Število kibernetskih napadov je letos neverjetno poskočilo. Po poročanju finančne družbe Allianz se je število izsiljevalskih napadov samo v prvem četrtletju leta 2023 povečalo za 143 odstotkov v primerjavi z enakim obdobjem lani.
Število podjetij, ki jim hekerji uspešno odvzamejo podatke, prav tako narašča. Če so leta 2019 uspešno napadli 40 odstotkov vseh podjetij, je bil ta delež leta 2022 že 77-odstoten. Za letošnje leto zavarovalničarji napoveduje še večje številke. Do leta 2031 naj bi samo izsiljevalski napadi žrtve stali okoli 265 milijard ameriških dolarjev (241 milijard evrov).
V minulih dneh in tednih smo bili v Sloveniji in Srbiji priča napadom na ključno infrastrukturo, ki je pogosta tarča kibernetskega kriminala. Kako se lahko zaščitijo podjetja in javne institucije, predvsem pa kako naj se pripravijo na napade?
Preberi še
Kibernetski kriminalci: Kdo je naslednji?
Višina odkupnine je odvisna tudi od velikosti podjetja in lahko presega milijonske zneske.
29.11.2023
HSE po kibernetskem napadu omejil posle; podrobnosti napada ne razkrivajo
Iz previdnosti so v HSE nekoliko omejili izvajanje posameznih poslov; katerih, ne pojasnjujejo
27.11.2023
Je napad na HSE kibernetski stresni test za državo?
Napad na HSE se je zgodil sredi minulega tedna, a do prvega vdora bi lahko prišlo že mnogo prej.
27.11.2023
O kibernetski varnosti, izobraževanju in implementaciji pravil v podjetja smo govorili s profesorjem z Bostonskega kolidža (Boston College) in ustanoviteljem ter direktorjem tamkajšnjega študija politike kibernetske varnosti Kevinom R. Powersom. Njihova fakulteta je prva na svetu ponudila celovit vpogled v problematiko kibernetske varnosti in njene implementacije. Med njegovimi študenti in predavatelji so agentje FBI, direktorji velikih podjetij, predstavniki IMB, Googla itd.
Na Bostonskem kolidžu ste ustanovili magistrski program kibernetske varnosti z nazivom politika in upravljanje kibernetske varnosti. Zakaj ste se odločili za to in kako poteka študij?
Pravzaprav sploh nisem poskušal ustvariti tega programa. Vrnil sem se iz Washingtona, kjer sem med drugim poučeval na akademiji za mornarico. Takratni dekan mi je omenil, da razmišlja o tečaju kibernetske varnosti, in me je vprašal, ali bi mu želel pomagati. Na prvem sestanku smo razmišljali, zakaj ne bi namesto tečaja naredili kar magistrskega programa. Nismo se želeli osredotočati na tehnologijo, ampak na obravnavanje kibernetske varnosti, saj glavno vprašanje kibernetske varnosti ni tehnično, ampak je del poslovne strategije, upravljanja tveganja, ki ga je treba voditi od zgoraj navzdol. To pomeni od upravnega odbora preko direktorjev podjetja, saj gre za vprašanje ljudi, kadrov. Ne gre le za tehnično težavo. Tako smo pripravili program. To ni bilo nekaj, kar smo delali interno, akademsko modro, vanj smo vključili zvezno vlado ZDA, državno vlado in zasebno panogo. Tako smo k sodelovanju privabili State Street Bank in Bank of America. Vpleteni so bili Bela hiša, ministrstvo za domovinsko varnost, FBI, velike odvetniške družbe.
Vprašanje kibernetske varnosti smo obravnavali celostno in tako smo tudi sestavili kurikul. Iskreno povedano, takrat sem mislil, da bo to moja upokojitvena služba, ker se akademsko kolesje premika zelo počasi. Toda že v osmih mesecih je univerza prepoznala potrebo in poziv zvezne vlade ter zasebnega sektorja, da moramo ustanoviti program za izobraževanje in pridobivanje kibernetskih strokovnjakov, ki razumejo, da kibernetska varnost ni le tehnično vprašanje. Potrebujemo tehnično osebje, toda s poslovne in vladne strani potrebujemo strokovnjake, ki na to gledajo strateško, in ne samo tehnično.
Koliko podobnih programov je bilo, ko ste začeli postavljati ta študij pred devetimi leti?
Mislim, da jih ni bilo.
Torej ste bili prvi?
Ko smo ustanovili ta program, smo bili res prvi. Sodelujoči profesorji, ki poučujejo pri nas, so strokovnjaki s tega področja. Na primer: imamo predmet o kibernetskih povezavah in digitalni forenziki, ki ga poučuje vodja enote za kibernetski kriminal pri FBI v Bostonu. Sam predavam politiko kibernetske varnosti, pravo in zasebnost podatkov. Moj soprofesor je generalni svetovalec za IBM, ki vodi kibernetsko varnost in zasebnost podatkov v podjetju, in tako naprej. Naši programi so torej resnično prilagojeni temu, kako zapolniti vse tiste prazne sedeže v industriji, ob upoštevanju, da, ponavljam, ne izobražujemo tehničnega osebja, ampak gradimo poslovnega vodjo, nekoga, ki bo višji izvršni direktor ali vodilni strokovnjak tudi v vladi.
Kdo pa se vpisuje na vaš program?
Ker imamo holistični pristop, se k nam vpisujejo računalničarji z računalniško izobrazbo, a so v manjšini. Večina jih ima ozadje iz humanistike, tako da so morda zgodovinarji, anglisti, tudi podjetniki, ki spet predstavljajo še eno manjšino. Niso nujno skorajšnji diplomanti. Povprečna starost naših študentov je 33 let. Mislim, da imamo trenutno v programu 14 agentov FBI, vodstvene kadre iz vojske, bankirje, ki se ukvarjajo z varnostnimi tveganji in želijo biti kibernetsko zaščiteni. Imamo tudi svetovalce z Deloitta, PwC, Mandianta ali Googla.
Sodelujemo tudi s pravno fakulteto. Imamo študente, ki so študenti prava in želijo delovati na tem področju. Ne izobražujemo zgolj tehničnega osebja, ampak vse zaposlene v podjetju. Zdaj opažamo, da se programu pridružujejo izvršni direktorji podjetij ali njihovi namestniki, tudi finančni direktorji, saj se pojavljajo zahteve po tem, da kibernetska varnost ni več le stvar IT-oddelka, ampak ključni del posla.
Kibernetska varnost je nekaj, kar bi morale države upoštevati pri sprejemanju strateških odločitev?
Brez dvoma, kibernetska varnost je posel. Če pa nanjo gledate z vladne strani, je posel kibernetske varnosti posel nacionalne varnosti. Veliko je groženj pri ključni infrastrukturi. To ni problem IT- oddelka, gre za skrb za nacionalno varnost.
Zakaj je to zdaj ključni del posla in zakaj mora biti poslovna strategija podjetij temu prilagojena?
Komisija za vrednostne papirje in borzo (SEC) je pravkar pripravila nova pravila kibernetske varnosti za javna podjetja. V njih pozivajo višje vodstvene kadre, da dokažejo svoje strokovno znanje in izkušnje ter razumevanje in razvoj področja kibernetskega programa, ki je povezan in prepleten s poslovno strategijo. Pokazati in dokazati morajo, kako skrbijo za kibernetsko varnost. Prej teh zahtev ni bilo, zdaj so pogoj in to vidimo tudi drugod.
S poslovne strani je torej treba potrditi, da veš, k čemu pristopaš. Vodja mora skupaj z odgovorno osebo za informacijsko varnost podpisati, da potrjuje, da imajo vzpostavljen program, ki je dosleden in v skladu s predpisi kibernetske varnosti.
Kako pa je v Evropi?
Tudi v Evropi poznajo zahteve za višje vodstvene kadre, da dokažejo, kakšna je kibernetska zaščita podjetja, kakšno je njihovo razumevanje in strokovno znanje na področju kibernetske varnosti. Prej je bil to le predlog, zdaj je to postalo zahteva. Priča bomo velikim spremembam, kako bodo korporacije in zasebna podjetja gledali na kibernetsko varnost, saj to zdaj postaja ključni del posla. Zdaj so vsi prisiljeni to prepoznati, in če tega ne naredijo, jih lahko doletijo visoke kazni.
So nedavni kibernetski napadi spremenili pogled na kibernetsko varnost?
Napadi z izsiljevalsko programsko opremo so povsod okoli nas in vsakdo je lahko žrtev. Pravijo, da ni vprašanje, ali se bo to zgodilo, temveč kdaj se bo to zgodilo. Zdaj mora imeti vsako podjetje izdelan načrt odzivanja na kibernetske incidente ter vedno znova testirati odzive ob napadu z izsiljevalsko programsko opremo. Mora biti jasno: imamo načrt, sposobnost odziva in hitrega povratka v operativno pripravljenost, kar je ključno. Kako varnostno kopirate svoje podatke? Kakšne načrt odzivanja na nesreče imate pripravljen? Če na ta vprašanje odgovorite z 'nismo prepričani, kako bomo prišli do tega', je to napačen odgovor. Vsako podjetje, vsaka vlada bi morala imeti pripravljen načrt odzivanja na najhujše možne katastrofe.
Pa imajo vse vlade pripravljen načrt?
Ne.
Kako je v ZDA?
Enako, tega ni. Samo poglejte, kaj se je zgodilo z mestom Oakland v Kaliforniji, ki je bilo žrtev napada z izsiljevalsko programsko opremo. Zaradi tega več kot mesec dni niso mogli zagotoviti osnovnih storitev za svoje državljane. Vedno znova vidite, da so prizadeti šolski sistemi ali komunalne službe. Njihovi odzivi niso uspešni, ker nimajo sredstev, nimajo ustreznih zmogljivosti ali pa niso predvideli, da se jim lahko to zgodi. Ker je bila kibernetska varnost vedno potisnjena v IT-oddelek. S poslovne plati se morate zavedati, da to preprosto ni samo tehnologija, ampak proces in znotraj njega so ljudje zagotovo pomembna težava.
Stroški so verjetno eden od razlogov, zakaj podjetja ne vlagajo v zaščito pred tovrstnimi napadi. Kako jih pripraviti do tega, da začnejo vlagati v kibernetsko varnost?
Na fakulteti smo imeli predmet, ki se je imenoval izdelava poslovnega primera kibernetske varnosti. Ideja je bila, kako predstaviti poslovni model naložbe v kibernetsko varnost vodstvu, višjim menedžerjem, upravnemu odboru. Najlažje je, če to naredimo mi. Predpisi zahtevajo, da vlagamo. Ko sestavite celoten program, veste, kakšni so parametri, ki temeljijo na vašem edinstvenem tveganju. Torej, ko podjetja vidijo, kakšen je njihov profil tveganja, postanejo stroškovne analize pozitivne.
Pri pogovoru o izobraževanju gre lahko res za osnove, za zaščito in izobraževanje vsakega posameznika v podjetju. Ko pogledate celotno verigo oziroma celoten seznam poslovnih partnerjev, ki jih ima eno podjetje, se morajo s tem ukvarjati vsi. Zakaj je to še vedno težava?
Še vedno je težava, ker prej ni bilo zahteve, a vidimo, da se stvari spreminjajo. Ljudje lahko sprehodijo konja do vode, a to ne pomeni nujno, da bo ta pil vodo. Zdaj smo prišli do točke, ko mora piti vodo. Izbire ni več. Programi ozaveščanja ne morejo več biti 15-minutni tečaji, kjer naredite kljukice v kvadratkih. Kako usposabljate receptorje, poslovne administratorje, odvetnike, poslovneže, direktorje, upravni odbor je pomembno in usposabljanje mora biti prilagojeno funkcijam. To je kot delovna zakonodaja. Nekaj, kar moraš narediti in kar se pričakuje od tebe. To ne sme biti težava IT- oddelkov, ampak vseh zaposlenih. Ko govorimo o odzivanju na incidente, morate to vedno znova trenirati. To mora biti kot mišični spomin.
Kibernetski vdori se običajno zgodijo skozi stranska vrata, kot pravijo. Pogosto so ta stranska vrata mala in srednja podjetja. Kako vidite njihovo vlogo pri kibernetski varnosti? Verjetno je lažje pripraviti direktorje velikih podjetij do tega, da se vključijo v vaše programe, kot manjša podjetja ali samostojne podjetnike.
Zdaj zahteve in predpisi prelagajo odgovornost za kibernetsko varnost tudi nanje. Pomislite na dobavne verige, na banke, na primer. Lahko najamejo odvetnika. Tako imajo enega odvetnika, ki je del njihove dobavne verige. Podatki, ki jih delijo z njimi, so torej lahko intelektualna lastnina ali osebni podatki vaših strank. Ta dobavna veriga mora pokazati, da ima vzpostavljeno določeno zaščito kibernetske varnosti, ki izpolnjuje zahteve, ki jih imate. Tako se zahteve potiskajo navzdol po dobavni verigi. Enako velja za zvezno vlado v Združenih državah in vladah tukaj v Evropi. Vsak, ki je v tej dobavni verigi, mora imeti enako kibernetsko varnostno zaščito vsaj na osnovni ravni, če želijo poslovati z večjimi strankami.
Ali bi morali direktorji, vodje, ki ne izvajajo ustreznih ukrepov kibernetske varnosti, tudi ustrezno odgovarjati za to?
Bilo je nekaj nedavnih primerov, ko so se osredotočili na odgovornega za informacijsko varnost. Toda to, kar vidite s sprejetjem teh različnih predpisov, se v resnici nanaša na višje vodstvo, izvršnega direktorja in upravni odbor. Ti kibernetske varnosti ne morejo namerno prezreti ali je samo bežno pogledati. To je del njihove splošne poslovne strategije in del njihove odgovornosti.
Po nekaterih ocenah bo trg kibernetske varnosti do leta 2030 vreden več kot 500,7 milijarde dolarjev. Kako komentirate to številko?
Brez kakršnih koli izračunov, samo na podlagi vsega, kar vem, menim, da bo vreden več. Trenutno je na področju kibernetske varnosti štiri milijone praznih sedežev oziroma prostih delovnih mest. Za te položaje ni dovolj strokovnjakov. Treba jih je izobraziti. V ZDA jih primanjkuje 900 tisoč. Mislim, da bo glede na trg s tehnologijo, umetno inteligenco, kibernetska varnost tu za vedno. Zdaj, ko je to res priznano kot ključna zadeva v skrbi za nacionalno varnost, mislim, da bo ta številka veliko višja.
Kakšne pa so poslovne priložnosti za podjetja, ki ponujajo rešitve, in za podjetja, ki jih morajo uvesti?
Mislim, da je trg srednje velikosti, ki ste ga omenili, odlična ciljna tarča. Velika podjetja bodo imela najboljše na tem področju, saj si jih lahko to tudi privoščijo. Srednja in mala podjetja pa tega nimajo. Zato menim, da podjetja ponujajo storitve po nižji ceni, saj si večina podjetij ne more privoščiti vodje informacijske varnosti. Torej morda imajo v tem primeru virtualni ogledi priložnost za uspeh.
Trenutno so najslabša stvar, ki se lahko zgodi, izsiljevalska programska oprema, zato je treba zagotoviti, da podjetje ima načrt za obnovitev, a hkrati je treba poskrbeti tudi za varnostno kopirane podatke. Ni nujno, da je nekaj varnostno kopirano samo zato, ker je na platformi SaaS in je v oblaku. Prepričajte se, da so varnostne kopije zares narejene, in jih vedno znova testirajte. Preizkusite sisteme, da boste v primeru napada z izsiljevalsko programsko opremo, lahko napad ublažili in se vrnete v operativno pripravljenost.
Zavarovanje kibernetske varnosti je nekaj novega pri nas, kako je s tem v ZDA? O katerih stvareh je treba razmišljati pred sklenitvijo zavarovanja?
Preden sklenete zavarovanje, je treba najprej poiskati odvetnika. Odvetnik vam bo pomagal pregledati pogodbo in ugotoviti, kaj dejansko dobite s tem zavarovanjem. V ZDA je trg kibernetskih zavarovanj velik. Zato se morate prepričati, kaj lahko dobite. Ob napadu z izsiljevalsko opremo bodo zavarovalnice ponudile pravno svetovanje, forenzično ekipo, komunikacijo ob katastrofi, da vam bo pomagala. Morate se prepričati, kaj plačujete in koliko si lahko privoščite. Prepričajte se, da imate res trden načrt odzivanja na incidente in da imate tudi druge možnosti. Treba je prebrati drobni tisk, kaj je tam zapisano. Denimo vojna dejanja ne štejejo nujno za zavarovanje. Torej morate preveriti, ker večina teh primerov vključuje nacionalne države ali posrednike.