CERT RSS

Webinar možete pogledati ovdje: Anna Collard: ‘Meta-awareness in the age of AI’ (webinar)

Anna Collard, viša potpredsjednica u KnowBe4 Africa i stručnjakinja s više od 20 godina iskustva u kibernetičkoj sigurnosti, priznala je kako je jednom kliknula na phishing e-mail: „Bila sam u Uberu, razgovarala s vozačem, pakirala torbu, provjeravala e-mail… i kliknula. Na sreću, bio je to test koji je poslao naš IT tim“. Njezina kazna? Završiti edukaciju koju je sama napisala. Taj trenutak ju je natjerao na razmišljanje: problem nije u znanju, nego u pažnji.

Zato Anna zagovara novi pristup, digitalnu svjesnost (mindfulness) u kibernetičkoj sigurnosti. Ne radi se o tome da postanemo „Zen“, već o tome da naučimo prepoznati trenutke kada smo podložni skupim pogreškama — i imati alate da se zaustavimo. Praktične, znanstveno utemeljene tehnike svjesnosti mogu pomoći da ostanemo fokusirani i smanjimo rizik od pogrešaka koje hakeri iskorištavaju.

„Interno istraživanje u Anninoj tvrtki, pokazalo je da se 53% pogrešaka događa dok multitaskamo ili smo ometeni.
Druga istraživanja, poput Tessianovog Psychology of Human Error izvješća, potvrđuju te podatke.“

Zašto samo znanje nije dovoljno

U svom istraživanju za magistarski rad iz kibernetičke psihologije, Anna je identificirala 33 čimbenika koji utječu na podložnost ljudi online manipulaciji i socijalnom inženjeringu. Većina edukacija o sigurnosti fokusira se samo na jedan ili dva čimbenika, a to su: znanje i nesigurnost u postupanju. Ključne stvari koje kriminalci zapravo iskorištavaju jesu: kognitivne pristranosti, impulzivnost i osobne ranjivosti.

„Ne educiramo ljude učinkovito u pogledu svih ostalih čimbenika koje kriminalci namjerno
iskorištavaju kao što su kognitivne pristranosti, impulzivnosti i osobne ranjivosti.“

Ove ranjivosti ne nestaju s razvojem tehnologije — zapravo, umjetna inteligencija ih olakšava iskorištavati, generirajući poruke i scenarije precizno prilagođene našim pristranostima. Napadači razumiju kako razmišljamo. Koriste mentalne prečace (heuristike) koji nas potiču da brzo odlučujemo, ali nas tako mogu i navesti na pogrešku.

„Napadači razumiju kognitivne pristranosti i osmišljavaju svoje napade kako bi ih iskoristili.
Zato nije dovoljno samo reći ljudima da ‘zadrže pokazivač miša iznad poveznice.“

Čak i u okruženjima gdje su ljudi dobro obučeni i svjesni phishing taktika, pogreške se i dalje događaju. Ne zbog neznanja, već zato što mozak ima tendenciju djelovati na ‘autopilotu’ kada je pod pritiskom, preopterećen ili emocionalno potaknut. Zato prava sigurnost ne počinje samo edukacijom, već svjesnošću — prepoznavanjem trenutka kada nismo fokusirani.

Svjenost kao alat kibernetičke sigurnosti

Anna je usporedila tehnike svjesnosti (mindfulnessa) s 33 čimbenika koji utječu na našu podložnost manipulaciji i otkrila da svjenost može pozitivno utjecati na čak 23 od njih. U središtu tog pristupa je meta-svjesnost, odnosno sposobnost da “uhvatimo sebe” u trenutku stresa, žurbe ili ako smo neuobičajeno samouvjereni i odlučimo usporiti prije nego što kliknemo, odgovorimo ili podijelimo nešto.

Cilj ovog pristupa nije biti hiper-svjestan cijelo vrijeme, što je zapravo nerealno i iscrpljujuće, nego izgraditi navike koje nas potiču da usporimo i uključimo “sporije razmišljanje” u pravim trenucima.

„Netko vas traži da hitno prebacite novac ili podjelite osjetljive podatke”,
svejesnost tada djeluje kao unutarnji alarm koji kaže:
“Stani. Ovo je trenutak za dodatni oprez.”

Mikro-prakse koje grade digitalnu svjesnost

Annin pristup svodi se na jednostavne navike koje nam pomažu prekinuti “autopilot” i vratiti pažnju u sadašnji trenutak. Male, ali učinkovite promjene koje dugoročno čine razliku::

• Zadatak po zadatak: „Multitasking je poguban za našu produktivnost, mentalno zdravlje i otpornost na manipulaciju. Naš mozak ne može istovremeno obavljati dva kognitivna zadatka.“
• Vremenska podjela rada i odmora: Koristite blokove fokusa od 30–45 minuta, a zatim prošećite ili se istegnite. „To izvlači mozak iz iscrpljenog stanja i oslobađa hormone dobrog raspoloženja.“
• Namjera (intentionality): Prije sastanka, udahnite i zamislite kako se želite osjećati nakon njega.
• Senzorno uzemljenje: Koristite zvukove prirode, binauralne tonove, mirise ili teksture kako biste resetirali fokus — neki od Anninih klijenata koriste mirisne antistres loptice ili mini Zen vrtove.
• Trening fokusa: Pokušajte s vježbom „gledanja u jednu točku“ — gledajte u točku bez treptanja, zatim zatvorite oči i pokušajte zadržati sliku u mislima.
• Prepoznavanje okidača: Obratite pažnju na ubrzano lupanje srca, iznenadni val uzbuđenja ili pritisak — to mogu biti znakovi manipulacije.
• Sigurne navike pri korištenju uređaja: Izbjegavajte otvaranje i reagiranje na e-mailove dok istovremeno radite nešto drugo.

Ove male prakse možda ne izgledaju kao sigurnosne mjere, ali izravno smanjuju čimbenike rizika. Kada se uklope u svakodnevnu rutinu, postaju instinktivne poput vezanja sigurnosnog pojasa u automobilu.

Kako to primijeniti na sveučilištima i istraživačkim institucijama

Na sveučilištima i istraživačkim institucijama, gdje su resursi često ograničeni, a promjene sporo zaživljavaju, digitalna svjesnost može biti predstavljena ne samo kao sigurnosna mjera, već kao način za jačanje fokusa, mentalne otpornosti i dobrobiti. Povlači paralelu s kampanjama za mentalno zdravlje koje su uspješno zaživjele na sveučilištima: „One su uspjele kad su imale institucionalne zagovornike, kad su prakse bile jednostavne i dostupne te kad su bile integrirane u postojeće aktivnosti.“

„Učinite to relevantnim i znanstveno potkrijepljenim; ponudite mikro-intervencije
koje pomažu boljem razmišljanju, učenju i životu u digitalnom svijetu.“

Njezini prijedlozi uključuju sljedeće korake:

• Krenite od znanosti: Podijelite dokaze iz neuroznanosti i bihevioralnih istraživanja kako biste pridobili akademsko osoblje.
• Digitalni svjesni trenuci: Dvije minute svjesnog disanja ili gašenja uređaja na početku predavanja ili sastanka.
• Osnažite ambasadore: Identificirajte profesore ili studente koji su već zainteresirani za svjesnost ili digitalnu dobrobit.
• Integrirajte u postojeće programe: Uključite u inicijative za dobrobit, orijentacijske tjedne, studentske službe ili kampanje za mentalno zdravlje.
• Koristite digitalne poticaje: Mikro-edukativne videozapise, QR postere, edukacijske popuste za alate za fokus ili automatske kalendarske podsjetnike da zastanete između sastanaka.
• Preformulirajte poruku: Predstavite to kao način smanjenja izgaranja, povećanja produktivnosti i poboljšanja kvalitete nastave i akademskog uspjeha.
• Prikupite povratne informacije: Brze ankete o tome što funkcionira i što treba prilagoditi.
• Ispričajte priče: Koristite interne zagovornike ili cijenjene osobe kako biste normalizirali praksu.

Kako to izgleda u praksi

Visoko obrazovanje može mnogo naučiti iz korporativnih primjera. Jedna globalna inženjerska tvrtka, povodom Međunarodnog mjeseca kibernetičke sigurnosti i mentalnog zdravlja, redizajnirala je svoj program edukacije tako da uključi principe mindfulnessa.

„Vrlo je snažno kad HR i sigurnosni timovi rade zajedno. Pokrećite kampanje zajedno, oslanjajte se jedni na druge, razmjenjujte priče međusobno — svi imaju priču o tome kako su bili preopterećeni i kliknuli na link.“

Sličan pristup primjenjuje i jedna južnoafrička banka, gdje sigurnosni i wellness timovi zajednički organiziraju roadshow događaje. Na jednom štandu zaposlenicima mjere puls, a odmah do njih sigurnosni tim objašnjava: “Kad ste pod stresom, veća je vjerojatnost da ćete kliknuti na pogrešan link.” Rezultat? Sigurnosne teme postaju prirodan dio razgovora o zdravlju i dobrobiti, a ne tehnički problem koji se mora “odraditi”.

Čak i u akademskom svijetu postoje uspješni primjeri: Oxford i druga sveučilišta već nude tečajeve svjesnosti koji pomažu studentima upravljati stresom i produktivnošću — dokaz da se ovaj pristup lako može uklopiti i u obrazovno okruženje.

Mjerenje učinka

Anna upozorava da se ne oslanjamo isključivo na broj klikova u phishing testovima: „Možete manipulirati rezultatima tako da pošaljete jednostavan phishing e-mail i osigurate da ostvarite cilj.“

Bolji pokazatelji uspjeha uključuju:

• koliko se često prijavljuju sumnjivi e-mailovi,
• trendove kroz vrijeme u phishing simulacijama,
• i povratne informacije zaposlenika – posebno o tome što ih je navelo da kliknu ili što ih je zadržalo.

Takvi podaci pomažu prilagoditi pristup, čak i ako uzročno-posljedične veze nije lako dokazati.

Anna trenutačno radi doktorat upravo na toj temi – istražuje kako digitalna svjesnost može povećati kibernetičku otpornost i gradi model koji povezuje konkretne tehnike za svjenost s manjom podložnošću socijalnom inženjeringu.

Ljudskiji pristup

Anna otvoreno kaže: “Svjenost nije čarobno rješenje. Ljudi će i dalje griješiti.”

No, njegova je vrijednost u tome što jača kognitivnu otpornost, pomaže nam da prepoznamo kad nismo fokusirani, reagiramo promišljeno i bolje upravljamo vlastitim emocijama. U svijetu u kojem napadači koriste umjetnu inteligenciju za personalizirane prijevare, taj trenutak svjesnosti može biti razlika između sigurnosti i kompromitacije. Svjenost nije tu samo da nas zaštiti od phishinga, on nas uči kako biti svjesniji, manje iscrpljeni i dono­siti bolje odluke, i online i offline.

O autorici

Anna Collard je viša potpredsjednica za strategiju sadržaja i evangelizaciju u KnowBe4 Africa, gdje promovira sigurnosnu svijest diljem kontinenta. Osnivačica je Popcorn Traininga, magistrirala je kibernetičku psihologiju, a trenutno je doktorandica na Sveučilištu Nelson Mandela. Uvrštena je među Top 20 Global Cybersecurity Women of 2024, česta je govornica, nagrađivana liderica i članica Globalnog vijeća za budućnost kibernetičke sigurnosti pri Svjetskom ekonomskom forumu. Posjeduje brojne certifikate iz područja kibernetičke sigurnosti, uključujući CISSP, CISA, ISO27k implementer i lead auditor.

The post Webinar: Kako nam digitalna svjesnost može pomoći u zaštiti od socijalnog inženjeringa first appeared on CERT.hr.

Pozivamo sve pravne osobe koje posluju u Republici Hrvatskoj, a ne zadovoljavaju kriterije za kategorizaciju, da se dobrovoljno uključe u provedbu mjera kibernetičke sigurnosti sukladno članku 50. Zakona o kibernetičkoj sigurnosti i članku 47. stavku 1. Uredbe o kibernetičkoj sigurnosti.

Ovaj poziv odnosi se na sve pravne osobe koje nisu kategorizirane, a posluju u nekom od sektora iz Zakona o kibernetičkoj sigurnosti (Prilog I. i II.) za koje je Nacionalni CERT nadležno CSIRT tijelo (Prilog III.), kao i na pravne osobe koje posluju u sektorima koji nisu utvrđeni Zakonom (Zakon, članak 70.).

Za dobrovoljnu provedbu mjera kibernetičke sigurnosti, zainteresirane pravne osobe mogu zatražiti dodatne informacije ili se prijaviti Nacionalnom CERT-u pri CARNET-u putem e-pošte na adresu ncert@carnet.hr.

Prijava treba sadržavati:

• naziv i OIB pravne osobe,
• kontakt podatke,
• kratak opis poslovne djelatnosti,
• opis mrežnih i informacijskih infrastruktura te usluga koje se koriste u poslovanju.

Za sve pravne osobe koje ne žele pristupiti opisanom okviru za dobrovoljnu provedbu mjera kibernetičke sigurnosti, preporučujemo da samostalno provedu minimalne mjere za jačanje kibernetičke otpornosti koje su opisane na mrežnoj stranicama Nacionalnog CERT-a i NCSC-a.

The post Poziv pravnim osobama na dobrovoljnu provedbu mjera kibernetičke sigurnosti first appeared on CERT.hr.

Autorica teksta: Louise Altvater, analitičarka kibernetičke sigurnosti, CSIRT FCCN, Portugal

Umjetna inteligencija posljednjih je godina postala jedna od najzanimljivijih tema u svijetu tehnologije. Prepoznata je po svojoj sposobnosti automatizacije ponavljajućih zadataka, analize velikih količina podataka brzinom nedostižnom čovjeku, pomoći u donošenju odluka, poboljšanju korisničke podrške, pa čak i stvaranju kreativnog sadržaja. No u području kibernetičke sigurnosti taj trend ima dvostruku prirodu: AI može biti moćan saveznik obrambenih timova, ali i oružje u rukama zlonamjernih aktera. Zlouporaba umjetne inteligencije ubrzava tempo, opseg i složenost napada, dok tradicionalne sigurnosne mjere često teško uspijevaju pravovremeno ih otkriti ili spriječiti.

AI i socijalni inženjering

Jedna od najzabrinjavajućih primjena AI-a jest u socijalnom inženjeringu, koji se temelji na psihološkoj manipulaciji kako bi se pojedince navelo da otkriju osjetljive podatke ili poduzmu štetne radnje. Tradicionalno su takve prijevare zahtijevale ručni rad, prevaranti su sami sastavljali phishing poruke, zvali žrtve telefonom ili izrađivali lažne dokumente. Danas AI automatizira i usavršava te procese.

Zlonamjerni akteri sada mogu stvarati hiperpersonalizirane phishing poruke koje oponašaju stil pisanja žrtvinog nadređenog, prijatelja ili kolege. Veliki jezični modeli (LLM – Large Language Models) mogu trenutno prilagoditi sadržaj na temelju podataka prikupljenih s društvenih mreža, čineći poruke uvjerljivima i relevantnima. Postoje čak i zlonamjerni LLM-ovi razvijeni upravo u tu svrhu, ali i legitimni modeli poput ChatGPT-a ili DeepSeek-a mogu se zlorabiti putem pažljivo osmišljenih upita kako bi proizveli sadržaj koji se koristi za phishing ili druge štetne aktivnosti.

Deepfake prijevare

Tehnologija deepfakea dodatno produbljuje razinu prevare. AI danas može stvoriti videozapise i audiozapise koji vjerno repliciraju nečije lice, glas i geste. U jednom poznatom slučaju, djelatnik multinacionalne tvrtke u Hong Kongu prevaren je da prebaci više od 25 milijuna dolara nakon što je prisustvovao videokonferenciji na kojoj su svi „sudionici“ zapravo bili AI-generirani deepfakeovi stvarnih kolega. Prevara nije uspjela zbog tehničke ranjivosti, već zato što su napadači savršeno simulirali ljudsku prisutnost i izbjegli pobuditi sumnju.

Osim lažnih glasova i videa, AI može generirati slike koje se ne mogu provjeriti klasičnim metodama poput obrnutog pretraživanja slika (npr. Google Lens, TinEye). Takvi se vizuali stvaraju od nule, bez ikakvog izvora, pa je nemoguće potvrditi njihovu autentičnost. Ova se mogućnost sve češće koristi u prijevarama za stvaranje lažnih dokaza, izmišljenih događaja ili identiteta koji izgledaju stvarno, iako ne postoje u stvarnosti.

Socijalni inženjering samo je dio zlonamjernog potencijala AI-a. Napadači ga kombiniraju s automatiziranim skeniranjem velikih mreža u nekoliko minuta radi pronalaska ranjivih sustava. Time se obrambenim timovima drastično smanjuje vrijeme potrebno za primjenu sigurnosnih zakrpi.

Nakon što se pronađu ranjivosti, umjetna inteligencija može pomoći u izradi zlonamjernog softvera koji kontinuirano mijenja svoj kôd kako bi izbjegao detekciju tradicionalnih alata poput antivirusa.

AI je također smanjio tehničku prepreku za ulazak u kibernetički kriminal. Kriminalci više ne trebaju napredne tehničke vještine – mogu iskoristiti crno tržište AI alata, dostupnih na forumima dark weba. Ti alati djeluju kao „maliciozni asistenti“, generirajući uvjerljive phishing poruke, zlonamjerni kôd ili nudeći detaljne upute za iskorištavanje ranjivosti.

Obrana od AI kibernetičkih prijetnji

Obrana protiv napada koji koriste umjetnu inteligenciju zahtijeva proaktivan i strateški pristup, a ne samo reaktivne mjere. Organizacije bi trebale jasno definirati ciljeve korištenja AI-a u sigurnosnim operacijama, osiguravajući da on podržava konkretne obrambene funkcije. AI se treba integrirati s postojećim sigurnosnim alatima i poboljšati ih, a ne potpuno zamijeniti. Neki stručnjaci upozoravaju da bi se AI trebao promatrati i kao potencijalna prijetnja koju treba nadzirati, s obzirom na mogućnost manipulacije ili kompromitiranja.

Transparentnost je ključna: potrebno je dati prednost interpretabilnim AI sustavima kako bi analitičari razumjeli način donošenja odluka, mogli predvidjeti ponašanje sustava i provjeriti njegovu učinkovitost. Uz to, ljudi moraju zadržati kontrolu, AI bi trebao pomagati timovima kibernetičke sigurnosti, a ne donositi odluke bez nadzora. I na kraju, AI sustave treba redovito ažurirati i pratiti, jer napadači stalno razvijaju nove metode.

O autorici

Louise Altvater je sigurnosna analitičarka u CSIRT FCT-u, timu koji je odgovoran za incidente unutar FCCN-a, odjel za digitalne usluge koji za cilj ima doprinijeti razvoju znanosti, tehnologije i znanja u Portugalu. Više od tri godine dio je tima za odgovor na incidente, doprinoseći otkrivanju, analizi i koordinaciji odgovora na incidente kibernetičke sigurnosti. Između ostalog, njezin rad uključuje provođenje revizija sigurnosti web aplikacija, identificiranje ranjivosti i podršku partnerima u jačanju njihove ukupne sigurnosne pozicije. Po obrazovanju je psihologinja, što joj omogućuje da u sigurnost unosi ljudsku perspektivu, fokusirajući se na ponašanje korisnika i ljudske čimbenike koji stoje iza digitalnih prijetnji. Jedno od njezinih profesionalnih interesa jest prikupljanje obavještajnih podataka o prijetnjama (threat intelligence) i njihova uloga u predviđanju te razumijevanju novih rizika u kibernetičkom prostoru.

The post Kibernetičke prijetnje koje pokreće AI first appeared on CERT.hr.