Sredi decembra je iz naše največje banke NLB prišla informacija, da se je zgodil že drugi kibernetski vdor v informacijski sistem banke v zadnjem letu. Pri banki so v pojasnilu zapisali, da so odkrili tehnično napako v IT-sistemu, zaradi katere bi lahko "omejeno število komitentov" prek aplikacije NLB Klik imelo "teoretično možnost" vpogleda v del stanja naložb "omejenega števila drugih komitentov".
Omenjeni incident, ki naj bi se po pojasnilih banke zgodil med 25. novembrom in 6. decembrom, skupaj z vdorom in krajo podatkov v Holdingu Slovenske elektrarne (HSE), je zgolj vrh ledene gore trenda, ki kaže na skrb zbujajočo sliko vse pogostejših kibernetskih napadov. Ob tem se poraja vprašanje, kako varni so naši osebni podatki, ki jih hranijo različna podjetja, od bank, zavarovalnic in energetskih podjetij pa vse do živilskih trgovcev in avtomobilskih servisov.
Pri varovanju osebnih podatkov podjetja nosijo veliko odgovornost
Razmere doma odražajo svetovno sliko kibernetske (ne)varnosti, ki je bila v minulem letu precej klavrna. Kot kažejo podatki podjetja za kibernetsko varnost Secureworks, je bilo v štirih mesecih do oktobra število žrtev napadov z izsiljevalsko programsko opremo (ransomware), ki tako kot HSE niso hoteli plačati odkupnine za ukradene podatke, najvišje doslej. Revija The Economist navaja podatke podjetja Chainalysis, ki kažejo, da so plačila odkupnin med januarjem in junijem lani skupaj nanesla 449 milijonov dolarjev, medtem ko jih je bilo v celotnem letu 2022 za približno 559 milijonov dolarjev.
Preberi še
Kevin R. Powers o kibernetski varnosti: To je ključna strategija podjetij
Trg kibernetske varnosti naj bi do leta 2031 presegel 500 milijard dolarjev.
31.12.2023
Kibernetski kriminalci: Kdo je naslednji?
Višina odkupnine je odvisna tudi od velikosti podjetja in lahko presega milijonske zneske.
29.11.2023
HSE po kibernetskem napadu omejil posle; podrobnosti napada ne razkrivajo
Iz previdnosti so v HSE nekoliko omejili izvajanje posameznih poslov; katerih, ne pojasnjujejo
27.11.2023
Zgodbe tedna: Kibernetski napadi, nacionalna varnost in NLB
Začetek tedna je zaznamovala razprava o kibernetski varnosti, ki ni več le področje informatikov, ampak najvišjih ravni vodstev podjetij (in držav).
11.11.2023
Zakaj Slovenija v kibernetski obrambi pokorava svetovno elito?
Andraž Logar, 3fs: 'Sodelujemo v tekmovanju, kjer sodelujejo profesionalne vojske za kibernetsko bojevanje.'
27.10.2023
Z vprašanjem o tem, kako je v domačih podjetjih urejeno občutljivo področje varovanja osebnih podatkov, smo se obrnili na informacijskega pooblaščenca. Ta glede varovanja osebnih podatkov navaja, da morajo podjetja spoštovati splošno uredbo o varstvu podatkov (GDPR). Poleg uredbe, ki postavlja enotna pravila za varstvo osebnih podatkov v EU, dodatna vsebinska in postopkovna vprašanja pri nas določa tudi zakon o varstvu osebnih podatkov (ZVOP-2), ki je stopil v veljavo lani.
Podjetjem, ki informacijskemu pooblaščencu ne prijavijo kibernetskega napada po uredbi, grozi globa v višini 10 milijonov evrov oziroma dveh odstotkov skupnega svetovnega prometa.
Informacijski pooblaščenec opozarja, da imajo podjetja, ki hranijo oziroma upravljajo osebne podatke, veliko odgovornost, saj "upravljajo zelo vredne podatke, ki jim poleg povzročitve poslovne škode lahko prinesejo tudi visoke globe zaradi neustrezne varnosti po uredbi." Neimenovani strokovnjak za kibernetsko varnost je v zvezi z incidentom v NLB za Bloomberg Adria ocenil, da si je banka v obeh primerih privoščila "notorično malomarnost", ki je posledica "neustreznega razumevanja digitalizacije".
Njihova statistika o obvestilih o kršitvi varnosti osebnih podatkov, za kar so podjetja zakonsko obvezana, kaže, da je bilo teh predlani 86 (13 zaradi hekerskih vdorov). Statističnih podatkov za leto 2023 še nimajo, so pa zapisali, da bo po pričakovanjih prijav "več kot lani". Dodajajo, da obstaja možnost, da o vseh napadih niso obveščeni, za kar pa je po uredbi predpisana zajetna globa v višini 10 milijonov evrov (ali dva odstotka skupnega svetovnega prometa podjetja).
Informacijski pooblaščenec: Večmilijonske globe za malomarnost
Na širše razsežnosti lahkomiselnega pristopa k varovanju podatkov, zaradi katerih se občutno poveča ranljivost podjetja, opozarja tudi pooblaščenec. Škoda kibernetskih napadov je namreč po njegovem mnenju bistveno večja od zgolj denarnih kazni, saj ta povzročijo "večkratno škodo" v obliki poslovne škode in izgube zaupanja pri strankah.
Kako se ravna z osebnimi podatki oziroma kako jih ustrezno zaščiti, prav tako določa omenjeni ZVOP-2, ki od lani "uvaja nova strožja pravila, zlasti za varnost podatkov v informacijskih sistemih, v katerih se hranijo podatki upravnih notranjih zadev, finančne uprave, državljanstva, zdravstva". Pri NLB so nam v zvezi s kibernetsko zaščito pojasnili, da pri tem sodelujejo z "vrhunskimi strokovnjaki za informacijsko varnost in regulatornimi organi", s čimer zagotavljajo skladnost z "varnostnimi predpisi".
Upravljavec osebnih podatkov mora sprejeti ukrepe za zagotavljanje varnosti osebnih podatkov, kamor spadata njihova psevdonimizacija in kriptiranje. Če upravljavec tega ne upošteva, uredba predpisuje milijonske globe.
Pooblaščenec navaja, da mora upravljavec osebnih podatkov sprejeti ukrepe za zagotavljanje varnosti osebnih podatkov, med drugim tudi ob upoštevanju "tveganj za pravice in svoboščine posameznikov". Sem spadata psevdonimizacija podatkov in kriptiranje. Če upravljavec tega ne upošteva, uredba predpisuje enake globe kot v omenjenem primeru neobveščanja.
Stroka: Ruske in kitajske zmogljivosti so znatne
Za incidenta v NLB in HSE nam je Denis Trček, predavatelj s Fakultete za računalništvo in informatiko Univerze v Ljubljani in predstojnik laboratorija za e-medije, pojasnil, da po razpoložljivih podatkih nista povezana. S to oceno se strinjajo tudi v Nacionalnem odzivnem centru za kibernetsko varnost SI-CERT. Kljub temu Trček pravi, da še zdaleč nista "osamljena primera tovrstnih napadov v zadnjem času na pomembne strukture v Sloveniji".
Podatki SI-CERT kažejo, da so "v prvi polovici leta 2023 na podlagi 3.477 prejetih prijav odprli 1.191 incidentov in 711 primerov, ki jih je obravnavala prvolinijska pomoč," pojasnjujejo. O tem, kakšna je gospodarska škoda tovrstnih napadov, nimajo podatkov. Navedli pa so primer iz leta 2022, ko so hekerji za vrivanje v poslovno komunikacijo (business email compromise ‒ BEC fraud) od nekega podjetja zahtevali tri milijone evrov, pri čemer dodajajo, da poskus ni bil uspešen.
Ocenjujejo, da so s tega vidika ranljiva zlasti mala in srednje velika domača podjetja, ki "nimajo zagotovljenih virov za krepitev varnosti". Kljub temu dodajajo, da se zavedanje o kibernetski varnosti v slovenskih podjetjih "zadnja leta izboljšuje", vendar pa bi si želeli, da bi bil "ta proces hitrejši".
Trček pri kibernetski varnosti opozarja, da je treba upoštevati tudi širše geopolitične razmere. "Čeprav so hekerske skupine videti neodvisne, so večkrat povezane s političnimi centri," opozarja. Ob tem dodaja, da je tudi "veliko število visoko usposobljenih strokovnjakov za kibernetsko varnost," ki jih lahko ustvari Slovenija (tudi na državni ravni), "premalo v luči ruskih ali kitajskih kapacitet". Zato meni, da je za podjetja nujno, da so aktivno povezana v "ustrezne domače infovarnostne strukture in tiste v integracijah (EU, Nato)".
.webp){kind=icon}
