V maju 2017 je uporabnike računalnikov po vsem svetu pozdravil zaskrbljujoč rdeč zaslon s sporočilom, ki je zahtevalo plačilo vse do 600 dolarjev v obliki Bitcoinov za odklep njihovih računalnikov. To je bil <“WannaCry”> (http://www.theonebrief.com/lessons-learned-questions-posed-by-wannacry-ransomware-attack/), eden največjih napadov z izsiljevalsko programsko opremo v zgodovini. Ocene škode, ki jo je povzročil, se gibajo okrog štirih milijard dolarjev, pri čemer je napadel okoli 200.000 tarč, med njimi tudi Nacionalno Zdravstveno službo v Združenem kraljestvu ter španskega ponudnika telekomunikacij Telefonica.

V Aon-ovem <Poročilu o upravljanju z globalnimi tveganji> (http://www.aon.com/2017-global-risk-management-survey/index.html?utm_source=theonebrief&utm_medium=editorial&utm_campaign=grms2017), objavljenem leta 2017, je bil kibernetski kriminal umeščen med pet najvišjih globalnih tveganj. Leta 2016 je stal globalno ekonomijo ocenjenih 450 milijard dolarjev in imel za posledico okoli dve milijardi ukradenih dokumentov – kar vključuje preko 100 milijonov kartotek pacientov v ZDA. Do leta 2019 bi izgube lahko dosegle 2 bilijona dolarjev – več kot dva odstotka globalne ekonomije.

Podjetja in njihova vodstva se zavedajo tega. A medtem ko je eno priznati, da obstaja grožnja – je nekaj drugega dejansko spopasti se z njo. In ko naša življenja postajajo vedno bolj digitalizirana, bo odgovornost za razumevanje natančno kakšne vrste kibernetskih groženj so tam zunaj, na nas samih.

Vrste kibernetskega kriminala

Klasifikacija kibernetskih napadov ni enostavna, saj posamezen napad pogosto združuje več različnih metod. Na primer, napad socialnega inženiringa ima lahko za posledico priključitev z računalniškim virusom okuženega USB ključka v sistem podjetja.

Ker se kibernetske grožnje in metode lahko med seboj prekrivajo in prepletajo, naslednje kategorije niso nujno povsem jasno določene. Vseeno pa dajejo dober indikator razpona napadov in sovražnih taktik s katerimi se morajo organizacije spoprijeti.

Zlonamerna programska oprema (ang. malware)
Gre za izraz, ki pokriva veliko različnih računalniških virusov. Kakršnakoli računalniška koda, ki si utre pot v sistem z namenom oviranja operatorjevih interesov, je uvrščena pod okrilje zlonamerne programske opreme. Oglaševalska  (ang. adware), vohunska (ang. spyware) in izsiljevalska (ang. ransomware) programska oprema, črvi (ang. worms), virusi in roboti (ang. bots) so vsi vrste zlonamerne programske opreme in se lahko pretihotapijo v omrežje na različne načine.

Zlonamerna programska oprema lahko povzroči škodo na raznolike načine, vključno z izklopom računalniških sistemov, dokler se ne plača odkupnina, ali uničenjem operacijskih sistemov. Tovrstni napadi spadajo v eno izmed najhitreje rastočih področij kibernetskega kriminala, z izrazitim skokom v številu prizadetih organizacij – že samo število napadov z izsiljevalsko programsko opremo se je iz leta 2015 na 2016 povečalo za 167-krat.

DoS (ang. Denial of Service)
Do zavrnitve storitve pride, ko napadalec preobremeni omrežje s presežkom prometa, kar povzroči zaustavitev sistema.
Še posebej izrazit trend tu je porazdeljen napad za zavrnitev storitve (DDoS; ang. Distributed DoS), pri katerem množica različnih virusov hkrati obišče omrežje – preprost odziv, s katerim bi žrtev lahko blokirala posamezne uporabnike, postane nemogoč. Pozno v letu 2016 je takšen napad onemogočil pomemben del interneta (https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet) vštevši Netflix, CNN in Reddit.

Motivi v ozadju napada za zavrnitev storitve niso vedno finančne narave – lahko je sprožen tudi da prekine ali sabotira operacije, ali pa povzroči večji obratovalni zastoj. Povprečen DDoS napad stane podjetje okoli 2,5 milijona dolarjev  (http://www.zdnet.com/article/the-average-ddos-attack-cost-for-businesses-rises-to-over-2-5m/.)

Napadi s surovo silo (ang. brute force attacks)
Ti napadi poskušajo uganiti sistemsko geslo skozi izredno hitro preizkušanje vseh možnih kombinacij znakov, običajno z namenom razkritja občutljivih informacij. Variacije te metode obsegajo napade s slovarjem (https://en.wikipedia.org/wiki/Dictionary_attack) , kjer algoritmi preletijo znane besede ali kombinacije znakov z upanjem, da bodo naleteli na pravilno zaporedje.

Napad s surovo silo na vlado Združenega kraljestva (http://www.telegraph.co.uk/news/2017/06/25/brute-force-cyber-attack-parliament-compromised-90-email-accounts/) je v juniju 2017 omogočil hekerjem dostop do elektronske pošte 90 vladnih uslužbencev – kar potencialno vključuje zakonodajalce in celo britanskega premierja.

Vrivanje SQL (ang. SQL injection)
SQL se nanaša na strukturiran poizvedovalni jezik (ang. Structured Query Language), torej računalniški jezik, ki se uporablja za komunikacijo in izdajanje navodil digitalnim bazam podatkov. SQL napadi vključujejo direktno vrivanje zlonamerne kode v spletne strani, ki potem izkorišča ranljivosti v njihovih podatkovnih bazah, kar omogoči hekerju dostop in spreminjanje zapisov.

Z izdajanjem lažnih ukazov lahko ti napadi manipulirajo s podatkovnimi bazami in njihovimi vsebinami, kar predstavlja resno tveganje tako za podjetja kot njihove stranke. Vrivanje SQL se na primer lahko uporabi za pridobitev podatkov o kreditnih karticah iz podatkovnih baz trgovcev na drobno. Leta 2015 so bili podatki 150,000 strank telekomunikacijske skupine TalkTalk v Združenem kraljestvu <ukradeni s pomočjo napada vrivanja SQL (https://www.theguardian.com/business/2016/oct/05/talktalk-hit-with-record-400k-fine-over-cyber-attack)

Lažno predstavljanje (ang. phishing)
Gre za poskus manipulacije ali dostopa do ciljnega omrežja pri katerem se napadalec izdaja za nekoga bolj nedolžnega. Na primer, tarči se lahko pošlje elektronsko sporočilo, domnevno od zaupanja vrednega stika ali sodelavca, ki pa vsebuje povezavo, preko katere se na uporabnikov računalnik pretoči zlonamerna programska oprema, ko klikne nanjo.

Kljub širokim kampanjam usmerjenim v izboljšanje seznanjenosti z lažnim predstavljanjem, raziskave kažejo, da se kar eden izmed treh lažnih elektronskih sporočil, še vedno odpre (http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017).

Socialni inženiring (ang. social engineering)
Povezan je z lažnim predstavljanjem, a bolj sofisticiran. Namesto zalezovanja tarč preko digitalnih kanalov, se napadalec tu obrne direktno na osebo na drugem koncu, naj si bo preko telefonskega klica ali na štiri oči, pri čemer uporablja psihološke trike in ustrahovanje.

Slavno “elektronsko sporočilo nigerijskega princa” (http://www.idtheftcenter.org/Scams/a-nigerian-prince-wants-to-give-me-money.html)  je primer usmerjenega lažnega predstavljanja (ang. spear-phishing) – napada socialnega inženiringa preko e-pošte, katerega namen je odpreti direktni komunikacijski kanal do posameznika, preden se uporabi tradicionalne prevarantske zvijače, s katerimi se pridobi dostop do denarja ali občutljivih podatkov. Napadalci danes postajajo vedno bolj prefinjeni in usmerjeni — tarča lahko na primer prejme elektronsko sporočilo ali telefonski klic od nekoga, ki se pretvarja, da je višji vodstveni delavec, ki zahteva dragocene informacije o računu.

Kar 60 procentov podjetij (https://www.scmagazineuk.com/60-of-enterprises-were-victims-of-social-engineering-attacks-in-2016/article/576060/) je bilo prizadetih v napadih socialnega inženiringa v letu 2016. In nedavno je celo Bela hiša postala žrtev e-poštne prevare (http://edition.cnn.com/2017/07/31/politics/white-house-officials-tricked-by-email-prankster/index.html)

Trije načini za izboljšanje vaše kibernetske odpornosti

Kibernetski napadi so skorajda neizogibni. Profil tveganj je znaten in malo verjetno je, da se s tako hitrim spreminjanjem tehnologij in tehnik lahko katerakoli organizacija popolnoma zaščiti pred incidenti.

Ne glede na obliko kibernetskega napada pa obstaja nekaj korakov, ki jih lahko naredijo organizacije, da zmanjšajo svojo izpostavljenost:

  1. Uporaba najboljših tehnoloških standardov kibernetske varnosti v svojem razredu: sliši se osnovno, vendar je zagotavljanje ažurnosti vašega tehnološkega profila ključen korak k omejevanju izpostavljenosti kibernetskemu kriminalu. Nameščanje relevantne protivirusne programske opreme bi moralo biti običajna poslovna praksa. A organizacije prav tako ne smejo pozabiti na posodabljanje obstoječe tehnologije. “WannaCry” napad je še posebej škodoval računalnikom z neposodobljeno programsko opremo, ki ni imela nameščenih potrebnih popravkov.
  1. Upravljanje s človeškimi tveganji: posodobljena tehnologija je kritična, vendar je vse to lahko zaman, če podjetja ne prepoznajo in nadzorujejo tveganja, ki ga predstavljajo zaposleni. Ljudje lahko napravijo napako, postanejo žrtev napada socialnega inženiringa, ali pa preprosto ravnajo zlonamerno. Pogosteje kot ne je človeška napaka (http://www.theonebrief.com/networks-machines-and-people-physical-side-of-cyber/) tista, ki je v ozadju večjih varnostnih incidentov. Zato je ključnega pomena izobraževanje vaših uslužbencev o njihovih odgovornostih ter o nevarnostih s katerimi se soočajo.
  1. Vzpostavitev strategij odziva: celo najprevidnejša firma, ki sledi vsem najboljšim praksam kibernetske varnosti, lahko še vedno postane žrtev kibernetskega napada. Imeti pripravljen načrt za upravljanje z napadi, ko se zgodijo, je torej kritičnega pomena. Ali ključni interesenti vedo, kaj bi morali storiti, ko se zgodi napad? So koraki za omejitev ali nadzor širjenja zlonamerne programske opreme na mestu? Vzpostavitev in testiranje strategij odziva z metodo rdečih-ekip ali s simulacijskimi vajami, lahko pomaga pri zapiranju teh vrzeli in zagotavljanju, da je podjetje pripravljeno na napad, ko se ta zgodi.

Bistvena je pazljivost. Nekatere metode kibernetskih napadov so dobro uveljavljene, relativno lahko se je zaščititi pred njimi – a so kljub temu uspešne. Neuspešnost v zadostni zaščiti vaših aktivnosti lahko celo vpliva na vašo (ne)zmožnost pridobitve zavarovanja za zmanjšanje vpliva incidenta, ko se ta zgodi. Vedno bolj se bo neuspešno sledenje osnovam kiber-odpornosti izkazalo za resno grožnjo poslovanju — ne le v smislu finančnih posledic, ampak tudi kar zadeva ugled in dolgoročno poslovno uspešnost.

“Živimo v stalno spreminjajočem se digitalnem in tehnološko medsebojno povezanem okolju, kjer se podjetja spoprijemajo z izzivi sledenja zadnjim varnostnim rešitvam — to jih prepušča bolj izpostavljene potencialnim kibernetskim napadom in sorodnim grožnjam kot kadarkoli prej,” pravi Aon Inpoint-ov generalni direktor Michael Moran. “Pojavljajo se nove tehnologije in tehnike in v neki točki bo celo najbolj sofisticiran sistem verjetno podlegel napadu.”

 

ZAKLJUČKI

“Kot prvo se je potrebno znebiti prepričanja, da je kibernetska varnost le tehnološki problem, ki ga je mogoče rešiti izključno z inženirskimi rešitvami. Uprave imajo navado, da si ga ogledajo, se zbojijo, da je preveč tehničen za njihovo razumevanje, in nato zaupajo celotno težavo tehnologom – ki temu primerno dostavijo nekaj tehnoloških popravkov. Pomanjkljivost tega je, da večina kibernetskih napadov ni izključno — ali celo večinoma — tehnične narave. Ljudje in procesi so ravno toliko pomembni.” — <Will Brandon, vodja informacijske varnosti, Banka Anglije>

“Hekerski napad ima lahko politični ali finančni motiv. Lahko je grožnja skozi izsiljevalsko programsko opremo, hibridna grožnja, ali celo kibernetsko vohunjenje posamezne države. Ali pa nima nekega očitnega motiva razen ‘motnje’ zaradi nje same. Definicije niso tako jasne kot nekdaj. Ideja predvidljive grožnje — kot smo jo poznali — je že davno mimo. Danes so tako tarče kot metode napada mnogo bolj nepredvidljive.” — <Andrus Ansip, evropski komisar za digitalen enotni trg in podpredsednik Evropske komisije ( https://ec.europa.eu/commission/commissioners/2014-2019/ansip/announcements/speech-vice-president-ansip-munich-cybersecurity-conference_en)

Z nadaljnim brskanjem po strani, se strinjate z uporabo piškotkov. Več...

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close