Finančna korist glavni vzgib

Kibernetska varnost postaja v dobi digitalizacije temeljna komponenta za zaščito informacijskih sistemov pred zlonamernimi napadi. Na Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT so nam pojasnili, kdaj pride do kibernetskega napada, kdo so običajne tarče in kako se lahko učinkovito zaščitimo pred napadi.

Kako bi s preprostimi besedami razložili, kaj je kibernetski napad?

V splošnem bi lahko kot kibernetski napad opredelili vsak dogodek, ki je usmerjen zoper računalniško infrastrukturo, omrežja, informacijske sisteme ali zasebne računalniške sisteme. Pri tem je pomembno ločiti, ali gre v danem primeru za kibernetski incident ali zgolj varnostni dogodek, ki neposredno ne vpliva na delovanje sistema. V grobem bi napade lahko delili na tehnične napade in socialni inženiring. Pri tehničnih napadih napadalci izkoristijo ranljivost v sistemih in tudi nepravilno oz. neustrezno nastavljene storitve. V primeru socialnega inženiringa pa se izkoristijo ranljivosti čezmernega zaupanja ali nepozornosti posameznika, iz katerega poizkušajo izvabiti zaupne informacije ali pa jih izkoristiti za namestitev škodljivega računalniškega programa. Posamezniki lahko prepoznajo, da so žrtev kibernetskega napada, na podlagi prisotnih indicev. Denimo pri elektronskem sporočilu, če je to poslano s potvorjenega elektronskega naslova, drugega, kot ga običajno uporablja pošiljatelj, če napadalec od nas zahteva vnos številke kreditne kartice za nakazilo denarja na naš račun, pri tem pa je vse to treba storiti na nekem čudnem spletnem naslovu. Po drugi strani pa je posameznik lahko tudi žrtev okuženega sistema ali naprave, kar se običajno odraža v prehitri porabi baterije ali neželeni interakciji, ki bi nakazovala, da našo napravo upravlja nekdo na daljavo.

Nedavno so bile tarče kibernetskih napadov spletne strani državnih ustanov, podjetij in občin. Kakšen je bil namen napadalcev?

Treba je razlikovati med medijsko najbolj odmevnimi kibernetskimi dogodki, kot so bili nedavni poskusi onemogočanja dostopa do storitev oz. t. i. napadi DDoS. To pomeni, da so napadalci spletno mesto preplavili z množičnim prometom, ki ga običajno generirajo s pomočjo okuženih sistemov. Če zelo poenostavimo – predstavljajte si, da v manjšo vaško gostilno prispe velika skupina turistov, ki s številnimi naročili popolnoma ohromijo delovanje kuhinje. Z napadi DDoS napadalci, v zadnjem času predvsem Rusiji naklonjene skupine posameznikov, poizkušajo pridobiti medijsko odmevnost. Pri tovrstnih napadih torej ne gre za vdor v informacijski sistem, ki bi organizacijam povzročil škodo ob odlivanju zaupnih informacij in izgubi ugleda. Dejanski cilj napadalcev je čim večja medijska izpostavljenost, ki jo izkoristijo za krepitev lastne, tudi politične propagande in širjenje strahu med prebivalstvom. Poleg tega je treba ločiti motive napadalcev, če govorimo o napadih sovražnih organiziranih skupin ali pa državno sponzoriranih skupin, katerih cilj je ostati neopažen in pridobivati čim več zaupnih informacij. Če je cilj napadalcev zgolj zaslužek, ga poizkušajo pridobiti tudi prek najpogostejših metod, kot sta šifriranje podatkov ter izsiljevanje z razkritjem informacij. Nekaj tovrstnih napadov je našlo pot tudi v osrednje medije.

Kako sicer ocenjujete trenutno stanje kibernetske varnosti pri nas?

Najpogostejši namen kibernetskega kriminala je zaslužek. S tega vidika so podjetja, predvsem mala in srednja, za napadalce še vedno zelo zanimiva tarča. Po eni strani podjetja težko namenijo veliko sredstev za krepitev kibernetske odpornosti, po drugi strani pa je njihovo delovanje velikokrat zelo odvisno od nemotenega delovanja informacijskih sistemov. V primeru kibernetskih napadov taka podjetja postanejo lahka tarča kriminalcev, v primeru izsiljevanja pa jim ob neustrezni predhodni zaščiti kakšna druga možnost kot plačilo odkupnine niti ne preostane. Orodja in storitve, katerih namen je preprečevanje zlorab, so sicer čedalje bolj izpopolnjeni, vendar se temu prilagajajo tudi napadalci. Pogosta vrsta napadov je predvsem tipa socialnega inženiringa, ki jo z nekimi orodji tudi težko prepoznamo in preprečimo. S tega vidika ne pričakujemo, da bi intenziteta napadov na podjetja v bližnji prihodnosti upadala. Nekaj sprememb, vsaj za določena podjetja, bo prinesla tudi implementacija direktive NIS2 v slovensko zakonodajo. Novi Zakon o informacijski varnosti bo precej povečal nabor zavezancev, ki bodo morali izvesti določene ukrepe za dvigovanje kibernetske odpornosti, če tega seveda doslej še niso sprejeli. Tako bi lahko ocenili, da je že direktiva NIS prinesla napredek v informacijski varnosti zavezancev, ki so zaradi skladnosti z zakonodajo bili primorani okrepiti tako tehnične kot človeške vire, direktiva pa je prinesla zavedanje in potrebo tudi v odločevalske strukture zavezancev.

Ali se pred kibernetskim kriminalom lahko učinkovito zaščitimo?

Ključno je, da se problematika rešuje večplastno, saj se zlorabe dogajajo na različnih nivojih. Pomembna sta tako tehnična zaščita, katere namen je preprečevanje in pravočasna zaznava napadov, kot redno izobraževanje zaposlenih, ki so običajno najbolj izpostavljeni in velikokrat prva vstopna točka kibernetskega napada. Pogosto se zgodi, da podjetje poskrbi za tehnično zaščito, spregledajo pa izobraževanje zaposlenih, nato pa so presenečeni, da je prišlo do uspešnega napada. Temeljna napaka je, da vodstvo zanemarja to problematiko, in mišljenje, da se kibernetski napad na njihovo podjetje ne more zgoditi, če pa se ta že zgodi, pa da ne more povzročiti velike škode. Posledice uspešnega kibernetskega napada so lahko izredno široke, od nezmožnosti delovanja do izgube ugleda. Čeprav je težko oceniti koristnost sredstev za krepitev kibernetske varnosti, menimo, da vložena sredstva za preprečevanje incidentov pretehtajo morebitno škodo ob incidentu, ki se zgodi, če ne bi zagotavljali teh sredstev. Kibernetska varnost podjetja je ne nazadnje lahko tudi konkurenčna prednost.

Izobraževanje in ozaveščenost imata torej zelo pomembno vlogo.

Pomembnost vloge ozaveščanja posameznikov je SI-CERT prepoznal že leta 2011, ko smo za ta namen pristopili k problematiki prek projekta Varni na internetu, katerega namen je dvigniti nivo ozaveščenosti splošne javnosti pred internetnimi grožnjami in tveganji ter nuditi neposredno pomoč. Da je varnost organizacije odvisna od najšibkejšega člena, je nekaj, kar na SI-CERT poudarjamo vrsto let, vendar pa je zavedanje o tem šele v zadnjem času prišlo tudi v širšo zavest organizacij. S projektom se vsako leto v sklopu kibernetskega meseca varnosti posvetimo tudi eni izmed pomembnejših tem, ki smo jih zaznali čez leto. Za posameznike redno pripravljamo brezplačni novičnik, na katerega se je moč prijaviti na spletni strani Varni na internetu. Ker se projekt med drugim posveča varnosti malih podjetij, smo skušali tveganja pri uporabi interneta približati tudi njim, in sicer s pomočjo brezplačnega tečaja Varni v pisarni, ki malim podjetjem nudi brezplačen dvig kibernetske ozaveščenosti zaposlenih.