Zaštita od kibernetičkih napada: Ne investirajte u vlastitu ranjivost, nego u ljude

U obrani tvrtke od hakerskog napada koji paralizira poslovne procese, uzrokuje gubitak novca i ugrožava poslovni ugled najprije treba krenuti od edukacije zaposlenika jer se s pomoću njihove elektroničke pošte najčešće i najlakše provaljuje u sustav. No to je samo prvi stupanj zaštite. Iako su zaposlenici važna karika, ostali ključni mehanizmi kibernetičke sigurnosti odnose se na niz zaštitnih mjera, programa i zakrpa koje treba uključiti u sustav, ali i znati služiti se njima, odnosno prepoznati namjeru i preduhitriti mogući kibernetički napad.

– Investicija u informacijski sustav bez kvalitetna promišljanja o kibernetičkoj sigurnosti u pravilu je investicija u vlastitu kibernetičku ranjivost. Naknadni zahvati u zaštiti takvih sustava skuplja su rješenja, manje fleksibilna i njima je teže upravljati. Prva pretpostavka zaštite prepoznavanje je ključnih informacija i sustava za njihovu obradu koji bi mogli biti pod rizikom hakerskih napada – kaže PwC-ov viši menadžer kibernetičke sigurnosti Igor Hitrec.

Stručno osposobljavanje ljudi

Odgovore na pitanja koje su to vrste kibernetičkih, odnosno hakerskih napada s kojima će se tvrtke susresti pružit će kvalitetna i redovita analiza rizika, tj. upravljanje rizicima kibernetičke sigurnosti, kao i valjane odgovore na pitanja kojim mehanizmima zaštite smanjiti takve rizike. Najčešće se radi o važnim poslovnim informacijama i osobnim podatcima koje valja štititi i osigurati njihovu dostupnost, cjelovitost i povjerljivost. Stoga informacijski sustavi i tehnologija, poslovni procesi i ljudi koji se njima koriste moraju biti pripremljeni na mogućnosti odgovora na kibernetičke napade.

– Najvažniji je mehanizam odgovarajuće stručno osposobljavanje ljudi. Stalan trud na podizanju svijesti o kibernetičkoj sigurnosti, vrstama rizika te brzim i jednostavnim načinima zaštite vrlo će brzo pokazati korisnost i vrijednost. Informacijski sustavi moraju moći pratiti promjenu podataka, vrijeme promjena i tko ih je promijenio. Sigurnosno spremanje podataka, provjere postupaka povrata spremljenih podataka sa sigurnosne kopije i čuvanje sigurnosnih kopija moraju jamčiti zahtjev dostupnosti – kaže Hitrec i objašnjava da sigurnosne kontrole moraju biti primijenjene na svim mjestima na kojima je prepoznat rizik od kibernetičkog napada, od infrastrukture za povezivanje s internetom, svih radnih mjesta s kojih se može pristupiti poslovnim informacijskim sustavima, interne i vanjske mrežne infrastrukture do računalnih poslužitelja, neovisno jesu li to resursi u oblaku ili lokalnom podatkovnom centru.

Odabrane kontrole moraju omogućiti kvalitetan nadzor, otkrivanje i zaustavljanje kibernetičkih napada, pri čemu posebnu pozornost treba posvetiti njihovoj integraciji i kvalitetnoj orkestraciji obrane i odgovora na hakerske napade.

– Informacija koja je kontrolom klasifikacije označena kao povjerljiva i visokovrijedna može se automatski zaštititi kriptiranjem uz sigurnu razmjenu i pohranu. Novootkriveni maliciozni računalni kôd otkriven u provjeri u kontroliranim uvjetima, tzv. sandbox-kontrolom, i integriran s kontrolom prevencije i zaštite odmah pruža zaštitu svih krajnjih točaka. Zbog osjetljivosti sustava nije moguće primijeniti važne sigurnosne zakrpe, a kontrolom prevencije napada, tj. skrivanjem podataka o ranjivosti, zavaravamo napadača – kaže Hitrec.

Cyber threat intelligence

Također objašnjava da praćenje dojava o sigurnosnim prijetnjama (engl. cyber threat intelligence) i razmjena informacija o uočenim taktikama, tehnikama i procedurama kibernetičkih napada pomažu bržoj prilagodbi obrane. Redovita testiranja proboja i simulacije kibernetičkih napada donijet će uvijek vrijednu i mjerljivu informaciju koliko je poslovanje sigurno od takvih rizika.

–​ Vjerujem da navedeni primjeri dovoljno ilustriraju koliko je potrebno profesionalno i strateški promišljati o planiranju zaštite informacijske infrastrukture i upravljanju njome – zaključuje Hitrec.

Potpredsjednik Hrvatske udruge menadžera sigurnosti Alen Delić tvrdi da je, kako bi se poslovanje zaštitilo od zlonamjernih napada, ključno razumjeti da je svaka sigurnost, pa tako i informacijska, cjelovit i složen skup procesa sastavljen od različitih elemenata. Stoga primjena samo jednog mehanizma zaštite neće biti dovoljna da se potigne odgovarajuća razina sigurnosti. Umjesto toga treba kombinirano primijeniti niz sigurnosnih mjera koje će smanjiti rizik od napada. U tom skupu mjera treba razumjeti da su jednako važni jasno i kvalitetno definirani procesi (što uključuje i politike i procedure), ljudi (što podrazumijeva i njihove jasne uloge, odgovornosti i znanje koje posjeduju) te na kraju tehnologije, koje moraju biti pravilno primijenjene.

– Kad je u pitanju primjena tih mehanizama u praksi, treba uzeti u obzir specifičnosti poslovanja i dostupne resurse. Međutim, neke opće smjernice koje se temelje na učestalim primjerima napada u posljednjih godinu dana odnose se na područja koje možemo promatrati kao ključne mehanizme. To su edukacija zaposlenika, analiza cjelokupnog skupa informacija, korištenje naprednih ili naprednijih mehanizama pristupa resursima, pravilno upravljanje privilegijima i pristupom, uspostavljanje mehanizama praćenja aktivnosti na mreži i računalima, pohrane/kopije podataka, testiranje sigurnosnih mehanizama i nadzor trećih strana koje imaju pristup resursima – kaže Delić.

Važan svaki pojedinac i skup

Edukacija zaposlenika povezana je s razumijevanjem važnosti svakog pojedinca u sigurnosnom lancu, posebno zaštite od napada mehanizmima socijalnog inženjeringa (phishing). Analizom cjelokupnog skupa informacija važnih za poslovanje i površine napada želimo doznati što je ključno za poslovanje, ne zaboravljajući da jednako važni, uz povjerljivost, mogu biti i raspoloživost i integritet podataka.

Korištenje naprednih ili naprednijih mehanizama pristupa resursima uz pravilno korištenje kompleksnih lozinki znači i mogućnost korištenja višestupanjske autentifikacije, a pravilno upravljanje privilegijima i pristupom znači da zaposlenici imaju samo onoliko pristupa podacima i resursima koliko im je potrebno za obavljanje posla. Važni su načini zaštite i uspostavljanje mehanizama praćenja aktivnosti na mreži i računalima kako bi se otkrile nepravilnosti i potencijalni napadi te ​pohrana ​ili kopija podataka (backup) tako da se takve pohrane i testiraju, zatim testiranje sigurnosnih mehanizama, kako ljudi tako i tehnološkog aspekta, poput provođenja testiranja proboja i provjera ranjivosti te nadzor trećih strana koje imaju pristup resursima ili obrađuju osobne podatke, što podrazumijeva i njihovo testiranje.

– Treba svakako naglasiti, ma koliko god to zvučalo školski, da je ključ za uspješnu zaštitu poslovanja od napada cjelovit i sustavan pristup sigurnosti koji uključuje sigurnosne mjere koje djeluju u kombinaciji te educiranje i svijest o važnosti sigurnosti svih zaposlenika u organizaciji. Krpanje rupa i provođenje djelomičnih mjera, pokazuje nam praksa, jednostavno, uvijek rezultira skupljim, težim i dugotrajnijim rješenjem – naglašava Delić.

Norma ISO 27001

Da ne postoji stopostotna zaštita, ali postoji mogućnost da se utječe na potencijal hoće li se napad dogoditi, odnosno, kad se incident dogodi, kakav će biti ishod ili razmjer štetnih posljedica, smatra konzultant za kibernetičku sigurnost DobarDan.neta i tvrtke CNV-IBIS Tino Šokić. Tvrdi da se sve uvijek svodi na kalkulacije rizika, odnosno na to koliki su izgledi da će se nešto dogoditi i koliko treba uložiti da bi se rizik umanjio.

Prema njegovim riječima, ključni mehanizam u zaštiti od hakerskih napada sveobuhvatan je pristup, odnosno u obzir treba uzeti cijeli sustav, od zaposlenika, tehnologije do regulative, zato što hakeri traže slabu točku u sustavu, a ta slaba točka nerijetko je čovjek. Primjerice, mnogo je teže hakirati kriptografske protokole i zaštićene aplikacije nego e-poštu zaposlenika, stoga je edukacija najbolja obrana od hakerskih napada.

– Ključni mehanizmi za zaštitu poslovanja mogu se realizirati u tri koraka; prvi je identifikacija osoba, imovine i procesa poduzeća, drugi je odabir tehničkih, organizacijskih i zakonskih mjera te alata za provođenje zaštite, a treći je kontinuirano testiranje i provjera uvedenoga. Budući da je tehnologija kao živi organizam, prisiljeni smo neprestano održavati, pratiti i poboljšavati taj sustav – kaže Šokić i naglašava da je često najveći problem u čovjeku, a ne u tehnologiji.

Osim toga, tvrdi da je ključne mehanizme moguće primijeniti jedino uz pomoć cjelovite i pravodobne potpore tvrtkine uprave. Jedan od dobrih pristupa sveobuhvatnoj primjeni jest, primjerice, uvođenje norme ISO 27001, sustava za upravljanje informacijskom sigurnošću (ISMS), koja obuhvaća sve od tehničkog, organizacijskog do zakonskog dijela sigurnosti.

Česte kompromitacije

Stručnjaci Span Centra kibernetičke sigurnosti svakodnevno pružaju pomać klijentima u rješavanju raznih vrsta kibernetičkih napada koji osim financijskih posljedica donose i velike reputacijske rizike. Pritom se često susreću s kompromitacijom računa elektroničke pošte i ransomware-napadima. Kompromitacija računa elektroničke pošte može rezultirati krađom poslovnih podataka i korištenjem tog računa kako bi napadačka skupina došla do poslovnih partnera.

Tu vrstu napada može se spriječiti korištenjem višefaktorske autentifikacije koja se koristi tokenima (TOTP) ili hardverskim ključevima (FIDO2) te redovitim primjenjivanjem zakrpa na cjelokupnome informacijskom sustavu, prije svega na javno dostupnim poslužiteljima. S druge strane, ransomware-napad uz krađu podataka stvara velik pritisak na žrtve zbog izravna utjecaja na poslovne procese. Kako bi se znatno smanjila mogućnost postajanja žrtvom takva napada, sve interne resurse treba pravilno zaštititi i omogućiti pristup isključivo iz interne mreže ili korištenjem VPN kanala s višefaktorskom autentifikacijom. Spanovi kibernetički stručnjaci poručuju da je procjenu sigurnosti organizacije i primjenu sigurnosnih rješenja najbolje prepustiti kvalificiranim stručnjacima koji će uz podizanje sigurnosti organizacije moći kontinuirano nadzirati sigurnost cjelokupnoga informacijskog sustava organizacije. 

Deset obrambenih koraka kako spriječiti kibernetičke napade

1.       Prihvatite strategiju nultog povjerenja (zero trust).

2.       Prepustite metode zaštite tvrtki za kibernetičku sigurnost.

3.       Šifrirajte podatke pri dijeljenju ili učitavanju na mreži.

4.       Poučite zaposlenike o online sigurnosti.

5.       Kreirajte složene zaporke i/ili rabite više različitih.

6.       Postavite smjernice za online sigurnost.

7.       Zaštitite informacije o zaposlenicima i sigurno pohranite podatke.

8.       Uspostavite zajedničke politike kibernetičke sigurnosti s poslovnim partnerima.

9.       Redovito revidirajte postupke kibernetičke zaštite.

10.       Instalirajte top security antivirusni softver i endpoint zaštitu.