Gregor Grosman
Število kibernetskih napadov drastično narašča, pravi Renato Uhl, direktor podjetja Real Security, ki že od leta 2006 organizira konferenco Risk, letno srečanje strokovnjakov na področju kibernetske varnosti, IT in varnosti podatkov. Na dogodku se poglabljajo v najnovejše trende, tehnologije in najboljše prakse pri upravljanju kibernetske varnosti, udeleženci pa lahko v okviru delavnic tudi aktivno sodelujejo. Direktor podjetja je pojasnil, da je bila tema letošnje konference "mission possible", torej misija mogoče. Udeležencem so želeli posredovati prepričanje, da so stvari na področju kibernetske varnosti še obvladljive, čeprav se na prvi pogled zdi, da ni tako.
"Tisti, ki obvladuje podatke, obvladuje vse"
"S svetlobno hitrostjo tudi na naše področje delovanja prihaja UI," je dejal Uhl. Kolikor je umetna inteligenca uporabna pri hitrem zbiranju informacij, denimo pisanju esejev v nekaj minutah, toliko je na drugi strani tudi nevarna. "Kot veste, lahko UI daste navodila, da vam sestavi programsko kodo. Lahko sestavi recept za strup, atomsko bombo, načrt, kako nekoga napasti, organizirati teroristični napad. UI lahko napiše računalniški virus. To so včasih počeli IT-strokovnjaki, katerih cilj je bil, da se nekomu zatrese ekran ali da bo dobil tako imenovani modri zaslon. Danes pa gre zadeva bistveno dlje," pravi Uhl. Kot je povedal priznani mednarodni strokovnjak za informacijsko varnost Ramses Gallego, je ta čudovita stvar - umetna inteligenca, ki nam tako zelo pomaga, na drugi strani postala odlično orodje za hekerske skupine. Ker tudi njim odlično pomaga. Denimo sestaviti tekst pri ribarjenju, ki bo tako dober, da bo prejemnik prepričan, da ga je dobil od uradne osebe, in bo šel odpreti priponko. V tem trenutku pa se že zgodi okužba oziroma zloraba," našteva sogovornik.
Če pomislimo na preteklost, so bila na primer pisma iz Nigerije sestavljena v tako polomljeni angleščini, da je naslovnik takoj vedel, da ga želi nekdo potegniti za nos. Češ da bo dobil sto milijonov, če jim zaupa svoj račun in še kopico osebnih podatkov. Danes pa pride tako sofisticiran mail, da tudi strokovnjaki že težko ločijo, da gre za poskus ribarjenja oziroma zlorabe. "Vračamo se v tisto obdobje, ko je bilo največ težav zaradi tovrstnih elektronskih sporočil," pojasni Uhl in ob tem še doda, da običajni uporabniki preprosto ne dohajajo tehnologije s to dinamiko, kot jo dohajajo hekerji in napadalci. Z uporabo umetne inteligence se delo hekerjev dviguje na nivo popolnega napada, razmišlja strokovnjak za kibernetsko varnost, in tudi velika imena v varnostni industriji IT imajo velike težave. Spomni na primer napada na podjetje Fortinet, ki ponuja požarne pregrade, ki so tudi pri nas zelo popularne. Gre za ponudnika rešitev, ki ščiti "vhod v podjetje", korejski hekerji pa so že šest mesecev pred tem, preden je Fortinet objavil, da imajo ranljivost, to izkoristili in prebili zaščito. Pol leta so tako lahko zbirali podatke, ki so danes najpomembnejše blago, vir bogastva in nadzora. "Tisti, ki obvladuje podatke, obvladuje vse," je zaključil Uhl.
Slovenija je geopolitično zanimiva država, zato ne smemo biti naivni in razmišljati, da smo dovolj majhni, da nas ni na zemljevidu kiberkriminalcev
Kot primere dobre prakse, kar se tiče kibernetske zaščite, omeni banke. "Lani smo zaščitili celotni sistem Nove Ljubljanske banke z opremo za zaščito pred napadi DDoS, kakršne je naša država občutila letos. Oni tega napada niso čutili, ker so poskrbeli za to, da v njihovem sistemu, če nekdo pošlje večjo količino podatkov, gredo ti mimo," razlaga Uhl in razmišlja o posledicah morebitnega napada na Univerzitetni klinični center v Ljubljani, zaradi katerega bi denimo odpadle operacije ali pregledi pacientov. Opomni tudi na primer računovodskega servisa, ki je imel preko 300 strank in je bil nekaj dni pred rokom za oddajo letnih bilanc žrtev hekerskega napada, ko so kiberkriminalci vdrli v sistem, zaklenili podatke in zahtevali odškodnino za omogočanje dostopa do njih, tako imenovani ransomware. Ker niso imeli varnostne kopije, jim ni preostalo druga kot plačati zahtevanih 30.000 evrov, pri čemer žrtev nikoli nima garancije, da bodo kiberkriminalci tudi po plačilu zahtevane odškodnine resnično posredovali ključ do podatkov. V določenih primerih se namreč zgodi, da zahtevajo še višji znesek.
Lažen občutek varnosti
"Napačno je domnevanje, da smo dovolj dobro poskrbeli za zaščito pred vdori. Največja grožnja izhaja iz napačnega človeškega razmišljanja, da delamo prave stvari. Nikoli ne moremo biti dovolj dobro zaščiteni, saj bodo napadalci na različne načine skušali najti varnostno luknjo. Najsi bo to s pomočjo programske kode in aplikacij, lahko tudi z manipulacijo podatkov. Največja grožnja smo mi sami in naš lažen občutek varnosti," pa je razmišljal Ramsés Gallego, ki ima več kot 20-letne izkušnje in strokovno znanje na področjih obvladovanja tveganj in upravljanja.
Na vprašanje, kako se lahko podjetja najbolje zaščitijo pred morebitnimi kibernetskimi napadi, Gallego odgovarja, da mora vsako podjetje upoštevati tri dejavnike. "Izogibati se moramo pretiranemu poenostavljanju infrastrukture. Razumeti moramo, da pravi ljudje potrebujejo pravi dostop do pravih podatkov ob pravem času. Razumem, da to ni enostavno, ker imamo veliko količino podatkov na različnih mestih: lokalnem omrežju, mobilnih napravah, tudi v oblaku," razlaga sogovornik in kot osnovne tri dejavnike navaja razumevanje identitete, podatkov in aplikacij. Podjetja morajo razumeti pretok podatkov iz lokalnih omrežij v oblak in na mobilne naprave.
Strinja se, da pred dvajsetimi leti ni bila toliko težava dobiti pravilnih informacij, ampak je bilo težko sploh priti do informacij. Danes pa je ravno obratno. Kot osnovo svetuje vsaj enkripcijo, torej kodiranje podatkov. Če bi nekomu uspel vdor v omrežje, vsaj ne bo dobil podatkov, ampak zakodirane podatke. "Kiberkriminalci tako ne bodo dobili informacij, s katerimi bi lahko počeli karkoli uporabnega, če smo podatke ustrezno zaščitili." Enako je na strani varovanja identitete, nadaljuje. Svetuje vsaj dvofaktorsko avtentifikacijo na vseh aplikacijah. Še zmeraj je preveč takih, ki uporabljajo preveč enostavna gesla, kiberkriminalci pa so zelo vztrajni in bodo na različne načine skušali priti do podatkov. "Vprašanje ni, kako vztrajni so hekerji, ampak, kako vztrajni smo mi pri zaščiti občutljivih informacij, kot so podatki o kreditni kartici, intelektualna lastnina, dizajni," pojasnjuje Gallego. Na predavanju je izpostavil, da zaščita nikakor ni enostavna, ni pa tudi nemogoča.
Statistika SI-CERT za prvo polovico leta 2024
Nacionalni odzivni center za kibernetsko varnost SI-CERT je objavil statistiko opažanj v zvezi z kibernetsko varnostjo pri nas za prvo polovico leta. Ugotavljajo, da se vse bolj uveljavlja koncept "mobile first", torej spletne aplikacije, ki najprej upoštevajo uporabo na mobilnih napravah, kar prikazuje jasen trend spletnih kriminalcev. Lažna sporočila SMS (tako imenovani smishing) v imenu bank in dostavnih služb želijo priti do podatkov mobilne denarnice ali kreditne kartice. Pri tem za pošiljatelja nepridipravi uporabijo mobilne številke nedolžnih naročnikov, ki potem začudeno sprejemajo jezne klice prejemnikov sporočil. Kriminalne združbe skušajo žrtve doseči tudi z uporabo aplikacij WhatsApp in Viber, kjer želijo uporabnike zvabiti v kripto investicijsko ali ljubezensko prevaro.
Število prijav spletnih goljufij na SI-CERT se od leta 2016 veča, od leta 2020 naprej pa opazujejo strmo rast phishing napadov. V prvi polovici leta so na nacionalnem odzivnem centru za kibernetsko varnost prejeli 5295 sporočil, kar v primerjavi s prvo polovico leta 2023 pomeni 52-odstotno rast. Poslali so 2171 ročno sestavljenih odgovorov, za tretjino več kot v enakem obdobju lani, ostalo so samodejni odgovori za potrdilo prejema phishing prevare in najbolj tipičnih goljufij ali pa pošiljatelj ni želel odgovora.
Strokovnjak za informacijsko varnost se zaveda, da ne naredimo dovolj, smo pa pri zaščiti podatkov na boljšem kot pred petimi leti. Imamo GDPR, o varnostnih vprašanjih se izobražujejo vse mlajši uporabniki, kar je odlično. Vendar pa Gallego grožnje kljub naporom po zaščiti primerja z vesoljem: "Se širi in veča, nikoli se ne zmanjša."
Ekonomsko upravičeni in tehnološko mogoči
Slovenija in slovenski uporabniki so se v preteklosti pri kibernetskih grožnjah lahko zanašali na to, da smo majhna država in da uporabljamo jezik, ki ni angleščina. Vendar pa ta argumenta danes ne vzdržita več, priznava Gallego: "Ne, grožnje so danes globalne. Res je, da vaš 'faktor izpostavljenosti' ni takšen kot v Španiji ali v ZDA, vseeno pa imajo tudi vaša država in podjetja kritične podatke, ki imajo vrednost za nekoga tam zunaj. Na primer področje dobavne verige, oskrbe z energijo." Za Slovenijo je prepričan, da je geopolitično zanimiva država, zato ne smemo biti naivni in razmišljati, da smo dovolj majhni, da nas ni na zemljevidu kiberkriminalcev.
Danes se z vdori ukvarjajo kibernetske vojske z velikim številom vojakov. "To so mladostniki, ki cele dneve klikajo po tipkovnici in vozijo miško. In samo poskušajo in preizkušajo. Danes je na udaru Slovenija, jutri Hrvaška, pojutrišnjem Slovaška. Strošek napada je minimalen. Poskušati ne stane veliko. Nihče ne umre, ne potrebujejo orožja. Vse, kar ti mladi potrebujejo, so tipkovnica, miška in računalnik z dobro internetno povezavo," našteva Gallego. Če je bilo še pred desetimi leti precej bolj težavno izvajati kibernetske napade, so danes ti, vsaj s strani kiberkriminalcev, tako sogovornik, ekonomsko upravičeni in tehnološko mogoči. "V tem je težava."
