Pozor – kibernetska nevarnost

Katera so najaktualnejša tveganja in oblike napadov? Kako poskrbeti za tovrstno varnost?

»Večina nas že pozna zlonamerno programsko opremo (črvi, trojanci in podobno) in izsiljevalske viruse (ransomware). Napadalci jih žrtvi največkrat dostavijo s spletnim ribarjenjem (phishing) ali prek ranljivosti programske opreme,« našteva Metod Platiše, strokovnjak za kibernetsko varnost v Telekomu Slovenije.

Tudi vdori v elektronsko pošto in direktorske prevare so še vedno zelo priljubljen način hekerjev za preusmeritev plačil na svoje račune. Prav tako napadi DDoS (porazdeljeno onemogočanje storitev) in skeniranje omrežij ter iskanje varnostnih lukenj, izpostavlja Platiše. Vse te nevarnosti lahko podjetju naredijo tudi milijonsko škodo. Podjetja morajo zato poskrbeti za primerno preventivo.

Pogoste oblike kibernetskih tveganj za podjetja

Na nekaj konkretnih oblik kibernetskih napadov in tveganj na področju kibernetske varnosti, na katere moramo biti v prihodnje še posebej pozorni, opozarjata Peter Čeferin, tehnični direktor iz podjetja Smart Com, in Tadej Hren iz nacionalnega odzivnega centra za kibernetsko varnost, SI-CERT.

Napad z izsiljevanjem (ransomware) ni nova oblika napada, vendar je najpogostejša in hekerji jo bodo tudi v tem letu množično uporabljali. Pri tem bodo izkoriščali tehnike, kot je socialni inženiring, in izrabljali varnostne ranljivosti v sistemih, da bi pridobili dostop do podatkov in jih nato zašifrirali, v zameno za njihovo dešifriranje pa zahtevali plačilo.

Z uporabo oblačnih storitev se je povečala tudi odvisnost organizacij od njih. Napadalci bodo poskušali izkoristiti ranljivosti v varnostnih sistemih ponudnikov oblačnih storitev, da bi pridobili dostop do podatkov v oblaku.

Z vedno več napravami, povezanimi v internetu stvari, bodo kibernetski napadi na te naprave še pogostejši. Naprave IoT so z vidika vgrajenih varnostnih mehanizmov in orodij ranljive. Napadalci izkoriščajo pomanjkljivosti v varnostnih sistemih teh naprav, da prek njih izvedejo napade z namenom kraje podatkov ali izsiljevanja.

Umetna inteligenca se vse bolj uporablja v rešitvah za povečanje odpornosti proti kibernetskim napadom. Vendar lahko tudi napadalci to tehnologijo uporabijo za izvedbo uspešnega kibernetskega napada. Tak primer je uporaba UI za zavajanje varnostnih sistemov z lažnimi podatki ali pa uporaba UI za učinkovitejše ciljno napadanje.

Kriptovalute so postale priljubljene tudi med kiberkriminalci, saj so pogosto manj regulirane in manj zaščitene kot tradicionalne finančne transakcije. Pričakovati je, da bodo napadi na kriptovalute še naprej naraščali, vključno s krajo kriptovalut in napadi na kriptoborze.

Pri vsem naštetem se je pomembno zavedati, da število kibernetskih napadov narašča, na drugi strani pa je pomanjkanje strokovnjakov za kibernetsko varnost še vedno velik izziv pri zagotavljanju učinkovite zaščite sistemov in podatkov organizacije.

Te so velikokrat eden izmed glavnih stebrov poslovanja podjetja, kraje pa so velikokrat posledica zgolj majhne napake v konfiguraciji ali vzdrževanju sistema, dodaja Hren.

Do vdora v podjetje pride zaradi predhodne zlorabe informacijskega sistema dobavitelja programske opreme. »Podjetja take zlorabe tudi z različnimi tehničnimi ukrepi zelo težko preprečijo,« opozarja Hren.

Zaščita: poučimo zaposlene!

Ozaveščanje zaposlenih o naštetih tveganjih je ključno za preprečevanje kibernetskih napadov in zaščito organizacije pred potencialno katastrofalnimi posledicami, meni Čeferin in našteje najpogostejše težave:

Veliko organizacij ima zapisano varnostno politiko in določila, ki jih morajo zaposleni poznati in upoštevati ter redno osveževati poznavanje teh ukrepov.

Napadalci pogosto manipulirajo z zaposlenimi in jih zavajajo k razkritju njihovih gesel, uporabniških imen ali drugih občutljivih podatkov. Pri tem večinoma uporabljajo tehniko »phishinga« oziroma spletnega ribarjenja z uporabo lažnih e-poštnih sporočil ali spletnih strani.

Kot pojasni tudi Hren, gre lahko za klasične ali pa tudi bolj ciljane napade na določene osebe. Pogosti pa so tudi sofisticirani BEC-napadi.

»Napadi, pri katerih napadalci vdrejo v poštni sistem podjetja in v primeru zaznave pošiljanja fakture poslovnemu partnerju v sporočilu spremenijo podatek o bančnem računu, so po eni strani tehnično dokaj enostavni, po drugi pa jih zaposleni zelo težko prepoznajo. Omogočajo izredno velike zaslužke ob majhnem vložku,« dodaja Hren.

Prhajeva omenja, da pri tem lahko pomaga dvofazno potrjevanje plačil z doslej neznanimi TRR in tudi preverjanje, ali so bile javljene njihove spremembe. Omenja tudi napade s posrednikom – vrivanje v elektronsko pošto in prestrezanje le-te (»man-in-the-middle« napadi) ter napade z vrivanjem stavkov SQL (napadalci napadejo spletne aplikacije in spletne strani, navadno za pridobivanje vsebine podatkovnih baz).

Če zaposleni uporabljajo preprosta gesla, jih lahko napadalec hitro odkrije ter tako vdre v sistem. Za dostop do sistemov, storitev oziroma aplikacij bi morali uporabljati zapletena, tako imenovana močna gesla (vsaj 12 znakov) ter jih pogosto in redno spreminjati. Priporočljiva je tudi dvofaktorska avtentikacija (kot je Google Authenticator), saj se s tem poveča varnost pri dostopu do računov.

Z zlonamerno programsko opremo in virusi kiberkriminalci najpogosteje vdirajo v računalnike in omrežja organizacij. Takšne grožnje se lahko skrivajo v priponkah e-pošte, spletnih povezavah ali celo v programski opremi, ki jo namestijo na svoje računalnike.

Težava nastane predvsem takrat, ko zaposleni za službene namene uporabljajo svoje mobilne naprave (BYOD – Bring Your Own Device), kot so pametni telefoni in tablični računalniki. Morali bi biti seznanjeni z varnostnimi ukrepi pri uporabi mobilnih naprav in z ustreznim ravnanjem v primeru izgube ali kraje. Ne smemo pa pozabiti niti na varnostne kopije na ločenih lokacijah ter šifriranje osebnih in zaupnih podatkov na prenosnih napravah, opozarja Prhajeva.

Zaposlene bi morali ozavestiti o nevarnosti javnih omrežij Wi-Fi in jih spodbuditi k uporabi virtualnih zasebnih omrežij (VPN) za dostop do občutljivih podatkov.

Kaj konkretno lahko zavarujemo?

Z varnostnimi ukrepi sicer verjetnost kibernetskega napada lahko le zmanjšamo, nikakor pa ga ne moremo preprečiti. Nika Prhaj iz Zavarovalnice Triglav našteva, katera osnovna kritja ponuja zavarovanje kibernetske zaščite, zlasti malim in srednjim podjetjem, ki so tarča kibernetskih napadov v večini primerov:

  • lastna škoda zavarovanca: odziv na incident (kritje stroškov strokovnjaka za izvedbo preiskave, stroškov svetovanja strokovnjaka za varovanje ugleda, pravnih stroškov, glob in kazni informacijskega pooblaščenca zaradi kršitve varstva podatkov …);
  • stroški ponovne vzpostavitve podatkov in programske opreme;
  • odškodninski zahtevki tretjih oseb;
  • odgovornost za kršitve zaupnosti in zasebnosti (kritje stroškov morebitnih odškodninskih tožb tretjih oseb zaradi izpostavljenosti njihovih osebnih podatkov, ki so od uvedbe GDPR-uredbe lahko višji);
  • odgovornost za omrežno varnost (kritje morebitnih odškodninskih tožb tretjih oseb zaradi škode, ki jim je bila povzročena ob uporabi kompromitiranega informacijskega sistema podjetja).

  Sorodni prispevki

Pomakni se na vrh