Prema aktualnim istraživanjima o kibernetičkim napadima i prijetnjama, sve više napadača radije krade i prodaje podatke nego da ih šifrira radi iznude. A ucjenjivačke programe ili ransomware neki su već proglasili pravom pandemijom u virtualnom svijetu. U takovom okružju postavlja se pitanje kamo sigurno spremati, gdje čuvati i obrađivati svoje baze podataka te što napraviti ako oni ipak iscure. Eksponencijalni rast kibernetičkih napada golema je ugroza za stabilnost i sigurnost poslovanja. Danas su posebno opasni napadi čiji je rezultat kriptiranje svih dokumenata i sustava tako da tvrtke postaju neoperativne. U tom slučaju govorimo o ransomwareu.
Međutim, posebno zabrinjava trend rasta kibernetičkih napada u kojima napadači ne kriptiraju podatke, nego ih jednom kada dobiju pristup sustavu preuzmu i nakon nekog vremena njima ili ucjenjuju tvrtke ili ih jednostavno prodaju dalje. Bilo kako bilo, ovdje govorimo o visokotehnološkom kriminalu koji već danas ostavlja ozbiljne posljedice na poslovanje. Kako tehnologija napreduje, tako se i metode koje upotrebljavaju napadači prilagođavaju i razvijaju.
Vrlo je teško jednoznačno navesti koja je najbolja metoda pohrane podataka i obrade baza podataka. Bilo da tvrtke odluče same održavati svoje sustave bilo da ih povjere oblaku, jedno je sigurno: bez ulaganja u sigurnost gotovo ne postoji mogućnost da poslovanje odoli napadima.
– Kibernetički napadači sve više preferiraju krađu osjetljivih podataka umjesto njihova kriptiranja zato što krađom odmah dolaze do vrijedne imovine koju mogu upotrijebiti ili prodati. Podaci kao što su osobni identifikacijski brojevi, kreditne kartice, zdravstveni podaci ili poslovne tajne iznimno su cijenjeni na crnom tržištu. S druge strane, možemo reći da je krađa podataka tehnički malo manje zahtjevna od kriptiranja i napadačima jamči sigurnu i bržu dobit. Ona je za razliku od kriptiranja razornija na duže staze jer napadač može sustavno dugo izvlačiti podatke a da tvrtke to ne primijete – kaže nam Marko Gulan, konzultant za kibernetičku sigurnost u Schneider Electricu za jugoistočnu Europu.
Mjere za sprječavanje
Zaštita od krađe podataka zahtijeva provedbu tehničkih mjera, ali ništa manje važne nisu ni procedure koje treba primijeniti. Možda je prije provedbe tehničkih mjera važno sustav otvoriti etičkim hakerima koji će ga tretirati kao napadač.
– Tako ćete dobiti najjasniju sliku gdje ste ranjivi. Isto se tako podaci mogu pohranjivati i obrađivati u sigurnim i zaštićenim okružjima. Iako se još i danas raspravlja o oblaku u kontekstu sigurnosti, možda je pravo vrijeme da razmislite o opciji clouda – kaže Gulan i dodaje kako su okoline u kojima su resursi oblaka usklađene s najvišim standardima sigurnosti.
I novi Zakon o kibernetičkoj sigurnosti, koji se temelji na direktivi EU-a NIS2, posebno ističe davatelje digitalnih usluga i digitalnu infrastrukturu kao obveznike usklađivanja sa Zakonom. Posebno je važna upotreba tehnologija koje šifriraju podatke koji se pohranjuju i prenose. Uvođenje rješenja za višefaktorsku autentifikaciju na sve pristupne točke koje zahtijevaju unos korisničkih podataka znatno će podignuti razinu sigurnosti. Ključna je provedba sigurnosnih politika i ona svakako ne bi trebala omogućavati iznimke jer svako odstupanje od definiranih pravila znači novi mogući rizik. Edukacija zaposlenika, pa čak i onih najiskusnijih, ključan je element jer neka od globalnih istraživanja navode zaposlenike odjela IT-a kao najčešće mete kibernetičkih napada.
U slučaju curenja
Kad podaci iscure ili budu ukradeni, važno je brzo reagirati kako bi se minimizirala šteta i zaštitili svi pogođeni entiteti. To možemo usporediti sa zlatnim satom kad se dobije infarkt: ako zakasnimo i odgađamo pravodobnu reakciju, šteta može biti toliko velika da je oporavak upitan. Tvrtke vrlo često za curenje ili krađu podataka doznaju prekasno, tj. u trenutku kad se ti podaci pojave u bespućima interneta.
– Ako podaci iscure, postoji regulativa koja se mora poštovati, od prijave mjerodavnim tijelima, forenzike pa do postupka povrata podataka u sigurnu i čistu okolinu, što obavljamo u suradnji s administratorima korisničkog sustava – kaže backup solution architect u tvrtki Axians Hrvatska Bojan Šumljak.
Prije bilo kakve reakcije treba potvrditi i procijeniti obujam sigurnosnog incidenta kako biste mogli provesti potrebne mjere. Nekontroliranim postupanjem može se samo nanijeti još veća šteta. Vrlo je važna i komunikacija sa zainteresiranim stranama, bilo s javnošću bilo s mjerodavnim tijelima.
– Tvrtke iz domene visokoreguliranih u tom slučaju imaju i obvezu izvijestiti o tome nadzorna tijela. Prema novome Zakonu o kibernetičkoj sigurnosti, broj tvrtki obveznika u Hrvatskoj znatno će se povećati i izvještavanje postaje dio zakonske obveze. Tvrtke bi na jednak način trebale izvijestiti javnost odnosno klijente o kibernetičkom napadu i krađi podataka te ih tako upoznati s mogućim negativnim posljedicama i, ako je moguće, navesti koji su podaci možda kompromitirani kako bi zainteresirane strane mogle provesti potrebne mjere da bi šteta bila što manja – objašnjava Gulan.
Tehnološki gledano, postoji mogućnost da će dio sustava morati biti isključen i nedostupan kako bi se utvrdila konačna šteta i provela detaljna digitalna forenzička analiza. Forenzička analiza može potrajati i do nekoliko mjeseci dok se ne utvrde sve činjenice i dok nam ne bude poznat svaki podatak koji je iscurio. Krađa podataka, ako se dogodi, može upućivati na to da neki procesi i mjere nisu bili dovoljni, zato će revizija sigurnosnih politika biti nužna, a pojačani nadzor sustava znatno pomaže u sprječavanju budućih napada jer tvrtka koja je pretrpjela napad najčešće bude ponovno napadnuta.
Šifriranje podataka
Zbog napretka u kibernetičkim prijetnjama razvijale su se i obrambene taktike kako bi bile bolje pripremljene za suzbijanje različitih vrsta napada, uključujući ransomware i krađu podataka. Rješenja za otkrivanje i odgovor na prijetnje (engl. endpoint detection and response – EDR) i mrežni detektori i sustavi za odgovor (engl. network detection and response – NDR) pružaju napredne kapacitete za praćenje, otkrivanje i automatski odgovor na sumnjive aktivnosti unutar endpoint-uređaja ili mreže. Šifriranje podataka u mirovanju i u prijenosu osigurava da, čak i ako budu ukradeni, neće biti čitljivi ili iskoristivi bez odgovarajućega ključa za dešifriranje.
– Uvođenje višefaktorske autentifikacije (MFA), upravljanje privilegiranim pristupom i minimalno potrebna prava pristupa mogu znatno smanjiti mogućnosti neovlaštenog pristupa. Podjela mreže na sigurne zone može spriječiti širenje napada unutar mreže i izolirati osjetljive resurse od neovlaštene upotrebe – govori Gulan.
Alati koji se koriste strojnim učenjem i AI-jem za analizu ponašanja korisnika i mrežnih entiteta mogu otkriti abnormalne aktivnosti koje bi mogle upozoravati na zlonamjerne radnje ili kompromitiranje podataka. Redovito testiranje sigurnosti penetracijskim testiranjem može otkriti ranjivosti prije nego što ih napadači iskoriste.
– Imati unaprijed pripremljen plan za upravljanje incidentima s jasno definiranim ulogama, odgovornostima i koracima za brz odgovor ključno je za minimizaciju štete u slučaju sigurnosnog incidenta – zaključuje Gulan.