Dejstvo je, da pametni telefon prevzema vlogo računalnika, plačilne rešitve in naprave za vstop v naša digitalna življenja. Logično je, da ga je zato treba ustrezno zavarovati.

Na začetku tedna je nacionalni odzivni center za kibernetsko varnost SI-Cert izdal poročilo o kibernetski varnosti za leto 2023, ki je tokrat razširjeno še s podatki slovenske policije in Informacijskega pooblaščenca, da ponudi čim celovitejši pregled nad dogajanjem v slovenskem kibernetskem prostoru. Lani so tako obravnavali 4280 varnostnih incidentov oziroma štiri odstotke več kot leto poprej. Ob tem je SI-Cert lani obravnaval tudi 1600 primerov lažnega predstavljanja, policija pa je v tem letu zabeležila za kar 27,5 milijona evrov škode zaradi različnih spletnih goljufij, pri čemer moramo vedeti, da verjetno vse sploh niso bile prijavljene.

Ugotovitve? Napadi z izsiljevalsko programsko opremo so ena največjih kibernetskih groženj. Najvišja oškodovanja so povzročile kripto investicijske prevare, ki jim sledijo direktorske prevare, največji porast pa je bil zabeležen v kategoriji tako imenovanih smishing napadov. Gre za sms-sporočila, namenjena kraji finančnih podatkov.

Občutno povečanje zlonamernih sms-sporočil

»Dolgo je veljalo, da moramo biti spletni uporabniki pozorni zgolj na elektronska sporočila, ki od nas zahtevajo vpis gesel. Vendar smo lani zaznali veliko povečanje števila napadov prek sms-sporočil in aplikacij za hipno sporočanje (na primer Viber, WhatsApp, Messenger),« so zapisali v SI-Certu, kjer so obravnavali 216 primerov smishing prevar oziroma skoraj petkrat več kot leta 2022. Cilj tovrstnih napadov so finančni podatki, predvsem številke kreditnih kartic in avtentikacijski podatki za dostop do spletne ali mobilne banke. Slovenska policija je lani zaznala za 3,5 milijona evrov škode zaradi phishing (beri: lažno predstavljanje in zvabljanje) in smishing zlorab v elektronskem bančništvu.

Največji val lažnih sms-sporočil so v SI-Certu zaznali avgusta lani in tudi obvestili telekomunikacijske operaterje, ki so potrdili, da gre za razpošiljanje z naprav s SIM-karticami, kupljenimi v Sloveniji. Z ugotovitvami so seznanili policijo, ki je na podlagi prijav, ki so jih oddale banke, in drugih pridobljenih ugotovitev v Mariboru aretirala štiri romunske državljane.

»Pomembno je, da se ljudje zavedajo možnosti zlorab na mobilnih napravah, saj še vedno obstaja splošno prepričanje, da se to dogaja le na računalnikih in drugih mrežnih napravah,« je komentiral Luka Bijelić, strokovnjak za kibernetsko varnost v Telekomu Slovenije, in dodal: »Treba je razumeti, da so mobilne naprave vse bolj naša prva in edina osebna izkaznica, denarnica, zdravstvena kartica ter ključno orodje tako v zasebnem kot poslovnem življenju. Zato je nujno, da jih ustrezno upravljamo in zaščitimo, saj so zlorabe mobilnih naprav realnost tudi v slovenskem prostoru.«

Februarja letos je uporabniške podatke in sredstva kradla zlonamerna aplikacija TeaBot, ki je bila ciljana specifično na slovenske uporabnike mobilnih naprav oziroma nanje nameščene mobilne bančne aplikacije – pričakovati je, da bo statistika SI-Cert letos zato še bolj »črna«.

»Tujke« v poslovno okolje vnašajo zaposleni

Podjetjem se je pred leti zdelo »fino«, da zaposleni sami kupijo pametni telefon in ga uporabljajo tudi za delo. Nič več. Trend BYOD (prinesi svojo napravo) se jim je vrnil kot bumerang, saj z (ranljivimi) mobilnimi napravami, ki dostopajo do virov v poslovnem okolju, nehote ogrožajo digitalno krajino podjetij.

»Pristop BYOD omogoča zaposlenim, da uporabljajo svoje osebne naprave za dostop do službenih podatkov. To je sicer dobro za fleksibilnost uporabnika pri izbiri in menjavi mobilne naprave, vendar z varnostnega vidika ni tako učinkovito. Skrbniki IT v podjetju imajo nadzor in preprečujejo puščanje podatkov iz mobilne naprave le v službenem delu, medtem ko nad zasebnim delom nimajo nadzora. Prav tja pa napadalci pogosto namestijo zlonamerno programsko opremo,« pojasnjuje Bijelić.

In dodaja: »Pri pristopu BYOD gre za kompromis med varnostjo in udobjem. Organizacija mora sama presoditi, kolikšno tveganje je pripravljena sprejeti na račun uporabe osebnih naprav zaposlenih v poslovnem okolju. Če je lastnik mobilne naprave podjetje, se priporoča uporaba pristopa COPE (Corporate-owned, personally enabled). To pomeni, da je mobilna naprava v celoti pod nadzorom skrbnikov IT v podjetju, vendar ima hkrati ločene zasebne in službene podatke ter aplikacije, ki med seboj niso združljive. S tem je zagotovljena zasebnost osebnih podatkov uporabnika, hkrati pa ima skrbnik IT-nadzor nad napravo in lahko v primeru kraje ali izgube zablokira, izbriše ali omeji dostop do službenih podatkov.«

Podjetja z več zaposlenimi za varovanje mobilnih naprav uporabnikov uporabljajo namensko programsko opremo MTD (Mobile Threat Defense) za napredno kibernetsko zaščito mobilnih naprav. Strokovnjaki pa podjetjem kot pomemben korak vseeno priporočajo poenotenje blagovnih znamk mobilnih naprav (in modelov) za njihovo lažje upravljanje in posodabljanje.

Vedno nove žrtve direktorskih prevar

Podjetja so vse pogosteje tarča direktorskih prevar in vrivanja v poslovno komunikacijo. V SI-Certu so lani obravnavali 73 primerov direktorske prevare, kjer je povprečno oškodovanje znašalo 42.000 evrov. Značilen primer direktorske prevare je pošiljanje elektronskega sporočila na naslov računovodstva z zahtevo po nujnem plačilu izmišljene fakture na tuj bančni račun, pri čemer gre za zneske v višini nekaj 10.000 evrov. Lani pa so napadalci v direktorski prevari začeli uporabljati nov scenarij. Na naslov računovodstva pošljejo lažno sporočilo enega od zaposlenih, da želi nakazilo plače na drug bančni račun. Zneski oškodovanja so v tem primeru manjši, je pa po nakazilu plače na drug bančni račun možnost povrnitve ukradenega denarja zelo majhna. Po višini povzročene škode izstopa vrivanje v poslovno komunikacijo; slovenska policija je lani zabeležila 51 takšnih primerov, kar je slovenskim podjetjem skupno povzročilo kar 7,8 milijona evrov škode.

Pri tem je očitno, da so pogostejše žrtve podjetja brez lastnega IT-oddelka. Kako naj torej ta poskrbijo za ustrezno kibernetsko varnost? Strokovnjak Telekoma Slovenije jim svetuje tole: »Takšna podjetja se običajno obrnejo na IKT sistemske integratorje, ki imajo lastno ekipo za varnostno obravnavo. Ti strokovnjaki lahko svetujejo pri izbiri ustrezne programske opreme, jo vzdržujejo in predvsem neprekinjeno spremljajo ter ščitijo IKT-okolje podjetja, 24 ur na dan, 7 dni v tednu, 365 dni v letu. Sodobni varnostno-operativni centri ponujajo storitve na ključ v obliki mesečne naročnine, prilagojene specifičnim izzivom in velikosti podjetja. V Telekomu Slovenije imamo Center za kibernetsko varnost in odpornost, ki lahko zelo kakovostno poskrbi za vse potrebno, zaupajo pa mu največji in najobčutljivejši poslovni sistemi in organizacije v državi pa tudi regiji.«