.webp){kind=icon}
"Živeli smo v prepričanju, da smo nekakšna oaza miru sredi Evrope in da nas grožnje kar obidejo. Statistično smo sicer res ena najbolj varnih držav na svetu, ampak nam to z vidika kibernetske varnosti nič ne pove," je med drugim na konferenci o kibernetski varnosti v organizaciji Bloomberg Adria priznal Uroš Svete, direktor urada vlade za informacijsko varnost.
"Tudi pri nas smo se začeli zavedati tega, da nismo samo otoček v Evropi, ki ga nihče ne opazi, ampak smo tudi tarča kibernetskih napadov. To se je videlo na primeru ministrstva za zunanje zadeve," je pojasnil Gregor Spagnolo iz podjetja SSRD, ki je bil tudi tehnični vodja slovenske ekipe na vaji Locked Shields 21 pri Natu. V Sloveniji sicer ne opazijo veliko ciljanih napadov, veliko je šumov, pri čemer napadalci na splošno skenirajo sistem in iščejo ranljivost.
Nejc Pernek
Preberi še
Zakaj Slovenija v kibernetski obrambi pokorava svetovno elito?
Andraž Logar, 3fs: 'Sodelujemo v tekmovanju, kjer sodelujejo profesionalne vojske za kibernetsko bojevanje.'
27.10.2023
Kibernetski kriminal v regiji: koga napadajo hekerji in kako
Človeštvo bo še naprej povečevalo svojo odvisnost od tehnologije. Kako poskrbeti za varnost
25.10.2023
Kibernetskih napadov je sicer vsako leto več, so se strinjali sodelujoči na okrogli mizi. "Opažamo, da število napadov na leto raste nekje po 30-odstotni stopnji. Aktivnosti se intenzivirajo," je povedala Vesna Prodnik, članica uprave, odgovorna za tehnologijo, pri Telekomu Slovenije. Svete je nadaljeval, da tudi pri nas zaznavajo kibernetske aktivnosti, ki so povezane z ukrajinsko-rusko vojno in nedavnim konfliktom na Bližnjem vzhodu.
Nejc Pernek
"Napadalci iščejo sisteme, ki so nezavarovani in niso neposredno povezani z geografsko lokacijo. Po drugi strani pa smo kot država del zavezništev in se posledično napadalci osredotočajo tudi na nas," pravi Svete. V obeh primerih je največji izziv, kako tovrstne napade preprečiti.
"Naloga države je, da zaščiti državljane pred njihovo lastno neumnostjo, to je nacionalna varnost. Da lahko država prek lastnega aparata, sistemov, zavaruje državljane," je prepričan Uroš Svete.
Nejc Pernek
Bančna regulativa prisilila banke v obrambo
Ena od poti, kako preprečiti kibernetske napade oziroma se pred njimi vsaj poskusiti zavarovati, je zakonodaja. Bančni sektor kot tak velja za enega najbolj kibernetsko varnih. "Banke je evropska zakonodaja že pred leti prisilila, da so razvile varnostne sisteme. Formalni pritisk je tisti, ki je prispeval k temu, da so banke bolj odporne proti kibernetskim grožnjam," je povedal Rok Praprotnik, direktor skladnosti poslovanja in krepitve integritete v NLB.
Na evropski ravni je bilo po podatkih NLB lani šest odstotkov vseh incidentov osredotočenih na banke, medtem ko jih je bilo na posameznika še enkrat več, 11 odstotkov. "Poskušajo izkoristiti ranljivost, naivnost komitentov, denimo tudi prek znane metode spletnega ribarjenja," pojasnjuje Praprotnik.
Banka v tem kontekstu ni tarča napada, ampak gre za posredno povezanost. "Vsaka žrtev, ki je izgubila vse prihranke, je tragedija zase. V zadnjih letih smo zato precej investirali v ozaveščanje," je dejal Praprotnik.
Nejc Pernek
Tako pri NLB poskušajo tudi s pomočjo zunanjih partnerjev proaktivno zaznavati, ali se pripravlja kakšna aktivnost, ki bi jih ogrožala ali izkoriščala njihov logotip, identifikacijske faktorje, da bi lahko kasneje izvrševali kazniva dejanja. "Ker je metoda spletnega ribarjenja trenutno zelo aktualna, smo uspeli pravočasno zaznati tovrstne aktivnosti, še preden se realizirajo v polnem zamahu. Že med testiranjem smo opazili 80-odstotni upad strani, ki so se predstavljale kot NLB," je navedel Praprotnik. Ker so napadalci ugotovili, da so težja tarča, so se lotili nekoga drugega.
Ozaveščanje je maraton
"Ozaveščanje je maraton, do takrat pa je treba narediti vse, da zmanjšamo učinek," je prepričan Praprotnik. Tudi Svete z državnega urada je prepričan, da je vsaka kampanja ozaveščanja izjemno pomembna, vendar je vse več napadov, ki temeljijo na generativnih jezikovnih modelih umetne inteligence, ki so posledično jezikovno bolj izpopolnjeni.
"Zato samo z ozaveščenjem ne bo več šlo, ker se bo še vedno našlo med 20 in 30 odstotkov takih, ki bodo nasedli. Treba je razmišljati, kako postaviti takšen sistem na nacionalni ravni, ki bo proaktivno dejaven pri iskanju, da bomo razbremenili končne uporabnike, ki so najbolj na udaru," je jasen Svete.
Ena največjih kibernetskih groženj je tudi izpad električnega omrežja. "Že samo za opravljanje naših nalog moramo gledati stanje omrežja pri sosednjih operaterjih, izmenjujemo si tudi večje količine podatkov. Mrežni kodeksi so nekaj, kar pride pred samo regulativo in zahteva prilagoditve z naše strani," je povedal Gorazd Ažman, direktor področja za informatiko in telekomunikacije pri Elesu. Kot pravi, mora vsak operater opraviti svojo vlogo, pomembne pa so izmenjave izkušenj tudi z drugimi operaterji.
"Na eni strani regulativa pomaga k argumentom za investicije, podjetja so primorana investirati več, kot bi sicer. Na drugi strani pa imamo vse zaposlene, ki so najbolj ranljiva točka in jih je treba izobraževati," pravi Ažman.
Kot je plastično pojasnil: "Ko pošljemo zaposlenega na službeno pot, mora imeti izpit kategorije B, ampak da bi šli v tako skrajnost, da bi od zaposlenih zahtevali izpit za uporabo računalnika? Za nekatere zaposlene pa smo vzpostavili test, ki ga morajo prestati."
Po njegovih besedah morajo zaposleni razumeti, zakaj nekatere prijave v sistem trajajo dalj časa, zakaj je denimo pomembna dvofaktorska avtorizacija. "Odlašati in čakati na regulativo se mi ne zdi prava pot, ker se zato podjetje nekaterih stvari ne loteva," meni Ažman.
Nova evropska direktiva, novi problemi za podjetja?
Prihajajo tudi nove regulatorne obveze na evropski ravni. Evropska pravila o kibernetski varnosti, uvedena leta 2016, so bila posodobljena z direktivo o varnosti omrežij in informacij, ki je začela veljati letos. S tem se je posodobil obstoječi pravni okvir, da bi sledil povečani digitalizaciji in spreminjajočim se razmeram, ki ogrožajo kibernetsko varnost. Podjetja, ki jih države članice opredelijo kot izvajalce bistvenih storitev v navedenih sektorjih, bodo morala sprejeti ustrezne varnostne ukrepe in ustrezne nacionalne organe obvestiti o resnih incidentih.
Zadostitev novi direktivi bo po besedah Spagnola za srednja in manjša podjetja večji izziv, ker nimajo na voljo toliko sredstev. "Neka trgovina, ki ima 50 tisoč evrov prometa letno, ne bo mogla dati skoraj polovico tega za kibernetsko varnost. To bo velik izziv, ampak podjetja, ki skrbijo za varnost teh malih in srednjih podjetij, bi morala produkte razviti tako, da so avtomatično zavarovani," pravi Spagnolo.
Praprotnik pa poudarja pomen odgovornosti. "Če imamo kot posamezniki možnost, da ustanavljamo podjetja, moramo prevzeti tudi odgovornost. To velja tako na strani prihodkov in stroškov kot za zaščito informacijskega sistema," meni Praprotnik. Pozna več primerov, ko so z ugrabitvijo e-poštnih naslovov velikih podjetij razkrili gesla. "Nihče ni opazil, da je prišlo do zlorabe, medtem ko so v manjšem družinskem podjetju takoj opazili, da se dogaja nekaj čudnega," je navedel Praprotnik.
Spremeniti je treba tudi zavedanje podjetnikov. Za zavezance regulative je namreč nujno, da vsak kibernetski napad prijavijo, ampak to se ne dogaja vedno. "Podjetniki namreč mislijo, da bo vsaka prijava zrušila ugled podjetja. Potrebna pa je druga logika, da prijava kaže na določeno zrelost podjetja. Vsi smo odvisni drug od drugega, vaša informacija bo danes pomembna zame, jutri pa moja za vas," pravi Svete.
Kibernetska varnost je del splošne varnosti
Ko se pogovarjamo o varnosti na splošno, govorimo o tem že v vrtcih in šolah, je dejal Spagnolo. "Kot družba se ne zavedamo, da bi morala biti kibernetska varnost vpeljana že takoj na začetku. Starši se ne zavedamo, kakšne nevarnosti pretijo otroku, ko mu damo v roke tablico. Ne gre samo za spletne izsiljevalske napade, modele spletnega ribarjenja, ampak tudi za kibernetsko ustrahovanje (cyber bullying) in seksualno izsiljevanje (sextortion)," je dejal Spagnolo.
Kot družba se moramo po njegovih besedah zavedati, da je kibernetska varnost del splošne varnosti. "Kibernetika nam je položena v zibelko, obstajajo baby kamere, prek katerih lahko napadalci vse vidijo. Kibernetska varnost postaja del našega vsakdana," je prepričan Spagnolo.
"Delovati moramo na več platformah. Regulacija je en del, potem pa je še ozaveščanje. Premalo izpostavljena pa je odgovornost proizvajalcev. Koliko govora je bilo denimo o avtomobilski industriji, ko zavorni sistemi niso delovali in kakšne odškodnine so morali plačati," je poudaril Svete.
Na drugi strani pa po njegovih besedah varnostne pomanjkljivosti pri programskih operaterjih ne jemljemo kot anomalija, ampak kot nekaj normalnega. "Nikoli z vidika same vrednosti poslovanja ni bilo v zgodovini nikogar, ki bi bil večji od informacijskih podjetij, tudi te nosijo svojo odgovornost," meni Svete.
