Do zaupnih dokumentov lahko pridemo v nekaj urah

»Kibernetski kriminalci niso na drugem koncu sveta. So v tvojem 'inboxu' (elektronskem nabiralniku, op. avt.)«, je uvodna misel tretjega dela podkasta, ki nas vpelje v svet digitalne varnosti skozi pogovor z Daliborjem Vukovičem, strokovnjakom za kibernetsko varnost pri Telekomu Slovenije. V podkastu Tehnološki velikani razkrije, zakaj so antivirusni programi postali bolj kot ne digitalni muzejski eksponat, kako potekajo sodobni spletni napadi in zakaj prihodnost sloni na dejavni preventivi ter osebni odgovornosti vsakega izmed nas.

Slovenija med svetovno elito 5G, v Portorožu tudi dron

Kdo so etični hekerji in kaj sploh počnejo?

»Delamo nelegalne stvari – na legalen način,« pravi Dalibor Vukovič in s tem povzame bistvo poslanstva etičnega hekerja. To so posamezniki, ki uporabljajo enake metode in orodja kot spletni kriminalci, a z eno ključno razliko: delujejo z izrecnim dovoljenjem in v dobrobit naročnika, kar je običajno podjetje, državna institucija ali druga organizacija.

Njihov cilj ni povzročiti škode, temveč želijo razkriti varnostne ranljivosti sistema, še preden jih izkoristijo zlonamerni napadalci. V praksi to pomeni, da poskušajo vdreti v informacijsko infrastrukturo naročnika, preverjajo varnost sistemov, skušajo dešifrirati gesla ali celo preizkušajo pozornost zaposlenih z lažnimi napadi ribarjenja za podatki (phishing napadi). »Veliko podjetij nas najame, da ‘preverimo njihovo trdnost’. Če pridemo do zaupnih dokumentov v nekaj urah, je to zelo zgovoren rezultat«, razloži Vukovič.

Večina teh strokovnjakov prihaja s področij informatike, kasneje pa se specializirajo in pridobivajo priznane certifikate, kot so CEH, in  OSCP. Pri njihovem znanju imajo pomembno vlogo tudi mednarodna izobraževanja, ki najpogosteje potekajo v tujini.

Zakaj je antivirus »mrtva« tehnologija in EDR nov standard?

Mnogi uporabniki še vedno živijo v iluziji, da jih klasični protivirusni program ustrezno varuje pred sodobnimi kibernetskimi grožnjami. Kot v pogovoru opozori Vukovič, gre za nevarno zmoto. »Antivirus je za današnje čase prešibka zaščita. Gre za tehnologijo, ki je temeljila na bazi poznanih groženj. Če napadalec uporabi nekaj novega, kar še nikoli ni bilo zabeleženo – antivirus odpove«, pravi Vukovič.

Tradicionalni antivirusni sistemi delujejo na osnovi metodologije prepoznavanja podpisov (signature-based) – torej iščejo znane vzorce in skripte škodljive programske kode. A svet kibernetske varnosti se je dramatično spremenil. Z razvojem umetne inteligence lahko napadalci ustvarjajo vedno nove, mutirajoče viruse, ki nimajo statičnega zapisa. Tako imenovane grožnje ničtega dne (angleško zero-day threats) so za običajne protivirusne programe  nevidne, saj zanje še ne obstajajo ustrezni »podpisi« oziroma prepoznavni vzorci. Po besedah Vukoviča pri tem velja ista logika kot v medicini: »Antivirus deluje, ko je okužba že znana. Če pride nova bolezen, cepiva še ni – in smo ranljivi«.

Zato prihodnost varnosti sloni na rešitvah nove generacije, kot sta sistema EDR (Endpoint Detection and Response – zaznavanje in odzivanje na končnih točkah) in XDR (Extended Detection and Response – razširjeno zaznavanje in odzivanje). To so sistemi, ki ne temeljijo na iskanju znanih groženj, temveč v realnem času spremljajo obnašanje – tako uporabnikov kot samih sistemov.

Kaj to pomeni v praksi? Če zaposleni nenadoma začne dostopati do sistemskih datotek, do katerih običajno ne dostopa, ali če se datoteka zažene s sumljive lokacije, kot je mapa za začasne datoteke (Temp), sistem to zazna kot anomalijo. Kot pravi Vukovič: »EDR gleda, kako se program obnaša – ali počne nekaj nenavadnega. Se odpira Word dokument, ki se povezuje z zunanjim IP-jem? Zakaj? Zakaj se iz računovodskega sistema pošiljajo podatki na strežnik na Kitajskem?«

Eden ključnih mehanizmov teh naprednih sistemov je tako imenovani peskovnik (angleško sandboxing). To je tehnika, pri kateri se nova ali sumljiva koda najprej zažene v varnem, izoliranem okolju, kjer sistem natančno spremlja njeno delovanje. Če ugotovi, da skripta poskuša vzpostaviti povezavo z zunanjim strežnikom, izbrisati datoteke ali spremeniti sistemski register, jo označi kot škodljivo – ukrepanje pa steče, še preden pride do dejanske škode.

Dalibor izpostavi še eno pomembno komponento: reakcijski čas. »Ko antivirus najde virus, ste morda že okuženi. Ko pa EDR nekaj sumi, se lahko takoj sproži odziv – izolacija računalnika, odklop s strežnika, opozorilo IT oddelku. Hitrost pomeni razliko med incidentom in katastrofo«.

V današnjem svetu, kjer so skoraj vsa podjetja in posamezniki povezani v digitalna omrežja, je zanašanje zgolj na protivirusni program podobno, kot da bi pustili vrata svojega doma odklenjena – samo zato, ker verjamete, da živite v varni soseski. Občutek varnosti brez dejanske in napredne zaščite je nevarna iluzija.

Ko se hekerji lotijo človeških čustev in ne računalnika

»Ljudje smo največja ranljivost. Nismo neumna naprava, smo čustvena naprava«, pravi Vukovič in s tem neposredno nakaže, zakaj se večina sodobnih kibernetskih napadov ne začne z zlonamerno kodo, temveč s preprostim, a psihološko dobro premišljenim elektronskim sporočilom ali telefonskim klicem.

Čeprav se javnost pogosto osredotoča na tehnične vidike hekerskih napadov – zapletene skripte, vdore v omrežja, ranljivosti v programski opremi – velika večina napadov danes poteka prek socialnega inženiringa. Napadalci namreč spretno izkoriščajo človeško zaupljivost, nepazljivost, včasih pohlep ali celo osamljenost.

Klasičen napad: »Vaš paket je zadržan …«

V podkastu je Vukovič opisal nekaj vsakodnevnih prevar, s katerimi se srečujejo prebivalci Slovenije. Eden najbolj razširjenih primerov je SMS-sporočilo, ki naj bi ga poslal dostavljavec paketov ali kurirska služba. Sporočilo navaja, da je vaš paket zadržan in da morate za njegov prevzem klikniti na priloženo povezavo ter potrditi osebne podatke ali celo plačati nekaj centov. »Ko vpišeš podatke, si že v pasti. Povezava vodi na zlonamerno spletno stran, ki morda celo izgleda kot uradna stran banke ali kurirskega podjetja. V resnici pa se tvoji podatki v ozadju pošiljajo napadalcu«, pojasni Vukovič.

Naprednejši napadi: Glas direktorja, ustvarjen z umetno inteligenco

Še nevarnejši pa so napadi, ki ciljajo na podjetja. »Heker se je predstavil kot direktor podjetja, uporabil deepfake glas (računalniško generiran glas, ki posnema glas resnične osebe, op. avt.) in rekel – ‘Sem iz IT-ja, potrebujem tvojo prijavo.’ Zaposleni je verjel in upošteval navodila«, razlaga Vukovič. Te metode postajajo iz dneva v dan bolj dovršene, saj lahko napadalci z umetno inteligenco že skoraj popolnoma poustvarijo glasove, videz in slog komunikacije resničnih oseb.

Čustvena manipulacija: Ljubezenske prevare

Eden najbolj pretresljivih vidikov, ki jih je izpostavil, so romantične prevare. Napadalci s pomočjo lažnih profilov na facebooku ali drugih družbenih omrežjih navežejo stik z osamljenimi posamezniki – pogosto vdovami ali vdovci. »Pojavi se profil ‘ameriškega vojaka’, ki piše ponavadi starejši ženski, ki je izgubila moža. V nekaj tednih vzpostavi čustveno vez, potem pa začne z izsiljevanjem – zbolel je otrok, potrebna je operacija ... Žrtev pade v čustveno spiralo in prične nakazovati denar«.

Vukovič omeni primer, ko je ženska iz Slovenije tako izgubila več kot 15.000 evrov, ne da bi posumila, da gre za prevaro. Ko je končno ugotovila, da oseba nikoli ni obstajala, se je zaradi sramu umaknila in zadeve ni prijavila policiji.

»Človeška neumnost in pohlep nimata meja«, pove Vukovič in opozarja, da ti napadi ne poznajo meja, niti starostnih. Tarče so tako mladi, ki iščejo hitre zaslužke, kot starejši, ki iščejo družbo ali pomoč.

Pomemben del problema je tudi stigmatizacija žrtev. Ljudje, ki jih prevarajo, pogosto bojijo priznati, da so nasedli. Sram, občutek krivde in strah pred posmehom jih utišajo – kar napadalci s pridom izkoriščajo. Tako ostane veliko napadov neprijavljenih, napadalci pa nekaznovani. »Treba je ustvariti okolje, kjer žrtve lahko spregovorijo, kjer jih ne obsojamo, ampak zaščitimo in izobrazimo«, poudarja Vukovič.

Geslo123 še vedno preveč pogosto

Čeprav že desetletja poslušamo opozorila, da morajo biti gesla dolga, zapletena in za vsako storitev edinstvena, uporabniki še vedno množično uporabljajo preproste kombinacije, kot so »Geslo123«, »Admin« ali kar ime svojega hišnega ljubljenčka. Vukovič v pogovoru izpostavi, da večina hekerskih napadov ne zahteva visokotehnološkega znanja – pogosto zadostuje že slaba digitalna higiena uporabnika.

Svetuje uporabo vsaj treh različnih, močnih gesel: eno za službene račune, drugo za osebne zadeve (bančništvo, elektronska pošta) in tretje za družbena omrežja. Zakaj? Ker če nekdo vdre v eno storitev – denimo v družbeno omrežje – s tem pogosto pridobi tudi dostop do elektronske pošte, prek katere lahko nato ponastavi gesla za druge, še pomembnejše storitve.

Podkast Tehnoliški velikani z vodjo za kibernetsko varnostne rešitve Daliborjem Vukovičem. FOTO: Luka Maček

Vukovič opozori tudi na razširjen mit, da mora biti geslo tako zapleteno, da si ga je nemogoče zapomniti. »Ni nujno, da si gesla ne moreš zapomniti. Lahko si ustvariš tako imenovano geselsko frazo (angleško passphrase), torej daljšo poved, ki jo poznaš samo ti – na primer ‘NaMorjuPijemKavoOb07h!’ – to je za večino napadalcev več kot dovolj zapleteno, hkrati pa si jo lahko zapomniš«.

Za večino uporabnikov pa so danes nepogrešljivo orodje upravitelji gesel (angleško password managers) – digitalne ključavnice, ki omogočajo varno shranjevanje in upravljanje številnih gesel. A tudi tu se skriva past. »Brezplačne rešitve pogosto shranjujejo podatke v oblaku brez ustrezne zaščite. Priporočam uporabo plačljivih in preverjenih programov, ki podatke šifrirajo lokalno na vaši napravi«, poudari Vukovič. Ob tem svetuje še redno menjavanje gesel, še posebej po obvestilih o morebitnih vdorih v podatkovne baze spletnih storitev. Poleg tega je nujen vklop večfaktorske avtentikacije (MFA) povsod, kjer je to mogoče.

»Geslo je danes le ena plast. Napadalci znajo to plast zelo hitro prebiti. Potrebujete še drugo zaščito – na primer SMS kodo ali potrditveno aplikacijo«.

Pametni dom kot nova tarča

Kibernetski napadi niso več omejeni na podjetja, banke ali državne institucije – danes je lahko tarča vsak dom. Pametne naprave, ki naj bi nam izboljšale kakovost bivanja – od kamer, termostatov in pametnih ključavnic do tiskalnikov in zvočnikov – pogosto predstavljajo šibko točko v varnostni verigi. Kot opozarja Vukovič, so to naprave, ki se množično povezujejo na internet, a jim uporabniki z vidika varnosti pogosto ne namenijo nobene pozornosti.

»Večina ljudi niti ne ve, da ima kamera, ki jo je kupil prek spleta, vnaprej nastavljeno geslo. Če tega ne zamenjaš, lahko kdorkoli na svetu z Googlom poišče seznam takšnih naprav, vnese ‘default password’ – in vstopi v tvoj dnevni prostor«, opozarja Vukovič. Te informacije niso skrite – obstajajo celo javne zbirke naprav, ki so odprte za zunanji dostop in jih napadalci dnevno pregledujejo.

Vukovič opozori, da je vsak sistem pametnega doma pravzaprav miniaturno računalniško omrežje – z vsemi ranljivostmi, ki jih poznamo iz poslovnega sveta. Razlika je le v tem, da podjetja plačujejo za varnostne preglede, doma pa uporabniki pogosto niti ne vedo, kaj vse je priključeno na njihovo brezžično omrežje.

Prva in najosnovnejša rešitev za domače pametne naprave je takojšnja sprememba privzetega gesla po namestitvi. Druga, enako pomembna, pa je redno posodabljanje programske opreme. Mnogi proizvajalci danes ponujajo varnostne popravke, a jih uporabniki pogosto ignorirajo. »Če naprava že dve leti ni bila posodobljena, jo lahko mirno obravnavamo kot odprto okno v hiši«, slikovito zaključi Vukovič. Pametni domovi, ki so sinonim za udobje, so lahko tudi tiha tempirana bomba, če vanje ne vgradimo digitalnih varovalk. Današnji napadalci ne vlamljajo več skozi vhodna vrata – včasih jim zadošča že dostop prek kamere, ki naj bi ta ista vrata varovala.

Statistika kibernetskih napadov in odziv podjetij

V Sloveniji uradno prijavijo več kot štiri tisoč petsto napadov letno, a Vukovič ocenjuje, da je dejanska številka vsaj trikrat višja. SI-CERT in policija sta prvi točki, na kateri se lahko obrnete ob napadu, a ključna ostaja preventiva. Vukovič poudari: »Ko pride do šifriranja podatkov, je igra skoraj izgubljena«.

Največjo napako vodstev podjetij vidi v tem, da oddelek za informatiko (IT) prepogosto obravnavajo kot nujno zlo ali zgolj stroškovno postavko. Ko podjetje napadejo, pogosto ugotovijo, da nimajo ne ustrezne opreme ne potrebnega znanja za hitro in učinkovito ukrepanje. »Varnost  mora postati je vrednota, tako kot zdravje ali družina«, zaključi Vukovič.

Po mnenju Daliborja Vukoviča Slovenija že dolgo nujno potrebuje centraliziran, strokovno voden nacionalni center za kibernetsko varnost. Ta ne bi smel biti le politična izjava ali formalnost na papirju, temveč dejavno operativno telo, ki deluje neprekinjeno, 24 ur na dan, vse dni v tednu. V njem bi moralo biti vsaj 60 do 80 visoko usposobljenih strokovnjakov z različnih področij – od varnostno operativnega centra, obveščevalne analitike in digitalne forenzike do odzivanja na incidente in strateškega komuniciranja.

»Kibernetski napadi se ne dogajajo od ponedeljka do petka med 8. in 16. uro. Napadalci izkoriščajo točno to, kar je naša slabost – nepovezanost, pomanjkanje kadra in počasne odzive«, poudarja Vukovič. Trenutno je področje kibernetske varnosti v Sloveniji razdrobljeno med več institucij – nacionalni odzivni center SI-CERT, Upravo za informacijsko varnost, posamezne IT-ekipe v državnih organih in zasebnem sektorju – vendar jim primanjkuje usklajene strategije, hitre izmenjave informacij in predvsem operativne enote, ki bi lahko učinkovito posredovala ob večjih incidentih.

Kako kibernetsko varnost zagotavljajo pri Telekomu Slovenije

Z lastnim varnostno operativnim centrom razpolagajo tudi v Telekomu Slovenije, kjer kibernetska varnost ni zgolj formalna funkcija, temveč strateško in operativno jedro organizacije. V Telekomu Slovenije imajo namensko, visoko usposobljeno ekipo, ki združuje strokovnjake s področij kibernetske varnosti, informacijske varnosti, telekomunikacij in obveščevalne analitike. S tem pristopom zagotavljajo celostno zaščito tako lastne infrastrukture kot svojih uporabnikov.

»Imamo svoj SOC – Security Operations Center, kjer 24 ur na dan, vse dni v letu, spremljamo varnostne incidente, zaznavamo anomalije in takoj ukrepamo. Če pride do vdora ali suma na prevaro, naša ekipa deluje takoj – brez vprašanj. Bili smo že pri žrtvi ob 5. zjutraj ali sredi noči. Hitrost odziva je pogosto odločilna«, poudarja Vukovič.

Dodaja, da je celoten proces v večjih sistemih dobro strukturiran: »Če govorimo o najhujšem scenariju, recimo zero-day napadu, kjer je vse šifrirano, potem v večini primerov uporabniki poiščejo pomoč preko Googla – ‘kibernetski napad podpora’. Pri nas pa sistem deluje drugače. Naše stranke imajo  pri nas svojega security account managerja, ki je prva kontaktna točka. On nemudoma obvesti našo ekipo – in ukrepamo takoj«.

Strateški vodja za kibernetsko varnostne rešitve Dalibor Vukovič. FOTO: Luka Maček

V sodelovanju z drugimi oddelki in po potrebi tudi s policijo ter SI-CERT-om se povežejo z žrtvijo, analizirajo dogajanje in skušajo preprečiti nadaljnjo škodo. Takšna enota za odzivanje na incidente (angleško incident response), ki deluje hibridno – digitalno in fizično na terenu – je v slovenskem prostoru redkost.

Poleg tega imajo pri Telekomu Slovenije vzpostavljeno lastno testno okolje (laboratorij s peskovnikom), kjer simulirajo napade in preverjajo odpornost sistemov na še neznane grožnje. Uporabljajo napredna orodja, kot sta EDR in XDR, ki zaznavajo nenavadna vedenja v sistemih – tudi takrat, ko antivirusni programi odpovejo.

Zelo velik poudarek dajejo izobraževanju tako zaposlenih kot uporabnikov. Pripravljajo lastne varnostne simulacije, teste ribarjenja za podatki in osebna svetovanja. »En napačen klik zaposlenega lahko pomeni katastrofo. Zato je nenehno ozaveščanje nujno. Ljudje morajo razumeti, da niso le uporabniki, ampak tudi prva obrambna linija«.

Preprečevanje, ne le zdravljenje

Ob vsem tem pa Vukovič posebej opozarja na ključno sporočilo: »Ne računajte na to, da vas bomo, ko ste enkrat zaklenjeni, zanesljivo odklenili. To je iluzorno. Naredimo, kar se da, a pogosto ni mogoče sistemov povrniti 100-odstotno. Zato moramo vlagati v preventivo – še preden pride do napada«.

Digitalna varnost je tako postala osebna odgovornost vsakogar in je za vsakega izmed nas enako pomembna kot osebna higiena. Tako kot si zvečer in zjutraj umijemo zobe, bi morali redno preverjati, kje tičijo naše digitalne ranljivosti.