V SOBOTO

Kibernetska varnost: Posameznik je najšibkejši člen digitalizacije

Mitja Sagaj Mitja Sagaj
21.01.2023
Do knjižnice priljubljenih vsebin, ki si jih izberete s klikom na ♥ v članku, lahko dostopajo samo naročniki paketov Večer Plus in Večer Premium.
NAROČI SE
Glasovno poslušanje novic omogočamo samo naročnikom paketov Večer Plus in Večer Premium.
NAROČI SE
Poslušaj
Tako imenovano spletno ribarjenje (phishing v izvirniku) z naskokom vodi med spletnimi prevarami, med drugimi vrstami (poskusov) zlorab je še zastraševanje, priljubljene pa so tudi kriptoprevare.  
Andrej Petelinšek

Spoštovani. Po vnosu komprimitirajočih informacij med računalniško preiskavo smo proti vam sprožili sodni postopek zaradi: otroške pornografije, pedofilije, kibernetske pornografije in ekshibicionizma." Ste se zdrznili, ko ste v svoj predal elektronske pošte prejeli tole sporočilo? Bi se, če bi ga? Bi se odzvali v 48 urah, kot to od prejemnika sporočila pričakuje podpisani generalni direktor Policije Boštjan Lindav? Odziv seveda ni potreben, vsakršna nadaljnja komunikacija s pošiljatelji tega lažnega elektronskega sporočila, ki prejemnike obtožuje hudih kršitev v povezavi z otroško pornografijo, v katerem avtorji zlorabljajo celo logotip Europola in Policije ter ponarejajo podpis njenega generalnega direktorja, je lahko celo nevarna. Gre namreč za le eno od vedno bolj priljubljenih oblik kibernetskega kriminala, ki bi v primeru nadaljnje korespondence privedla do izsiljevanja za denar.

Odkar smo tako rekoč 24 ur 7 dni v tednu povezani v medmrežje, smo izpostavljeni tudi kibernetskim grožnjam, kar terja v prvi vrsti predvsem ozaveščenost o naši ranljivosti in tudi veščine ter opremo, ki nas pomagajo zavarovati pred škodljivimi posledicami. "Predvsem z digitalizacijo je postala aktualna tema tudi kibernetska varnost. Pred 20 leti te debate sploh ne bi imeli; računalniki tedaj so bili redki, niso bili vselej vklopljeni ..., z digitalizacijo pa tako ni več področja, kjer ne bi bili prisotni računalniki ali pametne naprave," razlaga dr. Urban Sedlar s Fakultete za elektrotehniko Univerze v Ljubljani. In nadaljuje: "Doma imamo pametne žarnice, vsak avto ima računalnik, ki je povezan tudi na internet in pošilja telemetrijo, je torej podatkovno povezljiv."

Sisteme, ki jih danes "gradimo", Sedlar primerja z ogromnimi stolpnicami, sestavljenimi iz kode, algoritmov, definicij ... "Gre za izjemno kompleksnost in prav iz programske opreme praviloma izvirajo vse te ranljivosti, ki smo jim danes izpostavljeni. Če pa želiš nekaj izboljšati in ustvariti boljšo zaščito, pa moraš vedeti, kako stvari delujejo in kje so luknje," razlaga sogovornik, ki med problemi izpostavlja tudi to, da lahko danes kodo za softver, torej programsko opremo, napiše domala vsak, po njegovem pa smo, na splošno, v tem res slabi.

Problem softverske "prtljage" preteklosti na novih, kritičnih področjih

Dr. Urban Sedlar: "Največji faktor, ki ga izrabljajo avtorji prevar, je psihologija; velik je tako imenovani psihološki vektor napada, ko skušajo človeku 'izklopiti možgane' tako, da igrajo na čustva, strah, pohlep ..."
Osebni arhiv

"Tako dolgo že pišemo softver, ampak na malomaren način in varnost doslej ni bila prav pomembna," pravi Urban Sedlar, ki opomni, da do bili računalniki svojčas namenjeni predvsem igranju iger, "ko je bilo povsem sprejemljivo, da si v primeru težav pritisnil tipko reset" in uredil težave. "A težava je, da smo vso 'prtljago' tega softvera - del kode je lahko star tudi deset, petnajst let - pripeljali na nova kritična področja, tako zdaj enak sistem, ki je bil nekoč namenjen igranju iger, poganja cele proizvodnje. Če torej zdaj nekdo odkrije te ranljivosti, so posledice lahko veliko bolj kritične," skuša kar najbolj jasno prikazati težavnost današnje situacije sogovornik.

Težnje danes namreč so, da bi na splet spravili celotno družbo, tudi električna omrežja, ki postajajo pametna, pa transport, logistiko, klasično industrijo, tovarne, agrikulturo ... "In vse to prenašamo na softverske platforme in operacijske sisteme ter knjižnice podatkov, ki so že dolgo v razvoju, nikoli pa niso bile zares preizkušene, zato je v takšni količini podatkov najti luknje in grožnje," pravi Sedlar, ki postreže tudi s podatkom, da je danes že v povprečnem sodobnem avtomobilu za približno 150 milijonov vrstic kode.

Predvsem zato danes določene ranljivosti odkrijemo povsem po naključju - in eden večjih nedavnih incidentov je bila tudi odkrita ranljivost Log4j, pripomočka za beleženje na osnovi Jave, ki ga Sedlar primerja s povsem običajnim vijakom v fizičnem okolju: "Skoraj vsak razvijalec je uporabil ta pripomoček, a se je razkrilo, da ima napako. In to je, kot bi odkril univerzalni izvijač." Tolikšno ranljivost Sedlar pripisuje tudi temu, da programerji vseh komponent ne razvijajo sami, določene komponente pač vzamejo "s police", kot matico. "Tudi matico sprva preveriš, ali ima ustrezno odpornost na stres, v nadaljevanju pa zaupaš dobavitelju. Problem je, da tak hrošč tiho 'leži' nekje dolgo časa, dokler ga nekdo ne odkrije. In ko ga odkrije, nastanejo težave," pravi sogovornik.

Ranljivi, ker ne sledimo trendom napadov

"Napadalci so vedno kak korak pred uporabniki, ki jim ne sledimo in se na tem področju niti ne izobražujemo dovolj. Zato je človeški faktor še vedno največji problem, ko govorimo o kibernetski varnosti," razlaga doc. dr. Lili Nemec Zlatolas s Fakultete za elektrotehniko, računalništvo in informatiko Univerze v Mariboru. Sogovornica se spominja, kako so se hitro po razširjanju interneta sredi 90. let prejšnjega stoletja začeli tudi vdori v sisteme. Ki da so sprva res bolj povzročali nedelovanje sistemov, niso pa toliko služili finančnemu okoriščanju, kot to velja danes. "Najbolj smo ranljivi, ker ne sledimo trendom napadov, se ne izobražujemo dovolj na tem področju, dobimo 'phishing' sporočila, v katerih se nam nekdo predstavlja kot nekdo drug, hitro kliknemo na povezavo ... Pogosto se ne zavedamo, da je nekaj, kar smo prejeli, v bistvu napad na nas - in tega ne obravnavamo kot nevarnost," pravi sogovornica, ki med dobrimi pobudami za ozaveščanje nevarnosti, ki pretijo na nas v svetovnem spletu, izpostavlja program Varni na internetu, ki ga izvaja Nacionalni odzivni center za kibernetsko varnost SI-CERT in spletni tečaj Varni v pisarni, ki so ga prav tako zasnovali pri SI-CERT in deluje pod okriljem javnega zavoda Arnes.

SI-CERT sicer predstavlja tudi nacionalno kontaktno točko, ki opravlja posredniško in svetovalno vlogo ter prevzema koordinacijo programa ozaveščanja javnosti o informacijski varnosti, zbira pa tudi prijave o kibernetskih zlorabah. V letu 2021 je bilo zabeleženih 166 oškodovanj uporabnikov, kar predstavlja le pet odstotkov vseh obravnavanih incidentov, je pa skupen znesek finančne škode v teh 166 primerih znašal 1,45 milijona evrov, eno podjetje je bilo zaradi tako imenovanega vrivanja v poslovno komunikacijo (ko se na primer kriminalci vključijo v poslovno komunikacijo oziroma v imenu zaposlenih drugim zaposlenim pošiljajo e-poštna sporočila) oškodovano celo za več kot 123.000 evrov.

Ribarjenje med neozaveščenostjo uporabnikov

Tako imenovano spletno ribarjenje (phishing v izvirniku) z naskokom vodi med spletnimi prevarami in predstavlja kar 40 odstotkov vseh incidentov in tudi vztrajno raste, saj je v zadnjih štirih letih po podatkih SI-CERT zrasel z 10 do 15 na 40 odstotkov. Med drugimi vrstami (poskusov) zlorab so še zastraševanje, torej primeri, ko skušajo uporabniku prikazati, da so ga zalotili bodisi pri nečednem početju bodisi ga "banka" obvesti, da mu bo zaprla bančni račun, priljubljene pa so tudi kriptoprevare.

"Največji faktor, ki ga izrabljajo avtorji prevar, je psihologija; velik je tako imenovani psihološki vektor napada, ko skušajo človeku 'izklopiti možgane' tako da igrajo na čustva, strah, pohlep," razlaga Sedlar in dodaja, da je veliko mehanizmov, ki delajo proti našim željam in proti poskusom varovanja sistema. Predvsem pa so komunikacijski elementi teh poskusov zlorab že zelo dostojno prevedeni v slovenski jezik, zato danes delujejo precej bolj prepričljivo kot nekoč.

Doc. dr. Lili Nemec Zlatolas: "Človeški dejavnik je vključen pri približno 80 odstotkih vdorov."
Mitja Cvetko

"Običajno je zadeva veliko bolj trivialna kot izgleda; večina ljudi, sploh izobraženih, bi takšno sporočilo vrgla med neželeno pošto, a določen del ljudi je prestrašenih, taki ljudje odgovorijo na sporočilo - in ko enkrat odgovorijo, je komunikacija vzpostavljena. Modus operandi napadalcev je takšen, da na koncu komunikacijo zapeljejo v smislu ups, zmotili smo se, ni tako hudo, kot smo mislili, plačajte le na primer 50 evrov za administrativne stroške in zadeva bo urejena. Če se torej žrtvi še malo prej zdi, da bo morala v zapor do smrti, je takšna kazen pravo olajšanje, zdi se ji celo dobra kupčija in plača. Zaradi sramu pa o tem pogosto niti ne spregovori," razlaga Sedlar, ki postreže še s podatkom, da so zgolj med pandemijo koronavirusa tako imenovani ransomware napadi, torej takšni, kjer napadalci zahtevajo finančno odškodnino, porasli za 40 odstotkov.

Vse te primere pa lahko tako z žrtev, ki so fizične osebe, prenesemo tudi v poslovno okolje, kjer so oškodovanci podjetja, tudi v tem primeru pa gre za človeški dejavnik, ki igra odločilno vlogo pri ranljivosti. "Človeški dejavnik je vključen pri približno 80 odstotkih vdorov," pravi Lili Nemec Zlatolas in postreže s podatkom, da kar 60 odstotkov malih in srednje velikih podjetij v šestih mesecih po vdoru preneha poslovati.

Kaj ima kibernetska varnost skupnega s prehransko varnostjo

Nevidnost informacijsko-komunikacijskih tehnologih (IKT) in posledično tudi njegove ranljivosti ter napadalcev je še en pomemben vidik, ki ga izpostavlja Urban Sedlar: "Če nam vdrejo v stanovanje ali hišo, to načeloma takoj opazimo. Povprečen kibernetski napad pa ostane neodkrit 200 dni. To je tako, kot bi nekdo v naši omari čepel 200 dni, preden bi ga odkrili." Sogovornik pravi, da so mu blizu metafore, ki jih uporablja podjetnik in razvijalec programske opreme Bert Huber, ki kibernetsko varnost primerja s prehransko varnostjo. "V obeh primerih imamo nevidnega sovražnika. V enem primeru so to mikrobi, v drugem kibernetski napadalci, ampak ne enih in ne drugih ne vidimo. V obeh primerih imamo težave, ki se lahko dolgo časa nekje skrivajo in 'dušijo'. V restavracijah, na primer, ali v hladilniku, se lahko dolgo skrivajo tudi plesni, preden te postanejo nevarne za zastrupitev. V obeh primerih velja, da nas lahko en sam malomaren zaposlen uniči," pravi Urban Sedlar in dodaja: "Veliko menedžerjev je zato zmotno prepričanih, da so lahko varni, če imajo dobro opremo."

A kot ne obstaja tip hladilnika, ki bi lahko čudežno pobil vse mikrobe, in to po celotni verigi, tudi ni mogoče preprečiti vseh kibernetskih napadov. "Podobno kot se, kljub našemu trudu, kljub izjemno varnim avtomobilom, kljub temu, da smo vedno boljši in ozaveščeni vozniki, ne da preprečiti vseh prometnih nesreč. Kdo naj torej vlaga največ v kibernetsko varnost? Preprosto, pravi Sedlar, tisti, ki lahko največ izgubijo. "Pri vseh tovrstnih debatah je posredi tudi ekonomija - in pogosto absolutna varnost za vsako ceno ekonomsko ni smiselna. Je pa dobro v podjetju sploh sprejeti odločitev glede tega in ugotoviti, kaj je kritično in kaj ni. Pa koliko bi znašala škoda v primeru zlorabe in se na podlagi tega odločiti, kaj ščititi in na kakšnem nivoju," pravi sogovornik, Lili Nemec Zlatolas pa postreže s konkretno številko: "Za mala in srednje velika podjetja je priporočilo, da naj bi vložila desetino svojega letnega proračuna za IT-storitve v kibernetsko varnost." Med slednje pa ne sodi le oprema, pač pa tudi ali predvsem ozaveščanje zaposlenih in njihovo opolnomočanje pri branjenju napadov.

Želite dostop do Večerovih digitalnih vsebin?
Izberite digitalni paket po vaših željah in si zagotovite dostop do spletnih vsebin na vecer.com že za 1,49 €
Želim dostop

povezani prispevki

Sposojene vsebine

Več vsebin iz spleta

Spletni portali družbe Večer mediji d.o.o. (vecer.com in podstrani) uporabljajo piškotke z namenom zagotavljanja spletne storitve in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Ali soglašate z namestitvijo piškotkov na omenjenih straneh?