Broj kibernetičkih napada u svijetu raste iz godine u godinu. To je posebice bilo očito tijekom pandemije kad je velik broj ljudi radio od kuće, na vlastitim uređajima i vlastitim (nezaštićenim) mrežama. Kibernetički kriminalci iskoristili su tu činjenicu i pojačali svoje kampanje ne bi li upali u sustave tvrtki koje su im inače teško dostupne.
No, nisu svi kibernetički napadi isti, niti im je cilj jednak. Upravo smo o tome razgovarali s Nevenom Zitekom, Incident Response Managerom u informatičkoj tvrtki Span. Zitek je stručnjak za kibernetičku sigurnost, koji redovit prati "kretanja" na svjetskoj sceni kibernetičke sigurnosti i aktivno sudjeluje u zaštiti tvrtki i njihovih podataka.
Možete li nam pojasniti malo kakvi su kibernetički napadi trenutno "najpopularniji", kakvi najopasniji i što nas očekuje u budućnosti?
Kibernetičke prijetnje možemo svrstati u tri skupine. U prvoj skupini (tip 1) sami smo sebi najveća prijetnja i najveći neprijatelj. To podrazumijeva loše ili nedovoljno dobre prakse za upravljanje sigurnošću, neadekvatno upravljanje identitetima i lozinkama, opremom ili dobavljačima, zatim neulaganje u ljude i tehnologiju… Sve su to čimbenici zbog kojih organizacijske ranjivosti postanu iznimno laka meta malicioznih aktera i noćna mora za organizaciju. Ovdje govorimo o stvarima koje su apsolutno nužne za osiguravanje sigurnosti organizacije i ne bi ih se trebalo gledati kao trošak već kao ulog u sprečavanje gubitka. Ako dođe do neželjenog događaja, možemo jedino ustvrditi da sami snosimo odgovornost zbog nemara i nebrige.
U drugu skupinu prijetnji (tip 2) spadaju tzv. „slučajni“ sigurnosni događaji, odnosno kibernetičke prijetnje koje se nalaze svuda oko nas, na raznim web stranicama, u neželjenoj pošti, u datotekama koje se dijele itd. Uglavnom se radi o statičkim ili manje automatiziranim malicioznim programima i skriptama koje iskorištavaju našu nepažnju i/ili poznatu ranjivost. Kod ove skupine prijetnji specifično je to da će se nekom dogoditi, a nekom drugom neće, a posljedice ovise o tome kakav je vaš opći stav prema sigurnosti. Primjerice, ako u organizaciji postoji sustav praćenja prijava u sustav (User and Entity Behavior Analytics (UEBA)), lako je uočiti da ista prijava koja je u sustav došla iz Hrvatske, a 10 minuta kasnije i iz Vijetnama, nema puno smisla jer nije moguće u deset minuta stići iz npr. Osijeka u Hanoi. Dakle, postoji vjerojatnost da je došlo do kompromitacije korisničkog računa i potrebno je djelovati. Kod ovog tipa prijetnji razmjer posljedica za slučaj neželjenog događaja ovisi isključivo o tome kako organizacija doživljava i prioritetizira kibernetičku sigurnost te kako na ovakve prijetnje reagira.
Treću skupinu kibernetički prijetnji (tip 3) predstavljaju ciljani napadi na organizaciju, a to je ono od čega sve organizacije najviše strepe. Ovakvi su napadi, za razliku od prethodnih, predvođeni su uigranim i vrlo sposobnim timovima, odnosno kibernetičkim kriminalnim skupinama čiji su motivi najčešće novac ili neka politička agenda. Protiv ovakvih prijetnji kibernetička obrana je vrlo izazovna, što ne znači da napadačima treba olakšati posao - potrebno je ponajprije osigurati da se u organizaciju ne provuku prijetnje iz prve dvije točke.
U tom kontekstu, bez obzira na tip prijetnje, najrazorniji oblik napada na organizacije i pojedince predstavlja tzv. ransomware, kojem obično prethodi eksfiltracija tj. izvlačenje podataka. Nakon eksfiltracije slijedi kriptiranje i zahtjev za otkupninom. Ukradeni podaci služe kao dodatno sredstvo prisile ako žrtva odluči da neće platiti otkupninu, ucjenjivači tada prijete javnom objavom podataka što bi organizaciji moglo nanijeti ozbiljnu štetu po ugled, kroz kaznu regulatora ili države (npr. GDPR).
U budućnosti nas čekaju novi i stari izazovi: poznate prijetnje neće nestati, ali će postati sofisticiranije i „pametnije“, pogonjene umjetnom inteligencijom. Od novih prijetnji možemo očekivati krađe digitalnih identiteta i uz njih povezane digitalne imovine (novac, kripto valute, NFT tokeni, itd.) .
Posljednjih godina i kibernetički su kriminalci iskoristili napredak u razvoju umjetne inteligencije i počeli ju koristiti u svojim napadima. A što je s drugom stranom, onima koji od kibernetičkih napada brane sebe i druge? Koristi li se umjetna inteligencija (ili koja druga napredna tehnologija) u obrani od kibernetičkih napada i kako?
Umjetna inteligencija je širok pojam i ako smijem biti kritičan, rekao bih da se olako koristi u svakodnevnom, ali i u stručnom vokabularu. U svom najširem smislu, ona je u upotrebi u defenzivne svrhe već duže vrijeme, a koristi se, između ostalog kao pomoć, kako bi se u moru podataka koje generiraju korisnici, oprema i servisi pronašli oni koji upućuju na postojanje prijetnje. Možda je baš primjer ranije spomenutog User and Entity Behavior Analytics (UEBA) odličan uvod u primjenu umjetne inteligencije u obrambene svrhe; praćenjem ne samo lokacije s koje se korisnik prijavljuje u sustav, već i korisničkih navika, algoritam može uočiti devijacije te ovisno o veličini devijacije odmah poduzeti preventivne defenzivne radnje. Primjerice, može privremeno korisniku onemogućiti pristup, obavijestiti Security Operations Center (SOC), poslati korisniku SMS ili mu uputiti poziv te ga zatražiti potvrdu da je upravo on, sada, s tog uređaja i te lokacije izvršio prijavu u sustav. Ovisno o odgovoru korisnika sustav će naučiti je li njegova pretpostavka bila dobra ili ne te će na osnovu toga u budućnosti donositi kvalitetnije odluke.
U budućnosti će umjetna inteligencija upravo zbog raširenosti u kibernetičkim napadima odigrati ključnu ulogu i u defenzivnim sustavima, ne samo zbog brzine reakcije naspram čovjeka, već i zbog kvantitete i kvalitete (pouzdanosti) odluka koje će morati donijeti u svrhu zaustavljanja i ograničavanja napada. U budućnosti nas očekuju situacije u kojima se kibernetička „bitka“ odvija isključivo između „naših“ i „njihovih“ botova.
Koliko su česti kibernetički napadi u Hrvatskoj? Javnost obično doznaje za one najveće, ali koliko je Hrvatska i njeni građani na udaru kibernetičkih kriminalaca? I radi li se o "domaćim" hakerima ili su u pitanju stranci?
Teško je na ovo pitanje dati egzaktan odgovor s obzirom na to da ne postoje zabilježeni i javno dostupni podaci o kibernetičkim napadima, ali usudio bih se reći da su češći nego što se misli, odnosno češći nego što javnost za njih zna. Iz iskustva bih rekao da se najčešće radi o napadima tipa 1 i 2, uzrokovanih neulaganjem u sigurnost organizacije ili nepažnjom, a u manjem broju se radi o tipu 3, odnosno ciljanim napadima.
Razlog tome leži i u činjenici da su domaće tvrtke relativno malene u svjetskim razmjerima. Kako je najčešće novac primarni cilj svake kibernetičke kriminalne skupine, logično je za očekivati da će se okrenuti tvrtkama kojima za isti uloženi trud u njihovu kompromitaciju mogu dobiti puno više novaca. No, to ne znači da domaća organizacija ne treba brinuti o kibernetičkoj sigurnosti jer na internetu postoji dovoljno ostalih „generičkih“ prijetnji koje mogu za nepripremljenu organizaciju biti jednako razorne kao i one ciljane. A kad se neželjeni događaj dogodi, kada poslovanje stane – nevažno je odakle dolaze napadači.
Što je onda ključno za prevenciju i obranu od kibernetičkog napada? Kako za tvrtke, tako i za pojedince? Odnosno, kako se tvrtke i pojedinci u Hrvatskoj brane od takvih napada? I koja je uloga Incident Response Teama u svemu tome?
Za organizacije prvi je korak otvoreni dijalog upravljačkog dijela organizacije i IT službe. Komunikacija o tome što je važno za poslovanje organizacije, odnosno, koji su to poslovni servisi kritični za opstanak organizacije kao takve. Nakon toga poslovna je strana dužna komunicirati očekivanja u smislu performansi koje se od IT-ja i IT servisa očekuju. Tek tada IT služba organizacije može u fazi dizajna arhitekture odabrati i implementirati rješenja koja će tim zahtjevima i udovoljiti. Nažalost, često postupak ide obrnutim redoslijedom, a to kasnije bude glavni uzrok svih nedaća.
Dobra prevencija od kibernetičkih napada započinje dobrim praksama u upravljanju IT-jem. To znači da organizacija na optimalan način upravlja fizičkom i virtualnom imovinom, ima dobar uvid u trenutnu situaciju, kontrolirano upravlja promjenama u sustavima te planira razvoj kapaciteta u skladu s poslovnim potrebama. Upravlja pristupom u informatičku okolinu, pravima pristupa te identitetima u suradnji s odgovornom službom za ljudske resurse (HR) i upravljačkom stranom, a svoje vlastite poslovne/korporativne i administratorske identitete drži odvojenima, kao i njihova prava pristupa. Uza sve to, kroz redovite operativne radnje poput nadzora, izrade sigurnosnih kopija i redovite instalacije sigurnosnih zakrpa na poslužitelje i računala, osigurava se temelj prevencije kibernetičkih napada.
Tek kad su ovi preduvjeti zadovoljeni možemo govoriti o specijaliziranim timovima za kibernetičku sigurnost čiji je zadatak prepoznati nastanak prijetnje, spriječiti i ograničiti njihovo širenje, ukloniti kompromitirane dijelove, osigurati povratak u normalno stanje uz kontinuirano podizanje razine otpornosti, skratiti vrijeme detekcije i reakcije te sposobnosti odgovora i na najnaprednije prijetnje.
Volimo reći da je dobar Incident Response tim najaktivniji upravo kad nema incidenata jer prijašnja iskustva tada pretače u nove mehanizme zaštite i obrane te radi i djeluje preventivno, a greške načinjene u rješavanju prethodnih incidenata pretvara u prilike za učenjem i unaprjeđenjem. Tijekom incidenta, Incident Response tim sastoji se od različitih profila stručnjaka: tehnoloških stručnjaka za pojedine tehnologije, stručnjaka za kibernetičku sigurnost, stručnjaka za poslovne procese i aplikacije, voditelja incidenta ili kriznog događaja, a u kriznim uvjetima timu se pridružuju i komunikacijski te pravni stručnjaci. Riječ je o vrlo dinamičnom timu, skrojenom za potrebe rješavanja konkretnog incidenta, a za kojeg ne postoji unaprijed pripremljen playbook. Timu je jedina konstanta voditelj, odnosno Incident Response Manager.
Kao pojedinci danas također posjedujemo sve veću količinu digitalne imovine poput identiteta tj. računa na društvenim mrežama, bankovnih računa, telekom računa, računa s kripto valutama, e-mail računa i sličnih servisa, a imamo tendenciju vjerovati kako o sigurnosti brine „druga“ strana, odnosno da mi tu nemamo puno opcija. Točno je da nemamo potpunu kontrolu nad svojim podacima, čega postanemo svjesni kada ih tvrtke kojima smo ih povjerili izgube ili kompromitiraju. Dobre prakse u upravljanju našom digitalnom imovinom trebale bi postati dio svakodnevice; korištenje kompleksnih lozinki, različitih za svaki od servisa. Svuda i uvijek omogućiti višestruku autentifikaciju, a ne samo se oslanjati na lozinku kao sredstvo zaštite od neovlaštenog pristupa. Trebalo bi unaprijed definirati alternativne komunikacijske kanale za slučaj izgubljene ili kompromitirane lozinke (broj telefona, email adresa), a ti kanali također trebaju biti dobro zaštićeni (ako ne i zaštićeniji). Izbjegavati instalaciju kojekakvih uglavnom „besplatnih“ aplikacija (igrice, „sitna pomagala“, igre na sreću, shopping, kuponi i sl.), koje osim što usporavaju rad mobitela ili računala mogu predstavljati sigurnosnu prijetnju. Izbjegavati dijeljenje osobnih i osjetljivih podataka na društvenim mrežama s osobama za koje nismo sigurni tko su. Prije unosa korisničkog imena i lozinke provjeriti da li ih unosimo baš tamo gdje želimo ili se radi o lažnoj stranici. Primljene poruke koje zvuče predobro da bi bile istina („osvojili ste nagradu“, „proizvod snižen 99%“, „brz povrat novca“, „nešto besplatno“…) najbolje je ignorirati i obrisati jer se vrlo često radi o prevarama čiji je cilj dokopati se vašeg računa. Sve su češći napadi na privatne Instagram profile s većim brojem pratitelja za koje onda napadači traže otkupninu i prijete brisanjem na što žrtve pristaju s obzirom na količinu uloženog truda i vremena u izgradnju profila.
U posljednje dvije godine puno ljudi radi od kuće ili hibridno. Koliko je takav način rada izazovan za održavanje kibernetičke sigurnosti i higijene u tvrtkama? Što su najveći izazovi i na što treba obratiti posebnu pozornost, pogotovo jer se čini kako bi taj trend rada od kuće u budućnosti mogao biti sve popularniji.
Razvojem pandemije COVID-19 mnoge su tvrtke imale izazove u provedbi „brze digitalne transformacije“ kako bi omogućile zaposlenicima hibridan ili udaljeni rad. Upravo je taj pritisak na brzu transformaciju mogao ostaviti „rupe“, odnosno prostor koji sada napadači mogu iskoristiti i time ugroziti rad organizacije. S druge strane, one tvrtke koje su i prije omogućavale neki oblik udaljenog rada i koje su na vrijeme prigrlile Cloud tehnologije i servise, našle su se u puno boljoj poziciji i u poznatoj okolini. No, čak i u tom scenariju, promijenio se volumen onih koji rade udaljeno, a težište se prebacilo s tradicionalnog pristupa podjele na „sigurnu“ i „nesigurnu“ okolinu (korporativna mreža i internet) na moderniji pristup nulte stope povjerenja (tzv. 0-trust) prema osobama i uređajima koji pristupaju poslovnim servisima i aplikacijama. Ta promjena unijela je određenu količinu izazova, ponajprije u načinu pristupa nužnim poslovnim aplikacijama i servisima te osiguravanju razine sigurnosti u pristupu, ali suštinski je intenzitet same promjene ponajprije ovisan o tome je li kompanija prije imala iskustva s udaljenim radom i organizacijom udaljenog poslovanja ili nije te koliko sigurnosni zahtjevi utječu ili mogu utjecati na poslovne procese i obrnuto.
Rekao bih da se ta promjena u režimu rada i pristupa udaljenom radu toliko udomaćila da je povratak na „staro“ gotovo nemoguć. U budućnosti možemo samo očekivati daljnji razvoj mogućnosti udaljenog rada, što će otvoriti i nove izazove, a ti izazovi uključuju povratak koncepta „radne sobe“ i radnog prostora unutar stambenog prostora. O tome se trenutno vodi relativno malo računa, no radno mjesto uključuje računalo/la koje je dostupno ukućanima, gostima i slično, a koje ima pristup korporativnim podacima koji mogu biti osjetljive naravi. Taj je problem posebno izražen ako se za pristup poslovnim servisima koristi kućno računalo (bring your own device) te će budući izazovi uz tradicionalne kibernetičke prijetnje morati uključivati i dodatnu zaštitu poslovnih podataka (compliance, data leak and data loss prevention, insider risk management) na uređajima kojima direktno ne upravlja IT organizacija na tradicionalan način.
Netko je jednom rekao "ako vas do sad već nisu hakirali, samo je pitanje vremena kad će se to dogoditi". Možete li nam dati nekoliko praktičnih savjeta što napraviti ako se nađemo na udaru kibernetičkih kriminalaca? Odnosno što napraviti kako se u takvoj situaciji uopće ne bi našli?
Kad je riječ o kibernetičkoj sigurnosti svakako vrijedi izreka „bolje spriječiti nego liječiti“. Za organizacije to uključuje sve radnje počevši od faze arhitekture informacijskog sustava koji mora biti u skladu s poslovnim potrebama, upravljan najboljim praksama te štićen proporcionalno vrijednosti koju predstavlja za organizaciju. Uz tehničko-tehnološka rješenja (SIEM, SOAR), specijaliziranu organizaciju za bavljenje kibernetičkim prijetnjama (Security Operations Center, Incident Response Management), podjednako + važan element kibernetičke sigurnosti svake organizacije je edukacija krajnjih korisnika, od top menadžmenta nadalje. Za najviši menadžment poželjno je organizirati simulacijske vježbe kibernetičkog napada (Table-Top Exercise - TTX) kako bi se stekao uvid na koji način organizacija reagira u kriznim uvjetima te kako bi organizacija istovremeno osvijestila problematiku kibernetičke sigurnosti. U posljednje vrijeme upravo ovakve vježbe popularne su među izvršnim menadžmentom, a osobno ih najradije provodim jer osim za podizanje razine svijesti i za provjeru i ocjenu učinkovitosti konkretnih Incident Response planova, mogu pomoći i u identifikaciji ne samo stvari koje smo mogli bolje, već i onih u kojima smo doista dobri i na koje se u kriznoj situaciji možemo osloniti. Edukacija krajnjih korisnika informacijskog sustava kontinuirani je proces na kojem treba stalno raditi, podsjećati o opasnostima, naučiti prepoznati phishing e-mail, podići svijest o važnosti čuvanja podataka, kao i o važnosti odgovornog ponašanja u upravljanju lozinkama i slično.
Jer kad do neželjenog događaja dođe, naša sposobnost odgovora ovisit će isključivo o tome što smo poduzimali prije nego li se dogodio te imamo li adekvatne mehanizme detekcije, pravu tehnologiju, zrele procese i oni najvažnije – imamo li uvježbane i educirane ljude.
