.webp){kind=icon}
Vse pogostejši kibernetski napadi tako od družb kot posameznikov zahtevajo, da poskrbijo za ustrezno zaščito. Kako se ustrezno zaščititi, razkriva Dalibor Vukovič, certificirani etični heker in varnostni strokovnjak. Z njim smo se pogovarjali o kibernetskih grožnjah tako podjetjem kot posameznikom in možnih zaščitah pred njimi.
Lahko izpostavite eno, dve ali tri glavne pomanjkljivosti kibernetske zaščite slovenskih podjetij?
Prva stvar je ozaveščenost zaposlenih. Povprečna starost uslužbencev relativno hitro definira, koliko so podjetja varnostno odporna. Starejši ljudje so namreč zaupljivejši in odpirajo več stvari na internetu. Zato bi morala vsa podjetja za svoje zaposlene vsaj dvakrat na leto organizirati usposabljanja na temo kibernetske varnosti.
Preberi še
Spletne prevare v porastu, letos že za 13,7 milijona evrov škode
Najboljši ukrep je preventiva na področju kibernetske varnosti, meni direktor SI-CERT Gorazd Božič.
10.11.2022
Svet EU v krepitev kibernetske varnosti in odpornosti na stari celini
Direktiva NIS2 postavlja temelje za skupno odzivanje držav članic na kibernetske grožnje.
28.11.2022
Hekerski napadi na Slovenijo, kako se branimo
Pogovarjali smo se z Urošem Svetetom, obramboslovcem in direktorjem urada za informacijsko varnost.
30.11.2022
Druga težava je menedžment, ki ne vlaga v napredno kibernetsko varnost. Večina jih uporablja antivirusno in požarno pregrado – nujno zlo, ki je bilo aktualno 20 let nazaj. To danes ni več dovolj, potrebujejo napredna orodja za zaščito. Veliko vodij v podjetjih pa na kibernetsko zaščito gleda kot na strošek in ne na investicijo.
Katera so napredna orodja za zaščito?
Najboljša zaščita je razširjen odziv zaznavanja končne točke (extended end-point detection response – XDR, angl., op. a.). Tovrstna orodja znajo zaznavati t. i. "zero-day" napade, ki danes predstavljajo 90 odstotkov napadov. Antivirusni programi prepoznajo zgolj obstoječe viruse, ki jih imajo v svojem registru. To hekerji izkoriščajo, saj znajo s pomočjo umetne inteligence ustvariti skripto po meri, ki je antivirusni program ne zazna. XDR ima zagotovo najboljše razmerje med kakovostjo in ceno, tako da podjetjem svetujem, da zamenjajo vse antivirusne licence za licence XDR.
Najboljša pa je kombinacija preventivne in reaktivne kibernetske zaščite skupaj s prediktivno – se pravi obveščevalno dejavnostjo v kibernetskem prostoru. Na temnem spletu lahko namreč pridemo do informacij, katera podjetja ali sistemi so bili napadeni, katera gesla ukradena, in o tem pravočasno obvestimo stranko.
O kakšni ceni govorimo, recimo za napredno zaščito?
Do pred kratkim je bila cena relativno visoka, z napredkom tehnologije pa so rešitve postale lažje in tudi ugodnejše. Podjetje z deset do 20 uslužbenci se da dokaj ugodno zaščititi, za deset do 11 evrov na mesec na delovno postajo. Za večje firme pa je strošek na postajo še nižji, saj gre za količinski popust.
Strošek zaščite je manjši kot strošek sanacije napada.
Tako je. Imamo pa velike težave to dopovedati menedžerjem, ki kibernetske zaščite ne vidijo kot investicijo, ampak kot strošek. Menijo namreč, da so zaščiteni, ker delajo varnostne kopije sistema (back-up, angl.). Težava pa nastopi, ko varnostne kopije niso uporabne, ker je lahko zlonamerna koda v vašem sistemu skrita več mesecev in tega sploh ne veste. To pomeni, da se zlonamerna oprema nahaja tudi na vaši varnostni kopiji.
Ko se zgodi tak napad, najprej ugasnemo vse računalnike. Dokler ne naredimo pregleda, da ugotovimo, kjer so metastaze, ne vemo, kateri vse so okuženi. Mogoče je, da so okuženi tudi kakšni vitalni strežniki, vendar se skripte še niso zagnale. Torej je firma zaprta že prvi dan, vsi uslužbenci pa na dopustu. Takšen varnostni pregled lahko traja tudi pet dni. Če so okužene tudi varnostne kopije sistema, lahko firma izgubi tudi za več mesecev podatkov.
Podjetje s stotimi uslužbenci bo v primeru napada obstalo za več dni, poslovna škoda pa je lahko ogromna – tudi od 200 do 300 tisoč evrov, kar je primerljivo z vsemi stroški zaščite za 15 let.
Kako razmišljajo in delujejo napadalci?
V veliki meri so to organizirane skupine z deset ali več kot sto člani. Eden ima nalogo ukrasti vaše geslo za elektronsko pošto, drugi ima nalogo pripraviti kampanjo lažnega predstavljanja (phishing, angl.), tretji spremlja izvajanje skripte.
Heker lahko relativno hitro pridobi elektronske naslove vseh uslužbencev podjetja. Če recimo heker oblikuje phishing napad, v okviru katerega imitira Office 365, in pošlje na elektronske naslove uslužbencev pošto, da je treba podaljšati naročnino, vam zagotavljam – in to je iz prakse –, da bo vsaj desetina uslužbencev potrdila podaljšanje z vnosom uporabniškega imena in gesla. Kaj to pomeni?
Od tistega trenutka naprej lahko heker bere vaša elektronska sporočila, spreminja vaše fakture in jih pošilja vašim strankam. Klient bo nakazal denar, potem pa bosta oba šele čez mesec ali dva ugotovila, da je bil denar nakazan na napačen transakcijski račun, torej na račun napadalca. Takrat je napadalca že praktično nemogoče ujeti.
Napadalci takšne vdore praviloma izvajajo ponoči. Zelo dobro namreč vedo, kdaj ste v službi – to jim pove programska oprema, ki je prek napada prišla v vaše omrežje in je v njem lahko skrita mesec ali dva, ker je antivirusni program ne zazna. Tako vedo, da je recimo najboljši čas za napad ob treh zjutraj, ne pa med službo.
Kako pa ob treh zjutraj deluje zaščita?
Za primer bom dal podjetje, ki ima na omrežje priklopljenih 30 računalnikov. Umetna inteligenca nam reče, da je strašno čudno, da se v soboto ob treh zjutraj nekdo z vašim geslom želi prijaviti v vaš sistem – glede na to, da je v preteklih mesecih ta oseba delala zgolj med tednom od 9. do 17. ure.
Ko to zaznamo, v treh minutah izvedemo triažo – kot na urgenci – in ugotovimo, za kaj gre. Sledi izolacija delovne postaje, da se tudi ostali računalniki v domeni podjetja ne okužijo z zlonamerno programsko opremo. Podamo tudi podrobno navodilo, kako se zlonamerne programske opreme ali kode znebiti.
Ko imaš enkrat ekipo strokovnjakov, ki je neprestano na preži, je to tisto, kar ljudje rabijo. Ker ne moreš nekoga ščititi samo osem ur na dan. Nobenega napada nismo preprečili ob 10. uri dopoldne, napadalci so bolj premeteni.
Koliko takšnih kibernetskih napadov je podprtih s strani državnih vlad? Koliko je torej napadov na kritično infrastrukturo drugih držav, ki so recimo sovražne?
Če dam za primer – motiv severnokorejskega voditelja Kima Jonga Una ni, da bo sesul slovensko energetiko, ampak je njegov motiv, da bodo njegovi strokovnjaki za kibernetske napade vdrli v sistem in podjetje prisilili v plačilo odkupnine. Z izsiljevanjem bodo napadalci lahko prišli do 200 ali 300 tisoč evrov v bitcoinih, ki jih bo država porabila za to, do bo zaobšla embargo in recimo kupila žito.
Podobno velja za ostale države, recimo Rusijo, ki ima znano hekersko skupino Dark Side, katere motiv je ponovno finančni. Zelo malo je politično motiviranih napadov, večinoma imajo finančni motiv. Ubijejo pa dve muhi na en mah – finančno se okoristijo in pomagajo svoji državi, da izpade močna, oziroma škodijo sovražni državi, da izpade šibka.
Poleg Rusije in Severne Koreje imajo dobro razvite enote za kibernetsko vojskovanje še Kitajska, Združene države Amerike (ZDA) in Izrael.
Kaj je etično hekanje (hacking, angl.) in kako deluje?
Etično hekanje pomeni, da v dogovoru s stranko napademo njene kibernetske sisteme in ugotovimo njihove ranljivosti. Etični napad traja približno dva tedna, pri tem pa uporabljamo ista orodja kot pravi napadalci. Po izvedenem napadu pripravimo poročilo, ki vsebuje vodstveni povzetek za upravo in tehnični del, ki vsebuje ugotovitve napada in navodila za sanacijo pomanjkljivosti. Potem ko podjetje opravi sanacijo, naredimo še verifikacijski test, s katerim poskusimo še enkrat vdreti v sistem in ugotoviti, ali je podjetje zadevo popravilo.
