Najšibkejši člen v informacijski varnosti so ljudje: Kibernetski kriminal presegel ekonomijo obsega trgovine z mamili

Dr. Uroš Svete, direktor Uprave RS za informacijsko varnost je pojasnil, da sta odzivni center za incidente v informacijskih sistemih organov državne uprave (SIGOV-CERT) in nacionalni odzivni center za kibernetsko varnost (SI-CERT) lani v Sloveniji obravnavala skupno 3326 kibernetskih incidentov, ti pa so iz leta v leto pogostejši. "Gre za eksponencialno rast števila obravnavanih incidentov. V zadnjih letih se je samo na SI-CERT-u povečalo število obravnavanih incidentov - iz 325 leta 2008 na 2700 v letu 2019."

V upravi ocenjujejo, da gre pri tem le za vrh ledene gore, "ker se mnogi incidenti ne priglasijo. Obvezno priglašanje je določeno samo za izvajalce bistvenih storitev (iz sektorjev energije, digitalne infrastrukture, oskrbe s pitno vodo, zdravstva, prometa, bančništva, finančnih trgov, preskrbe s hrano) in za organe državne uprave." Da je delo na daljavo povzročilo bistveno večje področje potencialnih napadov, še pojasnjuje Svete, posebej izpostavi bančništvo in zdravstvo, pa tudi raziskovalno-izobraževalni sektor. "Bančništvo je tradicionalno tarča napadov, ker si kibernetski kriminalci obetajo tam največ koristi in največjo možnost uspeha izsiljevalskih virusov. Zdravstveni sektor je bil tako v tujini kot tudi v Sloveniji tarča, saj se je izjemno povečala njegova družbena vloga in pomen. Raziskovalno-izobraževalni sektor pa je postal ena ključnih moči za sodobno družbo." Ti trije stebri so po besedah Sveteta posebej občutljivi za incidente. Pričakujejo pa tudi, da se bi lahko število teh v drugi polovici leta, ko bo Slovenija prevzela predsedovanje EU, še dodatno povečalo.

Nepridipravi udarijo tam, kjer je denar

Milan Gabor, etični heker in strokovnjak za informacijsko varnost svoj poklic opiše kot sanjski, saj "delamo nezakonite stvari na zakonit način. Pa še plačajo nas." Pojasnjuje, da gredo hekerji zmeraj tja, kjer je denar. "V veliki načini primerov danes žrtve izsiljujejo. Najdejo luknjo, vstopijo v omrežje, šifrirajo podatke in želijo s tem zaslužiti." Spomni na primer Ljubljanskih lekarn, ki so bile zaradi vdora nekaj časa zaprte, to pa je ljudem otežilo dostop do zdravil. Nedavno je vdor ustavil delovanje občine Idrija, pred leti so napadli Revoz, letos pa izsiljevali tudi Palfinger, kar je ustavilo proizvodnjo tudi v Sloveniji. Zakaj se to dogaja. Gabor razlaga, da so ena ključnih in najbolj kritičnih stvari neposodobljeni sistemi. "Nekaj postavite in nato se nihče več s tem ne ukvarja. Sisteme, ki so aktivni, je treba redno posodabljati."

Profesor na Fakulteti za varnostne vede in predsednik detektivske zbornice Miha Dvojmoč ugotavlja, da marsikdaj, ko z lastniki podjetij sedijo za skupno mizo, se o varnostnih zadevah sicer pogovarjajo, mnogokrat pa ni ne volje, ne denarja za konkretno izvedbo. "Čeprav se denar na koncu vedno najde." Največ primerov so obravnavali v podjetjih, ki ustvarjajo med milijon in pol in dva in pol milijona prometa. "Te družbe izsiljevalci izberejo iz dveh razlogov. Ker vedo, da imajo denar, pa tudi, ker marsikje dogodka ne bodo prijavili, da bi zaščitili ugled podjetja." Dvojmoč se jezi, da je prepogosto tako, da pred varnostnim incidentom podjetje ni našlo 3000 evrov, da bi ustrezno zaščitilo svoje podatke, po vdoru "pa plačati 30.000 evrov ni problem".

Izpostavi, da bi se morali vodilni bolj ukvarjati tudi z izobraževanjem kadrov. Preveč je kraje oziroma iznosov informacij. "Treba se je ukvarjati s kadrom, z ljudmi ki delajo z informacijami. Razbiti to stigmo, po kateri mnogi razmišljajo, da se njim ne more kaj takšnega zgoditi." Predsednik detektivske zbornice opozori, da je dovolj že, če podjetju nepridipravi za teden dni onemogočijo poslovanje. 

Etični hekerji cenejši od pravih

Svete varnostno kopijo razume kot alternativo glavnemu komunikacijskemu in informacijskemu sistemu za hranjenje podatkov. Opozarja, da je potrebno najti način, kako se fizična varnost spoji s kibernetsko varnostjo. Podjetjem svetuje, da naredijo analizo, kje vse se njihovi podatki nahajajo. Razmišljati je potrebno tudi o fizično drugi lokaciji hranjenja, saj bi v primeru varnostne kopije na istem mestu požar utegnil vse uničiti. Gabor nadaljuje, da varnostni sistem ne sme biti povezan s primarnim. "Bili bi presenečeni, kolikokrat lahko pridemo do datotek na nadomestni lokaciji, ki lahko vsebujejo koristne informacije, ki jih hekerji lahko izkoristijo za 'skoke' naprej."

Dvojmoč izpostavlja, da pri zagotavljanju varnosti na koncu vedno pridemo do človeškega faktorja, ter da je ozaveščanje izrednega pomena. Razkrije primer direktorja podjetja iz okolice Ljubljane, ki se je odločil znotraj organizacije namestiti video nadzorne sisteme, tudi v svoji pisarni je imel kamero. "Je pa pozabil, da ima ljubico, ki jo vozi v pisarno. In ne samo eno." Po vdoru v sistem pred kakšnima dvema mesecema so ga izsiljevali za 35.000 evrov, vendar so nepridiprava ujeli pod drevesom, kamor je prišel po gotovino. Vseeno je bil del posnetkov objavljen. 

V ZDA kiberkriminalci s pomočjo izsiljevalskih virusov (ransomware) povzročijo letno poslovno škodo v višini 20 milijard dolarjev. Vendar pa finančne škode ne predstavlja zgolj izplačilo izsiljevalcu, razlaga Svete. Škoda je tudi investicija v varnost, pa ure tehnika, da obnovi podatke. Sistemski administratorji nemalokrat morajo delati neprekinjeno dlje časa, potrebno je nadgraditi ali kupiti novi sistem, k temu je treba prišteti odvetniške storitve, pa delo PR-ovcev. Dober ugled je potrebno čim prej povrniti.

Osem do deset krat več lahko stane obnova podatkov, kot bi na začetku dali za pregled in osnovno zaščito. Zato se po mnenju strokovnjakov splača delati na preventivi, ne samo na kurativi. Gledano globalno je kibernetski kriminal presegel ekonomijo obsega trgovine z mamili in postal številka 1 v svetu. Etični heker Milan Gabor ob tem dodaja, da je investicija v simuliran etični napad s simulacijo vdora v naročnikov omrežje bistveno cenjše kot korektivni, poznejši ukrepi. "Etični hekerji smo cenejši kot pravi hekerji."

Uporabniki so najšibkejši člen

Na strokovnem posvetu sta sodelovala tudi Gašper Cotman, področni strokovnjak in direktor projektov Huawei Technologies Slovenija in Zoran Vehovar, področni strokovnjak in član poslovodstva družbe Telemach. Cotman je pojasnil, da v družbi doslej niso imeli resnih varnostnih incidentov, Huawei pa v področje kibernetske varnosti investira pet odstotkov letnega proračuna za raziskave in razvoj. Z oblakom in umetno inteligenco se seveda povečujejo tudi določena tveganja, se zaveda Cotman, izpostavlja pa, da kibernetska varnost ni samo tehnično vprašanje, ki se osredotoča na inženirske ekipe. "Vsi oddelki v podjetju so vključeni v izobraževanje. Mislimo, da učinkovita informacijska in kibernetska varnost zahteva zelo dobro usklajen trikotnik med izdelki, procesi in ljudmi. Vemo, da obstaja najšibkejši člen v verigi informacijske varnosti ljudje. Zato sta izobrazba in osveščenost na tem področju zelo pomembni." Vehovar pa je skušal še bolj nazorno izpostaviti človeški faktor. "Kako pridete do gesla nekoga? Enostavno, vprašate ga." Omeni raziskave, ki kažejo, da kar 24-odstotkov ljudi pove geslo, če ga o njem pravilno vprašamo. Z izobraževanjem je ta odstotek mogoče znižati na deset odstotkov. Tako Cotman kot Vehovar sta enotna, da je epidemija covida-19 ustvarila številne izzive za celotno infrastrukturo.