Naučili smo se zaklepati vrata, »zakleniti« moramo tudi dostope na spletu

Kibernetski kriminal je eden najbolj dobičkonosnih na svetu, širi se v vse pore našega virtualnega življenja, postaja vedno bolj sofisticiran in hkrati agresiven.

Vsak, ki uporablja službeno omrežje, do katerega dostopa prek različnih naprav, in vsak, ki v zasebnem času brska, nakupuje in se po spletu povezuje z zunanjim svetom, lahko postane tarča kibernetskih kriminalcev, ki z razvojem umetne inteligence postajajo še učinkovitejši. Vendar je UI tudi v rokah kibernetskih varuhov, ki so jo že zelo uspešno implementirali v svoje obrambne strategije.

Čeprav bodo napadalci vedno kakšen korak pred strokovnjaki za kibernetsko varnost, lahko s preventivnimi ukrepi in dobro obrambo zmanjšamo možnost napadov in hkrati poskrbimo, da nam bodo v primeru napada strokovnjaki hitro priskočili na pomoč.

Na kaj moramo biti pozorni, kje se skrivajo največje pasti in kako lahko podjetja poskrbijo za boljšo obrambo pred napadalci, smo vprašali Daliborja Vukoviča, strokovnjaka za kibernetsko varnost pri Telekomu Slovenije.

Kako varni smo v Sloveniji pred kibernetskimi napadi? Občutek je, kot da jih še vedno ne jemljemo dovolj resno.

Nič manj in hkrati nič več od drugih sodobnih držav, sploh ko govorimo o zahodu. V segmentu kibernetske varnosti Slovenija v zadnjih letih veliko vlaga, ampak ne gre čez noč. Zavedati se moramo, da je kriminal vedno korak pred nami oziroma pred legitimnim delom in prakso.

Kakšen je pomen umetne inteligence pri kibernetski varnosti? Ali je UI bolj orodje za zaščito ali tudi grožnja, ki jo lahko izkoristijo napadalci?

Umetno inteligenco smo šele zdaj začeli prepoznavati kot model, ki bi lahko pomagal. Kriminalne združbe so jo uporabljale že vsaj pet let pred nami. Umetna inteligenca je tako na primer generirala skripte, ki so znale prelisičiti vsak antivirusni program. Pričakovati, da bi se danes lahko povprečno podjetje samo zaščitilo, je nemogoče. Ponudniki, ki se strokovno ukvarjamo s tem, imamo profesionalna orodja in pa seveda usposobljen kader, tako da lahko pri različnih podjetjih in organizacijah pravočasno rešujemo situacijo.

Zakaj antivirusni programi ne delujejo? Ko bo škodljiva skripta potrkala na vaša vrata, s podpisom, ki ga antivirusni program ne pozna in ga nima zabeleženega kot nevarnost, bo mislil, da je legitimna. Ker je ne more identificirati kot nekaj škodljivega, jo bo spustil v računalnik. »In ko enkrat pride noter, je v razmeroma hitrem času »game over« (op. a. konec igre). Če antivirusni program na vhodu ni tega zaznal, tudi noben drug računalnik znotraj vaše organizacije ne bo zaznal te skripte. Skripte so po navadi delane tako, da znajo izvajati tudi lateralno gibanje. Danes sem pri vas, čez tri ure bom šel k vašemu sodelavcu in tako naprej. Nekje v mesecu, dveh bom pobral vse pomembne podatke. To se je zgodilo veliki večini teh organizacij, o katerih ste brali zadnji dve ali tri leta. Umetna inteligenca ima izredno veliko moč v fazi napada, torej pomaga kriminalcem.«

Čeprav vam umetna inteligenca pomaga pri zaščiti, še vedno velja, da so kriminalci korak pred vami?

Danes imamo orodja, ki lahko prepoznajo vdore v vsaj 95 odstotkih primerov, a težava je drugje – približno 80 odstotkov ljudi teh orodij sploh nima. Kriminalci zato iščejo lažje tarče, pri katerih lahko v kratkem času dosežejo želeni cilj. Ste opazili, da v zadnjih letih ni več napadov na bančne sisteme? Zakaj? Ker so banke finančne institucije, ki si lahko privoščijo najnovejša zaščitna orodja.

Namesto tega so napadalci preusmerili pozornost na podjetja in institucije, ki takšnih orodij nimajo. Lažje je napasti 10 organizacij s 300 do 400 zaposlenimi in letnim prometom od 20 do 30 milijonov evrov, ki nimajo ustrezne zaščite. Takšna podjetja so bolj ranljiva, kar pomeni, da je vanje lažje vdreti in od njih izsiliti denar.

Trenutno stanje je torej naslednje: organizacije z naprednimi zaščitnimi sistemi so zadnja leta manj pogoste tarče napadov, medtem ko so neustrezno zaščitene organizacije še vedno izpostavljene kriminalnim združbam. Zato težko rečemo, da smo mi korak pred napadalci – prej obratno. Kriminalci morajo najti le eno ranljivost, mi pa moramo zaščititi na tisoče možnih lukenj. To je velik izziv.

»V svetu interneta velja zlato pravilo: bolje en klik manj kot ena težava več.«

Najpogostejše žrtve napadov so torej srednje velika in mala podjetja. Zakaj so lažja tarča kot drugi?

Ker nimajo adekvatne zaščite. Menedžment v povprečnem podjetju pogosto razmišlja, kaj neposredno prinaša zaslužek – marketing in prodaja. IT pa vidijo kot nujno zlo. Kupijo toliko računalnikov, kot jih potrebujejo, in ko strokovnjak predlaga zaščito, ki ni brezplačna, začnejo kalkulirati. Če strošek znaša od 500 do 1000 evrov na mesec, menijo, da je to preveč – saj bi za 12.000 evrov na leto lahko izvedli odlično marketinško kampanjo in povečali prodajo.

Težava nastane, ko pride do napada. Takrat podjetje namesto nekaj tisoč evrov za preventivo porabi 50.000 ali več za sanacijo. Pri takšnih incidentih se pogosto znajdemo v situaciji, ki je primerljiva z zdravljenjem pacienta v četrtem stadiju raka – škoda je obsežna, vloga strokovnjaka pa je pogosto tudi psihološka podpora. Sanacija lahko traja tedne ali celo mesece, stroški pa so visoki.

Na koncu podjetja spoznajo, da bi bilo ceneje investirati v ustrezna orodja in zaščito. Ker tega nimajo, postanejo enostavne tarče, posledično pa so tudi najpogosteje napadena. Ob 5000 prijavljenih napadih na leto je verjetno še vsaj 40.000 do 50.000 neprijavljenih. Podjetja večinoma ne razkrivajo, da so bila napadena. Za tem stojijo predvsem poslovni razlogi.

Danes se uradno beležijo vsi prijavljeni incidenti, a žal so to le tisti, ki so bili formalno prijavljeni. Lani jih je bilo 4400, decembra pa smo to številko že presegli. Realno je pričakovati, da bo januarja, ko pridejo podatki, število prijav za leto 2024 preseglo 5000 napadov. To so zgolj uradne prijave – na primer univerz ali drugih organizacij, ki prijavo obravnavajo kot obveznost. Pri fizičnih osebah je prijav bistveno manj, predvsem zaradi sramu. Podobno tudi številne organizacije molčijo zaradi strahu pred škodo za ugled.

»Napadalci največ denarja poberejo od malih in srednje velikih podjetij.«

Kdo so sploh ti napadalci, kaj želijo? Podatki kažejo, da je to najhitreje rastoči in dobičkonosni kriminal na svetu. Več služijo kot nekoč veliki karteli.

Stvar je precej logična. Danes, v času, ko imamo v povprečnem mestu na desettisoče kamer, na mejah rentgenske naprave in nešteto senzorjev, je tihotapljenje drog ali orožja postalo bistveno bolj tvegano. Z napredno tehnologijo in inženiringom je prej ali slej mogoče ugotoviti, kaj se je zgodilo, in posledično je tveganje za kriminalce veliko večje. Torej, riziko je zdaj postal že bistveno večji kot pri kibernetskem kriminalu. Tukaj je trenutno največ denarja, kibernetski kriminal je tako uspešen, ker se najlažje zamaskiraš. Ni kamer, ni videonadzornih sistemov, kar omogoča, da napadalci svoje aktivnosti skrijejo veliko bolj učinkovito. In ja, kibernetski kriminal je trenutno najbolj dobičkonosna stvar, najbolj dobičkonosen posel in ne boste verjeli, mafijske združbe se ga lotevajo na tak način, da najemajo hekerje. Lahko se pa tudi zgodi, da kriminalci celo izsiljujejo strokovnjake na tem področju, da zanje opravijo določene naloge.

Kdaj smo na spletu najbolj ranljivi?

Če govorimo o fizičnih osebah, smo najbolj ranljivi, ker veliko kupujemo po spletu. Danes ste z osebnimi podatki in po možnosti še s svojim osebnim računom prijavljeni v neki spletni trgovini. Predstavljajte si, da nekdo kompromitira njihovo bazo podatkov. In to se lahko zgodi, vam povem iz prve roke, ker mesečno rešujemo te primere tudi po Sloveniji. Po spletu na primer naročite kozmetiko. Ta spletna stran ima vse vaše podatke, in če vdrejo v njihovo bazo, lahko z vašega računa poberejo denar. Druga stvar so spet spletne prevare na način, da simulirajo neko lažno osebo, ki ji zaupate.

Ko pa govorimo o organizacijah, obstaja nova fraza, in sicer APT (Advanced Persistent Threat). Gre za sofisticirane in dolgotrajne kibernetske napade, pri katerih napadalci pridobijo dostop do omrežja in v njem ostanejo neodkriti dalj časa, lahko tudi več mesecev.

To so najbolj nevarni kibernetski napadi, ki imajo lahko celo katastrofalne posledice in so natančno načrtovani. Tarče so skrbno izbrane, napadalci pa pravi profesionalci, ki svoj »posel« obvladajo do zadnje podrobnosti. Njihov cilj ni povzročitev takojšnje škode, ampak čim bolj podrobno pridobivanje podatkov, nadzor nad sistemom ali izvajanje sabotaže, odvisno, kakšen je namen napada. Največkrat se napadi APT izvajajo zaradi vohunjenja za drugimi državami, kraje intelektualne lastnine, pridobitve finančne koristi ali pa sabotaže ključne infrastrukture. Drugače kot drugi kibernetski napadi, kot je izsiljevalska programska oprema, so APT načrtovani tako, da ostanejo neopaženi.

Napadi APT potekajo v več fazah, ki jih lahko razdelimo v tri skupine. V prvi gre za infiltracijo v sistem. Tu kriminalci uporabljajo podobne taktike kot pri drugih napadih. Z lažnim predstavljanjem ali ribarjenjem zavedejo prejemnike in pridobijo dostop do njihovih sistemov, izkoriščajo lahko ranljivosti ničelnega dne, ukradejo poverilnice, vse pogosteje pa se v sisteme infiltrirajo prek dobavne verige. V drugi fazi se napadalci neopazno širijo po celotnem omrežju, v tretji pa prenesejo želene podatke, ko ocenijo, da jih je dovolj, na svoje strežnike. To velikokrat naredijo s pomočjo belega šuma, ko informatike v napadeni organizaciji zamotijo z dodatnimi napadi, kakršen je na primer DDoS.

Za vdor v podjetja so pogosto krivi zaposleni, ki nevede na široko odprejo vrata napadalcem – pogosto zaradi nepazljivosti in neznanja. Kako ponotranjiti bolj samozaščitno vedenje na spletu?

Ključni problem je pomanjkanje osnovnega digitalnega znanja, ki bi ga morali začeti razvijati že v osnovni šoli. Danes so otroci digitalizirani, vendar v šolskem sistemu pogosto manjka osnov računalništva, ki so nujne za varno uporabo tehnologije. Podobno kot smo se včasih naučili pisanja, bi morali danes pri mladih postaviti temelje digitalne pismenosti.

V povprečnem slovenskem podjetju so zaposleni pogosto starejši od 40 let, kar pomeni, da so odraščali v času, ko varnost ni bila prioriteta – niti v digitalnem niti v fizičnem svetu. Zato težje razumejo, da so na spletu izpostavljeni vsemu svetu. Tu pride v ospredje koncept »user awareness« – ozaveščanje uporabnikov. Podjetja bi morala investirati v redna izobraževanja zaposlenih o prepoznavanju nevarnosti, kot so phishing napadi in druge digitalne grožnje.

V Telekomu Slovenije pogosto izvajamo praktična izobraževanja. Na primer udeležencem pokažemo, kako lahko z uporabo javno dostopnih podatkov (OSINT) hitro ugotovimo njihove hobije, navade ali osebne preference. Na tej osnovi pripravimo ciljane napade, imenovane »spear phishing«, pri katerih osebo spodbudimo h kliku na lažno povezavo ali k vnosu gesla na kloniranem strežniku. Pogosto ugotovimo, da imajo ljudje isto geslo za več različnih računov – od službenih do zasebnih, kar napadalcem še olajša delo.

Največja težava je miselnost, da podjetje ni zanimiva tarča, ker nima konkurence ali pomembnih podatkov. A danes lahko na temnem spletu za razmeroma nizko ceno naročite napad na katero koli podjetje. Zato je ozaveščanje ključno – tako pri zaposlenih kot pri splošni javnosti. Prava preventiva lahko prepreči katastrofalne posledice, ki so pogosto veliko dražje od ustreznega izobraževanja in zaščite.

Katere so najpogostejše napake ljudi na spletu, pri nakupovanju in uporabi digitalnih orodij? Dalibor Vukovič poudarja: Gesla so ključna za varnost. Ne uporabljajte enostavnih ali enakih gesel za različne račune. Priporočljivo je ustvariti kompleksna gesla, dolga vsaj 12 znakov, ki vključujejo velike in male črke, številke in posebne znake. Pomagajo lahko tudi orodja za upravljanje gesel. Prepoznajte sumljive spletne strani. Če je nekaj videti predobro, da bi bilo res, je pogosto prevara – na primer ponudbe za izdelke po nerealno nizkih cenah. Bodite pozorni na naslove URL, ki so nekoliko nenavadni, vsebujejo napake ali nenavadne domene. Prvi opomnik, da s spletno stranjo nekaj ni v redu, je tudi domena, ki naj se začne s https, in ne s http. Pri spletnem nakupovanju bodite pozorni, kje delite svoje podatke, in raje uporabljajte enkratne plačilne kartice, če je to mogoče. Pazljivo na družbenih omrežjih. Zelo veliko malopridnežev svoje žrtve lovi prav na družbenih omrežjih. Ko delite podatke, jih delite le med svojimi ekskluzivnimi prijatelji in ne z neznanimi osebami. Sprejemajte prijateljske prošnje le od ljudi, ki jih osebno poznate. Lažni profili in goljufi pogosto uporabljajo lažne identitete za zbiranje osebnih podatkov ali širjenje zlonamernih povezav. In ne pozabite: ko enkrat delite preveč, postanete lahek plen. Tako na primer o svojih počitnicah raje poročajte po vrnitvi domov. Redno posodabljanje programske opreme. Vsaka naprava in programska oprema morata biti posodobljeni, saj to zmanjšuje ranljivosti, ki jih lahko izkoristijo kibernetski napadalci. Avtomatske posodobitve so najboljša praksa. Previdno pri odpiranju priponk v e-pošti. Ne odpirajte e-poštnih sporočil, priponk ali povezav iz neznanih ali sumljivih virov. Lažno predstavljanje (phishing) je ena najpogostejših metod kibernetskih napadov. Ne pozabite: princ iz Nigerije, ki vam je poslal e-sporočilo, ne potrebuje vaše pomoči pri prenosu milijonov. Če je ponudba preveč dobra, da bi bila resnična, potem ni. V svetu interneta velja eno zlato pravilo: bolje en klik manj kot ena težava več.

