Uprave tvrtki trebale bi se baviti kibernetičkom sigurnošću koliko i financijama. Opravdano se strahuje od najnovijih napada koji iskorištavaju još nepoznate ranjivosti, ali najveću štetu kompanijama nanose stare ranjivosti i stari zlonamjerni programi
Ne otvarati sumnjivu elektroničku poštu nepoznatih pošiljatelja ili privitke, redovito nadograđivati antivirusne programe, izrađivati sigurnosne kopije i pohranjivati ih odvojeno od sustava te pratiti obavijesti Nacionalnog CERT-a, najčešći su savjeti stručnjaka za kibernetičku sigurnost.
Opasnost može prijetiti također s društvenih mreža, platformi za igranje i mobilnih aplikacija, a najslabija točka u sustavu obrane su uvijek ljudi. Uprave tvrtki trebale bi se baviti više svojom kibernetičkom sigurnošću, pozivaju stručnjaci, i osvijestiti da su često najslabija točka među zaposlenima ipak menadžeri na najvišim položajima u tvrtkama.
Opasna računala
Opravdano se strahuje od najnovijih napada koji iskorištavaju još nepoznate ranjivosti, rekao je dr. sc. Predrag Pale, izvanredni profesor na Fakultetu elektrotehnike i računarstva u Zagrebu te osnivač i voditelj FER-ova Centra informacijske sigurnosti, no ipak najveću štetu nanose stare ranjivosti i stari zlonamjerni programi.
Adware programi maltretiraju korisnike neželjenim reklamama, ali, dodao je, mnogi korisnici ne smatraju to napadima, iako to zapravo jesu. Spyware napadačima dostavlja podatke sa žrtvina računala, podsjetio je, korisnici uglavnom ni ne prepoznaju da su ih napali, a ransomware je najvidljiviji napad koji nanosi najveću štetu.
– Važno je da se uprave tvrtki bave kibernetičkom sigurnošću koliko i financijama. Mora postojati osoba koja se bavi informacijskom sigurnošću i ona se treba stalno dodatno obrazovati te imati potrebne resurse. Barem jednom na godinu potrebno je ugovoriti specijaliziranu, dokazanu vanjsku tvrtku da provjeri sigurnost.
Najslabije točke su ljudi, svi zaposlenici, a top-menadžment je poslovično najslabija točka, koja ne obavlja svoje poslove u informacijskoj sigurnosti i često najviše krši sigurnosne politike i pravila.
Zaposlenici nisu svjesni rizika i opasnosti, nisu motivirani i obrazovani da štite sebe, svoje resurse i resurse tvrtke. Informatičari često nemaju dovoljno profesionalnih znanja za informacijsku sigurnost, a gotovo u pravilu nemaju vremena i materijalnih resursa da se na odgovarajući način bave informacijskom sigurnošću tvrtke.
Tehnički najslabija točka su računala zaposlenika. Prijenosna nose kući i po terenu, koriste se njima na nesigurnim mrežama, dopuštaju i da se njima koriste djeca i drugi te u njih umeću memorijske štapiće i CD-ove i DVD-ove neprovjerenog sadržaja – upozorava Pale.
Iskorištavanje empatije
Nacionalni CERT je tijekom 2021. godine zaprimio i obradio 1211 prijava koje se mogu klasificirati kao računalno-sigurnosni incidenti, rekla je Vlatka Jajetić, voditeljica Službe za obradu incidenata u CARNET-ovu Odjelu za Nacionalni CERT.
U posljednje vrijeme primjećuje povećanje kibernetičkih prijetnji iskorištavanjem ranjivosti nultog dana (napadači su otkrili pogrešku prije proizvođača softvera) poput ranjivosti na VPN sustavima, što je bio slučaj i kod ozbiljnijih napada poput onog na američku softversku tvrtku SolarWinds i poslužitelj Microsoft Exchange.
– Koronakriza je povećala ranjivost na računalno-sigurnosne incidente najviše zbog rada od kuće. Većina tvrtki nije bila spremna te nije imala dovoljno vremena za ojačavanje sustava. Ransomware je svakako jedan od češćih zlonamjernih programa koji uglavnom cilja tvrtke i kod kojeg napadač, šifrira informacije na računalu tražeći otkupninu, najčešće u bitcoinima, za ključ za dešifriranje.
Zbog napada koji se šire mrežom bez interakcije korisnika, kakvog smo vidjeli u svjetskim ransomware WannaCry napadima 2017., vrlo je važno da se sigurnosne kopije drže odvojeno od sustava. U posljednje vrijeme sve su češći napadi koji se koriste socijalnim inženjeringom kao što su phishing prijevare, koje iskorištavaju ranjivost korisnika služeći se javno dostupnim podacima.
Ako napadač dovoljno prouči žrtvu i dobro pripremi napad ponekad je dovoljna samo korisnikova e-mail adresa da bi 'nasjeo' na prijevaru. Korisnici i zaposlenici trebaju biti pažljiviji u doba krize, širenja bolesti i ratovanja jer napadači iskorištavaju suosjećajnost za lakši kibernetički napad na tvrtku ili pojedinca.
Žrtve obično sakrivaju da su pretrpjele napad zbog rizika od narušavanja ugleda, srama ili internih procedura, a bez podrške uprave tvrtke odjelima koji se bave područjem kibernetičke sigurnosti ne mogu se napraviti velike promjene – istaknula je Jajetić.
Stalne provjere ranjivosti
Domagoj Ćosić, ICT 'presales expert' u A1 Hrvatska, naglašava da su najveće i najčešće prijetnje zlonamjerni programi ransomware, koji mogu u potpunosti zaključati ključnu informatičku infrastrukturu, ugroziti poslovanje te napraviti veliku financijsku i reputacijsku štetu.
Cjelovit razvoj i ulaganje u informacijsku sigurnost trebaju biti stalni iako savršena obrana ne postoji, pa se zato po Ćosiću treba usredotočiti na edukacije o računalnoj sigurnosti zaposlenika, čestoj provjeri ranjivosti sustava i prava pristupa korisnika te primjeni višefaktorske autentifikacije.
– Potrebno je raditi i na ranoj detekciji. Alati nove generacije poput XDR (Extended detection and response) i NDR rješenja (Network detection and response) omogućuju rano otkrivanje napadača i brz odgovor na incident. Kao krajnja mjera potrebno je provoditi česta sigurnosna kopiranja ključnih računalnih sustava.
Neke od najčešćih ranjivosti su nedostatak zakrpa za operacijske sustave, velik broj korisnika s administratorskim pristupom, nedostatak SSL certifikata, javno izložen repozitorij koda, pohranjivanje osjetljivih informacija na raznim uređajima ili korištenje slabih lozinki i nemijenjanje inicijalno postavljenih lozinki.
Uza standardnu prevenciju i obranu perimetra, bitan je odgovor u slučaju incidenta. A1 Hrvatska je prepoznao alat Pentera, koji oponaša hakerske napade automatizirajući otkrivanje ranjivosti i izvođenje etičkih iskorištavanja, istodobno osiguravajući neometan rad mreže uz predloženu sanaciju pronađenih ranjivosti – iznosi Ćosić.
Najopakiji zlikovci
Prema Ivici Gašpariću, direktoru tehnike u Verso Altimi, zlonamjernih programa ima desetak vrsta, od kojih svaka predstavlja veliku prijetnju za poslovanje tvrtke i pojedinca.
Kao najopasnije je izdvojio Clop Ramsoware, koji zaustavi stotine Windows procesa i aplikacija uključujući one za otkrivanje i zaštitu od napada te započinje kriptiranje podataka, lažne nadogradnje Windowsa u koje napadači zapakiraju zlonamjerni softver (ransomware) i Gameover Zeus s ciljem krađe financijskih sredstava s računa žrtve.
– Zaštita tvrtke od kibernetičkih prijetnji zahtijeva višedimenzionalan pristup: određivanje procesa i imovine koji zahtijevaju kibernetičku zaštitu, ugradnju preventivnih i zaštitnih alata i mehanizama, otkrivanje kibernetičkih incidenata i ranjivosti, suzbijanje utjecaja kibernetičkih prijetnji te primjenu infrastrukture, alata i procesa za oporavak.
Za postizanje zadovoljavajuće razine kibernetičke sigurnosti u nekoj tvrtki potrebna je odgovarajuća kombinacija stručnjaka, alata i procesa, a u više od 90 posto uspješnih napada ljudi su najslabija točka – smatra Gašparić.
Novac pokreće svijet, pa i kibernetički kriminal, te se mora shvatiti da je glavni cilj svakoga kibernetičkog napada stjecanje novca ucjenom, krađom intelektualnog vlasništva ili onemogućavanjem tvrtke da obavlja svoju djelatnost, jasan je Tomislav Novosel, voditelj IT održavanja u Duplicu. Osobito ga zabrinjava što su takvi napadi dostupni kao usluga (RaaS – ransomware as a service), koja se može ilegalno unajmiti.
Vrijeme i resurse bi prema Novoselu trebalo usmjeriti u izgradnju održivoga sigurnosnog sustava za upravljanje kibernetičkom sigurnošću tvrtke korištenjem interne politike i procedure, edukacijom zaposlenika, sigurnosnim tehničkim mjerama, sustavima nadzora, obavještavanja i kontrole pristupa te sigurnosnim provjerama.
Novosel uviđa da se pritom ne prepoznaje da su sustavi za automatizaciju i kontrolu industrijskih/proizvodnih postrojenja kojima se koriste mnoge tvrtke sve češće predmet kibernetičkih napada.
Lov na krupnu divljač
U posljednjih godinu-dvije, tvrdi Vanja Švajcer, technical leader u Cisco Talos Threat Intelligenceu, etablirale su se dobro organizirane grupe koje idu u 'lov na krupnu divljač', poput REvila ili Contija i koje se u napadima koriste automatiziranim zlonamjernim programima poput ransomwarea.
No objasnio je da također primjenjuju i ručno orkestrirane hakerske napade pri kojima napadači dulje ostaju u mreži kako bi je što bolje upoznali i pronašli važne podatke, a kada su povjerljivi podaci u posjedu napadača, pokreće se ransomware napad.
– Tehnologija sigurnosnih proizvoda dosta je napredovala u posljednjih nekoliko godina i u pravilu se oslanjamo na takozvane EDR-ove (Endpoint Detection and Response) ili XDR-ove (Extended Detection and Response), koji sadrže mnoge tehnologije posebno razvijene za zaštitu od pojedinih klasa zlonamjernih programa poput ransomwarea ili spywarea.
Osim računala, potrebno je zaštititi i vrata prema internetu, u čemu pomažu proizvodi za zaštitu e-mail poslužitelja i web gatewaya. Najčešće ulazne točke i dalje su e-mail i internet, ali i društvene mreže i platforme za igranje. Ne treba zanemariti ni ranjivosti u aplikacijama i operativnim sustavima izloženima mreži.
Neki sigurnosni propusti, poput ovogodišnje log4shell ranjivosti (nulti dan), toliko se lako iskorištavaju da se njima koriste i napadači početnici, a mnoge organizacije nisu pravodobno primijenile sigurnosne zakrpe – primjećuje Švajcer.
Dostupni alati za napad
Možda najnaprednija vrsta napada za Švajcera je supply chain, u kojem se iskorištava povjerenje između korisnika i proizvoda ili usluga kojima se koristi, a koje često financiraju ili su dijelom organizacija nekih država poput Rusije, Kine ili Sjeverne Koreje.
Nedavno je sličan napad izvršila i REvil grupa, koja se uglavnom bavi napadima ransomwareom, a uspješni napadači, upozorio je, nekad se koriste vjerodajnicama koje se prodaju na specijaliziranim platformama za prodaju korisničkih podataka, ali i slabih lozinki koje ponekad upotrebljavaju čak i administratori računala i računalnih mreža.
Napominje da se napadači koriste alatima koji su im već na raspolaganju i često su integralni dio operativnog sustava poput LoLBinsa (Living Of the Land binaries) ili Powershell i VB skriptnih okružja, certutil programa koji se zloupotrebljava za preuzimanje i dekodiranje zlonamjernoga koda te Windows Terminal Services (RDP) programa za daljinski pristup računalima.