Hakerski napad ucjenjivačkim softverom doživjela je lani Ina, napadnuti su tada i Pevex i Overseas Express te u svijetu Honda, LG Electronics, Xerox… Nedavni napad na američki Colonial Pipeline opet je otvorio pitanje treba li plaćati ucjene hakerskim skupinama kad se već od napada nemoguće obraniti. I opet se pokazalo da u središtu svakoga kibernetičkog napada i obrane stoji najranjiviji čovjek
Koliko pred kibernetičkim napadima mogu biti ranjivi sigurnosni i poslovni sustavi, zorno pokazuje svjež primjer naftovoda Colonial u Sjedinjenim Američkim Državama. Tvrtka Colonial Pipeline morala je zbog ucjenjivačkog softvera (engl. ransomware) i mjera opreza zatvoriti naftovod dug devet tisuća kilometara koji opskrbljuje različitim gorivima gotovo pola potreba jugoistočnih država, od New Jerseyja od Teksasa. To je na istoku SAD-a izazvalo nestašicu i poskupljenje goriva te u prvi plan ponovno izbacilo i pitanje trebaju li se plaćati ucjene hakerskim skupinama.
Hakeri profesionalci
Kako se slični hakerski upadi ne bi dogodili u Hrvatskoj, u Janafu ističu da stalno ulažu u tehnička rješenja i edukaciju zaposlenika da bi se osigurali i zaštitili od tih vrsta napada, a u Plinacru da se plinska infrastruktura štiti unutar vrijedećega zakonskog i regulativnog okvira, i to po uzoru na najbolje primjere prakse zaštite poslovne i procesne mreže. To uključuje posebno dizajniranu tehničku zaštitu, uvođenje preventivnih i korektivnih procedura, školovanje zaposlenika te vanjsku stručnu pomoć i suradnju s mjerodavnim tijelima u Hrvatskoj, naveli su u Plinacru. Ipak, stručnjak za informacijsku sigurnost i privatnost Tino Šokić podsjeća na to da je prošle godine hakerski napad ucjenjivačkim softverom doživjela Ina, nakon čega joj je trebalo neko vrijeme da uspostavi redovito poslovanje. Lani su u Hrvatskoj hakeri napali i Tele2 (sada Telemach), Pevex i Overseas Express te u svijetu Hondu, LG Electronics, Xerox i Sveučilište u Kaliforniji.
Stjepan Jambrak, voditelj Službe IT-a i poslovnih telekomunikacija u Janafu, naglašava da iza napada te vrste i razmjera zasigurno stoje profesionalci; u ovom slučaju, prema mišljenju FBI-a, organizirana skupina profesionalaca DarkSide. Napadi mogu biti pod pokroviteljstvom neke države, organizacije i slično, a cilj im je nanošenje političke, reputacijske i financijske štete. Napadačima izvršiteljima motiv je u pravilu ostvarivanje imovinske koristi, objasnio je.
– Potpunu sigurnost nije moguće zajamčiti, ali tehničkim mjerama, izobrazbom korisnika i primjenom sigurnosnih procedura može se povećati sigurnost sustava zaštite u kompanijama. One koje su pogođene kibernetičkim napadom i ucijenjene ni u kojem slučaju ne trebaju platiti zatražene iznose jer tako financiraju daljnje napade. U ovom slučaju bila je riječ o ransomware-napadu, pri čemu nitko ne jamči da će napadač vratiti datoteke nakon plaćanja – ističe Jambrak.
Prevencija i terapija
Naoko beznačajan previd ili propust u tvrtkinu sigurnosnom sustavu može biti dovoljan za ulazak zlonamjernog softvera u poslovnu mrežu i njegovu aktivaciju u trenutku koji mu najviše odgovara, kaže je Iva Kirinić Silov, voditeljica odnosa s javnošću u Plinacru. Šteta može utjecati na slabljenje poslovnih procesa jer današnji softverski, odnosno ransomware-napadi mogu kriptirati i tako učiniti neupotrebljivim sve datoteke i baze podataka na mreži, uključujući i sigurnosne kopije kojima se tvrtke pokušavaju zaštititi.
– Moguća šteta uključuje gubitak poslovnih podataka, javnu objavu osjetljivih podataka i poslovnih tajni, zaustavljanje tvrtkina dnevnog poslovanja, susljedan gubitak dobiti te velik reputacijski i financijski trošak povratka u redoviti rad. Tvrtke ne bi trebale plaćati ucjenjivače jer tako potiču nastavak ransomware-aktivnosti i nemaju nikakvo jamstvo da će nakon što plate dobiti dekripcijski ključ za povrat svojih datoteka, kao ni to da napadač neće sutra ponoviti sličan napad iskorištavajući poznatu ranjivost u njezinu sustavu kibernetičke zaštite – slaže se Kirinić Silov.
Šokić tvrdi da je američki naftovod preventivno prestao raditi jer je, navodno, bio narušen sustav za naplatu i kaže da se mora jasno izreći da stopostotna zaštita ne postoji. Ali, prema njegovu mišljenju, može se utjecati na to hoće li se napad dogoditi, kakav će biti ishod ili razmjer štetnih posljedica te ističe da se sve svodi na kalkulaciju rizika i ulaganja da bismo umanjili taj rizik.
Najbolja obrana
Za Šokića je pristup zaštiti od napada ucjenjivačkim softverom holističke naravi, odnosno najbolja je kibernetička obrana ona koja se sastoji od svih potrebnih mjera, tehničke i organizacijske naravi. U središtu treba biti čovjek, onaj tko se time koristi i vodi taj sustav. Zaštitu tvrtki poput Colonial Pipelinea svodi na tri temeljne odrednice: edukaciju zaposlenika, ispitivanje ranjivosti i penetracijsko ispitivanje iz tehničke perspektive te izradu sigurnosne kopije. Pri tome je posljednje najbolja zaštita kad nastane štetna posljedica.
– Tvrtke nerijetko imaju sve mehanizme i rješenja za urednu izradu sigurnosnih kopija, ali zato često ne provjeravaju, odnosno ne testiraju, procedure za povrat podataka iz tih kopija. Tada također možete pretpostaviti zašto im treba više vremena da uspostave redovito poslovanje, kao što se dogodilo u Ini. Nažalost, takvi napadi sve su češći u posljednje vrijeme, pogotovo zato što su usmjereni na slabije mete kao što su organizacije i tvrtke u okrilju kritične infrastrukture. Zdravstveni sustav odlična je meta kibernetičkim kriminalcima jer gubitak pristupa i nemogućnost urednog funkcioniranja u takvim sustavima ima posljedice za ljudske živote, zato su podložnija meta za plaćanje otkupnine – daje primjere Šokić.
Ne platiti, ali…
Na pitanje treba li platiti otkupninu, i Šokić odgovara 'ne', ali podcrtava da čak i kad tvrtke javno objave da nisu platile ili da neće platiti, možemo slobodno pretpostaviti da će platiti ili da su to već učinile. Naime, jednostavno im ne preostaje ništa drugo da bi vratile pristup svojim podacima.
– To je kontroverzna tema jer većina stručnjaka za informacijsku sigurnost, pa i ja, preporučit će da se otkupnina nipošto ne plati. Također, kad je nitko ne bi platio, broj te vrste napada sigurno bi se znatno smanjio, a možda bi čak i nestali s lica zemlje, zar ne? Nažalost, ransomware je trenutačno dio uspješna poslovnog modela kibernetičkih kriminalaca – izravan je Šokić, koji se prisjetio da je prije desetak godina u Saudijskoj Arabiji kibernetičkim napadom uništeno trideset tisuća računala.
U posljednjih nekoliko godina sve češće svjedočimo pojavi kompleksnih kibernetičkih napada organiziranih skupina čiji je cilj naplata otkupnine za poslovne podatke koji se kriptiraju i tako postanu neupotrebljivi za žrtvu napada, primjećuje Dario Galinec, direktor Franckova ICT odjela. U pozadini toga za Galinca leži kompleksna akcija infiltriranja u mrežu žrtve, skeniranja sustava (poslovnih aplikacija, baza podataka i sl.) te onemogućavanje upotrebe legitimnih poslovnih podataka kriptiranjem.
Rizik rada na daljinu
Galinec navodi da napadači iskorištavaju slabosti i bugove u operativnim sustavima, softveru, čak i u sustavima čija je primarna svrha zaštita sustava informacijskih i komunikacijskih tehnologija poput vatrozida, antivirusa te IDS-a (engl. intrusion detection system – otkrivanje upada u sustav). Iskorištavaju i slabe zaporke koje je moguće lako probiti zbog nedovoljne složenosti, lošu fizičku zaštitu, a vrlo često i metode socijalnog inženjeringa, pri čemu iskorištavanju neodgovorno ili lakomisleno ponašanje korisnika raznim phishing-metodama (mrežna krađa osobnih podataka) u slanju e-pošte ili direktnom komunikacijom sa zaposlenikom, nabraja.
– Zaštita se sastoji od primjene većeg broja sigurnosnih sustava i uređaja koji se sve više koriste umjetnom inteligencijom u raspoznavanju što je u sustavu legitimno, a što bi moglo označavati nedopuštenu radnju ili uljeza, te stalne izobrazbe korisnika o primjerenoj upotrebi ICT sustava i potencijalnim prijetnjama. Trend je veliko ulaganje u sustave ICT zaštite i izgledno je da će se on nastaviti. Nužno je ulagati i u edukaciju inženjera koji vode brigu o sigurnosti ICT sustava. Rad na daljinu samo je pojačao rizike od mogućih prijetnji jer računala napuštaju lokalnu mrežu tvrtke koja je pod svojevrsnom zaštitom, ali na neki je način i pomogao osvijestiti te rizike i možda olakšao primjenu mjera pomogavši u odobravanju nužnih investicija u sigurnost – uvjeren je Galinec.
Zero trust
Poslovni sustavi štite se primjenom primjera najbolje industrijske prakse i mjera postupkom koji će osigurati pristup security by design i privacy by design, misli Mladen Prekrat, stručnjak za kibernetičku i podatkovnu sigurnost u Hrvatskom Telekomu, i napominje da to znači da se već u ranoj fazi razvoja proizvoda ili usluge trebaju ugraditi sve relevantne tehničke i organizacijske mjere, zahtjevi sigurnosti sustava i zaštite osobnih podataka. Pri tome HT primjenjuje postupak PSA-a (engl. privacy and security assessment – privatnost i procjena sigurnosti), koji je osmislio Deutsche Telekom.
– U suvremenim poslovnim sustavima prelazi se na sigurnosni koncept zero trust, odnosno nultu stopu povjerenja pristupu poslovnim sustavima u oblaku ili hibridnim okolinama. Pri tome se mora provjeriti svaki pokušaj povezivanja. Također, pristup poslovnim sustavima i podacima trebao bi biti isključivo dostupan VPN vezom, a mobilni uređaj morao bi se kontrolirati alatima alata za centralno sigurno upravljanje mobilnim uređajima. Zaštititi se može antivirusima, novijim vatrozidovima, alatima za zaštitu na aplikacijskom sloju, alatima za upravljanje sigurnosnim zakrpama i ranjivostima, za upravljanje mobilnim uređajima i prijenosnim računalima te otkrivanje unutarnjih i vanjskih napada. U posljednje vrijeme u svijetu su se intenzivirali napadi phishingom, smshingom (poruke) te vishingom (voice phishing ili lažni telefonski pozivi). Jedan od većih napada bila je upotreba backdoora (trojanca) u softveru kojim su bile pogođene mnoge međunarodne tvrtke, organizacije i državne institucije – navodi Prekrat.