja definiranje je samog pojma uvažavanje iskustva i lokalnih specifičnosti u obradi
računalno-sigurnosnog incidenta i njegove klasifikacije računalno-sigurnosnih incidenata u RH. Namjena
na nacionalnoj razini. AVOIDIT taksonomije je da se računalni događaj,
________________________________________________________________________ 29
odnosno incident klasificira korištenjem više atributa. njihova otklanjanja te daljnjeg jačanja prevencije unutar
Korištenjem te metode omogućava se jasno i precizno kibernetičkog prostora. U Tablici 3. prikazana su tri bitna
definiranje i međusobno razlikovanje pojedinih obilježja taksonomije prema ENISA-i.
događaja i incidenata. Izrada taksonomije vođena je tako da zadovolji
Taksonomija se također zasniva na korištenju atri- sva tri prethodno navedena obilježja te da bude
buta koji bi na nacionalnoj razini trebali omogućiti prilagođena za korištenje što širem krugu budućih
sveobuhvatan opis svih računalno-sigurnosnih inci- korisnika u Republici Hrvatskoj.
denata i događaja čije uklanjanje zahtijeva razmjenu Prema modelu za navedenu AVOIDIT taksono-
informacija i pravovremene odgovore s nadležnim miju, Nacionalna taksonomija računalno-sigurno-
CERT timovima. snih incidenta koristit će akronim VOUND dobiven
Kvalitetna klasifikacija računalno-sigurnosnih korištenjem početnih slova ključnih riječi pet atributa
incidenata kompleksan je postupak budući da u predloženih za opis računalno-sigurnosnih incidenta
kibernetičkom prostoru postoji više dionika koji u Republici Hrvatskoj (Slika 3.):
kibernetičke događaje i računalno-sigurnosne incidente ■■ Vektor napada;
promatraju iz različite perspektive na različite načine. ■■ Operativni učinak napada;
Primjerice, iako CERT-ovi (engl. Computer Emergency ■■ Učinak napada na informacije;
Response Team) i LEA (engl. Law enforcement agency) ■■ Objekt napada;
imaju isti zajednički cilj, oni na različiti način doprinose ■■ Dosegnuta faza napada.
rješavanju i istrazi kibernetičkih incidenata. LEA
prikupljaju informacije koje se mogu koristiti tokom Prihvaćena Taksonomija koristit će se na
istrage kako bi se utvrdili dokazi počinjenja kaznenog djela nacionalnoj razini od strane energetskog sektora,
ili identificirao napadač ili napadači, dok su CERT-ovi tijela državne uprave te ostalih pravnih i fizičkih
ponajprije usmjereni na prikupljanje i obradu informacija osoba. Kako bi se omogućilo prikupljanje i razmjena
o trenutačnim prijetnjama i vektorima napada s ciljem informacija među svim dionicima koji će koristiti
Izvor: Nacionalna taksonomija računalno-sigurnosnih incidenata, Verzija 1, Zavod za sigurnost informacijskih sustava
________________________________________________________________________ 31
Izvor: Nacionalna taksonomija računalno-sigurnosnih incidenata, Verzija 1, Zavod za sigurnost informacijskih sustava
32
������������������������������������������������������������������������
i shvaćanje atributa Vektor napada vrlo često može pokušaja neovlaštenog pristupa. Iz tog je razloga često
predstavljati jedan od ključnih koraka u atribuciji nemoguće nedvosmisleno identificirati vrijednost ovog
napada (Tablica 4.). atributa, odnosno on se mijenja ovisno o fazi napada.
Operativni učinak napada i ovaj atribut najčešće Tablica 8. Dosegnuta faza kibernetičkog napada
mijenja vrijednost ovisno o fazi napada. Iz tog je
Oznaka Vrijednost Opis
razloga često nemoguće nedvosmisleno identificirati
vrijednost koje ima ovaj atribut (Tablica 7.). (D1) Izviđanje Faza napada u kojoj napadač
prikuplja informacije o
meti i priprema strategiju
napadaovisno o otkrivenim
9. Dosegnuta faza kibernetičkog ranjivostima. Ova faza
najčešće uključuje skeniranje
napada automatiziranim alatima,
prikupljanje e-mail kontakata
Kroz atribut Dosegnuta faza napada identificira se za potencijalnu upotrebu
trenutni stadij kibernetičkog napada. Iako se u stvar- mehanizama socijalnog
nim situacijama faze kibernetičkog napada najčešće inženjeringa i sl.
izmjenjuju u izrazito kratkim vremenskim intervalima, (D2) Isporuka Faza napada u kojoj napadač
moguće je identificirati trenutnu fazu u kojoj se zlona- aktiviramehanizme provođenja
kibernetičkog napada. Ovu
mjerni akteri i zlonamjerna kampanja nalaze. Ispravnom
fazu uobičajeno obilježava
i pravovremenom klasifikacijom ovog atributa moguće slanje e-mail poruka sa
je donijeti ispravne odluke o obrambenim strategijama zlonamjernim sadržajem ako se
koje mogu spriječiti napadača u prelasku u daljnje faze radi o kibernetičkom napadu
koji koristi zlonamjeran kod ili
napada, nakon čega obrambeno djelovanje može imati pokretanje alata za generiranje
značajno sužene mogućnosti (Tablica 8.). zlonamjernih upita ako se
radi o napadu uskraćivanja
dostupnosti.
10. Mogućnosti daljnje razrade (D3) Ostvarivanje Faza napadau kojoj napadač
pristupa iskorištavauočene ranjivosti
taksonomije i primjene u sustava i ostvaruje pristup
budućnosti ciljanom sustavu. Uobičajeno,
napadač u ovoj fazi instalira
Taksonomiju je potrebno koristiti kao alat koji zlonamjeran kod,maksimal
će omogućiti efikasnu razmjenu informacija u svrhu noeskaliraprivilegije,ovisno
o cilju proširuje djelokrug
bržeg uočavanja i sprječavanja računalno-sigurnosnih napadaširenjem na povezane
incidenta. Nacionalna taksonomija računalno- sustave i računala i sl.
sigurnosnih incidenata omogućava:
(D 4) Potpuna Završna faza napada iz
a) Brzu identifikaciju i opis računalno-sigurnosnog kompromitacija perspektive napadača u kojoj
incidenta i događaja kroz pet atributa se ostvaruju ciljevi i motivacija
karakterističnih za svaki kibernetički napad. za napad. Ova faza uobičajeno
podrazumijeva eksfiltraciju,
b) Otvaranje prostora za dodatnu nadogradnju uništenje ili izmjenu
pojedinih atributa u slučajevima pojave novih podataka, uskraćivanje usluge
vrsta prijetnji (npr. nova vrsta vektora napada). i servisa, pokretanje novih
c) Korištenje atributa za izradu detaljnih statističkih napada korištenjem resursa
kompromitiranog sustava i sl.
izvještaja unutar pojedine organizacije ili na
nacionalnoj razini za potrebu praćenja trendova i (D 5 ) Perzistencija Faza napada u kojoj napadači
ostvaruju trajnu prisutnost
uspješnosti korištenja obrambenih mehanizama. u kompromitiranom sustavu
uz aktivirane sposobnosti
Korištenjem atributa Objekt napada i Dosegnuta sprječavanja detekcije.
faza napada pruža mogućnost praćenja tijeka napada Nije moguće odrediti fazu
(D 6 ) Nepoznato
ili kampanje uz mogućnost brzog predviđanja sljedećeg napada.
koraka napadača.
Postoje smjerovi koji primarno nisu u opsegu izvor- Izvor: Nacionalna taksonomija računalno-sigurnosnih
nog cilja uspostave sustava za razmjenu informacija i incidenata, Verzija 1, Zavod za sigurnost informacijskih
razvoja Nacionalne taksonomije računalno-sigurnosnih sustava
incidenata, ali se mogu razmatrati kao nadogradnja i
budući smjerovi razvoja sustava.
34
������������������������������������������������������������������������
Planiranje sustava nacionalne procjene rizika savjetovati, upozoriti ili na kraju krajeva, sami obaviti
kibernetičkih napada. Također, moguće je razviti i inte- dio posao za koji su im dane informacije, alati i ovlasti.
graciju sa sustavom klasifikacije incidenata/događaja IoT je bitan pokretač za inovacije usmjerene
TLP (TLP, engl: Traffic Light Protocol). prema kupcima, takav sustav podiže optimizaciju i
Automatizacija - potencijalnim automatiziranjem automatizaciju podataka, digitalnu preobrazbu i
postupka prepoznavanja incidenta i klasificiranjem omogućava potpuno nove aplikacije, modele poslovanja
moguće je razviti sustav predlaganja strategije i i tokove prihoda u svim sektorima. IoT je treći val u
mehanizma obrane u ranoj fazi kibernetičkog napada. ciklusu razvoja interneta i predstavlja logičan sljedeći
korak u razvoju.
IoT konvergira industrije i specijalizacije, spaja
11. Razvoj kibernetičke sigurnosti informacijsku tehnologiju i operativnu tehnologiju (IT
i OT) te pridonosi industrijskoj preobrazbi (industrija
Budući razvoj kibernetičke sigurnosti energetskog 4.0) i valom primjene slučajeva koji su međusektorski
sektora vezan je uz penetraciju interneta u brojne ili tipični za određeni sektor.
nove uređaje i sustave, odnosno Internet of Things Svaka stvar je jedinstveno prepoznatljiva kroz
(skraćeno: IoT) u hrvatskom jeziku slobodno ugrađeni računalni sustav IoT-a ali je također u stanju
prevedeno kao Internet stvari te njegov napredniji surađivati unutar
postojeće internetske infrastrukture.
oblik nazvan Internet of Everything (skraćeno IoE) Pravni stručnjaci upućuju da pojam stvari u nazivu
u hrvatskom jeziku slobodno prevedeno kao Internet predstavlja neodvojivu mješavinu hardvera, softvera,
svega, predstavljaju mrežu elemenata opremljenih za podataka i usluga. Takvi uređaji prikupljaju korisne
prikupljanje obradu i razmjenu podataka. podatke uz pomoć različitih postojećih tehnologija a
IoE čine četiri ravnopravna ključna elementa: ljudi zatim samostalno prenose, dijele i obrađuju podatke
(njihovo međusobno povezivanje), procesi (isporuka između drugih uređaja. Koncept IoT-a odnosi se na
pravih podataka pravoj osobi (stvari) u pravo vrijeme), povezanost različitih fizičkih objekata putem interneta,
podaci (pretvaranje podataka u vrijednije informacije a prvi put ga je spomenuo britanski poduzetnik Kevin
radi donošenja efikasnijih i efektivnijih odluka) i stvari Ashton, iz Procter & Gamblea, kasnije zaposlenik
(fizički uređaji i objekti povezani internetom i između MIT-ovog Auto-ID Centra, 1999. godine.
sebe radi donošenja kvalitetnijih odluka) dok je fokus IoT postaje veliki posao budućnosti te će zasigurno
IoT-a pomaknut na stvari - različite vrste uređaja koji biti u fokusu četvrte industrijske revolucije odnosno
su opremljeni senzorima i spojeni preko interneta sveopće digitalizacije koja podrazumijeva senzore u
kako bi mogli komunicirati. Osim toga, IoE dodatno svim područjima, život u cloudu (oblaku) i internetsku
unapređuje moć IoT-a kroz poboljšanje rezultate povezanost ne samo nas već i svega što nas okružuje.
poslovanja i industrije, te u konačnici poboljšao živote Prema nedavnoj Gartnerovoj analizi 15 % kompanija
ljudi prateći napredak IoT-a. već koristi IoT u svom poslovanju, najčešće logistici.
Iako IoT nudi još mnogo neistraženih mogućnosti, Predviđanja stručnjaka su da će taj postotak izrazito
iznimno je brzo evoluirao od prve glasine do gotovo brzo će rasti u sljedećim godinama.
neprimjetnog dijela našeg života. Ta transformacija IoT omogućava tri tipa komunikacije:
protekla je tako glatko, gotovo da je nismo bilo niti ■■ Komunikacija stvari (uređaja) s ljudima;
svjesni. Kao primjer danas naši telefoni sadrže različite ■■ Komunikacija između stvari (uređaja);
senzore koji stalno bilježe i prenose ogromne količine ■■ Komunikacije između uređaja (engl. machine to
informacija bez da mi primjećujemo ili smo svjesni machine / M2M).
toga, naše kuće i automobili jesu »Pametniji« nego
ikada prije, infrastruktura koja nas okružuje (ulica, IoT koncept omogućuje interakciju ljudi s uređajima
svjetla, dizala, stepenice, transport, tvornice, energetski i uređaja s uređajima, integrirajući ih u mrežu kojom
sustavi) sadrži bezbroj senzora koji su neophodni za se upravlja putem web-aplikacija. Mogućnosti primjene
njihovo održavanje i sigurnost. IoT aplikacija su široke i raznolike, a prožimaju gotovo
Riječ je, dakle, o različitim vrstama uređaja koji su sva područja ljudskog djelovanja pa tako između
opremljeni senzorima i spojeni preko interneta kako bi ostalog i područja energetskog sektora.
mogli međusobno komunicirati, komunicirati s nama, Važna djelatnost energetskog sektora predstavlja
našom kućom, uređajima, vozilima te kako bi mogli uravnoteženje proizvodnje energije s potražnjom na
pratiti privatne i poslovne aktivnosti, kako bi nas mogli ekonomičan način.
________________________________________________________________________ 35
Za većinu svijeta energija je vrlo pouzdana i relativno operabilni duže od redovitih IKT sustava. Tijekom tog
jeftina ali to nije uvijek postignuto na najučinkovitiji vremena potrebne su zakrpe za ispravljanje sigurnosnih
način. Ovo je područje gdje IoT može imati veliki utjecaj, i funkcionalnih problema softvera i firmwarea.
utječući na način generiranja, distribucije, potrošnje Iz perspektive sigurnosti, zakrpe su važne jer
i pohrane energije. Više nego ikada prije, postoje ublažavaju ranjivosti softvera, primjena zakrpa
brojne mogućnosti za postojeće tvrtke i nove start-up smanjuje mogućnost incidenata. Zakrpe se također
kompanije da značajno unaprijede sektor energetike. IoT mogu koristiti za dodavanje novih značajki ili
donosi potpuno novu dimenziju u pogledu poslovanja. poboljšanje postojećih značajki softvera i firmwarea.
Uvid koji proizlazi iz podataka prikupljenih s internetom Međutim, sa sigurnosne točke gledišta, zakrpe i
povezanih uređaja može se koristiti za razvoj novih ažuriranja softvera također mogu predstavljati rizik jer
usluga, povećanje produktivnosti i učinkovitosti, mogu nenamjerno promijeniti ponašanje komponente
poboljšanje donošenja odluka u stvarnom vremenu, na način koji ugrožava stabilnost procesa. Zbog toga
rješavanje ključnih problema i stvaranje novih i potrebno je razdvojiti razvojnu, testnu i produkcijsku
inovativnih poslovnih odluka. okolinu te provesti testiranje i provjera ranjivosti prije
Procesno gledajući, Internet stvari predstavlja uvođenja u rad nove zakrpe ili sustava.
integraciju različitih sustava, koji trenutno pružaju Instalacija i distribucija zakrpa na redovnoj
potporu poslovnim procesima ali su u svojoj strukturi osnovi teško je organizacijama i dobavljačima zbog
odvojeni i pružaju potporu na različitim nivoima proceduralnih i tehničkih problema vezanih uz njega.
poslovanja. IoT na nivou tipične energetske kompanije Zakrpa se ne smije smatrati jedinstvenom metodom
predstavlja integraciju i komunikaciju sljedećih sustava: obrane, dobra je praksa povećati obranu u dubini (engl.
■■ ERP - Enterprise resource planning; DiD - defense in depth) pomoću kompenzacijskih
■■ MES - Manufacturing execution system; kontrola. Pojam »obrana u dubini« izraz koji se odnosi
■■ SCADA - Supervisory control and data na strategiju u kojoj se koriste višestruki slojevi obrane
acquisition. kako bi se spriječili napadi.
Važni elementi obrambene strategije za SCADA
sustave su:
12. Kibernetička sigurnost SCADA a) Stvoriti svijest i razumijevanje u organizacijama
sustava o tome što neuspjeh SCADA sustava može
značiti za rad organizacije i koje su politike
Velik dio kritične infrastrukture u Europi koja se i najbolje prakse vezane uz upravljanje zakr-
nalazi u sektorima kao što su energetika, transport pama i sigurnost u cjelini. Potrebno je uspo-
i vodoopskrba uglavnom se upravlja i kontrolira staviti program osposobljavanja s relevantnim
sustavima SCADA (nadzorno upravljanje i prikupljanje informacijama o poslovanju kako primijeniti
podataka), podskupine industrijskih sustava kontrole sigurnost i kako odgovoriti na situacije koje
(ICS engl. Industrial Control Systems). U proteklom ugrožavaju sigurnost.
desetljeću SCADA tehnologija prošla je transformaciju, b) Stvrdnjavanje SCADA sustava, otvrdnjavanje
od izoliranih sustava u otvorene arhitekture i sustava znači uklanjanje nepotrebnih značajki
standardne tehnologije koje su visoko povezane s i zaključavanje funkcionalnosti raznih
drugim korporativnim mrežama i internetu. komponenti SCADA sustava. Na primjer,
Posljedica ove transformacije je povećana ranjivost Microsoft Windows sadrži mnoge različite
prema vanjskim napadima. Jedan od načina da se aplikacije i usluge koje nisu potrebne za
poboljša sigurnost SCADA-e je pravovremena i operacije, te ih treba ukloniti ili onemogućiti.
kvalitetna primjena zakrpi. Dva od ključnih važnih c) Vatrozid bi trebao biti konfiguriran na način koji
problema s zakrpama u ovom trenutku su stopa omogućuje samo povezivanje između pouzdanih
neuspjeha zakrpi i nedostatak zakrpi za SCADA računala i pouzdanih portova. Drugi portovi
sustave. trebaju biti zatvoreni kada nisu u uporabi.
Primjena zakrpi mogla bi imati značajan utjecaj na Vatrozidi bi također trebali implementirati
operativno ponašanje SCADA sustava. Kada zakrpa mehanizme za izvješćivanje o alarmima kako
nije temeljito testirana, može uvesti nepoznanice u bi upozorili kada se otkriva ponašanje izvan
sustav, što nije prihvatljivo za okoliš koji koristi. zadanih parametara. Sustavi za otkrivanje upada
SCADA sustavi obično se primjenjuju kako bi ostali (engl. IDS - Intrusion Detection System) također
36
������������������������������������������������������������������������
se mogu koristiti za otkrivanje takvog ponašanja. web poslužitelju pronađe ranjivost, a poslužitelj ne
Tamo gdje je to primjenjivo, jednosmjerne upotrebljava nikakva poslovna kritična operacija,
komunikacijske diode mogu pružiti još višu web poslužitelj bi se mogao privremeno onemogućiti
razinu zaštite. DPI vatrozidni paketi (engl. Deep ili se na vatrozidu ili IDS-u mogu implementirati
Packet Inspection) također se mogu koristiti za posebna pravila za otkrivanje zlonamjernog ponašanja.
provjeru prometa za čudno oblikovane poruke Buduće aktivnosti oko održavanja i nadogradnje
ili neobičnog ponašanja. SCADA sustava, sigurno će morati uzeti u obzir
nove sigurnosne politike i procedure. Takav pristup
Povećajte obranu u dubini kroz segmentaciju u početku dovodi do sporije implementacije, ali
mreže. Segmentacija mreže je složena mjera ali osnove dugoročno podiže sigurnost sustava te predstavlja
su jednostavne. Skup opreme trebao bi se utvrditi jedini ispravan put daljnjeg razvoja.
temeljem povjerenja i sličnosti i postaviti u različite
zone. Sljedeći korak je identificirati koje komunikacije
trebaju proći između zona. Na mjestima gdje zone 13. Trenutni projekti u obrazovanju
komuniciraju potrebno je postaviti kontrole pristupa
kao što su vatrozidi. Razvoj sustava kibernetičke sigurnosti uvelike ovisi
Provođenje redovitih procjena rizika i sigurnosti o znanju i vještinama. Takva specifična znanja važno
radi smanjenja mogućih sigurnosnih rizika. Smanjuju je razvijati kroz programe obrazovanja, a kasnije ih
se rizici koji se ne mogu otkloniti i preostali rizik usavršavati i nadograđivati na akademskom nivou.
kontrolira. Iznimno je važno da obrazovni sustav prepozna i
AWL, odnosno aplikacija bijelog popisa (AWL na vrijeme započne sa projektima i edukacijama
engl. Application White Listing) za kompromitaciju o sigurnom korištenju IKT sustava kako bi stvorili
malwarom i izvođenja zlonamjernog softvera temelje za nadgradnju u kasnijem obrazovanju. Portal
definiranjem dopuštenih aplikacija na sustavu i antibot.hr je Nacionalni centar potpore koji korisnicima
ograničavanjem ostalih aplikacija iz pokretanja. omogućuje detekciju i uklanjanje zlonamjernih
Između vremena kada se otkrije i / ili objavljuje programa s računala.
ranjivost, druge se kontrole također mogu koristiti To je usluga Nacionalnog CERTa (engl. Computer
za privremeno ublažavanje ranjivosti. Postavke ili Emergency Response Team) koji je odjel Hrvatske
konfiguracija sustava mogu se promijeniti (privremeno) akademske i istraživačke mreže – CARNET. Nacionalni
za blokiranje poznatih napadačkih vektora. Ove CERT bavi se incidentom ako se jedna od strana u
izmjene neće ispraviti temeljnu ranjivost, ali će incidentu nalazi u Republici Hrvatskoj (odnosno, ako
smanjiti rizik da se te ranjivosti iskoriste. Dobavljači je u .hr domeni ili u hrvatskom IP adresnom prostoru,
osnovne telekomunikacijske opreme često predlažu osim tijela državne uprave za koje je nadležan CERT
promjene konfiguracije svojim klijentima. Microsoft ZSIS (CERT Zavoda za sigurnost informacijskih sustava).
također nudi tu uslugu, koji je uključen u većinu Oni u sklopu projekta e-Škole razvijaju pilot
sigurnosnih biltena, dio je »Rješenja za rješavanje projekt pod nazivom Uspostava sustava razvoja
problema« koji opisuje kako se sustav može mijenjati digitalno zrelih škola, održavaju sustav za upravljanje
kako bi se smanjio rizik mogućeg iskorištavanja. Nema sigurnosnim informacijama i događajima (engl.
puno SCADA dobavljača nude sličnu strategiju, ali Security Information and Event Manager - SIEM) s
postoje brojne mogućnosti. Na primjer, ako se na ciljem sigurnosnog nadzora CARNET-ove mreže,
stručnoj javnosti osnovnih informacija o trendovima postati prioritet u nastavnim planovima i programima
razvoja kibernetičke sigurnosti, kao i relevantnih obrazovanja i osposobljavanja.
inicijativa za standardnu razmjenu informacija o Krivulja učenja kibernetičke zaštite IoE sustava
incidentima u energetskom sektoru. mora biti izrazito strma, kako bi mogla pratiti brzu
Većina „curenja“ podataka unutar organizacija dinamiku razvoja i osigurati dugoročnu fleksigur-
rezultat su ljudskih čimbenika, iako su politike nost. Nesumnjivo je da IoT i IoE predstavljaju slje-
kibernetičke sigurnosti uobičajene među organizacijama, deće korake u digitalnom poslovanju i pružaju priliku
zaposlenici na njih mogu gledati kao na smjernice, a ne za nove modele poslovanja energetskih kompanija
na pravila. Slično tome, tehnologije ne mogu zaštititi te da pravovremena implementacija novih digitalnih
organizacije ako su pogrešno integrirane i korištene. U procesa stvara temelje sigurnosti i kontinuiteta poslo-
skladu s tom pozadinom, razvoj kulture kibernetičke vanja. S obzirom da postoji izrazita dinamika u razvoju
sigurnosti među svim djelatnicima, postiže promjenu novih IKT sustava te svakim danom nastaju nove vari-
načina razmišljanja, potiče svijest o sigurnosti i jante kibernetičkih ugroza i sustava za zaštitu, autori
percepciju rizika i održava blisku organizacijsku kulturu. smatraju da bi sljedeći citat mogao plastično objasniti
Kao zaključno razmatranje autori žele naglasiti kako je nemoguće postići 100% siguran IKT sustav.
potrebu za kontinuirano ulaganje u inovacije i vještine. “Jedini informacijski sustav koji je zaista siguran je
Izgradnja otpornog i stabilnog sustava također znači onaj koji je isključen iz napajanja, zaliven u betonski
imati ljude s pravim vještinama, potičući tehnološke blok te zaključan u sobu obloženu olovom koju čuvaju
inovacije da ostanu ispred onih koji nas žele napasti. dobro naoružani čuvari – čak ni tada, ne bih se baš
EU se suočava s deficitom znanja o kibernetičkoj kladio na njega.”
sigurnosti, manjak se procjenjuje na oko 350.000 ljudi Eugene H. Spafford
do 2022. godine. Suočavanje s ovim deficitom vještina Computer Operations, Audit and
ključno je za učinkovitu kibernetičku otpornost. Security Tehnology (COAST)
Dakle, kibernetička sigurnost mora biti uvrštena i Purdue University
Literatura:
1. Internet of Things i Blockchain kao alati razvoja fleksigurnog energetskog sektora, časopis „Nafta i Plin“ broj 153/2018., Autori:
Antonijo Bolanča, mag. ing., doc. dr. sc. Darko Pavlović, Sanja Šijanović Pavlović, prof. inf.
2. Internet of Things i Blockchain kao temelj sigurnosti energetskih sustava s visokim udjelom intermitentnih izvora, časopis plin,
br. 2, lipanj, 2018, Autori: doc. dr. sc. Darko Pavlović, Antonijo Bolanča, mag. ing., Sanja Šijanović Pavlović, prof. inf.
3. S.P. Šijanović: Gimnaziji Vukovar priznanje Međunarodnog programskog odbora za najbolji stručni rad na 19. CUC-u, Portal
za škole, 11.11.2017. web mjesto: http://www.skole.hr/nastavnici/iz_prakse?news_id=15170 (pristupljeno 30.08.2018.)
4. S.P.Šijanović: Što smo sve napravili... dosadašnje aktivnosti djelatnika Gimnazije Vukovar u sklopu projekta e-Škole: Uspostava
sustava razvoja digitalno zrelih škola, Portal za škole, 3.4.2017. web mjesto: http://www.skole.hr/nastavnici/iz_prakse?news_
id=14286 (pristupljeno 30.08.2018.)
5. S.P.Šijanović: Završetak stare i početak nove kalendarske godine u Gimnaziji Vukovar obilježen aktivnostima u sklopu pilot projekta
e-Škole, Portal za škole, 11.1.2018. web mjesto: http://www.skole.hr/aktualno/vijesti-iz-skola?news_id=15405 (pristupljeno 30.08.2018.)
6. Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga (NN 64/18)
7. www.kmco.com/resource-center/article/looking-forward/information-security-cyber-security-it-security-whats-the-difference/
8. Nacionalna taksonomija računalno-sigurnosnih incidenata, Verzija 1, Zavod za sigurnost informacijskih sustava
9. Direktiva 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. godine o mjerama za visoku zajedničku razinu sigurnosti
mrežnih i informacijskih sustava širom Unije
10. Budimpeštanska konvencija o kibernetičkom kriminalu, NN 9/02
11. Konvencija o kibernetičkom kriminalu i kazneni zakon republike hrvatske, Mr. se. Goran Vojković Marija Štambuk-Sunjić, 2005.
12. Strategija nacionalne sigurnosti Republike Hrvatske, NN 73/2017
13. Zakon o sustavu domovinske sigurnosti, NN 108/2017
14. Zakon o informacijskoj sigurnosti, NN 79/2007
15. Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti, NN 108/2015
16. Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih, NN 64/18
17. Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, NN 68/18
18. Window of exposure… a real problem for SCADA systems?, European Union Agency for Network and Information Security, 2013.
19. Report on Cyber Security Information Sharing in the Energy Sector, European Union Agency For Network And Information
Security, 2016
20. Norma ISO 27001:2013, Information security management systems
21. Norma ISO 22313:2014, Business continuity management system
22. Norma ISO 31000:2009, Risk management