Posljednjih godina broj kibernetičkih napada, kako na tvrtke tako i na pojedince, u stalnom je porastu. I dok je prije bilo dovoljno pomnije čitati e-mail poruke i ne klikati na nepoznate linkove, danas su kibernetički napadi puno sofisticiraniji i teži za prepoznavanje.
Pa kako se onda prosječan građanin može zaštititi? I, što je još možda važnije, kako tvrtke koje se bave izradom digitalnih proizvoda koje svi koristimo, brinu o sigurnosti svojih proizvoda, a onda i nas samih?
Odgovore na ta i još neka zanimljiva pitanja potražili smo kod stručnjaka za kibernetičku sigurnost, Nevena Matasa, koji je QA & SecOps Team Director u Infinumu.
Kibernetička sigurnost, odnosno sigurnost na internetu, iz dana u dan sve je važnija u našim digitalnim životima. No, čini se kako ljudi još uvijek ne vode dovoljno računa o tom aspektu života. Što bi po vama bili najveći "grijesi" odnosno najčešći prekršaji koje prosječni korisnici čine, a vezano uz sigurnost na internetu?
Broj načina na koji se prosječna osoba može izložiti rizicima interneta je velik, no neke od najopasnijih i najčešćih pogrešaka koje vidimo su korištenje slabih lozinki i recikliranje istih lozinki kod autentifikacije na online servisima. Čak i u slučajevima kad su ti osnovni uvjeti zadovoljeni, korisnici nedovoljno pribjegavaju korištenju dvofaktorske autentifikacije koja znatno smanjuje rizik od gubitka pristupa računu.
Sljedeća tema su phishing napadi kod kojih ljudi često ne raspoznaju legitimne mailove i poruke od etabliranih servisa (npr. Google, Facebook) od onih koje šalju maliciozni napadači. U toj je situaciji rizik gubitak pristupa računu ili predavanje osjetljivih podataka, što može uzrokovati i značajne financijske štete. Čak je i dijeljenje svojih podataka s osobama od povjerenja potencijalno rizičan potez jer nikad ne možemo biti sigurni koliko te osobe paze na vlastitu online sigurnost, što posljedično može kompromitirati i nas same.
Koliku ulogu, u cijeloj priči o našoj sigurnosti na internetu, igraju developeri aplikacija i web stranica koje koristimo? Vode li oni računa o korisnicima?
Razvojni timovi u svakom slučaju mogu na bar dva velika načina pomoći korisnicima da se uspješnije nose s izazovima sigurnosti na današnjem internetu. Prvi je zahtijevanje da korisnici slijede određene sigurnosne prakse poput kompleksnijih lozinki i više-faktorske autentifikacije. Drugi je kontinuirana edukacija i upozoravanje korisnika da budu pažljiviji kod primitka sumnjivih poruka i predavanja osjetljivih informacija te da traže korisnike da redovno ažuriraju softver, među ostalim.
Naravno, sami razvojni timovi su dužni implementirati moderne sigurnosne prakse i alate u svoje proizvode tako da on sam bude manje osjetljiv na napade svih vrsta.
Što zapravo znači baviti se "sigurnošću digitalnih proizvoda"? Koliko je to zahtjevan proces? I koliko je u konačnici – važan?
Sigurnost digitalnih proizvoda krucijalan je aspekt razvoja svih digitalnih proizvoda, uključujući one koje korisnici najčešće prepoznaju, a to su web i mobilne aplikacije.
Tehničko osoblje treba redovito raditi na edukaciji i osvježavanju korištenih alata i procesa rada da bi održali korak s onima koji aktivno rade na traženju i iskorištavanju ranjivosti. To možemo nazvati defenzivnim pristupom sigurnosti. Dodatno, ono što tvrtke mogu napraviti je prakticirati tzv. ofenzivnu sigurnost, primjerice naručiti penetracijsko testiranje, gdje stručnjaci za sigurnost simuliraju hakerske napade na proizvod te kompanije kako bi otkrili trenutni rizik po njihov sustav. Kontinuiranim sagledavanjem oba aspekta mogu drastično minimizirati šanse za ozbiljnu štetu od cybernapada.
Baviti se sigurnošću je važnije što je kompanija veća i izloženija, jer time postaje zanimljivija hakerima, a rizik za sve vrste napada veći. Naravno, to znači da je i osiguravanje od napada kompleksnije, stoga je važno kontinuirano se baviti tim pitanjem. Izbjegavanjem pridavanja važnosti sigurnosti softvera može imati reputacijske, financijske i operativne posljedice po organizaciju koje mogu ozbiljno ugroziti i korisnike i sam biznis.
Prijevare su postale puno sofisticiranije
Koliku ulogu u cijeloj priči igra čovjek i njegovo znanje, a koliko tehnološka rješenja poput alata umjetne inteligencije i slično?
Do sad su social engineering prevare bile pripremane od strane ljudi i za ljude. Nedavni primjeri iz industrije pokazuju da čovjek često i jest najslabija karika, što ukazuje na manjak investiranja u edukaciju zaposlenika i slične proaktivne mjere. Edukacija, naravno, postaje još važnija s razvojem umjetne inteligencije i sposobnostima AI alata da imitiraju stil pisanja, zvuk, a i deep fake video uratke, jer je sve teže razaznati što je legitiman, a što maliciozan sadržaj.
Primjerice, zamislite da dobijete glasovnu poruku prijatelja ili člana obitelji koji se s putovanja javlja da je izgubio novčanik i moli vas da mu pošaljete podatke svoje kartice. Što biste napravili?
Nekad je bilo gotovo nezamislivo da netko može generirati realističnu glasovnu snimku kojom se predstavlja kao vama bliska osoba, a zapravo je dio zamke da vas na neki način iskoristi (voice phishing). Danas je za to potrebna jedna snimka na kojoj osoba priča te dostupan i relativno jeftin alat za manipulaciju glasa. Mogućnosti su gotovo neograničene, no srećom, isto vrijedi i za načine na koje se možemo zaštititi.
Koliko će zaista umjetna inteligencija postati faktor u kibernetičkoj sigurnosti je nešto što ćemo saznati u godinama koje dolaze, ali s obzirom na njen eksplozivan rast u svim domenama razvoja softvera, ne sumnjamo da će i sigurnost pratiti te trendove.
Posljednjih godina sve češće možemo u javnosti čitati o velikim hakerskim napadima, od kojih su se neki dogodili i u Hrvatskoj. Koliko su hrvatske tvrtke zapravo zanimljive hakerima? Radi li se tu više o "domaćim" ekipama, pojedincima ili pak o "strancima"?
Teško je precizno odgovoriti na ovo pitanje jer detaljne informacije oko napada često nisu dostupne, no znamo da napadi često dolaze izvana od strane organiziranih hakerskih timova. Kompanije koje barataju s velikim količinama korisničkih podataka, koje imaju velike prihode ili imaju infrastrukturnu važnost su najinteresantnije za potencijalne napadače, no to ne znači da i manje kompanije nisu izložene.
Hakiranje je zapravo vrlo profitabilna djelatnost i broj ljudi koji se bavi time kontinuirano raste, unatoč tome što je “s one strane zakona”. Iz perspektive hakera ili naručitelja hakerskih usluga (što se naziva Hacking as a Service), profitabilnost se temelji na zakonu velikih brojeva i dovoljno je da svega nekoliko kompanija odluči isplatiti otkupninu u slučaju ransomware napada da bi im se trud isplatio.
Što napraviti ako se nađete na meti hakera?
Što uopće neki pojedinci (i tvrtke) mogu napraviti ako se nađu na udaru hakera? Koji su koraci koje bi trebalo poduzeti? A što nikako ne bismo trebali raditi?
Koraci ovise o tome kojoj su vrsti napada izloženi.
Tvrtke bi trebale imati unaprijed pripremljene incident response planove koji uključuju procedure i procese za reagiranje na napad. One uključuju višestruke korake poput gašenja određenih sustava, komuniciranje problema zaposlenicima i korisnicima, skupljanje dokaza i analizu situacije, kontaktiranje nadležnih institucija, analizu štete i gubitka, povrat podataka i konačno, uklanjanje ranjivosti.
U slučaju phishing napada, bilo bi dobro prijaviti napad organizaciji čiji se identitet koristi u svrhu prijevare korisnika kako bi oni mogli intervenirati. Ako su predani neki osjetljivi podaci poput brojeva kartica, što brže kontaktirajte nadležnu financijsku instituciju.
Što napraviti kako bismo se uopće pripremili i izbjegli ili barem ublažili hakerski napad?
U slučaju napada na pojedinca, svakako je prvi korak postaviti snažne i jedinstvene lozinke uz dvofaktorsku autentifikaciju na web servisima i aplikacijama. Nazovimo to osnovnom sigurnosnom higijenom.
Pored toga, potrebno je softver instalirati isključivo iz provjerenih izvora, regularno ga updateati te koristiti neku metodu zaključavanja uređaja (kompleksan PIN ili lozinka te biometrijske metode).
Sljedeći korak je oprezno ulaziti u interakciju sa sumnjivim mailovima i porukama, pogotovo ako sadrže privitke koje niste nužno očekivali. Naravno, to od korisnika traži i određenu odmjerenost u odabiru sadržaja koji će posjećivati i mreža na koje će se spajati.
Ovo su samo osnovne mjere koje će otežati nekome da preuzme vaše račune ili vas na drugi način ošteti. Ponekad ni to nije dovoljno, pa se možemo pripremiti za najgore tako što sve osjetljive podatke imamo backupane na nekom offline mediju. Što se tiče pristupa računima, korisno je imati postavljen recovery email, broj telefona ili kodove da se pristup lakše povrati.
Velike organizacije poput Googlea će vas provesti kroz osnovne sigurnosne postavke, bitno je samo da ih se ozbiljno shvati.
Što se samih organizacija tiče, osnaživanje sigurnosne posture je kompleksan i kontinuiran tehnički i procesni pothvat. Treba uzeti u obzir i mjesto na kojem se posao izvodi, što je zaposlenicima dopušteno, kakvim se hardverom koriste, kako se spajaju na internet, gdje se skladište podaci, kakav softver razvijaju i kako, gdje se on nalazi, kako ga korisnici koriste i mnoge druge elemente. Sve su to aspekti poslovanja i rada koji u sebi moraju imati ugrađenu sigurnosnu komponentu. To zahtijeva osmišljanje sigurnosnih protokola, njihovu konzistentnu implementaciju i ažuriranje na razini čitave organizacije. No to je tema za čitav jedan novi razgovor.
I automobili postaju meta hakera
Jedno od područja koje će biti sigurnosno izazovno u budućnosti definitivno su i naši automobili. Prije svega mislimo na električne automobile koji uvelike koriste vezu na internet, a onda i potencijalne autonomne automobile koji će koristiti cijeli niz različitih tehnologija. Kakvo je vaše viđenje sigurnosnog aspekta automobila u budućnosti? Na kome će biti teret "osiguravanja" - na proizvođačima, na pružateljima usluga ili pak na samim korisnicima?
Već su danas vozila zapravo pokretni računalni sustavi: over-the-air ažuriranje softvera u vozilima polako postaje mainstream u automobilskoj industriji, a vidjeli smo i slučajeve u kojima je moguće preuzeti djelomičnu kontrolu nad vozilom putem interneta. Kako se industrija bude dalje razvijala, pogotovo u smjeru autonomnih automobila, vjeruje se da će proizvođači svakako biti pod ogromnim povećalom javnosti, zakonodavaca i regulatora s obzirom na to da je potencijalan rizik po krajnjeg korisnika jako visok. UNECE WP29 i ISO SAE 21434 neki su od standarda i regulativa koji se bave sigurnošću modernih povezanih vozila, a ostaje za vidjeti kako će se velike kompanije u godinama koje dolaze pripremiti za te sigurnosne izazove. Nema sumnje da će proizvođačima put prema zaštiti korisnika biti izazovan.
Što biste izdvojili kao poseban sigurnosni izazov u budućnosti? Osobna sigurnost u digitalnom svijetu, sigurnost digitalnih osobnih podataka ili pak nešto treće? I zašto?
Budući da su uređaji koje koristimo sve češće spojeni na internet, kao i da je ogromna količina naših poslovnih i privatnih podataka i interakcije na sustavima nad kojima nemamo nadzor ili kontrolu, hakerima je lepeza potencijalnih točaka napada svakog dana sve veća. Umjetna inteligencija je samo još jedan aspekt koji ju dodatno proširuje.
To će tražiti ogromne financijske investicije na defenzivnoj strani da se krajnjim korisnicima osigura relativno miran san i istovremeno predstavlja najveći izazov u nadolazećim godinama: zadržati fokus na sigurnosti pod navalom novih široko dostupnih tehnologija.