Tehno
StoryEditor

Marko Gulan: Većina tvrtki plati otkupninu, ali određen broj tvrtki izgubi i novac i podatke

22. Travanj 2023.
Marko Gulan, konzultant za cyber sigurnist (Schneider electric SEE)

Kibernetičke prijetnje i kibernetički napadi dio su naše svakodnevice koje su jednako opasne za sve slojeve, kako za fizičke tako i za pravne osobe. Iako većina napada usmjerenih prema pojedincima ne uzrokuju značajnu štetu, kod poslovnih subjekata ta šteta postaje sve veći problem. Tržište je generalno upoznato s pojmom kibernetičke sigurnosti, ali u praksi većina nije upoznata što točno treba napraviti kako bi tvrtku učinili sigurnijom, tj. kako bi napadača demotivirali u realizaciji napada. Napadač je uspješan onoliko koliko mu je kompliciran put do krajnjeg cilja. Obično su iz perspektive napadača bitna dva faktora, a to su resursi novac i vrijeme.  S druge strane tvrtke rade velike greške iz perspektive percepcije kibernetičkih prijetnji i vrlo često povezuju kibernetičku zaštitu isključivo s tehnologijom. Tehnologija je jedan od tri elementa kibernetičke sigurnosti, a preostala dva su ljudi i procesi.

Neka istraživanja kažu nam kako je samo 14 posto uspješnih napada uzrokovano manjkavostima tehnologije, a čak 86 posto napada dolazi zbog ljudske greške. Zato su u uspostavi kibernetički sigurnih okruženja ljudi i procesi/procedure jednako važni faktori. Nadalje veliki izazov tržištu stvara i mišljenje kako je kibernetička sigurnost isključivo problem odjela informatičke sigurnosti i sav fokus tvrtke usmjeravaju prema informatičkim tehnologijama. Kao da nismo svjesni da je digitalna transformacija odavno zagazila i u industriju, tj u automatizirana postrojenja koja su najčešće tvrtkama njihove ‘tvornice novca‘ i koje uslijed napada usmjerenih ka njima mogu imati značajne posljedice za poslovanje, ali i za cjelokupni lanac opskrbe. Što napraviti, i kako se zaštiti od sve češćih cyber napada ispričao nam je Marko Gulan, konzultant za cyber sigurnost (Schneider electric SEE)

Što poduzeti ako se kibernetički napad dogodi?

Danas nije pitanje hoće li se kibernetički napad desiti, već je pitanje kad će se desiti. Doživjeti kibernetički napad nije sramota, ali je svakako za tvrtke i uprave tvrtki vrlo stresan događaj. Pogotovo kad se uzme u obzir činjenica da su bili upoznati s potrebom i važnošću uspostave rješenja za kibernetičku sigurnost, a da se zanemarili pod izlikom ‘a neće valjda nas‘ ili ‘nismo mi toliko bitni da bi nas netko napao‘. Svaki pojedinac i tvrtka, koliko god da su mali napadaču su jednako važni. Napadač ne gleda nužno koga napada, već ih gleda kao kanal kroz koji će doći do svog cilja, a to je najčešće novac. Poštoj naravno i ciljani napadi gdje se napadač kroz duži vremenski period priprema za napad koristeći sve izvore podataka i tehnike i ciljanim i sofisticiranim napadom na kraju ucjenjuje žrtvu.

Što poduzeti ako se kibernetički napad dogodi je pitanje na koji nema jednoznačnog odgovora. Jedno je sigurno, tvrtka se mora čim prije izvući iz ralja napadača i nastaviti s nesmetanim radom. Više je mogućih scenarija napada.

Prvi je, uvjetno rečeno, ransomware prve generacije gdje se na, najčešće, kroz zaposlenike tvrtki ciljalo da zaposlenici naprave željenu aktivnost, tj klik na link koji ih vodi da najgoreg scenarija. U velikom broju slučajeva umjesto linka u tekstu e-mail poruke se nalazio privitak, naizgled uobičajeni dokument (npr. PDF ili Excel ili Word datoteka) koji je bio zaražena datoteka i prilikom otvaranja privitka bi se aktivirao maliciozni kod koji je zaključavao, tj kriptirao cjelokupno računalo, ali se i dalje širio po računalnoj mreži i kriptirao računala svih zaposlenika na toj mreži. Poruka na ekranima sadržavala je naputak na koji način tvrtka mora platiti da bi dobila ključ kojim će podatke ponovo učiniti dostupnima.

Napadi ransomware druge generacije su u suštini vrlo slični kao i kod prethodnog slučaja, samo napadač kroz linkove i/ili maliciozne datoteke sebi otvara put i preuzima podatke, pa tek potom komunicira sa žrtvom ucjenjujući ih. Ucjena koju napadač radi je usmjerena prema objavi podataka na nekom od javnih servisa ili čak kako će obavijestiti sve tvrtkine korisnike i partnere kako su uspješno napadnuti. Tvrtke se iz straha od gubitka povjerenja i reputacije nalazu u vrlo stresnom stanju i često donose krive odluke. Uvjetno rečeno, sreća u nesreći, u ovoj situaciji je da se poslovanje odvija, točnije tvrtka nema zastoja. Međutim i u ovakvoj situaciji nikad niste sigurni kada može doći do neželjenog efekta. Ako je netko bio ili je još uvijek prisutan u vašem sustavu ne možete sa sigurnošću tvrditi da do zaključavanja neće doći.

Najbolje bi bilo da u slučaju napada ostanete mirni, jer napadač računa na to da vam je stvorio stres i da u takvim situacijama sigurno donosite loše odluke. Međutim teorija je jedno, a praksa drugo. Ako bi iskoristili staru poslovicu ‘sit gladnom ne vjeruje‘, možemo govoriti da ‘Nenapadnuti napadnutom ne vjeruje‘.

Najbolji savjet tvrtkama bi bio da je prevencija najbolja zaštita. Isto tako dobro složeni procesi i procedure mogu biti od velike pomoći u situacijama kibernetičkog napada. U velikom broju slučajeva zaposlenici koji su postali žrtve šute o tome da su kliknuli na krivi link u strahu od posljedica i nadaju se kako to drugi neće primijetiti. Baš zato je važno da su procedure jasno napisane kako bi svaki zaposlenik mogao postupiti prema proceduri. Najčešća krivica uspješnog napada je uzrokovana neulaganjem u edukaciju zaposlenika.

Gdje potražiti pomoć, šutjeti o napadu ili odmah prijaviti, platiti ili snositi posljedice hakerskih prijetnji?

Ovisno o veličini, složenosti i stupnju tehnološke zrelosti kompanija neke kompanije mogu same riješiti ovakve probleme, ali udio takvih kompanija mjeri se u promilima. Isto tako važno je znati koji segment i koji dio poslovanja je afektiran napadom. Tvrtke sve češće imaju napade na njihova automatizirana postrojenja i takvi napadi uzrokuju obično ogromne štete dovodeći u opasnost održivost poslovanja, ali i nestabilnosti u kompletnom lancu opskrbe.

Jedno je sigurno, tvrtke pomoć trebaju potražiti kod tvrtki specijaliziranih za određene segmente poslovanja. Svakako treba voditi računa da se napadi na IT razlikuju po opsegu i kompleksnosti od napada na industrijske automatizirane sustave, odnosno proizvodne dijelove tvrtki. Sukladno tome za pomoć se treba obratiti i kompetentnog partnera. Najlošiji izbor svakako bi bio „mali iz garaže“ kojem će u slučaju napada vaš sustav biti poligon za vježbu.

O napadima ne bi trebali šutjeti, jer tako tržište neće saznati da su napadi i posljedice prisutni na tržištu. Takvu situaciju zapravo imamo danas, službene statistike su umjerene, ali su neslužbeni podatci zabrinjavajući. Ako samo uzmemo za primjer da netko ušeta u vašu tvrtku, dođe do vas i šapne vam na uho kako je ukrao vaše podatke i kako zahtjeva otkupninu u određenom novčanom iznosu, te otiđe iz vaše tvrtke, najvjerojatnije će te prijaviti pokušaj iznude ili ucjenu. Zašto se tako ne ponašamo kad nas se ucjenjuje u virtualnom svijetu?

Isto tako najbolje je da vaši partneri i korisnici informaciju dobiju od vas. Krizno komuniciranje nikad nije ugodno, ali manja je šteta kad tvrtka sama komunicira nego kad o napadu i posljedicama sazna nakon proteka vremena ili još gore od napadača. Šutnjom o napadima podržavamo i potičemo napadače na nove napade.

Platiti ili ne? Ovo je pitanje za milijun eura. Iako svaki napadač prilikom napada ostavi naputak za plaćanje i to nam se učini kao jedini izlaz, valja promisliti je li nam to zaista jedini izlaz. Treba voditi računa prije odluke o (ne)plaćanju da se s druge strane nalazi osoba koja vas je, kako to obično biva u kriminalu, napala bez valjanog razloga i ucjenjuje vas. Nemate nikakve pregovaračke pozicije, već je naputak jednosmjeran. A na kraju, ništa vam ne jamči da ćete zaista svoje podatke dobiti u cijelosti.

Većina tvrtki plati otkupninu, ali određen broj tvrtki izgubi i novac i podatke. Plaćanje otkupnine zaista bi trebala biti posljednja opcija i taj novac bi trebao biti novac koji je tvrtka spreman izgubiti.

Koji bi bili Vaši savjeti vezani uz kibernetičku sigurnost i kakva su iskustva ucijenjenih u praksi?

U praksi, gotovo da ne postoji tvrtka koja nije barem u nekom obliku imala izazova i/ili bila žrtva kibernetičkih prijetnji. Zabrinjavajuća je situacija da tvrtke koje su jednom napadnute zauzimaju stav „pa neće valjda dva puta?“ Na žalost hoće, jednom napadnute tvrtke sigurno će biti opet napadnute. Ako se tome još doda da su tvrtke bile spremne platiti otkupninu, one postaju redovita ‘mušterija‘ napadačima.

Kibernetička sigurnost nije jednokratni zadataka i kad jednom uložite ne znači da je taj proces gotov. Sigurnost je proces koji zahtjeva promjene, izlazak iz zone ugode u kojima su tvrtke naučile raditi. Isto tako sigurnost nije tu da vas ograničava u poslu, nego da vam pomogne definirati način na koji ćete sigurno posao obavljati. Sigurnost nije posao koji povjeravate „malom iz garaže“ jer se ona provlači kroz sve segmente poslovanja.

Kibernetičkih prijetnji se ne treba bojati, s njima jednostavno moramo naučiti živjeti i prihvatiti činjenicu da ulaganja u kibernetičku sigurnost nije trošak, već je ona investicija u stabilno poslovanje sukladno izazovima i prilikama na tržištu.

24. studeni 2024 09:45