Kako digitalno varne so naše občine?
»Zavedamo se, da danes podjetja vse težje skrbijo za svoja IT-okolja, saj zaposleni uporabljajo ogromno naprav, sistemov in aplikacij, ne le v podjetju, temveč tudi doma in na poti. Ni pa dovolj, da vse te točke zanesljivo povežemo, treba jih je tudi ustrezno zavarovati. In po možnosti še ustrezno sestaviti v učinkovito celoto,« je pogovor začel Matic Grobelšek, direktor za poslovni trg v A1 Slovenija.
»Več gorenjskih občin je želelo preveriti, kakšno je njihovo stanje na področju kibernetske varnosti in zaščite. Veseli nas, da so občine izkazale to raven razumevanja glede pomena kibernetske varnosti, hkrati pa nas seveda veseli, da smo uspešno izvedli varnostne preglede pri njih,« je dodala Jelena Vidović, vodja področja za pametne skupnosti v Regionalnorazvojni agenciji Gorenjske, BSC Kranj.
Tako so se varnostni strokovnjaki podjetja A1 Slovenija, med katerimi so bili tudi etični hekerji, lotili iskanja razpok v digitalni krajini domačih občin. Poleg sistemskih varnostnih pregledov so izvedli tudi poskuse prevar zaposlenih s tehnikami socialnega inženiringa ter hekerski vdor, s katerimi so preverjali morebitno pravilno delovanje ali nedelovanje varnostnih mehanizmov in odzive zaposlenih.
Osnovna obramba obstaja, a je ni nikoli dovolj
Ugotavljamo, da je večina obravnavanih občin ustrezno poskrbela za t. i. varnostno higieno, uporabljajo npr. protivirusno zaščito in požarni zid. Zavedajo se pomena varnostnega kopiranja podatkov in pomena preostalih varnostnih mehanizmov.
Prav tako se zaposleni praviloma zavedajo razsežnosti varnostnih incidentov in vedo, da jim varnostne grožnje lahko povzročijo poslovno škodo.
Raven kibernetske varnosti je generalno torej na ustrezni ravni, je pa pomembno, da je zagotavljanje le-te nenehen proces.
E-poštne prevare ne jenjajo
»Informatiki in varnostni strokovnjaki smo se, podobno kot splošna javnost, že pred 20 in več leti čudili, kako je uspelo uslužbencu ali uslužbenki na tej ali oni občini v Nigerijo nakazati absurdno visoko vsoto denarja, saj je vendarle očitno, da gre za prevaro,« je dejal Primož Klasinc, vodja skupine za IT-storitve v A1 Slovenija, in nadaljeval: »Današnje e-poštne prevare pa so še bistveno bolj sofisticirane. Podobno kot na podjetja tudi na občine prežijo t. i. direktorske oziroma računovodske prevare, ki vedno znova najdejo kako žrtev in občini povzročijo finančno škodo.«
Kako delujejo direktorske oziroma v našem primeru županske ter računovodske prevare? Napadalec preuči vloge ključnih ljudi na občini glede na hierarhijo ter poskuša pridobiti njihove kontakte, vključno z e-poštnim podpisom. Nato oblikuje lažni dopis, v katerem direktor oziroma župan računovodji naroča plačilo nekega računa. Če »tarča« ne prepozna, da je e-pošta prišla z napačnega e-naslova, in ne preveri legitimnosti tovrstnega zahtevka, se rado zgodi, da denar z računa občine roma v tujino, od koder se za njim zgubi tako rekoč vsaka sled.
»Če se napadalec prebije do poštnega strežnika ali poštnega računa zaposlenega, ki je visoko v hierarhiji, je stvar še toliko lažja, saj takrat e-poštno sporočilo dejansko pride z internega e-naslova in je še toliko bolj prepričljivo,« pojasni Klasinc.
Seveda nas je zanimalo, kako se ubraniti pred takšnimi poskusi prevar. »Osnovo predstavljata implementacija dvofaktorske avtentikacije e-pošte ter namestitev naprednih filtrov na e-poštnem strežniku, s katerimi bi večino tovrstne digitalne nesnage polovili,« je rešitev za težave, ki se jim je mogoče izogniti, razložil Klasinc.
Izobraževanje je nuja
Za analogno in digitalno oziroma kibernetsko varnost velja, da je dobra oziroma močna le toliko, kolikor je močan njen najšibkejši člen. To pa je človek oziroma uporabnik naprav, sistemov, aplikacij … Prav zato so v A1 Slovenija za zaposlene na občinah, ki so bile del tokratnega varnostnega projekta, organizirali tudi izobraževanja, kjer so jim na konkretnih primerih predstavili napake in napačne odzive. Izobraževanja so bila prilagojena prav vsem nivojem zaposlenih, od vodstva in tehničnega osebja do osebja, ki dela v zaledju.
»Ne želimo, da so slovenske občine lahke tarče napadalcev, saj imajo ogromno podatkov in dostopov do državnih virov,« je dejal Grobelšek in nadaljeval: »Prav zato moramo zagotavljati visoko stopnjo varnostne higiene zaposlenih na občinah, saj je bistveno lažje držati napadalce zunaj varovanega IT-okolja kot pa iskati, kaj vse so zlorabili, ko so se prebili v notranje digitalno okolje občine. Zaposlene smo zato želeli ozavestiti, da je prav vsak izmed njih v tem pogledu zelo pomemben kamenček v mozaiku kibernetske varnosti. Napadalci namreč potrebujejo le eno razpoko ...«
Obramba je cenejša od napada
»Splošno stanje glede kibernetskega kriminala je skrb vzbujajoče. To, da smo Slovenci majhni in nezanimivi, preprosto ne drži več. Smo del Evrope, uporabljamo evro, transakcije so opravljene v sekundah. Za napadalce smo tako privlačni kot Nemci ali Španci. Jasno je, da vse organizacije ne morejo zaposlovati varnostnih inženirjev, ni pa to izgovor, da ne bi postavile dobre digitalne obrambe. Po varnostni plati smo zato telekomunikacijski operaterji najprimernejši partnerji podjetij in tudi občin, saj pri nas lahko dobijo vse na enem mestu. Prednost A1 pa je tudi v tem, da je del mednarodne skupine in imamo dostop do mednarodnih strokovnjakov. V obliki rešitve oziroma storitve kibernetske varnosti na ključ zanesljivo poskrbimo za celovito zaščito pred kibernetskimi napadi, kar zagotavljamo z varnostno-operativnim centrom 24/7,« je sklenil Grobelšek.
Kot specializirani ponudnik storitev za področje IKT lahko A1 Slovenija prevzame celotno digitalno okolje podjetja ali organizacije v upravljanje. Poleg zagotavljanja celovitih IT-storitev implementacije, integracije ter vzdrževanja strojne in programske opreme podjetjem ponuja tudi storitvi Kibernetska varnost na ključ in A1 Cyber Backup, ki sta izjemno priljubljeni, saj v digitalni krajini nevarnosti za podjetja – in občine – ne manjka.
