Za podjetja pomembna tudi kibernetska zaščita

Kibernetska tveganja so že nekaj časa nova realnost, hkrati z njimi pa tudi nenehna skrb za obvladovanje informacijske varnosti. Število varnostnih incidentov se namreč iz leto v leto povečuje. Nacionalni odzivni center za kibernetsko varnost SI-CERT je lani evidentiral 3177 incidentov, leto pred tem pa 2775.

Če so pred začetkom pandemije na SI-CERT prejeli okoli 500 prijav različnih incidentov na mesec, so pred poletjem dosegli kar 650 prijav na mesec (na vrhuncu celo 750), pojasnjuje vodja omenjenega centra Gorazd Božič. »Kolikšen del te rasti je posledica pandemije, koliko pa to lahko pripišemo stalni rasti, ki jo opazimo vsako leto, pa je težje reči. Različne prijave, ki jih podajo različni prijavitelji, se lahko nanašajo na isti incident, zato je pomembno tudi to število. Povprečno smo leta 2020 obravnavali 231 incidentov na mesec, leta 2021 265, v prvi polovici letošnjega leta pa 274.«

Nedvomno izstopajo napadi phishinga ali tako imenovanega ribarjenja za gesli uporabnikov, še pojasnjuje Božič. »Phishing ali ribarjenje za podatki je vrsta napada z lažnim predstavljanjem, najpogosteje v elektronskih sporočilih, ki poskušajo prejemnika prepričati v razkritje občutljivih podatkov. Najpogostejši cilji napadov so gesla za elektronsko pošto, prijavni podatki za spletne banke ter podatki o kreditnih karticah. Sporočilo phishing prejemnika nagovarja h kliku na povezavo v sporočilu, običajno pod krinko nekega nepredvidenega dogodka, ki zahteva hitro ukrepanje. Povezava vodi na lažno spletno stran, ki zahteva vpis uporabniškega imena, gesla in drugih osebnih podatkov. Tovrstni incidenti so lani obsegali že skoraj tretjino obravnavanih incidentov.«

Ranljivost omrežne infrastrukture

V SI-CERT so lani imeli več razkritij ranljivosti omrežne infrastrukture, pri čemer so izstopale varnostne luknje v strežnikih Microsoft Exchange in programski komponenti Log4j. »V prvem primeru je to pomenilo, da je okoli tisoč poštnih strežnikov podjetij v Sloveniji bilo na voljo za vdor, namestitev stranskih vrat ali pritajenih programov. V daljši akciji smo na SI-CERT ugotavljali, kje vse so ti ranljivi strežniki in kdo jih upravlja, ter razpošiljali opozorila in napotke za krpanje sistemov,« je še dejal Božič in poudaril, da storilci niso izgubljali časa, zato so lahko kmalu zaznali tudi uspešne vdore v strežnike podjetij, katerim so nato nudili strokovno pomoč pri odpravljanju posledic vdora. Omenjena kritična ranljivost knjižnice Log4j, razkrita decembra 2021, pa tudi omogoča napadalcu zagon poljubne programske kode na ranljivem sistemu.

»Ranljivost se lahko ob določenih pogojih izrablja tudi na sistemih, ki niso javno dostopni na internetu, kar odstopa od običajnih scenarijev, zato smo morali opozarjati tudi na to, da ni dovolj, če je strežnik skrit za protipožarno pregrado. Ranljivost je bila razprostranjena tako v odprtokodnih aplikacijah, lastno razvitih rešitvah in številnih komercialnih produktih. Identifikacija vseh ranljivih komponent je bila zahtevna in dolgotrajna, univerzalne rešitve za različne postavitve sistemov ni bilo. To je zahtevalo veliko truda CSIRT skupin po celem svetu, zelo koristno pa je bila izmenjava podatkov skupin znotraj EU, v tako imenovani Mreži CSIRT, ki smo jo vodili ravno mi od julija 2020 do decembra 2021,« je še razsežnosti pojasnil vodja SI-CERT.

Visoko povprečno oškodovanje

Tudi napadi na podjetja se nadaljujejo, vendar se po Božičevih besedah umika direktorska prevara (CEO Fraud), zelo verjetno zaradi lahke prepoznavnosti in zato premajhnega izkupička za storilce. Čedalje več pa je vrivanja v poslovno komunikacijo (BEC, Business Email Compromise), kar kaže na uspešnost tega pristopa, kjer storilci z vdorom v poštni predal spremljajo komunikacijo v podjetju in ob prodaji ali nakupu vskočijo s transakcijskim računom denarne mule in preusmerijo denar. »Povprečno oškodovanje pri vrivanju v poslovno komunikacijo je v letu 2021 znašalo nekaj več kot 45.000 evrov.«

Povprečno oškodovanje pri spletnem nakupovanju je lani znašalo skoraj 2000 evrov (pred pandemijo le okoli 500 evrov), pri investicijskih prevarah pa nekaj več kot 28.000 evrov. Podatkov o zahtevanih odkupninah pri napadih z izsiljevalskimi virusi SI-CERT dobi zelo malo, saj se prijavitelj sam odloči, ali jim bo to sporočil ali ne. Zato, kot pravi Gorazd Božič, nimajo realnega podatka; na mesec pa obravnavajo od pet do šest primerov okužbe z izsiljevalskim virusom in šifriranja podatkov.

Ozaveščenost podjetij

Kako ozaveščena so podjetja glede pomembnosti kibernetske zaščite, pa je odvisno od vodstva podjetja in poslovne kulture, od dejavnosti podjetja in velikosti podjetja, ki vpliva na razpoložljiva sredstva za kibernetsko zaščito. »Banke redno vlagajo v ozaveščenje zaposlenih, velika podjetja pogosto že imajo vpeljan program skladnosti z ustreznimi standardi. Opažamo pa potrebo po dodatnem ozaveščanju v malih in srednjih podjetjih, zato smo lani dali na voljo brezplačni tečaj za zaposlene v podjetjih varnivpisarni.si. V ospredje smo postavili zaposlene, ki niso zgolj zreducirani na najšibkejši člen, ampak izpostavljamo, da so pogosto spregledani, nimajo možnosti izobraževanj ali pa so ta neprilagojena njihovemu nivoju znanja,« je še dejal Gorazd Božič in dodal, da so z odzivom na tečaj zelo zadovoljni, saj je kar nekaj podjetij in javnih ustanov nanj poslalo vse zaposlene in tečaj dodalo v svoje kadrovske procese.

Tako na primer v Generali Investments ozaveščajo zaposlene s klasičnimi izobraževanji, kjer jim predavatelji na konkretnih primerih osvetlijo probleme, povezane s kibernetsko varnostjo, ter z interaktivnimi spletnimi izobraževanji, kjer udeleženci na primerih tudi preverijo svoje razumevanje in znanje s področja kibernetske varnosti. »Poleg tega večkrat potekajo kampanje preverjanja ozaveščenosti, kot je na primer pošiljanje prirejenih elektronskih sporočil z namenom, da bi jih prejemniki v čim večjem številu prepoznali kot lažna sporočila phishing.«

Vsaj 95 odstotkov vdorov v sisteme se izvede s pomočjo lažnih in zavajajočih sporočil, s katerimi napadalci poskušajo zavesti uporabnike in pridobiti uporabniške podatke za dostop do informacijskih sistemov ali pa namestiti zlonamerno kodo, veliko manj pa je tehnično zelo sofisticiranih napadov, še pojasnjujejo v Generali Investments in dodajajo: »Za tehnično zaščito se uporabljajo precej standardni prijemi, kot so na primer protivirusna zaščita, požarne pregrade, večfaktorska avtentikacija pri dostopu do storitev in infrastrukture družbe, sistemi za prepoznavanje vdorov, periodično testiranje odpornosti internetnih aplikacij družbe na kibernetske napade in podobno.«

Na podlagi izkušenj tudi v Telekomu Slovenije, ki ima lastni operativni center kibernetske varnosti, opažajo, da se pomena kibernetske varnosti slovenska podjetja večinoma dobro zavedajo. Kot pojasnjujejo, omenjeni center predstavlja pomembno dodano vrednost na področju zagotavljanja kibernetske varnosti tako na nacionalni ravni kot v podjetjih in drugih organizacijah.

»Pri zagotavljanju kibernetske varnosti gre za dolgoročen in natančno načrtovan proces, vzpostavljanje ekip, znanj in zavedanja. Kot nacionalni operater se zavedamo, kakšen je pomen varnosti, saj je to osnova, na kateri se gradi zaupanje. Tako smo postopoma iz varovanja lastnih omrežij, storitev in uporabnikov razvili tudi ponudbo za naročnike – podjetja in organizacije, ki si želijo preverjenega ponudnika pri obvladovanju varnostnih tveganj. Operativni center kibernetske varnosti Telekoma Slovenije je certificiran in skladen z najuglednejšimi certifikati in standardi s področja informacijske varnosti, med njimi tudi z ISO 27001 in ISO 22301.«

Izobraževanje zaposlenih

Kot pojasnjujejo, se v podjetjih težave ponavadi pojavijo pri ocenjevanju tveganj, kaj se lahko konkretno zgodi v primeru kibernetskega napada in kakšno škodo lahko ta povzroči, ter ko se odločajo, kaj storiti, da bi zagotovili večjo stopnjo kibernetske varnosti. »Večina podjetij nabavlja ali nadgrajuje tehnično varnostno opremo, vendar pogosto pozabljajo na človeški in strokovni vidik, saj brez ustrezno usposobljenega kadra kibernetske varnosti ni mogoče zagotoviti. Nekdo mora vso opremo pravilno namestiti, še posebej pomembno pa je, da nekdo ves čas spremlja, kaj oprema zaznava, in nato po zaznanih dogodkih tudi ustrezno ukrepa – takoj, ko je potrebno, sicer je prepozno.«

V Telekomu Slovenije, kot še pravijo, imajo kibernetsko odzivno skupino, ki deluje v okviru omenjenega centra in ki v primeru varnostnega incidenta hipno ukrepa. »V takšnem primeru je pomemben hiter odziv, zaustavitev napada, analiza stanja, čimprejšnja ponovna vzpostavitev poslovanja in po potrebi sprejetje dodatnih varnostnih ukrepov. Zato je treba ves čas vlagati v zaposlene in njihove kompetence,« še navajajo.