.webp){kind=icon}
Nedavni kibernetski napad na Holding Slovenske elektrarne (HSE), ki je konec minulega tedna prizadel njihov informacijski sistem, poraja številna vprašanja na področju kibernetske varnosti slovenskih podjetij. Se ti lahko ponovijo, lahko v večjem obsegu prizadanejo infrastrukturo ali gospodarstvo?
V HSE, kjer zagotavljajo, da uspešno rešujejo situacijo in da ključni sistemi za obratovanje elektrarn in trgovanje delujejo, še vedno potekata natančna analiza in diagnostika dogodkov, zato veliko podrobnosti o napadu še ni znanih. Zanikajo pa neuradne informacije, da naj bi dobili milijonski odškodninski zahtevek.
Kibernetski napadi v Sloveniji niso novost, v zadnjem obdobju so o tovrstnih napadih poročali predvsem iz bank, ministrstev in raznih podjetij. Aprila letos je bilo tarča kibernetskega napada ministrstvo za zunanje zadeve, ti napadi pa so bili v preteklosti usmerjeni v kriptomenjalnice, kot sta Bitstamp in NiceHash.
Preberi še
Zgodbe dneva: Kibernetski napad na HSE in intervju z Boštjančičem
V HSE odpravljajo posledice kibernetskega napada na informacijski sistem
27.11.2023
HSE po kibernetskem napadu omejil posle; podrobnosti napada ne razkrivajo
Iz previdnosti so v HSE nekoliko omejili izvajanje posameznih poslov; katerih, ne pojasnjujejo
27.11.2023
Je napad na HSE kibernetski stresni test za državo?
Napad na HSE se je zgodil sredi minulega tedna, a do prvega vdora bi lahko prišlo že mnogo prej.
27.11.2023
Kibernetski napadi vse intenzivnejši, podjetja neustrezno zaščitena
Večje organizacije pogosto zmotno menijo, da so ustrezno zaščitene.
20.11.2023
Lani so na SI-CERT, nacionalnem odzivnem centru za kibernetsko varnost, obravnavali 45 incidentov iz kategorije izsiljevalskih kriptovirusov. To številko ocenjujejo kot vrh ledene gore, saj veliko podjetij kibernetskih napadov niti ne prijavi.
Višina odkupnine je odvisna tudi od velikosti podjetja in lahko presega milijonske zneske.
Opažajo, da so se v zadnjih letih napadalci preusmerili z domačih uporabnikov, torej posameznikov, na podjetja. "Na udaru so predvsem mala in srednje velika podjetja, ki po eni strani praviloma nimajo na voljo sredstev za sistematično ukvarjanje z informacijsko varnostjo, zaradi česar so zelo ranljiva na omrežne napade, po drugi strani pa je njihovo poslovanje pogosto povsem odvisno od delovanja informacijskega sistema," so pojasnili za Bloomberg Adria.
SI-CERT: "Podjetjem ob zlorabi pogosto ne preostane drugega, kot da napadalcem plačajo odkupnino."
Uradnih kazalnikov, na podlagi katerih bi lahko ocenili zavedanje podjetij o problematiki informacijske varnosti, na SI-CERT nimajo, menijo pa, da se stanje izboljšuje. Vendar je ta proces prepočasen, predvsem pri malih in srednje velikih podjetjih.
Nepotreben strošek ali pametna naložba?
Vlaganja v informacijsko varnost vodstva pogosto obravnavajo kot nepotreben strošek, kar pa ima za podjetja lahko zelo hude posledice in se nemalokrat spremeni šele takrat, ko že pride do kibernetskega napada in povzročene škode.
Posledice so lahko zelo hude, predvsem pa so odvisne od vpetosti delovanja podjetja v informacijsko tehnologijo. "Pogosto je posledica kibernetskega napada ohromitev delovanja podjetja, ki lahko traja tudi več dni ali tednov. Znesek odkupnine šifrirnega ključa pa je pogosto previsok, da bi si ga podjetje privoščilo plačati," dodajajo v nacionalnem odzivnem centru za kibernetsko varnost.
Na podlagi trenutnih informacij napad na informacijski sistem HSE nima pomembnega vpliva na neprekinjeno izvajanje bistvenih storitev pri proizvodnji in prenosu električne energije v Sloveniji.
HSE
"Univerzalne rešitve žal ni," so še dodali o načinih zavarovanja pred kibernetskimi napadi. "Metode zaščite informacijskih sistemov so odvisne tako od velikosti in strukture organizacije kot od vrednosti podatkov, ki se ščitijo."
Varnost mora biti večplastna in implementirana na različnih ravneh. Minimalna osnova, na kateri je treba zgraditi celoten varnostni sistem, so večfaktorska avtentikacija na vseh zunanjih dostopih, varnostno kopiranje podatkov, postopki za odpravo ranljivosti ter redno izobraževanje zaposlenih.
