Varen splet

Varen splet

Hekerji napadajo kot nori; zoperstavite se jim!

Število varnostnih incidentov se povečuje za več deset odstotkov na leto, kibernetski napad se zgodi vsakih 39 sekund, tarča kibernetskih kriminalcev je bilo že vsako peto podjetje, eno od desetih malih ali srednjih podjetij doživi kibernetski napad vsako leto, kar približno 60 odstotkov tovrstnih podjetij v pol leta po uspešnem vdoru v podatke ali kibernetskem napadu propade … To je le nekaj statistik, ki kažejo na to, da je kibernetski kriminal postal tako rekoč glavno poslovno tveganje in s tem eno izmed zelo pomembnih področij, ki se jim morajo direktorji in vodstva podjetij vse bolj posvečati. Tudi v Sloveniji.

Posledice uspešnih napadov so lahko izjemno hude. V najboljšem primeru se le sesuje spletna stran, huje je, če podjetju ukradejo podatke o strankah, razvojnih projektih ali drugih poslovnih skrivnostih, še huje je, če podatke poleg tega še zašifrirajo in zanje zahtevajo odkupnino. V takšnem primeru se poslovanje podjetja tako rekoč povsem ustavi. Že kar malo apokaliptično pa se sliši, da lahko zaradi hekerskega napada ostanemo brez oskrbe z elektriko, vodo ali plinom, v zdravstvu so lahko ogrožena tudi življenja.

Pred kibernetskim kriminalom ni varen nihče. Ni informacijskega sistema, ki ne bi imel varnostnih lukenj. Vprašanje je le, kdo jih hitreje odkrije – zlonamerni hekerji ali strokovnjaki za kibernetsko varnost, ki se jih je prijelo ime etični hekerji.

Etični hekerji z enakimi metodami, ki jih uporabljajo malopridneži, ugotavljajo, kje so ranljivosti, in svetujejo, kako jih odpraviti. Takšen test informacijskega sistema smo v sodelovanju s strokovnjaki za kibernetsko varnost Telekoma Slovenije izpeljali tudi v Časniku Finance. V oddelku digitalnega razvoja so bili z izkušnjo zelo zadovoljni. Napovedujejo, da bodo takšen pregled izpeljali vsako leto, saj so dobili veliko koristnih napotkov, kako okrepiti odpornost proti kibernetskemu kriminalu.

Kakorkoli obrnemo, pa smo glavna šibka točka kibernetske varnosti ljudje. Hekerji se nad nas spravljajo z različnimi načini socialnega inženiringa. Najbolj znan in tudi najbolj razširjen je tako imenovani phishing, ki se zelo hitro razrašča tudi v Sloveniji. Lahko bi ga imenovali kar mati vseh kibernetskih napadov, saj naj bi se kar 90 odstotkov uspešnih napadov začelo prav z njim. Tu je najboljša obramba stalno izobraževanje in ozaveščanje zaposlenih, zato je to naložba, ki daje odlične rezultate in se hitro povrne.

V brošuri si preberite, kako so v Časniku Finance izpeljali penetracijski test, kakšna je razlika med njim in sistemskim varnostnim pregledom, katere so najpogostejše vrste kibernetskih napadov in kako vam lahko pri zaščiti pred njimi pomaga Operativni center kibernetske varnosti v Telekomu Slovenije.

Brošura varen splet je del skupnega projekta telekoma slovenije in Časnika Finance, katerega namen je ozaveščanje poslovne javnosti o pomenu vlaganj v kibernetsko varnost.

Največja vrednost poročila o vdornem testu so priporočila in natančna navodila za odstranitev varnostnih lukenj.

Peter Kuzma, član ekipe digitalnega razvoja pri Časniku Finance

Kako smo se na Financah bojevali s hekerji

Vdorni test naj se izvede vsaj enkrat na leto.

Dalibor Vukovič, specialist za kibernetsko varnost pri Telekomu Slovenije

Sodelavca v oddelku trženja vsebin je konec oktobra zjutraj v e-poštnem nabiralniku čakalo kar 300 povpraševanj za sklenitev skupinske naročnine na vsebine Časnika Finance. Po začetnem navdušenju ga je veselje kmalu minilo, saj je hitro opazil, da je vsa povpraševanja poslala ena sama oseba, in to med polnočjo in pol eno zjutraj. To mu je pokvarilo užitek ob jutranji kavi, saj se zaradi zasmetenega poštnega nabiralnika ni mogel prebiti do drugih e-poštnih sporočil.

O neljubi zadevi je obvestil IT-oddelek, kjer so potrdili, da si nas je privoščil nepridiprav. Obrazec na spletni strani so popravili in tako zagotovili, da se to ne more več ponoviti.

Ni bilo še konec

A stvari so se začele hitro zaostrovati. Naslednje dni so namreč v digitalnem razvoju zaznali večje število poskusov vdora v informacijski sistem Časnika Finance. Sodelavec, ki je v tistem predprazničnem času dežural, se je več dni bojeval z napadalcem, ki je bil najbolj aktiven ponoči – preverjal je, kaj napadalec dela, sproti zapiral luknje in zavračal njegove napade.

Po sedmih dneh mu je prekipelo in je zahteval, da se incident prijavi na nacionalni odzivni center za kibernetsko varnost SI-CERT. Šele tedaj so mu kolegi razkrili, da ne gre za pravi hekerski napad, temveč za vnaprej dogovorjen vdorni test (pogosteje se uporablja nekoliko manj slovensko zveneč izraz penetracijski test), s katerim tako imenovani etični hekerji iščejo, ali in kako je možno izkoristiti varnostne luknje v določenem podjetju.

»Dejansko sem trpel, ko sem gledal, kako kolega spremlja prijave, sproti zapira varnostne luknje in blokira napadalca. Vedel sem, kaj se dogaja, ampak

Po podatkih ameriške komisije za vrednostne papirje in borzo (SEC) v pol leta po vdoru v podatke ali kibernetskem napadu propade kar približno 60 odstotkov malih in srednjih podjetij.

sem se zanalašč potuhnil, da so lahko izvedli čim bolj pristen ‘napad‘ in s tem odkrili varnostne luknje,« je povedal Peter Kuzma, eden izmed le treh zaposlenih na Financah, ki so bili obveščeni o poteku vdornega testa. Kot je poudaril, so se v oddelku več kot en teden ukvarjali z odbijanjem napadov, namesto da bi se posvečali pomembnim razvojnim projektom, ki prav ta čas potekajo v podjetju.

Natančen pregled varnosti informacijskega sistema Vdorni test smo izpeljali v sodelovanju z ekipo etičnih hekerjev največjega centra kibernetske varnosti v državi, ki deluje v okviru Telekoma Slovenije. Kot je pojasnil Dalibor Vukovič, specialist za kibernetsko varnost pri Telekomu Slovenije, poskušajo etični hekerji pri vdornem testiranju vstopiti v poslovni informacijski sistem in s tem naročniku pomagati razumeti, katere ranljivosti je dejansko možno izkoristiti. Omrežje poskušajo neškodljivo ogroziti in iz njega z različnimi metodami izvleči podatke.

Vdorni test lahko traja od nekaj dni do nekaj tednov, odvisno od velikosti infrastrukture. Na Financah je, na primer, trajal 11 dni. »Pregledati smo dali aplikacije, prek katerih bi bilo možno onemogočiti vsakodnevno delovanje procesov našega podjetja in delovanje naših spletnih strani,« je pojasnil Kuzma. Največja vrednost so priporočila za odpravo pomanjkljivosti Naročnik na koncu prejme poročilo s podatki o odkritih ranljivostih in priporočili, kako jih odpraviti. Tudi na Časniku Finance smo ga. Strokovnjaki so v njem opozorili na 20 varnostnih pomanjkljivosti, med katerimi so bile nekatere bolj, druge pa manj kritične.

Prvi del poročila je namenjen vodstvu in napisan v jeziku, da ga zlahka razume tudi nekdo, ki ni strokovnjak za IT. V njem je zelo poljudno napisano, kje je bila ugotovljena ranljivost, kdo jo lahko izkoristi in koliko znanja za to potrebuje ter kakšno (poslovno) škodo lahko s tem naredi.

Drugi del poročila pa je namenjen tehnični ekipi. Tu je podrobno opisano, kako so se izvedli napadi, kaj je bil cilj posameznega napada, katere slabosti so zaznali, zelo dobrodošla pa je tudi kategorizacija varnostnih lukenj od zelo rizičnih, prek srednje rizičnih do manj rizičnih. V poročilu so zapisana tudi priporočila in navodila za odstranitev varnostnih lukenj, kar je po besedah Petra Kuzme tudi njegova največja vrednost.

»Navodila so zares konkretna in podrobna in jih lahko informatiki vzamejo kot priročnik, kako se lotiti odprave odkritih pomanjkljivosti.«

Pred spletnimi kriminalci ni varen nihče Finančna škoda, ki jo v svetu povzroči kibernetski kriminal, je lani presegla 6,1 bilijona evrov, ocenjuje ameriško neprofitno združenje za IT-certifikate CompTIA. To je več kot 720 slovenskih proračunov. V znesek so všteti stroški obnavljanja ukradenih ali blokiranih podatkov, izplačilo morebitnih odkupnin, najem zunanjih podjetij in strokovnjakov ter druge neposredne škode, pa tudi težko merljive velikanske škode, ki so posledica slabitve ugleda in izgubljanja zaupanja strank.

Pred leti smo menili, da je Slovenija premajhna, da bi bila zanimiva za hekerje, danes pa to ne velja več. Tudi pri nas smo že bili priča nekaj odmevnim kibernetskim vdorom, ko so podjetjem ukradli oziroma zaklenili vse podatke in s tem za več dni ohromili njihovo poslovanje. Spomnite se, kako nekaj dni niste mogli v lekarno ali dostopati do enega izmed medijskih portalov. Marsikje posledice čutijo še več mesecev ali pa sploh ne morejo nikoli več popolnoma obnoviti vseh podatkov.

Po podatkih ameriške komisije za vrednostne papirje in borzo (SEC) v pol leta po vdoru v podatke ali kibernetskem napadu propade kar približno 60 odstotkov malih in srednjih podjetij. Tudi v Sloveniji je čedalje več tovrstnih podjetij tarča napadov. Za večino niti ne izvemo, ker ne pridejo v javnost. V nacionalnem odzivnem centru za kibernetsko varnost SI-CERT so leta 2021 obravnavali več kot tri tisoč incidentov, posebej pa so poudarili več kot 300 obravnavanih primerov zlonamerne kode in 37-odstotno povečanje phishinga.

Stoodstotne varnosti ni »S poskusi napadov se na Financah večkrat srečamo,« poudarja Kuzma. Večinoma so to »script kiddies« napadi, ki jih izvajajo nezreli oziroma neizkušeni, a pogosto prav tako nevarni izkoriščevalci internetnih varnostnih slabosti. Največkrat gre za napade iz kitajskih, romunskih, pa tudi ukrajinskih spletnih IP-naslovov.

»Prav zato se z IT-varnostjo intenzivno in sistematično ukvarjamo že več let. Prvi vdorni test je pred leti izvedla ekipa za IT-varnost znotraj skupine Bonnier

Zakaj so hekerski napadi tako nevarni?

Hekerji vam lahko ukradejo podatke o vaših strankah (e-poštni naslovi,številke plačilnih kartic,gesla za dostop do določenih storitev …).Z njimi vas lahko izsiljujejo za plačilo odškodnine,lahko jih prodajo na temnem spletu ali jih celo izkoristijo za napad na vaše stranke.Za podatke ste odgovorni vi,zato vas lahko ob neprimernem ravnanju z njimi doleti visoka kazen.Evropska splošna uredba o varstvu podatkov (bolj znana pod kratico GDPR) dopušča kazen v višini do štirih odstotkov letnih prihodkov.

Ukradejo vam lahko vaše zaupne podatke,kot so razvojni načrti,podatki o investicijah,tehnični načrti za izdelke in druge poslovno občutljive informacije. Tudi tu vas lahko izsiljujejo z odškodnino ali jih prodajo na temnem spletu.Vaše poslovne skrivnosti tako lahko pridejo v roke konkurenci.

Z vdorom v informacijski sistem lahko zaklenejo vse podatke in vam s tem onemogočijo poslovanje.Ker nimate več dostopa v svoje računalnike,se lahko ustavi vse–od administracije do proizvodnje.Če imate dobre varnostne kopije, se da poslovanje razmeroma hitro obnoviti (od nekaj ur do nekaj dni),če kopij nimate,pa je lahko s poslovanjem tudi konec.Kar izračunajte si,koliko vas stane dan ali pa teden neposlovanja,in hitro boste ocenili,kakšno škodo vam lahko povzročijo napadalci.

Zvdorom v proizvodni sistem lahko ustavijo proizvodni proces in povzročijo škodo večjih razsežnosti.To je lahko ekološka katastrofa,odmevni pa so tudi primeri prekinitve oskrbe zzemeljskim plinom,električno energijo ali vodo.

AB, katere del smo. V zadnjih dveh letih pa intenzivno sodelujemo z ekipo Bonnier News in zunanjim partnerjem, od katerih dobivamo kratkoročne in dolgoročne cilje glede varnostnih ukrepov,« pojasni Kuzma in doda, da Časnik Finance v okviru skupine uporablja tudi storitve varnostno operativnega centra.

V nacionalnem odzivnem centru za kibernetsko varnost SI-CERT so leta 2021 obravnavali več kot tri tisoč incidentov.

Kljub vsemu temu je zadnji vdorni test še vedno pokazal na določene pomanjkljivosti. »Nekatere so nas tudi presenetile,« je dejal Kuzma. Kot je pojasnil, so nekaj pomanjkljivosti odpravili že med testom, nekatere takoj po njem, za vse preostalo pa bodo časovnico in način odprave sprejeli na posebni delavnici. Ko bodo končali, bodo strokovnjaki Telekoma Slovenije znova preverili, kako je bila naloga opravljena in ali so varnostne luknje res zakrpane.

Vajo je treba ponoviti vsako leto Dalibor Vukovič iz Telekoma Slovenije svetuje, da se penetracijski test izvede vsaj enkrat na leto oziroma ob vsaki resni nadgradnji lastne programske opreme ali pri razvoju nove lastne aplikacije. Informacijski sistem je namreč živ sistem. »Če je danes nekaj varno, ni nujno, da bo varno tudi čez eno leto, ko bodo v informacijskem sistemu novi dejavniki. Gre za nekaj podobnega kot pri človeku – če je rentgen pokazal, da so jetra danes zdrava, še ne pomeni, da bo enak rezultat tudi čez leto dni.«

»Vdorni test je bil za nas zanimiv in poučen. Dobili smo zelo natančno sliko našega informacijskega sistema. Predvsem pa smo spoznali, da bo treba informacijski varnosti v prihodnje posvečati še več pozornosti,« pa je dejal Jure Gostiša, vodja digitalnega razvoja na Časniku Finance. Kot je napovedal, si bo prizadeval, da bi podoben vdorni test zares opravili vsako leto in s tem spremljali napredek na tem področju.

Moj ITima tri luknje … Koliko pa jih ima vaš?

Ni informacijskega sistema, za katerega bi lahko rekli, da nima nobene luknje, skozi katero se lahko kibernetski kriminalci dokopljejo do vaših podatkov in jih ukradejo ali šifrirajo. Zato je zelo pomembno, da v podjetjih preverite varnost svoje IKT-infrastrukture in še pred hekerji ugotovite njene šibke točke. To najlažje storite tako, da pregled zaupate strokovnemu izvajalcu.

Preglede ranljivosti informacijskih sistemov opravljajo tako imenovani etični hekerji. Ti uporabljajo enake metode, tehnike in orodja, kot jih uporabljajo pravi hekerji z zlimi nameni.

Najpogostejši storitvi etičnih hekerjev sta sistemski varnostni pregled in vdorni oziroma penetracijski test informacijskega sistema. Zadnjega smo izpeljali tudi na Časniku Finance ter svojo izkušnjo opisali v članku Kako smo se na Financah bojevali s hekerji.

V nadaljevanju opisujemo razlike med sistemskim varnostnim pregledom in vdornim testom. Pri tem so nam pomagali strokovnjaki za informacijsko varnost v Telekomu Slovenije.

Kaj je sistemski varnostni pregled in kaj vdorni test?

Sistemski varnostni pregled je splošnejši pregled stanja kibernetske varnosti v podjetju, podobno kot sistematski zdravniški pregled. Izvede se avtomatizirano z orodji za skeniranje ranljivosti in ugotavljanje pomanjkljivosti IT-sistemov. Kakovosten sistemski varnostni pregled vključuje analizo več kot 50 tisoč različnih ranljivosti.

Vdorni test pa je poglobljen test enega ali več sistemov, pri katerem poskušajo izvajalci vdreti v informacijski sistem in priti do podatkov. Test se izvaja z različnimi orodji in večinoma ročno.

Kdaj je priporočljivo izvesti sistemski varnostni pregled in kdaj vdorni test?

Sistemski varnostni pregled izvedemo takrat, ko želimo izvedeti, ali in koliko je informacijski sistem ranljiv na splošno. Vdorni test pa izvedemo, ko nas zanima, kako je odporen določen sistem ali posamezna aplikacija, na primer spletna trgovina.

Kakšne rezultate da sistemski varnostni pregled in kakšne vdorni test?

S sistemskim varnostnim pregledom dobimo dober splošen vpogled v stanje varnosti in ranljivosti v podjetju v tehničnem smislu. Vdorni test pa nam da podroben vpogled v ranljivosti specifične storitve.

Komu je namenjen sistemski varnostni pregled in komu vdorni test?

Rezultati sistemskega varnostnega pregleda so namenjeni predvsem sistemskim inženirjem, rezultati

Etični hekerji uporabljajo enake metode, tehnike in orodja, kot jih uporabljajo pravi hekerji z zlimi nameni.

penetracijskega testa pa poleg tega tudi razvijalcem programske opreme.

Smo majhno podjetje s petimi zaposlenimi. Sta obe storitvi primerni za nas, si ju lahko privoščimo?

Varnostni pregled je vsekakor primeren in tudi cenovno dostopen za mala podjetja. Tudi takšna podjetja so lahko ranljiva, včasih celo bolj kot velika. Vdorni test pa za malo podjetje ni toliko smiseln, če ne uporablja specifičnih lokalno razvitih aplikacij.

Kje lahko naročim sistemski varnostni pregled ali vdorni test?

Na trgu je več podjetij, ki se ukvarjajo s sistemskimi pregledi in vdornimi testi. Večinoma so kot izvajalci teh storitev registrirani pri Digitalnem inovacijskem stičišču Slovenije (DIH Slovenija). Eden izmed izvajalcev je tudi Operativni center kibernetske varnosti Telekoma Slovenije s svojimi in zunanjimi izvajalci.

Kakšne vrste strokovnjaki izvajajo sistemski varnostni pregled in vdorni test?

To so večinoma tako imenovani etični hekerji, ki dobro razumejo tehnologijo in postopke ter so usposobljeni za uporabo orodij. Strokovnjaki, ki izvajajo vdorne teste, poznajo spletne tehnologije in razvoj spletnih aplikacij ali mobilne tehnologije in razvoj mobilnih aplikacij, če se ukvarjajo s testiranjem teh.

Kako lahko preverim, ali je izvajalec zares usposobljen za izvedbo sistemskega varnostnega pregleda in vdornega testa?

Sistemski varnostni pregled izvedemo takrat, ko želimo izvedeti, ali in koliko je informacijski sistem ranljiv na splošno.Vdorni test pa izvedemo, ko nas zanima, kako je odporen določen sistem ali posamezna aplikacija.

Tako, da ga prosite, naj vam pokaže certifikate in reference. Zahtevate lahko tudi vzorčno poročilo testa.

Kaj moram storiti pred izvedbo sistemskega varnostnega pregleda in penetracijskega testa –kakšne informacije moram dati izvajalcu, o čem vse se moram z njim dogovoriti?

Sistemski pregled se lahko izvede v notranjem in/ali zunanjem omrežju. Pri zadnjem se pregled izvede na zunanjih IP-naslovih podjetja, ki so vidni v internetnem omrežju. V obeh primerih se lahko pregled izvede na slepo ali pa z znanimi prijavnimi podatki. Pri prvem izvajalec potrebuje samo območje IP-naslovov, pri drugem pa konkretne prijavne podatke uporabnikov.

Pri vdornem testu je treba točno opredeliti, kateri sistem se preverja. Test se lahko izvede brez podrobnega poznavanja zgradbe sistema ali pa z vsemi tehničnimi informacijami o sistemu, odvisno od tega, ali naročnik želi simulirati realni vdor ali ga zanimajo podrobne tehnične ranljivosti. Pred vsakim testom

izvajalec in naročnik podpišeta pogodbo, s katero se dogovorita za obseg in način izvedbe.

Kako in koliko časa potekata sistemski varnostni pregled in vdorni test?

Izvedba sistemskega varnostnega pregleda je hitrejša. Odvisno od velikosti omrežja lahko traja v povprečju od enega do dveh tednov. Vdorno testiranje pa vzame več časa. Poznamo primere, kjer postopek zaradi velikega obsega traja tudi mesec dni.

Ali sistemski varnostni pregled in vdorni test med izvajanjem kakorkoli vplivata na delovanje informacijskega sistema?

Načeloma ne, lahko pa se izvedejo tudi testi, ki vplivajo na zmogljivost ali funkcionalnost sistema. Če so takšni testi predvideni, se o tem naročnik prej seznani in dobi privolitev. Pred izvedbo testa je priporočljivo, da so vsi podatki shranjeni oziroma da so narejene varnostne kopije.

Kaj vse je vključeno v poročilo po sistemskem varnostnem pregledu in vdornem testu?

Poročilo ali elaborat vsebuje vse podrobnosti o projektu – opis orodij in metodologijo izvajanja testa ter opis odkritih varnostnih pomanjkljivosti in nasvete za njihovo odpravo.

Poročilo je običajno sestavljeno iz dveh delov. Prvi del je namenjen vodstvu in napisan v jeziku, da ga zlahka razume tudi nekdo, ki ni strokovnjak za IT. V njem je zelo poljudno napisano, kje je bila ugotovljena ranljivost, kdo jo lahko izkoristi in koliko znanja za to potrebuje ter kakšno (poslovno) škodo lahko s tem naredi.

Izvedba sistemskega varnostnega pregleda lahko traja v povprečju od enega do dveh tednov. Vdorno testiranje pa vzame več časa.

Drugi del pa je namenjen tehnični ekipi. Tu je podrobno opisano, kako so se izvedli napadi, kaj je bil cilj posameznega napada in katere slabosti so bile zaznane. Varnostne luknje so kategorizirane od zelo rizičnih, prek srednje rizičnih do manj rizičnih. V poročilu so zapisana tudi priporočila in navodila za odstranitev varnostnih lukenj.

Kakšna zagotovila imam, da etični hekerji ne bodo izkoristili ugotovitev sistemskega varnostnega pregleda ali vdornega testa?

Za izvedbo pregleda izvajalec in naročnik podpišeta pogodbo, s katero se izvajalec zaveže, da bo podatke varoval. Vsi priznani izvajalci svojo profesionalnost dokazujejo tudi z referenčno listo.

Na koliko časa je treba ponoviti sistemski varnostni pregled in vdorni test?

Priporočljivo je, da se sistemski pregled izvede približno vsako leto. V tem času se že spremni toliko sistemov ali pa se vgradijo novi, da se pojavijo nove ranljivosti. Podobno velja za vdorni test, ki pa ga je smiselno izvajati tudi ob vsaki večji nadgradnji aplikacij.

Koliko staneta sistemski varnostni pregled in vdorni test?

Cene sistemskih varnostnih pregledov za manjše organizacije oziroma za manjša informacijska okolja se začnejo pri nekaj tisoč evrih. Podobno je tudi za penetracijska testiranja. Sicer pa so cene odvisne od velikosti infrastrukture in števila aplikacij, ki so predmet pregleda.

En teden na čakanjuzaradi kibernetskega napada

»Že štiri dni smo doma, ker smo v podjetju doživeli kibernetski napad z izsiljevalskim virusom,« je povedal zaposleni v prodaji v enem izmed slovenskih industrijskih podjetij, kjer so morali ustaviti proizvodnjo, ker so jim hekerji zaklenili podatke in od njih zahtevali odkupnino. Ker niso več mogli dostopati do računalnikov, so morali poslovanje za nekaj dni tako rekoč ustaviti in najeti IT-strokovnjake, da so jim pomagali znova zagnati sistem.

Odkupnine niso plačali, a škoda je bila kljub temu velika. Ker so imeli varnostne kopije, so si sicer lahko opomogli, omenjeni prodajnik pa od tedaj vseeno večkrat potarna, da kljub obnovljenim varnostnim kopijam vsak dan znova odkrije, da je za vedno izgubil kakšen podatek. Izguba nekaterih je manj, drugih pa bolj boleča in mu povzroča marsikakšen sivi las. S posledicami se tako ukvarja še več tednov po napadu.

Težave ima tudi podjetje kot celota, saj zaradi nepredvidenega enotedenskega zastoja zamujajo z dobavo in se zagovarjajo pred kupci, ki od njih zahtevajo plačilo pogodbenih kazni. Sloves zanesljivega dobavitelja se jim je zato precej skrhal.

Slovenija ni nezanimiv osamljeni otok

To je samo ena izmed zgodb, ki dokazuje, da se v Sloveniji ne smemo več pretvarjati, da nas opozorila o neslutenih razsežnostih globalnega kibernetskega kriminala in njegovih posledic ne zadevajo. Tudi slovenskemu podjetju lahko ukradejo ali zaklenejo podatke in ga s tem pahnejo v velike težave.

Kibernetski napadalci imajo lahko različne motive, ko se odločijo za vdor v informacijski sistem. Vdor je namreč prva faza kibernetskega napada, v kateri

Ukrepi za zaščito pred phishingom: ustrezni filtri na sistemu elektronske pošte,ki ustavijo phishing sporočila; filtri na dostopu do spletnih strani,ki preprečujejo dostop do phishing spletnih strani; ozaveščanje uporabnikov,da prepoznajo napade in se jim izognejo ali pa da prijavijo incident,če sumijo,da so že bili žrtev.

napadalec vstopi v informacijski sistem žrtve. V drugi fazi sledi škodljiva akcija, s katero se žrtvi povzroči škoda – se ji ukradejo podatki, se ji podatki zaklenejo in za dešifriranje zahteva odškodnina ali pa zgolj onemogoči poslovanje. Glede na motiv si kiberkriminalci izberejo različne tehnike kibernetskih napadov. Predstavljamo nekatere najpogostejše.

Izsiljevalski virus

Opisani primer sodi v kategorijo napadov z izsiljevalskim virusom (ransomware). To je danes najbolj razširjen kibernetski napad, ki žrtvam povzroči tudi največje preglavice in škodo, pravijo v Operativnem centru kibernetske varnosti Telekoma Slovenije. Cilj napadalca je, da žrtvi, ko enkrat vdre v njen informacijski sistem, zašifrira čim več zanjo pomembnih datotek in jo potem izsiljuje z odkupnino za dešifrirni ključ. Odkupnine se gibljejo od nekaj deset tisoč do nekaj milijonov evrov. Če napadeno podjetje nima rezervne kopije podatkov, se znajde v tako rekoč brezizhodnem položaju.

Žrtev odškodnine lahko ne plača in upa, da ji bo s pomočjo strokovnjakov uspelo podatke obnoviti –pogosto se namreč zgodi, da napadalcu uspe priti

tudi do rezervnih kopij in jih zašifrirati. Lahko pa odškodnino plača in spet samo upa, da ji bodo podatke zares odklenili.

Po podatkih britanskega podjetja za kibernetsko varnost Sophos namreč po plačilu odkupnine samo osem odstotkov podjetij pridobi nazaj vse podatke, 29 odstotkov jih dobi približno polovico podatkov, v povprečju pa lahko računate, da boste dobili povrnjeni približno dve tretjini podatkov. Zdaj lažje razumemo, zakaj prodajnik iz že omenjenega slovenskega podjetja že več tednov spoznava, da so nekateri podatki za vedno izgubljeni – čeprav je podjetje imelo varnostno kopijo, iz katere so lahko obnovili poslovanje.

Tehnike, kako lahko napadalec pride do podatkov, ki jih zaklene, razdelimo v dve večji skupini. Lahko izkoristi tehnično ranljivost enega od sistemov, ki so povezani v internet, na primer spletno aplikacijo ali oddaljeni dostop. Takšne luknje v informacijskem sistemu lahko odkrijemo tudi sami, če naročimo izvedbo sistemskega varnostnega pregleda ali penetracijskega testa. Zadnjega smo izpeljali tudi na Časniku Finance.

Ribarjenje oziroma phishing

Napadalec lahko vstopi v sistem tudi z ribarjenjem (phishing). To je danes najbolj priljubljena metoda za pridobivanje podatkov, s katero lahko heker vdre v informacijski sistem in nato izvede škodljivo akcijo. Več kot 90 odstotkov uspešnih kibernetskih napadov se začne prav s phishingom. V Sloveniji se je lani število prijavljenih primerov phishinga povečalo za 37 odstotkov in pomenilo 30 odstotkov vseh varnostnih incidentov.

Bistvo tovrstnih napadov je, da se njihovi avtorji lažno predstavljajo kot zaupanja vredna oseba ali institucija in žrtev pretentajo, da jim zaupa občutljive podatke. V to kategorijo sodijo sporočila, v katerih vas »vaša banka« prosi za vnos podatkov o plačilnih karticah na neko spletno stran, ki je lažna, ali pa vas, na primer, »vaš IT-oddelek« prosi, da mu posredujete svoja uporabniška imena ali gesla.

Večina napadov s phishingom cilja na množico uporabnikov in te je z nekaj ozaveščenosti dokaj lahko prepoznati. Napade, ki so ciljani na ozko skupino ljudi ali celo na posameznika (spear phishing), pa je težje prepoznati in so zato večinoma tudi bolj uspešni.

Direktorska prevara

Glavni cilj tega napada je ukrasti denar. Napadalec najpogosteje pridobi dostop do elektronske pošte in vstopi v komunikacijo med dobavitelji in kupci ali v interno komunikacijo med direktorjem in tajnico. Ko ima enkrat dostop, lahko manipulira s pošiljatelji, pošilja pošto v njihovem imenu in spreminja sporočila. V določenem trenutku pošljejo na videz popolnoma pravo, vendar lažno navodilo za izvedbo nakazila določene vsote denarja na račun napadalca ali nekoga, ki je povezan z njim.

Zaščita je postopek kontrole nalogov za plačila. To pomeni, da plačnik preveri podlago in vse elemente plačilnega naloga ter da naloge sistemsko potrjuje več oseb.

Ukrepi za zaščito pred izsiljevalskimi virusi: zanesljiva rezervna kopija podatkov,ki je ni mogoče zašifrirati; posodabljanje programske opreme; striktna varnostna politika na požarni pregradi; uporaba posebnega zaščitnega programa XDR (Extended Detection and Response) na računalnikih in strežnikih,ki zaznava raznovrstne anomalije,tudi poskuse šifriranja datotek,in to prepreči; najem varnostno operativnega centra,kakršen je Operativni center kibernetske varnosti pri Telekomu Slovenije,ki spremlja takšne dogodke in se takoj odzove,ustavi in razišče napad.

Posredni napad

Gre za napad na podjetje, ki je elektronsko povezano z drugim podjetjem, pri katerem opravlja določene storitve ali ki mu razvija programsko opremo. Cilj napadalcev so ta druga podjetja.

Napadalec v programsko opremo prvega podjetja podtakne zlonamerno kodo, ki pa je temu ne uspe odkriti, ker se nič ne zgodi. Ko si kupci ta program namestijo, si namestijo tudi škodljivo kodo, ki vzpostavi komunikacijo z napadalci. Ti potem lahko vohunijo za podatki, jih kradejo ali pa zašifrirajo in zahtevajo odkupnino.

Zaščita na strani končne žrtve je uporaba orodij XDR na končnih napravah in varnostna utrditev vseh IT-sistemov, da se napadalcu onemogoči ali vsaj močno oteži prehajanje med sistemi. Pomemben ukrep je tudi varnostno preverjanje dobavitelja programske opreme in storitev.

Izsiljevalski virus je najbolj razširjen kibernetski napad, ki žrtvam povzroči tudi največje preglavice in škodo.

DDoS-napad Namen DDoS-napada je žrtvi onemogočiti spletno storitev ali dostop do interneta. To napadalec izvede tako, da najprej okuži veliko naprav v omrežju in potem iz teh naprav začne generirati velike količine prometa proti žrtvi. Ta promet zapolni internetno povezavo žrtve ali pa onemogoči delovanje katere od naprav, na primer požarne pregrade ali spletnega strežnika.

Najpogosteje je namen DDoS-napada zgolj onemogočanje storitev in nadaljnjega poslovanja podjetja, nekateri napadalci pa zahtevajo odkupnino.

Napadeno podjetje se samo ne more ubraniti. Potrebuje storitev DDoS-zaščite pri ponudniku internetnega dostopa, ki očisti DDoS-promet in do naročnika prepušča samo koristen promet.

Onesposobitev sistema

Namen tega napada je zgolj povzročanje škode podjetju. Izveden je z uporabo ene od metod vdora, kot je phishing ali tehnična ranljivost. Napadalec preprosto pobriše podatke iz rezervnih kopij in aktivne baze, morda zašifrira podatke in niti ne zahteva odkupnine. Lahko pa ustavi proizvodni proces ali celo povzroči fizično škodo. Še posebej so za te vrste napadov občutljivi industrijski sistemi in sistemi procesnega vodenja v energetiki.

Ker so tovrstni napadi večinoma zelo sofisticirani, jih je težko zaznati in ustaviti. Zato je pomembna večslojna zaščita na vseh ravneh.

Kdo vas varuje pred hekerji, ko ponoči spite

Zelo majhna verjetnost je, da vas bo kibernetski napadalec napadel med delavnikom ob devetih zjutraj, ko ste v službi. Veliko verjetneje je, da se vas bo lotil konec tedna ali ob dveh ponoči, ko spite. Tako bo imel pred vami več ur prednosti in bo v miru opravil svoje delo. Na to, da vas bosta v takšnem primeru zaščitila protivirusni program ali požarni zid, se ne gre zanašati, saj ti dve orodji že dolgo nista več jamstvo za ustrezno kibernetsko zaščito.

Kako pa se potem lahko ustrezno zaščitimo?

Na voljo moramo imeti pravo kombinacijo naprednih varnostnih orodij in izkušenih strokovnjakov za kibernetsko varnost. Najbolje je, da tako orodja kot strokovnjaki nad informacijskim sistemom bedijo noč in dan, torej vseh 24 ur na dan, vseh sedem dni v tednu, vseh 12 mesecev v letu. Seveda je to za veliko večino podjetij, predvsem pa vsaj za mala in srednja podjetja, če bi za vse želela skrbeti sama, zelo drago. Draga so tako orodja kot usposobljen kader, ki ga povrhu vsega kronično primanjkuje in ga nikoli ne bo toliko, da bi si ga lahko privoščila vsa podjetja.

In kaj je rešitev?

Za najboljšo možnost se izkazuje najem zunanjih strokovnjakov za informacijsko varnost. Najvišjo stopnjo kibernetske zaščite omogočajo tako imenovani operativni centri kibernetske varnosti (OCKV), ki so najbolj prepoznavni po angleški kratici SOC (Security Operations Center). V njih so na enem mestu združeni varnostni strokovnjaki, ki so specializirani za različne vidike in področja kibernetske varnosti ter imajo na voljo najsodobnejša varnostna orodja.

S pomočjo teh orodij lahko preverijo tudi tako imenovane grožnje ničtega dne, ki jih do takrat ni zaznal še nihče in so zato za protivirusne programe nerešljiva uganka, spremljajo sumljive dejavnosti v omrežju in analizirajo sumljivo vedenje samih uporabnikov, ki je največkrat glavni kazalnik uspešno izvedenega kibernetskega napada.

Najsodobnejšega ima Telekom Slovenije Operativni center kibernetske varnosti (OCKV), ki ga ima Telekom Slovenije, zagotavlja 360-stopinjsko kibernetsko zaščito. V njem so zaposleni certificirani kibernetski strokovnjaki, katerih glavno poslanstvo je, da vam pomagajo obvladovati kibernetske grožnje in tveganja. To so strokovnjaki s specifičnimi znanji s področja varnosti storitev in infrastrukture, ki aktivno spremljajo varnostne dogodke v IKT-sistemih, jih v realnem času ocenjujejo glede na vsebino, izvor in kontekst ter se nanje ustrezno odzivajo, ob tem pa potekajo tudi testiranja, prek katerih odkrivajo morebitne ranljivosti. Delujejo v režimu 24/7.

Največja težava, ki jo po navadi odkrijemo, je še vedno neozaveščenost ali pa premajhna ozaveščenost ljudi, zaposlenih, pa tudi neustrezna skrb za informacijske vire.

Janez Anžič, direktor operativnostoritvenega centra v Telekomu Slovenije

Telekom Slovenije ima Operativni center kibernetske varnosti certificiran po standardih ISO 22301 za zagotavljanje sistema upravljanja neprekinjenega poslovanja in ISO 27001 za informacijsko varnost. Vse osebno prepoznavne informacije, ki se obdelujejo ali hranijo v javnem oblaku Telekoma Slovenije, so upravljane skladno s standardom ISO 27018 (Pravila ravnanja za zaščito osebno prepoznavnih informacij v javnih oblakih, ki delujejo kot procesorji).

Telekom Slovenije center uporablja za lastne potrebe in tudi za zagotavljanje varnosti podjetij vseh velikosti, drugih organizacij in pomembnejših dogodkov. Tako so med drugim storitve kibernetske varnosti zagotavljali med slovenskim predsedovanjem svetu EU. Zaščito pred DDoS-napadi zagotavljajo tudi organizacijam v tujini, ki uporabljajo njihov internetni dostop.

Odzivni čas se meri v minutah Ekipa OCKV uspešno reši več kot 90 odstotkov varnostnih incidentov, odzivni čas pa merijo v minutah. Strokovnjaki z različnimi orodji poskrbijo za zaščito končnih naprav pred kibernetskimi napadi, tako da zaznavajo, analizirajo, predvidevajo, razkrivajo in se odzivajo tudi na napredne grožnje, ki jih je mogoče zaznati le s hkratno analizo aktivnosti uporabnikov ter procesov v računalniški opremi in omrežnem prometu.

Namesto popolne katastrofe le pol ure dela Poglejmo si praktičen primer, kako vas lahko OCKV reši pred hudo katastrofo. Recimo, da vas hekerji napadejo ponoči, ko v podjetju za računalniki ni nikogar. Ker ekipa v OCKV nad vašim informacijskim sistemom bedi neprekinjeno, lahko sumljive aktivnosti opazi praktično takoj. Ko preveri, ali je sumljivo dogajanje zares nevarno, takoj izolira napadeni računalnik in mu onemogoči kakršnokoli komuniciranje s preostalimi računalniki v omrežju in tudi z napadalcem. Hkrati informatikom v podjetju pošljejo sporočilo o napadu z natančnimi navodili, kaj morajo storiti, da bodo okuženi računalnik znova usposobili.

Če ima torej napadeno podjetje 100 računalnikov, jih naslednje jutro, ko pridejo zaposleni na delo, dela 99, stotega, ki je izoliran, pa lahko informatiki usposobijo v pol ure. V primeru, da OCKV ne bi posredoval, bi bilo lahko okuženih vseh sto računalnikov, poslovanje pa onemogočeno, morda pa bi zaposlene čakalo tudi sporočilo, da so podatki zašifrirani, za njihovo odklenitev pa je treba plačati odkupnino.

Ko sta človeška in umetna inteligenca idealna kombinacija

Strokovnjakom Telekoma Slovenije pri odkrivanju sumljivih dejavnosti pomagajo napredna orodja. Naštejmo jih le nekaj. Rešitev XDR z elementi ume-

tne inteligence proučuje velike količine podatkov iz različnih virov, kot so identitete, končne točke, e-pošta, podatkovna skladišča omrežja, internet stvari, aplikacije in drugi, ter s pomočjo zmogljive analitike odkriva grožnje. Znane grožnje prepozna in odstrani samodejno, neznane pa posreduje v tako imenovani peskovnik, kjer ekipa OCKV izdela statično in dinamično analizo ter na podlagi tega ustrezno ukrepa.

Pomagajo si tudi z rešitvami za analitiko vedenja uporabnikov. Poglejmo si primer. Če je nekdo za računalnikom v Ljubljani, je nemogoče, da bi se čez dve uri v sistem prijavil iz Bangladeša. Sistem takšne anomalije zazna in nanje opozori. Analitika omrežja pa zna na primer ugotoviti, da se nekdo giblje po vašem omrežju, in odkriti, v kateri smeri se giblje, na podlagi tega pa lahko strokovnjaki ustrezno izolirajo posamezne delovne postaje oziroma računalnike.

Še vedno je izziv preslaba ozaveščenost ljudi

V Operativnem centru kibernetske varnosti Telekoma Slovenije so v letu 2022 obravnavali za tretjino več varnostnih incidentov kot leto pred tem.

»Resnih incidentov, a ne med našimi strankami, je bilo več kot sto. Z odzivno skupino za reševanje kibernetskih incidentov smo se vključili v reševanje in vnovično vzpostavitev delovanja v podjetjih, ko so ta že bila tarča kibernetskega napada. Ta podjetja pred tem na področju kibernetske zaščite niso bile naše stranke,« pravi Janez Anžič, direktor operativno-storitvenega centra v Telekomu Slovenije.

Ekipa OCKV uspešno reši več kot 90 odstotkov varnostnih incidentov, odzivni čas pa merijo v minutah.

Koliko je znašala konkretna škoda, je poslovna skrivnost. Je pa škoda odvisna od velikosti organizacije, od tega, s čim se organizacija ukvarja, koliko je kibernetski napad razširjen in podobno. Praviloma napadalec zahteva odkupnino, ki jo je podjetje še sposobno plačati.

Pri napadih je šlo večinoma za ribarjenje in na tej podlagi za izkoriščanje ranljivosti ter nato uporabo izsiljevalskega programa, s katerim so napadalci zakodirali tako osnovne datoteke kot arhiv organizacij. Po pogostnosti sledijo napadi DDoS. »Napadenim organizacijam smo priskočili na pomoč z znanjem, izkušnjami in orodji, ki jih imamo na voljo na podlagi članstva Telekoma Slovenije v mednarodnem združenju CSIRT. Največja težava, ki jo po navadi odkrijemo, pa je še vedno neozaveščenost ali pa premajhna ozaveščenost ljudi, zaposlenih, pa tudi neustrezna skrb za informacijske vire, ki so pogosto prepuščeni sami sebi, so brez potrebnih nadgradenj, brez testov ranljivosti, brez ustreznih kompetenc pri uporabnikih. Organizacije smo zaščitili tudi zunaj Slovenije, torej v mednarodnem okolju,« pojasnjuje Anžič.

Povpraševanje po storitvah kibernetske varnosti je vse večje. Za varnostne storitve se odloča vse več organizacij in podjetij, pri tem pa so storitve kibernetske varnosti, ki jih izvaja OCKV, namenjene tako zaščiti podjetij kot drugim organizacijam kritične infrastrukture in preostalih bistvenih dejavnosti ter podjetjem vseh panog in velikosti. Ravno prilagodljivost upravljane storitve kibernetskega varovanja in zaščite je ena od ključnih prednosti.