Podjetna Slovenija

ZA odgovorno, vrhunsko in predvidljivo podjetništvo.

PODJETJA BODO ZARADI VDOROV TUDI PROPADALA

Donosi kibernetskih napadalcev so vedno večji. Kaj so rešitve?

  • Nina Simić
  • Trendi, Vsebina
  • Foto: Shutterstock.com

Jan Bervar, arhitekt digitalne varnosti pri NiL part of Conscia, opozarja, da bodo v Sloveniji v bližnji prihodnosti zaradi posledic kibernetskega vdora propadla prva podjetja. Število velikih vdorov v organizacije se bo povečevalo zaradi vse večjega donosa. Tudi Tadej Hren, vodja oddelka za obravnavo incidentov na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT, potrjuje, da je število primerov vsako leto višje. Nič ne kaže, da bi se to kmalu spremenilo.

Matjaž Katarinčič, vodja tehnološkega področja kibernetska varnost iz podjetja Smart Com, d. o. o., pa pojasnjuje, da napadalci vedno iščejo nove načine, kako ogroziti sisteme podjetij. Pri tem postajajo vse bolj drzni in uporabljajo napredne pristope: »Varnostne grožnje so postale vsakodnevna skrb poslovodstva podjetij, saj so podjetja vse bolj odvisna od informacijsko-komunikacijskih orodij, ki jih uvajajo z namenom digitalizacije in avtomatizacije poslovanja. Če k temu dodamo še hiter razvoj novih tehnologij, kot so oblačne tehnologije, mobilne tehnologije in IoT, ki podjetjem pomagajo povečati produktivnost in zagotavljati boljšo uporabniško izkušnjo, skrb za kibernetsko varnost postane kompleksna in težko obvladljiva.«

Top 3 trendi kibernetskih napadov

Kaj nas torej čaka v prihodnje?
Napadi z izsiljevalskimi virusi (angl. ransomware)

»Napadi z izsiljevalskimi virusi bodo še vedno aktualni, pri čemer bodo napadalci poskušali še dodatno zaostriti izsiljevanje. V zadnjem obdobju napadalci poleg zašifriranja podatkov žrtvam ukradejo občutljive osebne in poslovne podatke ter grozijo, da jih bodo javno objavili. Ali pa podatke ponudijo najboljšemu kupcu na črnem trgu. V primeru, da žrtev ne plača odkupnine, grožnje tudi uresničijo,« pojasnjuje Hren. Katarinčič pravi, da so lahko odkupnine tudi milijonske ter predstavljajo največjo skrb za poslovne (IT) in operativno-procesne (OT) sisteme v industrijskih okoljih in okoljih kritične infrastrukture. »Tovrstni napadi lahko zaustavijo kritične procese in povzročijo visoko poslovno škodo ali celo družbeno škodljive posledice in izgubo človeških življenj,« dodaja Katarinčič.

»Napadalcem omogočajo, da prek enega skupnega vektorja targetirajo izjemno veliko število podjetij, pri čemer potencialne žrtve praktično nimajo možnosti, da bi tak napad preprečile, napoveduje Hren.

Napadi na dobavne verige

»Napadi na dobavne verige bodo vse pogostejši, posledice pa vse hujše,« napoveduje Hren in pojasni: »Napadalcem omogočajo, da prek enega skupnega vektorja targetirajo izjemno veliko število podjetij, pri čemer potencialne žrtve praktično nimajo možnosti, da bi tak napad preprečile. « Katarinčič omenja še notranje grožnje, ko aktivnosti zaposlenih in/ali poslovnih partnerjev zlonamerno ali pa nevede (zaradi neznanja) ogrozijo sisteme podjetja (na primer s klikom na zlonamerno povezavo ali priponko).

Nove oblike prevar z umetno inteligenco

»Prevare z uporabo socialnega inženiringa oziroma najbolj priljubljene tehnike med njimi, ‘phishing’ napadi (ribarjenje), so preverjena, a zelo učinkovita taktika napadalcev. Ti postajajo vedno bolj sofisticirani. To so na primer direktorske prevare z izsiljevanjem, ki zaradi narave poslovanja ciljajo predvsem na mala in srednje velika podjetja,« razlaga Katarinčič. Hren omenja še nove oblike prevar ob pomoči naprednih tehnologij: »Na SI-CERT smo v nekaterih napadih že zasledili znake uporabe umetne inteligence, ko so napadalci z ‘deepfake’ posnetki prevzeli identitete različnih oseb in tako poskušali vplivati na žrtve.« Sicer pa Bervar meni, da bodo tudi kibernetska orožja, razvita za namen vojne v Ukrajini, kmalu prišla v roke kriminala.

Največ napadov na podjetja se začne s preprostim elektronskim sporočilom, ki ga prejme eden od zaposlenih.

Kibernetski napad je le redko sofisticiran

Kako pa je običajno videti kibernetski napad? Po Hrenovih besedah večinoma ne gre za nič posebej naprednega: »Največ napadov na podjetja se začne s preprostim elektronskim sporočilom, ki ga prejme eden od zaposlenih. Ta bodisi klikne na povezavo v sporočilu in na lažni spletni strani vpiše svoje geslo bodisi odpre priponko sporočila in tako računalnik okuži z vohunskim virusom, ki napadalcem omogoči oddaljen dostop do omrežja. Ko imajo napadalci dostop do ene delovne postaje, z različnimi metodami pridobijo administratorske pravice na omrežju, s čimer imajo popoln in neopazen nadzor nad vsemi podatki. V tej fazi lahko izvajajo kakršnekoli aktivnosti: od eksfiltracije občutljivih informacij do zašifriranja vseh dostopnih podatkov.« Bervar meni, da bo umetna inteligenca postala spektakularno neuspešna pri obrambi proti kibernetskim napadom: »Ti se že desetletja izvajajo na praktično enake načine: z izkoriščanjem napak v programski opremi, napak naših uporabnikov in slabih varnostnih arhitektur naših organizacij, ki napadalcu omogočajo postopen dostop do kronskih draguljev in njihovo krajo ali uničenje.

Najbolj ranljive so organizacije, ki so investirale le v preventivne nadzore, ki delujejo zgolj avtomatsko …

Najbolj ranljive so organizacije, ki so investirale le v preventivne nadzore, ki delujejo zgolj avtomatsko (protivirusne programe, požarne zidove, šifriranje in podobno), saj niso sposobne ugotoviti, kdaj so napadalci te nadzore obšli in so že tedne ali mesece skriti v njihovih sistemih.« Katarinčič zato priporoča uporabo sistemov za spremljanje in obravnavo varnostnih dogodkov ter sisteme za spremljanje in zaznavanje varnostnih groženj ter anomalij tako v poslovnem (IT) kot v industrijskem oziroma procesnem (OT) okolju.

Krajnc pa svetuje naslednje:

  • stalno vlaganje v kibernetsko obrambo, v

  • tehnološke rešitve oziroma storitve,

  • redne varnostne preglede,

  • upravljane varnostne storitve,

  • vlaganje v procese in ozaveščanje ter

  • usposabljanje zaposlenih.

Brez strokovnjakov za kibernetsko varnost ne gre

Hren poudarja, da bo povpraševanje po usposobljenih kadrih na področjih informacijske varnosti čedalje večje, čemur pa se bodo, upamo, prilagodile tudi izobraževalne ustanove. Bervar meni, da vedno več organizacij izvajanje ključnih varnostnih funkcij zaupa zunanjim izvajalcem. Boris Krajnc, strokovnjak za kibernetsko varnost in certificiran etični heker pri Smart Com, d. o. o., težavo podjetij vidi v omejenih virih, tako finančnih kot kadrovskih. Po njegovem mnenju je zato bolje, da se posvetijo specializiranim tehnološkim rešitvam, namenjenim nadzoru 24 ur na dan, spremljanju, zaščiti in odzivanju v realnem času, ki jih izvajajo za to usposobljeni strokovnjaki. Hren poudarja, da je vsak izgovor odveč: »Podjetja morajo vse zaposlene izobraziti o tveganjih, saj so prav ti najpogostejša tarča napadalcev. Več je treba vlagati v ozaveščanje in izobraževanje, seveda pa tudi v tehnične rešitve. Večja podjetja bi morala imeti zaposlene strokovnjake, manjša pa lahko za krepitev odpornosti najamejo zunanje strokovnjake. Na voljo jim je tudi brezplačni spletni tečaj o informacijski varnosti za zaposlene, ki smo ga pripravili strokovnjaki z dolgoletnimi izkušnjami na SI-CERT. Modularni tečaj je na voljo na naslovu varnivpisarni.si in zaposlenim ne vzame veliko časa.« Bervar izpostavlja, da so tudi slovenska podjetja pogosto na kolenih. Zato priporoča, da organizacije izvajajo preventivni (avtomatski) del varnosti, kjer je treba izvajati le minimalne prilagoditve, z notranjim kadrom. Nujnejši in zahtevnejši del varnosti, ki temelji na opazovanju in stalnih preiskavah sistemov, pa naj vedno zaupajo zunanjim strokovnjakom, kar je tudi najboljša praksa zunaj Slovenije.

Bo umetna inteligenca postala spektakularno neuspešna pri obrambi proti kibernetskim napadom?

Krajnc meni, da so nujni redni varnostni pregledi in ozaveščanje zaposlenih. Zanimiva možnost je tudi zaposlitev strokovnjaka, ki je odgovoren za razvoj in implementacijo kibernetske varnosti, tako imenovanega CISO (Chief Information Security Officer) oziroma vodje informacijske varnosti. Ker pa vemo, da na trgu kompetentnih strokovnjakov s tega področja primanjkuje, lahko podjetja najamejo varnostni storitve pri specializiranih partnerjih, kot je Smart center upravljanih storitev. Naročnik ima tako stalen dostop do ekspertnega osebja in specializiranega znanja za učinkovitejše obvladovanje ključnih procesnih (OT) in poslovnih (IT) sistemov, s čimer podjetju zagotovi večjo odpornost na kibernetske grožnje.

Tudi do 5 milijonov poslovne škode

»Resen varnostni incident, ki jih je v Sloveniji zdaj že kar nekaj na leto in ki poslovanje podjetja ustavijo za nekaj tednov ali mesecev, vas bo v povprečju stal od tri do pet milijonov evrov neposredne poslovne škode, da o posredni škodi ne govorimo,« poudarja Bervar. Hren dodaja, da podjetje ne sme pozabiti na pripravo odziva na kibernetske incidente, da se bo znalo pravilno odzvati in ukrepati, ko bo prišlo do vdora. Podjetja morajo poznati vrednost svojih podatkov in temu primerno prilagoditi zaščito. Krajnc opozarja, da nobeno podjetje ni nepomembno in zato varno pred napadalci: »Kdorkoli lahko kadarkoli postane tarča. Če ne krepite kibernetske obrambe, je torej le vprašanje časa, kdaj boste postali žrtev – če niste že bili.«

Pomakni se na vrh