Kdor meni, da ni zanimiv za spletne napadalce, je še bolj izpostavljen
Poleg javne uprave, informacijske in finančne industrije je proizvodni sektor globalno najbolj priljubljena tarča kibernetskega kriminala. Lani so bila podjetja iz tega sektorja vpletena v približno četrtino vseh napadov na organizacije, v Sloveniji so na udaru predvsem mala in srednje velika podjetja.
Kibernetski kriminal je že tretje največje gospodarstvo na svetu, takoj za ZDA in Kitajsko, opozarja Svetovni gospodarski forum (WEF) in se močno krepi. Letos bo svet zaradi tega po ocenah utrpel stroške v višini osem bilijonov dolarjev, leta 2025 pa že 10,5 bilijona dolarjev. V nasprotju s prepričanjem marsikoga napadalci tarče iščejo tudi v Sloveniji.
Velik porast incidentov v Sloveniji
V Nacionalnem odzivnem centru za kibernetsko varnost Si-Cert so lani skupaj obravnavali 30 odstotkov več kibernetskih incidentov (to je 4123) kot leta 2021, pomemben delež tega pri pravnih osebah. Zaznali so skoraj 300 primerov trojanskih konjev – specializirani so za krajo podatkov in se najpogosteje širijo kot priponke elektronske pošte –, tarče katerih so bila primarno podjetja, prav tako so bila v 78 odstotkih od 45 obravnavanih incidentov z izsiljevalskimi virusi vpletena podjetja.
»Napadi na podjetja ne pojenjajo, izpostavljena so predvsem mala in srednje velika podjetja, saj si ta velikokrat težko privoščijo zadostna sredstva za tehnično zaščito in izobraževanje zaposlenih,« navaja Si-Cert v poročilu za leto 2022. Enostavna, a zelo škodljiva vrsta kibernetskega napada je vrivanje v poslovno komunikacijo, pri kateri z vdorom v poštni predal napadalci spremljajo komunikacijo v podjetju in ob pošiljanju fakture v njej zamenjajo podatek o bančnem računu ter tako nakazilo denarja preusmerijo.
Računovodstvo je pogosto tarča kibernetskih napadov, saj imajo zaposleni dostop do bančnih računov, ki so najpomembnejši cilj napadalcev. Najvišji zabeleženi znesek preusmerjenega nakazila leta 2022 je bil tri milijone evrov – šlo je za poskus preusmeritve nakazila plač zaposlenim v podjetju. Prenos denarja je bil zaradi nadzornih mehanizmov bank in Urada RS za preprečevanje pranja denarja pravočasno ustavljen, še pojasnjujejo v Si-Certu. Med primeri prevar navajajo tudi zlorabe poslovnih profilov na družbenih omrežjih.
Zastareli sistemi so velika težava
Elijah Benjamin Hlastan je strokovnjak za informacijsko varnost, etični heker v podjetju Astec. »V praksi vsepovsod vidimo zastarele sisteme, stari so tudi deset ali več let. V podjetjih se ne zavedajo pomembnosti posodabljanja, ampak menijo, da če nekaj dela, je najbolje to pustiti pri miru. Vendar je to zanje kritično, saj je iz takšnih sistemov mogoče dobiti veliko internih podatkov, hkrati pa so zelo ranljiva,« poudarja.
Posodobitve nikakor ne prinašajo samo dodatnih funkcij, kot so marsikje prepričani, ampak krepijo varnost. Velik problem je tudi tako imenovani socialni inženiring, veliko ljudi še vedno nasede (lažnemu) elektronskemu sporočilu z naročilom plačila računa v imenu direktorja.
Zlonamerne programe lahko v podjetje prenesemo tudi s strojno opremo, kot so USB-ključki, kabli in podobno. Po Hlastanovih besedah imajo številna podjetja v politiki poslovanja navedeno, da zaposleni v službene naprave ne smejo vklapljati naprav, ki niso namenjene uporabi v delovnem prostoru in če ne poznajo lastnika. »Ko napravo vklopimo, izvaja vse funkcije, kot običajno, hkrati pa v ozadju prekopira podatke ali namesti zlonamerne programe, ne da bi uporabnik to opazil,« je pojasnil. Praksa ne kaže večjih razlik pri ravnanju zaposlenih glede na to, ali je kibernetski napad izveden s strojno opremo ali elektronsko, niti glede na velikost podjetja. Pri simuliranju hekerskega napada se zgodi, da včasih od 50 poslanih e-sporočil kliknejo vsi prejemniki, včasih nihče, podobno je pri preizkušanju s fizičnimi napravami.
»Izobraževanja zaposlenih izvajamo v večini primerov po tem, ko izvedemo simulirani napad na podjetje. Zaposleni tako sami vidijo, kaj se lahko zgodi, in iz tega se največ naučijo. Hkrati je to smiselno tudi ponavljati – na primer avtomatizirani sistem pošlje zaposlenim sporočilo z datoteko, ki je videti, kot da ga je sodelavec pomotoma poslal vsem. Tako zaščitno ravnanje zaposlenim preide v kri,« poudarja Hlastan pomembnost nenehnega učenja in komuniciranja o kibernetski varnosti in sledenja trendom.
Zdaj je v porastu uporaba umetne inteligence, s katero poskušajo kriminalci obiti protivirusne programe in požarne pregrade, viruse vgrajujejo v umetno inteligenco, ki zlonamerni program razširi, uporabljajo jo za ustvarjanje teh programov in tudi za kloniranje glasov uporabnikov. »Izobraževanja zaposlenih, kompetentno vzdrževanje IKT-infrastrukture ter neodvisni letni varnostni pregledi so ključni ukrepi, ki jih podjetja lahko izvedejo, da zmanjšajo izpostavljenost,« je poudaril Gorazd Božič iz Si-Certa, kjer so zasnovali brezplačni spletni tečaj za zaposlene in je dostopen na spletni strani varnivpisarni.si.
Ključno je nenehno izobraževanje
»Tveganje kibernetskega napada lahko zmanjšajo predvsem učinkoviti varnostni nadzori in izobraženi zaposleni, a hkrati morajo biti skrbniki informacijskih sistemov zaradi vse bolj usposobljenih napadalcev v koraku s trendi in se nenehno izobraževati,« poudarjajo v Zavarovalnici Triglav, ki podjetjem ponujajo zavarovanje kibernetske zaščite.
Ključni člen pri kibernetski varnosti so posamezniki oziroma njihovo zavedanje o tveganjih ter odziv na morebiten napad. Na tej ravni je ozaveščenost še vedno premajhna, ugotavljajo tudi v zavarovalnici, spletni napadalci pa uporabljajo vse bolj prefinjene taktike, da pridobijo podatke o posamezniku ali podjetju. »S pridom izkoristijo tudi mišljenje, da ne moremo biti tarča. Da niso zanimiva za spletne napadalce, pogosto ocenjujejo tudi srednja in mala podjetja, ki kibernetski varnosti praviloma namenjajo manj sredstev, prav to pa jih dela še ranljivejše.«
Kibernetski napadi in osebni podatki
Kibernetski napad je lahko povezan z različnimi kršitvami splošne uredbe o varstvu podatkov in zakona o varstvu osebnih podatkov (ZVOP-2), predvsem pa s kršitvijo določb o ustreznem zagotavljanju varnosti osebnih podatkov. Pravni red določa, da mora upravljavec osebnih podatkov sprejeti ukrepe za zagotavljanje njihove varnosti, upoštevati mora tudi postopke rednega testiranja, ocenjevanja in vrednotenja teh ukrepov. Če ne, globa lahko znaša do deset milijonov evrov, v primeru družbe pa do dva odstotka skupnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji.
Organizacije morajo ob napadih, ko je kršeno varstvo osebnih podatkov, o tem obvestiti informacijskega pooblaščenca (IP) in v primeru resnih posegov v pravice posameznikov, tudi njih, pojasnjuje informacijska pooblaščenka Mojca Prelesnik. »Leta 2022 smo prejeli 86 takih obvestil, 13 zaradi hekerskih vdorov,« je povedala, predpisane globe pa so prav tako do deset milijonov evrov oziroma do dva odstotka prometa v preteklem proračunskem letu. »Izrekanje sankcij v primeru kibernetskih napadov in neustreznega zavarovanja je odvisno od različnih dejavnikov. Od uveljavitve novega ZVOP-2, to je 26. januarja letos, podjetjem, ki so bila kibernetsko napadena, IP še ni izrekel nobene globe,« še dodaja Prelesnikova. Leta 2022 je IP izdal 26 odločb o prekršku zaradi neustreznega zavarovanja osebnih podatkov.
K informacijski varnosti veliko pripomore preventivno ravnanje, a kljub temu je treba razmišljati tudi o ravnanju in posledicah, če se napad zgodi. Gorazd Božič pojasnjuje, da podjetja iz želje po čim hitrejši vzpostavitvi prejšnjega stanja lahko prezrejo varnostne luknje, ki so omogočile napad in podjetje tako še naprej ostane izpostavljeno. »Če vodstvo podjetja želi zgolj najti grešnega kozla za posledice med svojimi zaposlenimi, bo vzpostavilo napačno kulturo, ki ne bo pomagala pri hitrem pretoku informacij znotraj podjetja. Ta izmenjava pa je ključna za reševanje incidenta. Takrat po navadi umanjka tudi pomembna faza učenja na napakah,« opozarja.
Panika ob napadu vse še poslabša
V Zavarovalnici Triglav pravijo, da je pri informacijski varnosti ena od najšibkejših točk prav odziv zaposlenih oziroma podjetja, ko ugotovijo, da so žrtev kibernetskega napada. Pogosto nastane panika in nepremišljene poteze v takšnih okoliščinah lahko povzročijo še več škode kot sam kibernetski incident. Pomembno je, da podjetje, ki ima sklenjeno zavarovanje kibernetske zaščite, v primeru napada ali suma nanj takoj pokliče zavarovalno asistenco, sicer povrnitev stroškov iz zavarovanja ni mogoča. Zavarovalnica ob prijavi prevzame reševanje kibernetskega incidenta in koordinira vse potrebne strokovnjake za čimprejšnjo in čim bolj učinkovito rešitev primera.
»V sodelovanju s pogodbenimi partnerji, s pomočjo IT-forenzikov, IT-specialistov, strokovnjakov za upravljanje in varovanje ugleda ter pravnikov poskrbimo za omejitev incidenta, odstranjevanje vzroka incidenta in ponovno vzpostavitev delovanja sistemov. Pripravimo tudi analizo primera in priporočila za nadaljnje ukrepe s področja informacijske varnosti,« opisujejo v Zavarovalnici Triglav.
Če vodstvo podjetja želi zgolj najti grešnega kozla za posledice med svojimi zaposlenimi, bo vzpostavilo napačno kulturo, ki ne bo pomagala pri hitrem pretoku informacij znotraj podjetja.
Prav pomoč pri prvih korakih, ko podjetje zazna, da je žrtev kibernetskega napada, je pomembna prednost zavarovanja kibernetske zaščite, »poleg tega je to edino zavarovanje, ki povrne morebitne globe ali kazni, ki jih zaradi kršitve varstva zaupnosti osebnih podatkov skladno z zakonom izreče informacijski pooblaščenec,« so še poudarili v Zavarovalnici Triglav.
Kazni in globe lahko znašajo tudi do štiri odstotke letnega prometa podjetja. Zavarovanje poleg trga krije stroške odziva na incident (strokovnjak za izvedbo preiskave, strokovnjak za varovanje ugleda, pravni stroški in podobno), stroške ponovne vzpostavitve podatkov in programske opreme, odškodninske zahtevke tretjih oseb ali zaposlenih zaradi odgovornosti za kršitev zaupnosti in zasebnosti, v zavarovalno polico pa je mogoče dodatno vključiti tudi kritje za izgubo kosmatega dobička za čas, ko je podjetje prekinilo poslovanje zaradi kibernetskega incidenta, stroške odkupnine pod določenimi pogoji ter stroške za razrešitev kibernetskega izsiljevanja. Zavarovalnica povrne tudi vsa nezakonito odvzeta denarna sredstva zaradi dejanj kibernetskega kriminala.
