»Ne zatiskajmo si oči. Nihče ni 100-% varen pred napadi« (video)

Pet nasvetov za kibernetsko varnost:

Naučili smo se zaklepati vrata, »zakleniti« moramo tudi dostope na spletu

Kibernetski kriminal je eden najbolj dobičkonosnih na svetu, širi se v vse pore našega virtualnega življenja, postaja vedno bolj sofisticiran in hkrati agresiven.

Vsak, ki uporablja službeno omrežje, do katerega dostopa prek različnih naprav, in vsak, ki v zasebnem času brska, nakupuje in se po spletu povezuje z zunanjim svetom, lahko postane tarča kibernetskih kriminalcev, ki z razvojem umetne inteligence postajajo še učinkovitejši. Vendar je UI tudi v rokah kibernetskih varuhov, ki so jo že zelo uspešno implementirali v svoje obrambne strategije.

Čeprav bodo napadalci vedno kakšen korak pred strokovnjaki za kibernetsko varnost, lahko s preventivnimi ukrepi in dobro obrambo zmanjšamo možnost napadov in hkrati poskrbimo, da nam bodo v primeru napada strokovnjaki hitro priskočili na pomoč.

Na kaj moramo biti pozorni, kje se skrivajo največje pasti in kako lahko podjetja poskrbijo za boljšo obrambo pred napadalci, smo vprašali Daliborja Vukoviča, strokovnjaka za kibernetsko varnost pri Telekomu Slovenije.

Kako varni smo v Sloveniji pred kibernetskimi napadi? Občutek je, kot da jih še vedno ne jemljemo dovolj resno.

Nič manj in hkrati nič več od drugih sodobnih držav, sploh ko govorimo o zahodu. V segmentu kibernetske varnosti Slovenija v zadnjih letih veliko vlaga, ampak ne gre čez noč. Zavedati se moramo, da je kriminal vedno korak pred nami oziroma pred legitimnim delom in prakso.

Kakšen je pomen umetne inteligence pri kibernetski varnosti? Ali je UI bolj orodje za zaščito ali tudi grožnja, ki jo lahko izkoristijo napadalci?

Umetno inteligenco smo šele zdaj začeli prepoznavati kot model, ki bi lahko pomagal. Kriminalne združbe so jo uporabljale že vsaj pet let pred nami. Umetna inteligenca je tako na primer generirala skripte, ki so znale prelisičiti vsak antivirusni program. Pričakovati, da bi se danes lahko povprečno podjetje samo zaščitilo, je nemogoče. Ponudniki, ki se strokovno ukvarjamo s tem, imamo profesionalna orodja in pa seveda usposobljen kader, tako da lahko pri različnih podjetjih in organizacijah pravočasno rešujemo situacijo.

Čeprav vam umetna inteligenca pomaga pri zaščiti, še vedno velja, da so kriminalci korak pred vami?

Danes imamo orodja, ki lahko prepoznajo vdore v vsaj 95 odstotkih primerov, a težava je drugje – približno 80 odstotkov ljudi teh orodij sploh nima. Kriminalci zato iščejo lažje tarče, pri katerih lahko v kratkem času dosežejo želeni cilj. Ste opazili, da v zadnjih letih ni več napadov na bančne sisteme? Zakaj? Ker so banke finančne institucije, ki si lahko privoščijo najnovejša zaščitna orodja.

Namesto tega so napadalci preusmerili pozornost na podjetja in institucije, ki takšnih orodij nimajo. Lažje je napasti 10 organizacij s 300 do 400 zaposlenimi in letnim prometom od 20 do 30 milijonov evrov, ki nimajo ustrezne zaščite. Takšna podjetja so bolj ranljiva, kar pomeni, da je vanje lažje vdreti in od njih izsiliti denar.

Trenutno stanje je torej naslednje: organizacije z naprednimi zaščitnimi sistemi so zadnja leta manj pogoste tarče napadov, medtem ko so neustrezno zaščitene organizacije še vedno izpostavljene kriminalnim združbam. Zato težko rečemo, da smo mi korak pred napadalci – prej obratno. Kriminalci morajo najti le eno ranljivost, mi pa moramo zaščititi na tisoče možnih lukenj. To je velik izziv.

Najpogostejše žrtve napadov so torej srednje velika in mala podjetja. Zakaj so lažja tarča kot drugi?

Ker nimajo adekvatne zaščite. Menedžment v povprečnem podjetju pogosto razmišlja, kaj neposredno prinaša zaslužek – marketing in prodaja. IT pa vidijo kot nujno zlo. Kupijo toliko računalnikov, kot jih potrebujejo, in ko strokovnjak predlaga zaščito, ki ni brezplačna, začnejo kalkulirati. Če strošek znaša od 500 do 1000 evrov na mesec, menijo, da je to preveč – saj bi za 12.000 evrov na leto lahko izvedli odlično marketinško kampanjo in povečali prodajo.

Težava nastane, ko pride do napada. Takrat podjetje namesto nekaj tisoč evrov za preventivo porabi 50.000 ali več za sanacijo. Pri takšnih incidentih se pogosto znajdemo v situaciji, ki je primerljiva z zdravljenjem pacienta v četrtem stadiju raka – škoda je obsežna, vloga strokovnjaka pa je pogosto tudi psihološka podpora. Sanacija lahko traja tedne ali celo mesece, stroški pa so visoki.

Na koncu podjetja spoznajo, da bi bilo ceneje investirati v ustrezna orodja in zaščito. Ker tega nimajo, postanejo enostavne tarče, posledično pa so tudi najpogosteje napadena. Ob 5000 prijavljenih napadih na leto je verjetno še vsaj 40.000 do 50.000 neprijavljenih. Podjetja večinoma ne razkrivajo, da so bila napadena. Za tem stojijo predvsem poslovni razlogi.

Kdo so sploh ti napadalci, kaj želijo? Podatki kažejo, da je to najhitreje rastoči in dobičkonosni kriminal na svetu. Več služijo kot nekoč veliki karteli.

Stvar je precej logična. Danes, v času, ko imamo v povprečnem mestu na desettisoče kamer, na mejah rentgenske naprave in nešteto senzorjev, je tihotapljenje drog ali orožja postalo bistveno bolj tvegano. Z napredno tehnologijo in inženiringom je prej ali slej mogoče ugotoviti, kaj se je zgodilo, in posledično je tveganje za kriminalce veliko večje. Torej, riziko je zdaj postal že bistveno večji kot pri kibernetskem kriminalu. Tukaj je trenutno največ denarja, kibernetski kriminal je tako uspešen, ker se najlažje zamaskiraš. Ni kamer, ni videonadzornih sistemov, kar omogoča, da napadalci svoje aktivnosti skrijejo veliko bolj učinkovito. In ja, kibernetski kriminal je trenutno najbolj dobičkonosna stvar, najbolj dobičkonosen posel in ne boste verjeli, mafijske združbe se ga lotevajo na tak način, da najemajo hekerje. Lahko se pa tudi zgodi, da kriminalci celo izsiljujejo strokovnjake na tem področju, da zanje opravijo določene naloge.

Kdaj smo na spletu najbolj ranljivi?

Če govorimo o fizičnih osebah, smo najbolj ranljivi, ker veliko kupujemo po spletu. Danes ste z osebnimi podatki in po možnosti še s svojim osebnim računom prijavljeni v neki spletni trgovini. Predstavljajte si, da nekdo kompromitira njihovo bazo podatkov. In to se lahko zgodi, vam povem iz prve roke, ker mesečno rešujemo te primere tudi po Sloveniji. Po spletu na primer naročite kozmetiko. Ta spletna stran ima vse vaše podatke, in če vdrejo v njihovo bazo, lahko z vašega računa poberejo denar. Druga stvar so spet spletne prevare na način, da simulirajo neko lažno osebo, ki ji zaupate.

Ko pa govorimo o organizacijah, obstaja nova fraza, in sicer APT (Advanced Persistent Threat). Gre za sofisticirane in dolgotrajne kibernetske napade, pri katerih napadalci pridobijo dostop do omrežja in v njem ostanejo neodkriti dalj časa, lahko tudi več mesecev.

To so najbolj nevarni kibernetski napadi, ki imajo lahko celo katastrofalne posledice in so natančno načrtovani. Tarče so skrbno izbrane, napadalci pa pravi profesionalci, ki svoj »posel« obvladajo do zadnje podrobnosti. Njihov cilj ni povzročitev takojšnje škode, ampak čim bolj podrobno pridobivanje podatkov, nadzor nad sistemom ali izvajanje sabotaže, odvisno, kakšen je namen napada. Največkrat se napadi APT izvajajo zaradi vohunjenja za drugimi državami, kraje intelektualne lastnine, pridobitve finančne koristi ali pa sabotaže ključne infrastrukture. Drugače kot drugi kibernetski napadi, kot je izsiljevalska programska oprema, so APT načrtovani tako, da ostanejo neopaženi.

Za vdor v podjetja so pogosto krivi zaposleni, ki nevede na široko odprejo vrata napadalcem – pogosto zaradi nepazljivosti in neznanja. Kako ponotranjiti bolj samozaščitno vedenje na spletu?

Ključni problem je pomanjkanje osnovnega digitalnega znanja, ki bi ga morali začeti razvijati že v osnovni šoli. Danes so otroci digitalizirani, vendar v šolskem sistemu pogosto manjka osnov računalništva, ki so nujne za varno uporabo tehnologije. Podobno kot smo se včasih naučili pisanja, bi morali danes pri mladih postaviti temelje digitalne pismenosti.

V povprečnem slovenskem podjetju so zaposleni pogosto starejši od 40 let, kar pomeni, da so odraščali v času, ko varnost ni bila prioriteta – niti v digitalnem niti v fizičnem svetu. Zato težje razumejo, da so na spletu izpostavljeni vsemu svetu. Tu pride v ospredje koncept »user awareness« – ozaveščanje uporabnikov. Podjetja bi morala investirati v redna izobraževanja zaposlenih o prepoznavanju nevarnosti, kot so phishing napadi in druge digitalne grožnje.

V Telekomu Slovenije pogosto izvajamo praktična izobraževanja. Na primer udeležencem pokažemo, kako lahko z uporabo javno dostopnih podatkov (OSINT) hitro ugotovimo njihove hobije, navade ali osebne preference. Na tej osnovi pripravimo ciljane napade, imenovane »spear phishing«, pri katerih osebo spodbudimo h kliku na lažno povezavo ali k vnosu gesla na kloniranem strežniku. Pogosto ugotovimo, da imajo ljudje isto geslo za več različnih računov – od službenih do zasebnih, kar napadalcem še olajša delo.

Največja težava je miselnost, da podjetje ni zanimiva tarča, ker nima konkurence ali pomembnih podatkov. A danes lahko na temnem spletu za razmeroma nizko ceno naročite napad na katero koli podjetje. Zato je ozaveščanje ključno – tako pri zaposlenih kot pri splošni javnosti. Prava preventiva lahko prepreči katastrofalne posledice, ki so pogosto veliko dražje od ustreznega izobraževanja in zaščite.

---

Naročnik oglasne vsebine je Telekom Slovenije