Zagrebačka tvrtka Utilis razvila je simulator za pripremu osoblja za borbu protiv hakera pod nazivom Cyber Conflict Simulator (CCS) – radi se o prototipu interaktivnog sustava koji će obuku i testove znatno pojednostaviti i pojeftiniti, a simulacije kibernetičkih napada učiniti dostupnima svima zainteresiranima. Naime, Cyber Conflict Simulator (CCS) je softverski sustav namijenjen osobama zaduženima za upravljanje kibernetičkim incidentima u gospodarstvu, javnom i vojnom sektoru. Nastao je kao odgovor na potrebe pripremanja za obranu od kibernetičkih napada tvrtki i organizacija, te za postizanje usklađenosti sa zakonima i regulativama (uključivo sa Zakonom o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga, te EU NIS i NIS2 direktivama).
Sustav omogućava definiranje virtualnog kibernetičkog okruženja sastavljenog od različitih objekata, dok okruženje predstavlja tvrtke i institucije, njihovu infrastrukturu (mrežnu opremu, servere, računala, softver…), poslovne servise i proizvodne kapacitete te ljude koji rade u njima. Prijetnju predstavljaju različiti napadači – države, kriminalne skupine ili pojedinci – svaki s različitim resursima na raspolaganju, što utječe na samu simulaciju napada. Nastalu štetu moguće je izraziti financijskim pokazateljima, nedostupnošću resursa, nemogućnošću pružanja usluga, gubitkom povjerenja i drugim parametrima.
Radom na CCS-u vježbenici stječu korisna iskustva u realističnom okruženju, pri čemu njihove tehničke vještine nisu presudne. Moguća je suradnja više skupina vježbenika koje sudjeluju u različitim ulogama (primjerice, ICT skupina i menadžerska skupina). Sve potrebno za provođenje vježbe može pripremiti tim stručnjaka Utilisa i FER-a, a organizacija koja će vježbu provoditi može definirati razinu vlastitog angažmana. „Kao primarne korisnike vidimo tvrtke i institucije koje se najčešće mete napada, primjerice banke i druge financijske institucije, tvrtke koje u poslovanju koriste IT sustave, operatere ključnih usluga na kritičnoj infrastrukturi poput energetike, prometa i zdravstva, državna upravu i vojsku“, rekao je Zdenko Ćorić, voditelj projekta.
CCS je djelo domaćih stručnjaka i rezultat uspješne Utilisove suradnje sa zagrebačkim Fakultetom elektrotehnike i računarstva (FER). U istraživanju i razvoju su sudjelovali doc. dr. Stjepan Groš, doc.dr. Ante Đerek i tim znanstvenih novaka.
Sustav je trenutno u fazi funkcionalnog prototipa s kojim je već proveden niz vježbi i demonstracija. Do kraja 2022. godine CCS će biti dodatno testiran u suradnji s partnerima.
Dosadašnje ulaganje u ovaj istraživačko-razvojni projekt je 4.121.758,70 kuna. Oko 80 posto tog iznosa pristiglo je iz europskih strukturnih i investicijskih fondova (ESIF), dok je Utilis uložio znanje i 20 posto sredstava. CCS je kao projekt započeo u formi prijave na EDA natječaj za projekte dualne namjene koji bi mogli aplicirati za ESIF fondove. U natječaju se odabranim projektima nudila tehnička podrška za izradu dokumentacije potrebne za prijavu na ESIF natječaje. Taj natječaj je objavljen na nivou EU, i MORH je bio koordinator u izboru projekata koji su bili poslani iz Hrvatske – radna skupina MORH-a je na poziv Europske obrambene agencije 2015. godine provela natječaj na kojem je izabrano 8 projektnih prijedloga hrvatskih tvrtki, među kojima je bila i tvrtka Utilis.d.o.o.
Dvije godine kasnije, na EDA natječaju, projekt CCS je bio izabran među prvih 10 – tadašnji predsjednik Europske obrambene agencije Jorge Domecq istaknuo je kako je ovaj projekt od velikog značaja za europsku obranu i obrambenu industriju općenito, jer je po prvi put odobreno izravno ulaganje u EU projekt čiste obrambene namjene. Za razvoj projekta predviđeni troškovi iznosili su tada 600 tisuća eura, a kao primaran cilj projekta navodila se cyber-zaštita MORH-a, te simulacije prilikom provedbe međunarodni vojnih vježbi. Na poziv tadašnjeg ministra obrane i potpredsjednika Vlade RH Damira Krstičevića prezentacija projekta Cyber Conflict Simulator održana je 16. studenog 2017. godine u MORH-u. Kako je tom prilikom naglašeno – radi se o prvom projektu koji se odnosi na pružanje podrške obrambeno-sigurnosnom sektoru, a s odobrenim sufinanciranjem sredstvima Europske unije – iz ESI Fondova. To je financiranje bilo omogućeno putem Javnog poziva Ministarstva gospodarstva, poduzetništva i obrta – IRI (Poticanje ulaganja poslovnog sektora u aktivnosti istraživanja i razvoja a u cilju razvoja novih proizvoda i usluga). Tijekom razvoja CCS-a Utilis je bio uključen u pripremu vježbe „Kibernetički štit 2020“ koju je koordiniralo Ministarstvo obrane. CCS je bio uključen u vježbu kao alat za simulaciju i prezentaciju predviđenih scenarija. Održane su sve probe i testiranja za održavanje vježbe, no nažalost u zadnjem tjednu vježba je otkazana zbog korona krize u ožujku 2020. godine.
Po završetku projekta, u Ministarstvu obrane je bila održana demonstracija rada i sposobnosti CCS-a, nakon koje je brigadni general Ante Tolić, načelnik Uprave za komunikacijsko informacijske sustave GS OS RH, imao samo riječi pohvale: „Cyber Conflict Simulator je odličan alat koji može pridonijeti obuci osoblja Oružanih snaga RH. Glavna prednost CCS-a je što popunjava prazan prostor koji postoji u razvoju kibernetičkih sposobnosti između tehničke i upravne razine. Funkcionalnosti CCS-a omogućuju jedinstven pristup istodobnoj obuci širokog spektra osoblja svih razina. Veselimo se daljnjoj suradnji“.
Civilne uporabe sustava
Cyber Conflict Simulatorom jednako su zadovoljni i civilni korisnici, ponajprije oni iz bankarskog sektora koji je posljednjih godina, kako u svijetu tako i u Hrvatskoj, pod učestalim cyber-napadima. I oni su u svojim vježbama koristili CCS: „Provođenje vježbe bilo je izuzetno korisno. Sve funkcionalnosti su iznenađujuće dobro koncipirane. Imamo interes za periodičko provođenje vježbi različitih scenarija dinamikom jednom do dva puta godišnje. Kao najveće koristi od provođenja vježbe naveo bih stjecanje iskustva u upravljanju odgovorom na kibernetički incident, poput Flight simulatora. Ponovljenim vježbama postigli bi efikasan i optimalan odgovor za pojedine vrste cyber događaja“, istaknuo je Srećko Bartol, voditelj sigurnosti informacijskog sustava Kentbank d.d. „Provedba vježbi ovog tipa znatno unapređuje sposobnosti tima za odgovor na kibernetičke incidente organizacije. Više puta sam sudjelovao u raznim tipovima vježbi odgovora na kibernetičke incidente. Nakon vježbe s CCS-om došlo je do unaprjeđenja komunikacije, potrebe izrade tehničkog popisa za provjeru u slučaju incidenta, potrebe daljnjeg vježbanja tima, važnost uloge uprave u rješavanju incidenta…“, naglasio je Dalibor Uremović, konzultant za informacijsku sigurnost u tvrtci Alterinfo d.o.o.
U Utilisu aktivno rade na unaprjeđivanju CCS-a, te planiraju sljedeću fazu razvoja iz prototipa u komercijalni proizvod namijenjen međunarodnom tržištu, što zahtijeva i zapošljavanje novih stručnjaka.
U Utilisu vjeruju kako će implementacija CCS-a dovesti do povećanja broja zaposlenih u konzultantskim tvrtkama koje će sudjelovati u implementaciji ili koristiti sustav za provedbu vježbi, kao i razvoj vlastitih usluga temeljem CCS-ovih značajki i mogućnosti.
„Za Hrvatsku je ovaj projekt dodatno značajan jer stvara temelj za daljnji razvoj i zapošljavanje stručnjaka u industriji s visokom dodanom vrijednošću“, rekao je Goran Polonji, tehnički direktor projekta, koji ujedno poziva i sve tvrtke te organizacije zainteresirane za testiranje CCS-om da se jave u Utilis.
*Photo: Utilis d.o.o. i OSRH/ Stjepan Brigljević