Čisto vsaka pametna naprava je ranljiva
Najpogostejša tarča hekerskih napadov niso velika, pač pa mala in srednja podjetja.
Odpri galerijo
Internet stvari je eno najbolj ranljivih področij, ugotavljajo strokovnjaki. FOTO Blaž Kondža
»Vsega je bilo konec v nekaj minutah. Kmalu zatem smo prejeli prijazno sporočilo v guglovski slovenščini in navedbo zneska z nekaj ničlami, ki ga moramo plačati, če želimo vračilo podatkov. Hekerski napad ni uničil le podatkov, ampak tudi strojno opremo. Teden dni smo potrebovali, da smo se vrnili nazaj v eter,« je zbranim na posvetu Kibernetska tveganja – nova realnost: Kako jih upravljati? povedal predstavnik slovenske radijske postaje.
Predstavljeni primer, ki ga preiskujeta Policija in Interpol, je le kaplja v ocean kibernetskih napadov, katerih število zadnja leta narašča. Njihova tarča so v enaki meri posamezniki in podjetja, zato se države in mednarodne organizacije vse bolj zavedajo pomena tveganj na kibernetskem področju. Svetovni gospodarski forum (WEF) in skupina G20 kibernetska tveganja uvrščata med eno od naraščajočih varnostnih groženj. Teh se zaveda tudi slovenska vlada, ki je leta 2016 sprejela Strategijo kibernetske varnosti.
»Finančne posledice so izjemne, globalna škoda, ki nastaja zaradi kibernetskih napadov, pa obsega več sto milijard dolarjev,« je v uvodnem predavanju posveta o kibernetskih tveganjih, ki ga je v Triglav Labu organizirala Zavarovalnica Triglav, izpostavila mag. Bojana Kifnar Strmčnik iz Pozavarovalnice Triglav RE. Poznavalka področja kibernetskih tveganj in njihovih posledic za gospodarstvo je med dejavniki, ki najbolj krepijo izpostavljenost kibernetske nevarnosti, naštela naslednje: internetne strani, informacijski sistemi in tehnologija poslovanja v oblaku, sistemi za pošiljanje elektronske pošte ter mobilne naprave, strojna oprema in internet stvari (angl. Internet of Things – IoT). Naštela je primere odmevnejših kibernetskih oziroma varnostnih incidentov, ki so jih v preteklosti doživela številna znana podjetja in tako postala tarče hekerjev: Yahoo, Sony, Amazon, Uber, Merck in Maersk. Ta so zaradi napadov utrpela več stomilijonsko škodo.
Na radarju kiber kriminalcev pa niso le velika podjetja in korporacije, še raje se lotijo malih in srednjih podjetij – globalno gledano je skoraj polovica vseh napadov usmerjena na podjetja z manj kot 250 zaposlenimi. Kot je povedala strokovnjakinja, so posledice napadov različne, od materialne škode do izgube ali poškodovanja pomembnih podatkov, njihove zlorabe in okrnjenega ugleda. »Po raziskavah lahko namreč enoodstotni padec ugleda podjetja privede do 3-odstotnega padca prodaje,« še pove in doda, da lahko del kibernetskega tveganja delimo tudi z zavarovalnicami, ki vse pogosteje ponujajo tovrstna zavarovanja.
Klemen Kraigher Mišič, nekdanji državni nadzornik za varstvo osebnih podatkov, zdaj pa direktor Info hiše, ki je specializirana za varstvo osebnih podatkov, je dejal, da Evropa pri zavedanju nevarnostih kibernetskih groženj nekoliko zaostaja za območji, kot so na primer ZDA. »Podjetja, ki upravljajo in obdelujejo zbirke osebnih podatkov, se morajo zavedati, da gre za posebej občutljivo področje, ki prinaša tudi veliko odgovornost. Izpostavil bi tako imenovano revizijsko sled, ki podjetjem narekuje, naj zagotovijo avtentičnost in možnost ne spreminjanja revizijske sledi. Temu morajo zlasti slediti večja podjetja, manjša pa naj revizijsko sled uporabljajo kot dobro prakso, ki lahko učinkovito prepeči zlorabe osebnih podatkov.«
»Podoba hekerjev v medijih je zgrešena,« pa je povedal etični heker Milan Gabor, direktor in lastnik podjetja Viris. »Hekanje v kapucarju in temi je sila neudobno – resničnejša podoba bi bil heker v spodnjicah.« Šalo na stran, Gabor je opozoril, da je socialni inženiring eno izmed ključnih kibernetskih tveganj. Hekerjev namen je zbiranje informacij o tarči, kraja podatkov in povzročitev škode. »Napadalci se pri tem poslužujejo različnih načinov, na primer pošiljanja lažne elektronske pošte, phishinga, namestitve zlonamerne strojne ali programske opreme in ponarejanja identitete.«
Tudi Gabor izpostavlja internet stvari kot eno izmed najbolj ranljivih področij, saj lahko napadalci prek ene vstopne točke dostopajo do več naprav, povezanih v omrežje. Enako kritična so tudi javna brezžična wi-fi omrežja. Zato Gabor uporabnikom omrežij in naprav, povezanih s spletom, svetuje pazljivost in našteva naslednje varnostne ukrepe: »Pazite, kje in komu omogočate dostop do osebnih podatkov. Preverite identiteto oseb, s katerimi poslujete ali sodelujete. Ko v podjetju podeljujete pooblastila zunanjim izvajalcem, bodite previdni, sodelujte samo s preverjenimi in uveljavljenimi partnerji.« Sklenil je z mislijo, da je čisto vsaka pametna naprava ranljiva.
Na okrogli mizi, ki je sledila, smo spoznali dve podjetji, žrtvi kibernetskega napada, omenjeno radijsko postajo in računovodski servis. Po navedbah Tadeja Hrena iz nacionalnega odzivnega centra za kibernetsko varnost SI-CERT število prijavljenih kibernetskih incidentov iz leta v leto narašča – letos bo preseglo 2300. »Napadalci na tehnologijo so se postopno preusmerili na napade na človeka, ki je pogosto najšibkejši člen v verigi informacijske varnosti,« je opozoril Hren.
Podobnega mnenja so bili tudi ostali sogovorniki. Marko Zavadlav iz podjetja Unistar, partnerja Zavarovalnice Triglav pri zavarovanju kibernetske zaščite in odzivanju na kibernetske incidente, je poudaril: »Ključ do kibernetske varnosti so ljudje, človek je tisti, od katerega je največkrat odvisno, ali bodo informacijsko-komunikacijski sistemi varni in dovolj odporni na kibernetske nevarnosti.«
Predstavljeni primer, ki ga preiskujeta Policija in Interpol, je le kaplja v ocean kibernetskih napadov, katerih število zadnja leta narašča. Njihova tarča so v enaki meri posamezniki in podjetja, zato se države in mednarodne organizacije vse bolj zavedajo pomena tveganj na kibernetskem področju. Svetovni gospodarski forum (WEF) in skupina G20 kibernetska tveganja uvrščata med eno od naraščajočih varnostnih groženj. Teh se zaveda tudi slovenska vlada, ki je leta 2016 sprejela Strategijo kibernetske varnosti.
Ogromna škoda
Tarča kibernetskih napadov so enako pogosto podjetja kot posamezniki.
»Finančne posledice so izjemne, globalna škoda, ki nastaja zaradi kibernetskih napadov, pa obsega več sto milijard dolarjev,« je v uvodnem predavanju posveta o kibernetskih tveganjih, ki ga je v Triglav Labu organizirala Zavarovalnica Triglav, izpostavila mag. Bojana Kifnar Strmčnik iz Pozavarovalnice Triglav RE. Poznavalka področja kibernetskih tveganj in njihovih posledic za gospodarstvo je med dejavniki, ki najbolj krepijo izpostavljenost kibernetske nevarnosti, naštela naslednje: internetne strani, informacijski sistemi in tehnologija poslovanja v oblaku, sistemi za pošiljanje elektronske pošte ter mobilne naprave, strojna oprema in internet stvari (angl. Internet of Things – IoT). Naštela je primere odmevnejših kibernetskih oziroma varnostnih incidentov, ki so jih v preteklosti doživela številna znana podjetja in tako postala tarče hekerjev: Yahoo, Sony, Amazon, Uber, Merck in Maersk. Ta so zaradi napadov utrpela več stomilijonsko škodo.
Na radarju kiber kriminalcev pa niso le velika podjetja in korporacije, še raje se lotijo malih in srednjih podjetij – globalno gledano je skoraj polovica vseh napadov usmerjena na podjetja z manj kot 250 zaposlenimi. Kot je povedala strokovnjakinja, so posledice napadov različne, od materialne škode do izgube ali poškodovanja pomembnih podatkov, njihove zlorabe in okrnjenega ugleda. »Po raziskavah lahko namreč enoodstotni padec ugleda podjetja privede do 3-odstotnega padca prodaje,« še pove in doda, da lahko del kibernetskega tveganja delimo tudi z zavarovalnicami, ki vse pogosteje ponujajo tovrstna zavarovanja.
Kako varujete osebne podatke
Skoraj polovica napadov je na podjetja z manj kot 250 zaposlenimi.
Klemen Kraigher Mišič, nekdanji državni nadzornik za varstvo osebnih podatkov, zdaj pa direktor Info hiše, ki je specializirana za varstvo osebnih podatkov, je dejal, da Evropa pri zavedanju nevarnostih kibernetskih groženj nekoliko zaostaja za območji, kot so na primer ZDA. »Podjetja, ki upravljajo in obdelujejo zbirke osebnih podatkov, se morajo zavedati, da gre za posebej občutljivo področje, ki prinaša tudi veliko odgovornost. Izpostavil bi tako imenovano revizijsko sled, ki podjetjem narekuje, naj zagotovijo avtentičnost in možnost ne spreminjanja revizijske sledi. Temu morajo zlasti slediti večja podjetja, manjša pa naj revizijsko sled uporabljajo kot dobro prakso, ki lahko učinkovito prepeči zlorabe osebnih podatkov.«
Priljubljeni socialni inženiring
»Podoba hekerjev v medijih je zgrešena,« pa je povedal etični heker Milan Gabor, direktor in lastnik podjetja Viris. »Hekanje v kapucarju in temi je sila neudobno – resničnejša podoba bi bil heker v spodnjicah.« Šalo na stran, Gabor je opozoril, da je socialni inženiring eno izmed ključnih kibernetskih tveganj. Hekerjev namen je zbiranje informacij o tarči, kraja podatkov in povzročitev škode. »Napadalci se pri tem poslužujejo različnih načinov, na primer pošiljanja lažne elektronske pošte, phishinga, namestitve zlonamerne strojne ali programske opreme in ponarejanja identitete.«
Ranljivi internet stvari
Najšibkejši člen v verigi informacijske varnosti je človek.
Tudi Gabor izpostavlja internet stvari kot eno izmed najbolj ranljivih področij, saj lahko napadalci prek ene vstopne točke dostopajo do več naprav, povezanih v omrežje. Enako kritična so tudi javna brezžična wi-fi omrežja. Zato Gabor uporabnikom omrežij in naprav, povezanih s spletom, svetuje pazljivost in našteva naslednje varnostne ukrepe: »Pazite, kje in komu omogočate dostop do osebnih podatkov. Preverite identiteto oseb, s katerimi poslujete ali sodelujete. Ko v podjetju podeljujete pooblastila zunanjim izvajalcem, bodite previdni, sodelujte samo s preverjenimi in uveljavljenimi partnerji.« Sklenil je z mislijo, da je čisto vsaka pametna naprava ranljiva.
Človek, najšibkejši člen
Na okrogli mizi, ki je sledila, smo spoznali dve podjetji, žrtvi kibernetskega napada, omenjeno radijsko postajo in računovodski servis. Po navedbah Tadeja Hrena iz nacionalnega odzivnega centra za kibernetsko varnost SI-CERT število prijavljenih kibernetskih incidentov iz leta v leto narašča – letos bo preseglo 2300. »Napadalci na tehnologijo so se postopno preusmerili na napade na človeka, ki je pogosto najšibkejši člen v verigi informacijske varnosti,« je opozoril Hren.
Podobnega mnenja so bili tudi ostali sogovorniki. Marko Zavadlav iz podjetja Unistar, partnerja Zavarovalnice Triglav pri zavarovanju kibernetske zaščite in odzivanju na kibernetske incidente, je poudaril: »Ključ do kibernetske varnosti so ljudje, človek je tisti, od katerega je največkrat odvisno, ali bodo informacijsko-komunikacijski sistemi varni in dovolj odporni na kibernetske nevarnosti.«
