Izsiljevalski virusi so zelo resna težava za podjetja. Agencija EU za kibernetsko varnost jih uvršča na prvo mesto med kibernetskimi grožnjami. Raziskava, ki so jo izvajali konec leta 2021 in leta 2022, je pokazala, da se je z napadom z izsiljevalsko programsko opremo srečala več kot polovica anketirancev.
Izsiljevalski virusi so zlonamerna programska oprema, ki žrtvi blokira dostop do podatkov, dokler ne plača odkupnine. Raziskovalno in storitveno podjetje AAG ocenjuje, da se je lani s poskusom napada z izsiljevalskimi virusi srečala več kot tretjina vseh organizacij po svetu.
Sreča v nesreči: 90 odstotkov napadov je neuspešnih
Leta 2021 je bilo po oceni AAG po vsem svetu zabeleženih rekordnih 623 milijonov izsiljevalskih napadov, kar je bilo 105 odstotkov več kot leto pred tem. Lani se je število tovrstnih napadov zmanjšalo za 23 odstotkov in doseglo še vedno visokih 479,9 milijona. Izsiljevalskih je bila petina vseh kibernetskih napadov po svetu, v ZDA pa je bil ta delež skoraj polovičen. V proizvodni industriji, na primer, so bili izsiljevalski napadi najpogostejša vrsta kibernetskih napadov sploh.
Zdaj pa še podatek, ki nas lahko vsaj malo pomiri: kot navajajo v AAG, je približno 90 odstotkov vseh izsiljevalskih napadov neuspešnih oziroma žrtvam ne prinese nobenih izgub. Sicer se približno petina stroškov, povezanih z izsiljevalskimi virusi, nanaša na reševanje ugleda napadene organizacije. Povprečna odkupnina se je leta 2020 povišala za 171 odstotkov in znašala 286 tisoč evrov, leta 2021 pa zrasla za dodatnih 82 odstotkov in je bila 523 tisoč evrov.
Napadi na kritične infrastrukture
Ameriški Zvezni preiskovalni urad (FBI) je v začetku marca v poročilu o internetnem kriminalu v letu 2022 opozoril na rastočo nevarnost kibernetskih in izsiljevalskih napadov na kritične nacionalne infrastrukture (KNI) in javne storitve. Lani so prejeli 870 obvestil o izsiljevalskih napadih na tovrstne infrastrukture v ZDA. Kot so med drugim zapisali, ni nujno, da so napadi usmerjeni na osnovno funkcijo kritične infrastrukture – ciljajo lahko na katerokoli pomožno ali podporno dejavnost, ki to osnovno funkcijo omogoča, od vzdrževanja, prek oskrbovanja do plačevanja.SI-CERT pomaga vsem uporabnikom
Pri nas je na področju kibernetske varnosti in tudi izsiljevalskih virusov najbolj dejaven nacionalni center za odzivanje na omrežne incidente SI-CERT. Ta je največ primerov obravnaval v obdobju 2016–2018, ko so bili tarče napadov z izsiljevalskimi virusi posamezniki, odkupnine za podatke pa so se gibale med 300 in 500 evri, pojasnjuje njegov vodja Gorazd Božič.
»Po tem obdobju so se kriminalne skupine usmerile na podjetja, kjer lahko zahtevajo višje odkupnine, ki se v Sloveniji gibljejo med 10 tisoč in 20 tisoč evri,« razlaga sogovornik. Storilci dostop do omrežja podjetja pridobijo bodisi prek zlonamerne priponke v e-pošti, naslovljeni na zaposlenega v podjetju, bodisi prek nezadostno zaščitenega oddaljenega dostopa do računalnika v podjetju.
»Seveda preventiva ne more stoodstotno preprečiti neljubih dogodkov, zato vedno omenjamo tudi ustrezno pripravljenost IT-ekip v podjetjih ob takih ali drugačnih napadih,« poudarja Božič. »Za pomoč se lahko v primeru incidenta prizadeti vedno obrnejo na SI-CERT, kjer ponujamo pomoč pri obvladovanju in preiskavi incidenta,« dodaja. Ob tem ocenjuje, da zakonske rešitve v Sloveniji sledijo smernicam na ravni EU, ki so zapisane v direktivi NIS.
»Zasnova omrežja z ustrezno segmentacijo lahko občutno pripomore k omejevanju škode ob morebitnem napadu,« poudarja Gorazd Božič. Uporabnikom interneta in elektronske pošte priporoča, da se o tem podrobneje informirajo v tehničnem zapisu Napadi z izsiljevalskimi virusi in v letnem poročilu SI-CERT.
Ob šifriranju še razkritje podatkov
»Prepričan sem, da večina tehnološko pismenih zaposlenih zna prepoznati izsiljevalsko programsko opremo,« meni Žiga Humar, vodja varnostne ekipe v podjetju Our Space Appliances. »Vsakdo vsaj po pripovedovanju pozna nekoga, ki je že bil žrtev izsiljevalske programske opreme, manj pa je takšnih, ki vedo, da napadi s takšno opremo ne pomenijo zgolj šifriranja podatkov, ampak lahko privedejo tudi do razkritja občutljivih poslovnih ali osebnih podatkov,« dodaja.
Nepridipravi ob tem pogosto pridobijo tudi dostopne podatke do družbenih omrežij uporabnikov, kar jim odpira nove možnosti zlorabe in širjenje aktivnosti, uporabnik pa je pri tem zgolj vmesna točka v verigi zlorab. Humar po izkušnjah s terena ocenjuje, da organizacije informiranju in izobraževanju zaposlenih o varnosti praviloma ne namenjajo dovolj pozornosti.
Usposabljanje za boljše zavedanje
»Kvantni preskok pa se zgodi, ko se v organizaciji prvič zgodi varnostni incident. Žal vodstvo šele takrat prepozna grožnje in temu področju začne namenjati več pozornosti ter finančnih sredstev,« razlaga Humar. Kot poudarja, bi slovenske organizacije za učinkovitejše preprečevanje izsiljevalskih napadov morale predvsem poskrbeti za osnove – posodabljanje sistemov, zaščito pred zunanjimi vplivi s požarnimi zidovi, zaščito končnih točk in vpeljavo načela najnižjih pravic. »Na tem področju lahko zaposlene napotimo na ogled videoposnetkov Varni v pisarni, ki so na voljo brezplačno, bolj pa priporočamo usposabljanje z namenskimi treningi za dvig zavedanja o kibernetski varnosti, ki jih izvajamo izkušeni predavatelji na praktičnih primerih in na koncu pridobljeno znanje tudi testiramo. Tako dosežemo resnejši pristop udeležencev in večji učinek,« pravi Humar.Vse je odvisno od poslovne kulture
»Kot kažejo rezultati raziskav, smo ljudje oziroma zaposleni ena izmed največjih groženj za informacijsko oziroma kibernetsko varnost podjetja,« pravi Alen Jamšek, vodja varnostno operativnega centra v podjetju Unistar PRO. Za več kot 45 odstotkov vdorov krivdo lahko pripišemo človeški napaki.
»Vsak tak kibernetski incident lahko podjetje stane ugleda, izgube dobička, plačila odkupnine, izplačila odškodnin in pa seveda tudi plačila glob. Neozaveščenost in nepazljivost zaposlenih lahko povzročita propad podjetja, saj lahko že prvi resen vdor tako onesposobi podjetje, da si nikoli več ne opomore,« dodaja Jamšek. Nekateri predpisi in standardi že predpisujejo izobraževanja in ozaveščanja za zaposlene s področja informacijske varnosti, nekateri izmed teh celo kot obveznega. »Vse pa je odvisno od vodstva in poslovne kulture podjetja ter od tega, kako ozaveščena so podjetja o pomembnosti informacijske varnosti.«
Česar ne poznaš, težko varuješ
»Položaj na področju razširjenosti izsiljevalskih virusov pri nas se lahko primerja s tistim na globalni ravni,« meni Jamšek. Oblikovana so priporočila, ki so lahko v pomoč ali opozorilo vsem organizacijam, tako tistim, ki z izsiljevalskimi virusi nimajo izkušenj, kakor tudi tistim, ki so se s tovrstnimi programskimi vsiljivci že soočile. Priporočeni so osnovni preventivni varnostni ukrepi, in sicer redno izobraževanje o varnosti informacijskih sistemov, preverjanje naložene programske opreme in aplikacij na napravah, sprotno brisanje neželene pošte in brisanje e-pošte neznanih pošiljateljev, izogibanje brskanju po nepreverjenih spletnih straneh, redno nadgrajevanje programske in strežniške opreme, nalaganje licenčne opreme in kupovanje pri znanih zastopnikih, predvsem pa analiza in ocena tveganj. Česar ne poznaš, težko varuješ,« pravi Jamšek.Malo vlaganja v nove tehnologije
Slovenija je glede na globalni indeks kibernetske varnosti GCI 2020, ki ga objavlja Mednarodna telekomunikacijska zveza (ITU), po pripravljenosti na kibernetske napade uvrščena na 67. mesto v svetu. Indeks meri zavezanost držav kibernetski varnosti na svetovni ravni, ki temelji na petih stebrih: pravni, tehnični, organizacijski, krepitvi zmogljivosti in sodelovanju. »V Sloveniji so tako še precejšne rezerve,« poudarja Anton Horvatič, direktor prodaje varnostnih rešitev v podjetju Sfera IT. Kot pravi, pri varnostnih pregledih, ki jih izvajajo po slovenskih podjetjih, v povprečju opažajo:- veliko strokovnost kadra, ki se ukvarja z informacijsko varnostjo,
- dobro stanje varovanja informacijske infrastrukture,
- pomanjkljivo varovanje podatkov, ki so najbolj izpostavljeni izsiljevalskim virusom, ter
- malo vlaganj v najnovejše tehnologije, ki uporabljajo metode umetne inteligence za odkrivanje napadov in avtomatizirane postopke obnove.
Naše pomanjkljivosti in prednosti
Horvatič kot glavno pomanjkljivost podjetij v Sloveniji poudarja, da namenjajo razmeroma majhen znesek za temeljito zaščito pred kibernetskimi napadi z najnovejšimi sistemi. Napad je še posebej nevaren za manjša in srednja podjetja, saj znaša škoda praviloma več milijonov evrov ter lahko resno ogrozi obstoj podjetja. »Ena od potencialnih prednosti pa je, da je Slovenija članica EU, ki je razvila trden okvir za politiko in sodelovanje na področju kibernetske varnosti,« pravi Horvatič. Ta vključuje novo direktivo o varnosti omrežij in informacijskih sistemov (NIS2), katere cilj je zagotoviti visoko raven varnosti v kritičnih infrastrukturnih sektorjih, kot so energija, promet, zdravstvo in finance.Kaj vse še lahko postorimo
Kot še poudarja Horvatič, bi lahko v Sloveniji za izboljšanje položaja na področju kibernetske varnosti in zmanjšanje morebitne škode zaradi kibernetskih groženj naredili več korakov, in sicer:- okrepili bi lahko ozaveščenost in izobraževanje, ki sta odločilna za gradnjo močne kulture kibernetske varnosti, saj je človek še vedno najšibkejši člen;
- izboljšati bi morali zavedanje, da je kibernetska varnost pomembna za poslovanje podjetja in je temu primerno treba nameniti ustrezen delež finančnih sredstev, saj napadi praviloma podjetja obremenijo z večmilijonsko škodo;
- posebno pozornost bi bilo treba nameniti varovanju podatkov in tako nadgraditi varovanje informacijske infrastrukture, prav tako pa izvajati redne varnostne preglede in ocene za odkrivanje potencialnih ranljivosti;
- vzpostaviti bi morali načrt za odzivanje na incidente, ki lahko pomaga podjetjem, da se hitro in učinkovito odzovejo na kibernetske grožnje;
- spodbujati bi morali skladnost s standardi kibernetske varnosti, kot sta GDPR in ISO/IEC 27001, kar lahko pomaga zgraditi zaupanje s strankami in partnerji.
