Leta 2023 je število kibernetskih incidentov v primerjavi s predhodnim letom poraslo za 4 odstotke. Žrtev tovrstnega napada je lahko vsako podjetje, zato je nujno poskrbeti za ustrezno varnost.
Barbara Perko
Najbolj je poraslo število smishing napadov (SMS-sporočila, namenjena kraji finančnih podatkov), največ škode pa je bilo povzročene s kripto investicijskimi prevarami, je razvidno iz Poročila o kibernetski varnosti za leto 2023, ki ga je izdal SI-CERT. Slovenska policija je zabeležila 27,5 milijona evrov škode v različnih spletnih goljufijah.
Podjetja so bila najpogosteje tarča tako direktorske prevare kot vrivanja v poslovno komunikacijo (t.i. BEC prevara). Povprečno oškodovanje v primeru direktorske prevare je znašalo okoli 42.000 evrov. Napadalci so lani začeli uporabljati tudi novo taktiko, in sicer so na naslov računovodstva poslali lažno sporočilo enega od zaposlenih, da želi nakazilo plače na drug bančni račun.
Na vprašanje, katere oblike kibernetskih napadov na podjetja so v zadnjem obdobju najbolj prisotne, na SI-CERT izpostavljajo izsiljevalske viruse (ransomware), direktorsko prevaro (CEO fraud) in vrivanje v poslovno komunikacijo (BEC). »Pogosto pa je prvi korak pri napadu na podjetje ti. phishing napad, kjer se zaposlenega prepriča, da na lažno spletno stran vpiše prijavne podatke za dostop do elektronske pošte ali kakšnega drugega dela infrastrukture podjetja. Omenil bi še okužbe računalnikov zaposlenih s zlonamerno kodo – trojanci, ki so namenjeni kraji gesel in drugih poverilnic (angl. infostealers). Temu lahko neposredno sledi nepooblaščen dostop v omrežje podjetja, ali pa se ukradeni podatki prodajo na temnem spletu,« pojasnjuje Gorazd Božič, vodja SI-CERT.
Foto: Depositphotos
Poskrbite za ustrezno zaščito
Podjetja lahko veliko storijo sama. »Tehnični ukrepi vključujejo sprotne nadgradnje in implementacijo potrebnih preventivnih ukrepov, kot so protivirusna zaščita, zaščita končnih točk, redno vzdrževanje požarnih pregrad, vpeljava večfaktorske avtentikacije – MFA, smiselno omejevanje dela na daljavo in uporaba VPN dostopa. Poskrbeti je treba za redne varnostne kopije, ki bodo preživele napad z izsiljevalskim virusom,« našteje Gorazd Božič. »Vse to je možno, če za to skrbi ustrezna služba (ali posameznik v manjših podjetjih), ki pa mora imeti ustrezno znanje in je na tekočem z aktualnimi grožnjami. Tu bi izpostavil obvestila na naši spletni strani in novičnik, ki ga nudimo na SI-CERT v ta namen. Na koncu pa moramo tudi vse druge zaposlene (vključno z vodstvenim kadrom) seznaniti z najbolj aktualnimi grožnjami in kako zmanjšati tveganja pri vsakodnevnem delu.«
Kibernetska varnost na ključ
V A1 Slovenija ponujajo produkt kibernetska varnost na ključ, ki je namenjen vsem podjetjem ne glede na velikost in dejavnost. Storitev so zasnovali z mislijo na vsa podjetja, zlasti pa tista, ki sama ne morejo v celoti in neprekinjeno bdeti nad procesom zagotavljanja kibernetske varnosti. »To so podjetja, ki se zaradi velikega obsega dela področju kibernetske varnosti ne morejo posvetiti v zadostni meri ali pa sploh nimajo internih varnostnih strokovnjakov za to področje. Vzpostavitev interne skupine za zagotavljanje kibernetske varnosti je namreč izjemno drag in kompleksen proces, ki zahteva nenehno nadgradnjo, storitev kibernetske varnosti na ključ je zato za večino podjetij veliko bolj finančno vzdržna. V A1 Slovenija s podporo več kot 200 mednarodnih strokovnjakov na področju kibernetske varnosti z našo storitvijo kibernetske varnosti na ključ prek varnostno-operativnega centra, ki deluje 24 ur na dan vse dni v tednu, poskrbimo za varnost pred kibernetskimi napadi, da se lahko podjetja na drugi strani brez skrbi in v celoti posvetijo svojemu poslu.«
Prilagodljivost je ena ključnih prednosti
Telekom Slovenije ponuja varnostne rešitve, primerne za podjetja vseh velikosti. Čedalje več organizacij in podjetij se odloča za varnostne storitve, kot je njihov Center kibernetske varnosti in odpornosti. Storitve omenjenega centra so primerne za podjetja vseh panog in velikosti ter organizacije kritične infrastrukture in ostalih bistvenih dejavnosti. »Ravno prilagodljivost upravljane storitve kibernetskega varovanja in zaščite je ena naših ključnih prednosti. V segmentu večjih podjetij se evolucija dogaja izredno hitro, v segmentu manjših in srednjih pa je počasnejša. Prav zato smo razvili celoten portfelj ponudbe, ki je namenjena različnim tržnim segmentom. Ponudba kibernetske zaščite je raznolika in zajema od varnostnih pregledov, raznih testiranj, priporočil za spremembe do rednega spremljanja varnostnih dogodkov in ukrepanja, če je to potrebno, s strani naših strokovnjakov. Skrbimo tudi za usposabljanja in izobraževanja ekip pri uporabnikih, poleg tega veliko pozornosti namenjamo ozaveščanju tako podjetij kot uporabnikov,« povedo.
Izvajajo tudi različne vrste varnostnih pregledov, in sicer varnostne penetracijske teste, sistemske varnostne preglede in varnostne preglede industrijskih okolij. »Pri tem priporočamo, da podjetja varnostne preglede opravijo enkrat do dvakrat na leto. Tako sistemski varnostni pregled kot penetracijski test sta neprimerno cenejša od stroškov, ki nastanejo kot posledica kibernetskega napada. Vsak IKT-sistem je namreč varnostno ranljiv in ima vrzeli, ki jih lahko napadalec izkoristi, da pridobi dostop do sistema in prične izvajati škodljive aktivnosti,« poudarjajo pri Telekomu Slovenije.
Priporočljivo je, da podjetja enkrat do dvakrat letno opravijo varnostne preglede.
Na prvi pogled nepomembna pomanjkljivost lahko pripelje do velike katastrofe
Pri penetracijskem testu strokovnjaki simulirajo hekerski napad, poiščejo šibke točke in svetujejo, kako jih odstraniti. Pri sistemskem varnostnem pregledu pa iščejo pomanjkljivosti in ranljivosti posameznih naprav, ki so del omrežja informacijske tehnologije. »Izvajamo zunanje varnostne preglede, v okviru katerih strokovnjaki preverjajo doslednost uporabe varnostnih mehanizmov in so vidni iz svetovnega spleta, ter notranje varnostne preglede, kjer se osredotočimo na ranljivost naprav ter upoštevanje dobre prakse pri izgradnji arhitekture omrežja. Na prvi pogled nepomembna pomanjkljivost, kot sta tiskalnik ali varnostna kamera s privzetim geslom, lahko podjetje pripelje do velike katastrofe. Takšne pomanjkljivosti odkrijejo strokovnjaki pri sistemskih varnostnih pregledih in podjetjem na podlagi ugotovitev podajo predloge zaščite za dvig kibernetske odpornosti,« razložijo v Telekomu Slovenije. »Varnostni pregledi omrežja in naprav v industrijskem okolju operativne tehnologije pa so namenjeni zagotavljanju varnosti v kritični infrastrukturi, proizvodnih linijah, transportnih sistemih, energetski infrastrukturi in drugih pomembnih industrijskih vertikalah. V teh primerih varnostni pregledi potekajo, ko je proizvodnja zaustavljena, če pa to ni mogoče, strokovnjaki izvedejo analizo okolja operativne tehnologije.«
Da mnoga podjetja delujejo v prepričanju lažne varnosti, v praksi opažajo tudi pri A1. »Dejstvo, da ima podjetje vzpostavljeno zaščito, namreč še ne pomeni, da je ta pravilno konfigurirana in optimalno vzpostavljena,« pojasnijo. »Frekvenca opravljanja varnostnih pregledov in penetracijskih testov pa je sicer odvisna od velikosti podjetja, panoge, sprememb v njihovem informacijskem okolju, ipd. V splošnem pa je tovrstne preglede in teste smiselno opraviti enkrat na leto, pri čemer pa ne smemo pozabiti niti na pomembnost preventive, ki se kaže v izobraževanju zaposlenih in vodstva o kibernetskih grožnjah, ter socialnega inženiringa (periodični phishing testi zaposlenim, delavnice, ipd.).«
Foto: Depositphotos
Med najpogostejšimi šibkimi točkami so šibka in enostavna gesla
Med pogostimi razlogi za penetracijsko testiranje, ki je smiselno vedno, ko želimo preveriti varnost podjetja, so po besedah Adriena Žitka, izvajalca preverjanja informacijskih tehnologij na SIQ, preverjanje varnosti pred uvedbo novega sistema ali aplikacije, večje spremembe oz. posegi v infrastrukturo, ko želimo zagotoviti, da spremembe niso ustvarile novih ranljivosti, redno vzdrževanje (kot del rednega varnostnega pregleda, npr. enkrat na leto), izpolnjevanje regulatornih zadev, preverjanje učinkovitosti obstoječih mehanizmov, letni pregled informacijske varnosti za doseganje zahtev vzpostavljenih internih procesov (kot je na primer Sistem upravljanja varovanja informacij).
Med najpogostejšimi šibkimi točkami podjetij Žitko našteje uporabo šibkih in enostavnih gesel ter slabo politiko upravljanja gesel, neposodobljeno programsko opremo ali uporabo zastarelih sistemov, ki vsebujejo znane ranljivosti, pomanjkanje izobraževanja zaposlenih, slabo omrežno varnost (navadno nezadostno segmentiranje omrežja, odprte dostopne točke in neustrezno zaščitena omrežja), pomanjkanje sistemskega pristopa pri odkrivanju in upravljanju tveganj informacijske varnosti ter pomanjkanje jasnih navodil oz. politik znotraj podjetij.
O kibernetskih tveganjih je nujno izobraziti vse zaposlene, vključno z vodstvenim kadrom.
SIQ podjetjem na področju kibernetske varnosti ponuja izvajanje varnostnih pregledov in penetracijskih testiranj, da se odkrijejo in odpravijo varnostne luknje, izvajanje varnostnih pregledov in penetracijskih testiranj na povezljivih napravah IoT skladno s standardi, usposabljanje zaposlenih in izobraževanja za dvig kompetenc in zavedanja zaposlenih, usposabljanje strokovnjakov in izdajo osebnih certifikacijskih nazivov (Information Security Auditor, Information Security Manager), izvedbo revizij in ugotavljanje obstoječega stanja procesov skladno z zahtevami standardov, dobrih praks in zakonodaje, certificiranje skladno z mednarodnimi ISO standardi in certificiranje po uredbi eIDAS – za kvalificirane ponudnike storitev zaupanja.
30-minutni moduli za informiranje zaposlenih
Podjetja se lahko za informiranje zaposlenih poslužijo brezplačnega spletnega tečaja o informacijski varnosti za zaposlene. »Tečaj varnivpisarni.si skozi kratke, 30-minutne module, prikaže tisto, kar na podlagi izkušenj na SI-CERT menimo, da so najbolj pomembne grožnje. Verjamem, da smo to naredili na razumljiv in dostopen način. Moduli so namenjeni tudi netehničneme kadru, vključno recimo z računovodji in zaposlenimi v marketing oddelkih. Tečaj je bil izvorno namenjen malim in srednjim podjetjem, sedaj pa z veseljem ugotavljamo, da se ga uporablja tudi v večjih podjetjih,« pravi Gorazd Božič.
SI-CERT ponuja tudi platformo MISP. »MISP je platforma, namenjena izmenjavi informacij o opaženih dogodkih in njihovih indikatorjih. Te se lahko izvozijo in vključijo v sisteme za zaščito (recimo SIEM sistemi). Na ta način se sproti vključujejo podatki o novih različicah zlonamerne programske opreme, IP naslovih, udeleženih v napadih in podobno. MISP resda zahteva nekaj časa za seznanitev z orodjem in nameščanjem. Zato menim, da je to orodje bolj pisano na kožo srednjim in večjim podjetjem z dovolj IKT osebja. Vsem drugim pa sedaj nudimo dostop do spletnih naslovov, uporabljenih v phishing napadih in za katera smo prijavo prejeli na SI-CERT. Več informacij je na voljo na naši spletni strani pod zavihkom »zaščita sistemov«,« doda Božič.
Ni več vprašanje, ali boste napadeni, temveč kdaj
Tako pri A1 kot pri Telekomu Slovenije kot največjo zmoto podjetij navajajo prepričanje, da se njihovemu podjetju kibernetski napad ne more zgoditi. »Število varnostnih incidentov se iz leta v leto povečuje, kibernetski napadi so vedno bolj sofisticirani, pred njimi ni varen praktično nihče. Tarča kibernetskega napada je bilo že vsako peto podjetje, tako da ni več vprašanje, ali boste napadeni, temveč, kdaj boste in kako se boste napada ubranili. Kiberkriminalci namreč aktivno iščejo razpoke, ranljivosti, nebranjene in za podjetje pomembne podatke, skratka karkoli, kar bi lahko pretvorili v denar s prodajo informacij oz. podatkov ali pa z izsiljevanjem podjetij, organizacij, institucij in posameznikov,« opozarja Telekom Slovenije.
Strošek odpravljanja posledic kibernetskega napada praviloma močno preseže investicijo v kibernetsko varnost.
»Pogosta predpostavka, ki smo ji priča kot ponudnik rešitev za kibernetsko varnost, je tudi ta, da je celovita kibernetska zaščita draga. Gre za eno izmed najnevarnejših zmot, saj strošek odpravljanja posledic kibernetskega napada praviloma za nekaj desetkrat preseže večletno investicijo v kibernetsko varnost. Znesek celovite kibernetske zaščite, vključujoč 24/7 varnostno-operativni center, namreč za srednje veliko slovensko podjetje s približno 50 zaposlenimi praviloma ne preseže 5.000 € na leto,« pojasnjujejo pri A1.