Proti kibernetičnemu kriminalu s široko fronto

Računalniška kriminaliteta je resen problem, a strategije kibernetične varnosti še nimamo. Po nekaj letih nastajanja naj bi jo vlada končno obravnavala ta teden.

Kakšno je stanje kibernetičnega kriminala v Sloveniji, potem ko ste lani ugotavljali, da se je število obravnavanih incidentov v zadnjih letih povečalo za šestkrat in da tudi za leto 2015 pričakujete, da bo prijavljenih več kot 2000 kršitev?

Porast obravnavanih incidentov kaže na porast s tem povezanega kibernetičnega kriminala. Tega je težje preganjati, saj se kriminalci lahko skrivajo z različnimi tehnološkimi ukrepi ali pa izvajajo aktivnosti iz držav, kjer uradni pregon ni mogoč: takšen primer so izsiljevanja z intimnimi posnetki (sextortion), kjer so storilci vsi po vrsti v Slonokoščeni obali. Zato je odzivanje na kibernetični kriminal in grožnje treba zastaviti širše, ne le v kontekstu uradnega pregona kaznivih dejanj. Če vzamem lanski primer dolgotrajnega phishing napada na komitente šestih bank v Sloveniji, je bilo treba aktivno onemogočati napadalce s tem, da smo na SI-CERT s pomočjo mednarodne mreže odzivnih centrov odstranjevali lažne strani bank, jih dajali na zaščitne sezname in v dogovoru z bankami prevzeli tudi obveščanje javnosti. Indici kažejo, da so storilci operirali iz Ruske federacije in tudi morebitni uspešni pregon lahko da rezultate šele v daljni prihodnosti, z drugimi ukrepi pa je treba doseči, da denarja ne bodo mogli ukrasti ali pa to vsoto čim bolj zmanjšati.

Pri drugih vrstah incidentov je pomembno ozaveščanje. S programom na varninainternetu.si usmerjamo posameznike in manjša podjetja, ki nimajo lastne ekipe IT-strokovnjakov. Lani smo obravnavali malo manj kot 2000 varnostnih incidentov, zdaj se ukvarjamo z izsiljevalskimi virusi, ki zašifrirajo datoteke. Kampanja, ki jo storilci izvajajo ta mesec, prek lažnih računov za plačila po elektronski pošti meri tudi na podjetja. Ker ravno pripravljamo poročilo o omrežni varnosti za lani, lahko povem, da se oškodovanja v posameznem primeru gibljejo od nekaj deset pa do 20.000 evrov.

Ali strategija kibernetične varnosti, ki naj bi bila kmalu v vladi, dovolj jasno opredeljuje glavne akterje in orodja v boju s tem kriminalom?

Strategija poskuša urediti ravno široko obravnavanje kibernetičnih groženj, ki sem ga omenil. Nastaja že nekaj let, zato menim, da je prav, da se končno sprejme. Namen strategije je reševanje operativnega spopadanja s kibernetičnimi grožnjami, je pa počasnost sprejemanja cokla, ki to ovira. Kljub šestkratnem povečanju incidentov v šestih letih so kapacitete nacionalnega odzivnega centra ostale nespremenjene in smo skupaj z Bolgarijo in Malto na repu EU.

A da ne bo izpadlo vse črno: mislim, da strategija ureja ustrezna področja in daje izhodišča za konkretizacijo v akcijskem načrtu, ki pa mora še nastati. Podpiram to, da je v strategiji tudi zaščita državljanov oziroma prebivalcev, in ne le varno okolje za gospodarstvo.

Kaj je bistveno za podjetja, kaj za posameznika, ko odkrijejo napad?

Večja podjetja naj izdelajo scenarije ukrepanja ob grožnjah ali napadih. Določijo naj ljudi, ki bodo odgovorni za informacijsko varnost. Tako velika kot majhna podjetja naj se ob napadu obrnejo na SI-CERT. Pomagali jim bomo ugotoviti, za kakšen napad gre, pri preiskovanju in zbiranju dokazov ter predlagali zaščitne ukrepe. Podjetja prevečkrat molčijo in nočejo sporočiti, da so bila tarča napada, čeprav je to nekaj povsem običajnega. Velikokrat si sama ne morejo ustvariti slike o ozadju, kontekstu napada in uporabljenih tehnikah, saj nimajo izkušenj. Te lahko ponudimo na SI-CERT, kar so v letih sodelovanja spoznali tudi v slovenskih bankah. Vse to samo še bolj velja za mala podjetja.