Tehno
StoryEditor

Smjernice za jačanje otpornosti: E-mail i dalje najveći vektor napada

15. Listopad 2023.
Nužno je uspostaviti stroge i stalne kontrole i sigurnosne protokole u organizacijama. S razvojem i povezivanjem svih i svačega bitka između dobrih i loših strelovito ubrzava

Da smo prije stotinu godina rekli čovjeku da će velike opasnosti za njegov život i poslovanje u budućnosti dolaziti iz nekakva malog ekrana, iz tamo nekog oblaka, možda i od umjetno napravljene inteligencije, ne bi ni razumio što govorimo, a kamoli da bi nam povjerovao. Međutim, nova vremena nose i nove izazove, pa su tako danas zbog razvoja tehnologije kibernetičke prijetnje jedna od najvećih opasnosti koje vrebaju u digitalnoj sferi, ako ne i najveća.

I zbog toga ih treba najozbiljnije shvatiti. Digitalizacija, automatizacija, rad u oblaku, tehnologija interneta stvari te naposljetku eksponencijalni razvoj umjetne inteligencije kojemu smo svjedoci donose nove mogućnosti, a s njima neizbježno dolaze i zloupotrebe. Boris Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost i voditelj Odjela kibernetičke sigurnosti u tvrtki Atos Hrvatska, ističe da ‘neetični akteri mogu iskoristiti AI za otkrivanje i iskorištavanje ranjivosti u postojećoj infrastrukturi‘.

– Tehnologije generativne umjetne inteligencije poput ChatGPT-ja oslanjaju se na velike količine podataka. Ako su podaci korišteni za učenje tih tehnologija pristrani ili nepotpuni, mogu donijeti netočne ili manjkave rezultate. Također valja razmotriti etičke implikacije poput potencijalne zloupotrebe osobnih podataka ili upotrebe tih tehnologija u neetične svrhe – objašnjava Bajtl, koji smatra da je zato nužno uspostaviti stroge i stalne kontrole i sigurnosne protokole.

Dobri alati, loše namjere

Sve je više načina na koje se organizacija može napasti, baš kao i točaka kroz koje se to može učiniti, ističe Saša Zdjelar, stručnjak za sigurnost i novi član Uprave IT tvrtke ReversingLabs.

– S razvojem umjetne inteligencije akteri loših namjera dobili su alate zahvaljujući kojima mogu biti još brži i efikasniji. E-pošta najveći je vektor napada. Donedavno je jedan od načina prepoznavanja spearphishing i phishing-napada bila loše napisana e-poruka. S ChatGPT-jem i sličnim alatima napadači imaju mnogo bolje napisane spearphisning i phishing-poruke. Sada su još uvjerljivije i lakše mame žrtvu. Osim toga, kôd koji služi za napade može se lakše prepisati, što znači da se detekcija može zaobići. Emulacijom glasa čak su mogući uvjerljivi telefonski pozivi koji opet daju prednost napadačima – upozorava Zdjelar.

Kako bi se izbjegla zloupotreba i osigurala zaštita korisnika, ‘ključno je osigurati da se sigurnosne mjere vezane uz AI prilagode‘ i da se on upotrebljava odgovorno i etično, kaže direktor Direkcije informacijske sigurnosti u Setcoru Vedran Vujasinović.

– Najvažnije je biti korak ispred potencijalnih prijetnji. Nužno je razviti i primjenivati strategije i taktike koje će osigurati zaštitu od potencijalnih napada i zloupotrebe umjetne inteligencije. Također je važno razvijati i primjenjivati tehnologije otporne na buduće prijetnje, poput kvantnih računala, i promicati model zero trust – napominje Vujasinović.

Budući da digitalna transformacija omogućava bržu i efikasniju obradu podataka te veću automatizaciju poslovnih procesa, što navodi konzultant za kibernetičku sigurnost u Schneider Electricu SEE Marko Gulan, nesigurnost vreba i tu, ne samo iza umjetne inteligencije.

– To također otvara nove mogućnosti za zloupotrebu, primjerice napad na automatizirane sustave, krađu podataka ili prisluškivanje komunikacije. Sve viši stupanj uvođenja clouda donosi mnoge prednosti, ali isto tako povećava rizik od napada na infrastrukturu i podatke koji se pohranjuju u okružju oblaka. Nepravilna konfiguracija i nedovoljna sigurnost sustava u oblaku mogu omogućiti neovlašteni pristup podacima ili njihove krađe – ističe Gulan.

AI kao saveznik

Međutim, nove tehnologije mogu poslužiti i dobroj svrsi. Osim što se, primjerice, moć umjetne inteligencije može zloupotrijebiti, može se upotrijebiti i kao dodatan štit u obrani od kibernetičkih napada.

– Iako jačanje umjetne inteligencije može izazvati sofisticirane napade koji se koriste tom tehnologijom, na primjer napade s pomoću deepfakea, tehnologije koja može manipulirati fotografijama i videima u svrhu obmane i prijevare, isti taj AI višestruko nam je korisniji u povećavanju kibernetičke sigurnosti. Već neko vrijeme alati i sustavi za uspostavu kibernetičke sigurnosti upotrebljavaju umjetnu inteligenciju i ona se dosad pokazala kao saveznica u borbi protiv kibernetičkih prijetnji – ističe Gulan.

Alati umjetne inteligencije dostupni su i sigurnosnim stručnjacima, dodaje Zdjelar, koji je prethodno bio direktor informacijske sigurnosti u američkom naftnom gigantu ExxonMobilu i viši potpredsjednik za sigurnost u Salesforceu.

– Možemo reći da se s razvojem tehnologije bitka između dobrih i loših sve više ubrzava. Napadi se mogu brže isplanirati i izvesti, no i metode otkrivanja i zaštite sve su jače i učinkovitije – kaže Zdjelar.

Dugoročno gledajući, AI će vjerojatno pozitivno utjecati na kibernetičku sigurnost, ali, smatra Bajtl, pod uvjetom da se uspostave odgovarajući kontrolni mehanizmi.

– Korištenje umjetne inteligencije za bolje i brže otkrivanje i razumijevanje potencijalnih prijetnji te reagiranje na njih olakšava organizacijama unaprjeđivanje njihovih obrambenih kapaciteta. Analitičke sposobnosti AI-ja u obradi velikih podatkovnih skupova i primjena naprednih algoritama strojnog učenja mogu prepoznati potencijalne prijetnje omogućujući organizacijama da se aktivno zaštite – kaže Bajtl.

Višeslojna obrana

AI ima potencijal da znatno poboljša kibernetičku sigurnost otkrivanjem prijetnji i analizom sigurnosnih događaja, slaže se Vujasinović, no kaže da taj napredak omogućava i stvaranje novih, sofisticiranijih prijetnji.

– Balansiranje između inovacija i sigurnosti uza stalno ulaganje u sigurnosna rješenja ključno je za navigaciju kroz ovaj dvostruki utjecaj. U borbi protiv kibernetičkih prijetnji primjena pravih rješenja, alata i prakse postaje temelj zaštite – ističe Vujasinović.

Zdjelar kao ključne alate i prakse koji omogućuju organizacijama da izgrade otpornost i obrane se od phishinga, ransomwarea i drugih ugroza navodi sigurnost elektroničke pošte, zaštitu endpoint-uređaja (prijenosnih računala, mobitela, tableta...) s pomoću platformi za zaštitu, otkrivanje i reakciju na incidente, primjenu mrežnih sigurnosnih strategija poput vatrozida i VPN-a, uvođenje naprednih autentifikacijskih rješenja kao što su multifaktorska autentifikacija, upravljanje zakrpama, identifikacija i upravljanje ranjivostima te, posebno u današnje vrijeme, sigurnost softverskoga opskrbnog lanca.

Preporučuje i, primjerice, redovitu izradu sigurnosnih kopija podataka, ažuriranje sustava, osiguranje rada na daljinu, ali prije svega razvijanje plana za brz i efikasan odgovor u slučaju incidenata. No smatra da je glavno ‘kontinuirano educirati zaposlenike kako bi sigurnost, odnosno otpornost na kibernetičke napade postala dio kulture i način razmišljanja‘.

– Važno je da uprava i direktori informacijske sigurnosti stalno prate razvoj branše te nove rizike i prijetnje. Na otpornosti se kontinuirano radi. Nažalost, nije moguće jednom kupiti i postaviti alate i tako zauvijek riješiti pitanje sigurnosti bilo koje tvrtke. Kibernetička je sigurnost složena. Treba je promatrati kao obranu sastavljenu od više slojeva. Jedinstvena autentifikcija korisnika (engl. single sign-on), sigurnosni model nultog povjerenja i osnovni alati kao što su vatrozid, zaštita krajnjih točaka, segmentacija mreže i drugo, svi ti slojevi zajedno tvore adekvatnu zaštitu – zaključuje Zdjelar.

Nove regulative

S time se slaže i Gulan ističući da ne postoji ‘čarobna kuharica‘ kojom se tvrtke moraju voditi, nego je važno ostati informiran i usavršavati se. Pri sigurnosnom kopiranju i oporavku podataka, upozorava Gulan, treba voditi računa o izboru metodologije.

– Često možemo svjedočiti da se sigurnosna kopija nalazi na istom uređaju kao primarni podaci, zato zbog napada ta kopija često bude neupotrebljiva. Ograničenje pristupa i strogo dopuštenje pristupa samo zaposlenicima kojima doista trebaju podaci također smanjuju rizik od nepoželjnih aktivnosti ili krađe podataka – dodaje Gulan.

Upozorava i da tvrtke moraju paziti na usklađenost sa zakonima i regulativama u kibernetičkoj sigurnosti kao što su GDPR i direktiva NIS2 na razini cijele Europske unije. Primjenjujući tu direktivu, Vlada RH prošloga je tjedna uputila Saboru Prijedlog zakona o kibernetičkoj sigurnosti koji predviđa centralizaciju upravljanja kibernetičkom sigurnošću, odnosno transformaciju postojećeg Centra za kibernetičku sigurnost Sigurnosno-obavještajne agencije u Nacionalni centar za kibernetičku sigurnost.

Budući da regulativni okviri često ne prate brz tempo tehnoloških inovacija, Bajtl smatra da tvrtke trebaju samostalno razvijati kulturu kibernetičke sigurnosti, posebno zbog sve sofisticiranijih hakerskih napada. Vujasinović zaključuje da sigurnosna rješenja, osvještavanje zaposlenika i jasna regulativa ‘pridonose stvaranju okružja u kojem tehnologija i čovjek koegzistiraju u harmoniji, a rizici su minimizirani‘. 

Sedam koraka koje bi tvrtke trebale napraviti

1. Procjena rizika

Procjena rizika ključni je element u upravljanju kibernetičkom sigurnošću organizacije. Taj proces uključuje identifikaciju, analizu i evaluaciju rizika povezanih s informacijskim sustavima kako bi se odredile odgovarajuće mjere zaštite i strategije upravljanja.

2. Edukacija zaposlenika

U kontekstu sveprisutnih i sve sofisticiranijih kibernetičkih prijetnji zaposlenici su često prva i posljednja linija obrane. Bez obzira na visok stupanj tehnološke zaštite koji organizacija može imati, ljudski faktor ostaje varijabla koja može znatno utjecati na ukupnu razinu sigurnosti.

3. Izrada sigurnosnih kopija

Gubitak podataka može biti izazvan raznim faktorima, uključujući hardverske kvarove, softverske pogreške, ljudske pogreške i zlonamjerne aktivnosti poput ransomware-napada. Izrada sigurnosnih kopija (backupa) omogućuje brzu obnovu podataka i nastavak poslovnih operacija s minimalnim zastojima.

4. Redovito ažuriranje

Redovite zakrpe pružaju zaštitu od identificiranih slabosti koje neautoriziranim korisnicima mogu omogućiti pristup osjetljivim informacijama ili kompromitaciju sustava. Na primjer, ažuriranje operativnog sustava ili antivirusnog softvera može neutralizirati poznate sigurnosne propuste.

5. Zakonska usklađenost

Ulaganje u resurse kako bi se osigurala zakonska usklađenost može donijeti znatnu dugoročnu korist, uključujući održivost i konkurentske prednosti na tržištu. U posljednje vrijeme ta je tema posebno aktualna u kontekstu Prijedloga zakona o kibernetičkoj sigurnosti u Republici Hrvatskoj.

6.Sigurnosni protokoli i politike

Upravljanje kibernetičkom sigurnošću zahtijeva kontinuiranu reviziju i ažuriranje dokumenata kako bi se u njima odražavale najnovije prijetnje, tehnološki napredak i promjene u poslovnim operacijama.

7. Odgovor na incidente

Osnovni korak u upravljanju odgovorom na incidente razvoj je detaljnog plana koji obuhvaća protokole za identifikaciju, analizu, izolaciju, uklanjanje i oporavak. Kad se dogodi incident, iznimno su važne brza reakcija i analiza. Sustavi za praćenje i alarmi često imaju ključnu ulogu u otkrivanju neovlaštene aktivnosti ili drugih simptoma kompromitacije.

21. studeni 2024 18:50