Zanimivosti

Kibernetski incidenti: Ni vprašanje, ali se bo zgodilo, temveč kdaj se bo zgodilo

Oglasno sporočilo
7. 12. 2018, 14.48
Posodobljeno: 7. 12. 2018, 14.49
Deli članek:

Strokovni posvet »Kibernetska tveganja – nova realnost: Kako jih upravljati?« v centru Triglav Lab.

Promocijski material
Razprava o kibernetskih tveganjih

Čas razširjenosti informacijsko-komunikacijskih sistemov in omrežij prinaša številne prednosti in koristi, sočasno pa naraščajo tudi kibernetske grožnje, zlasti nevarnost kibernetskih napadov na informacijske sisteme, računalnike ter mobilne in druge pametne naprave. Globalne finančne posledice kibernetskih tveganj iz leta v leto naraščajo in letno obsegajo več sto milijard dolarjev. Med tveganji izstopa kibernetski kriminal. V več kot 60 odstotkov načrtovanih napadov so tarče kibernetskega kriminala mala in srednja podjetja. To je ena izmed ugotovitev posveta »Kibernetska tveganja – nova realnost: Kako jih upravljati?«, ki ga je v torek, 4. decembra 2018, z namenom ozaveščanja o kibernetskih tveganjih organizirala Zavarovalnica Triglav.

Promocijski material
Anže Tomić

Pomena kibernetskih tveganj se države in mednarodne organizacije vedno bolj zavedajo. Svetovni gospodarski forum (WEF) tako na primer kibernetska tveganja opredeljuje kot eno izmed naraščajočih varnostnih groženj. Kibernetskih tveganj se zavedamo tudi v Sloveniji, saj je vlada leta 2016 sprejela Strategijo kibernetske varnosti, katere namen je okrepiti sistem kibernetske varnosti in področje sistemsko urediti, je na začetku posveta izpostavil moderator Anže Tomić, spletni urednik Valu 202 in avtor podcasta Apparatus, ki se tudi sam ukvarja s področjem kibernetske varnosti.

Kdo je izpostavljen nevarnosti?
Mag. Bojana Kifnar Strmčnik iz Pozavarovalnice Triglav Re, poznavalka področja kibernetskih tveganj in njihovih posledic za gospodarstvo, je med dejavniki, ki najbolj krepijo izpostavljenost kibernetske nevarnosti, naštela naslednje: internetne strani, informacijski sistemi in tehnologija poslovanja v oblaku, sistemi za pošiljanje elektronske pošte ter mobilne naprave, strojna oprema in internet stvari (IoT). Naštela je primere odmevnejših kibernetskih oziroma varnostnih incidentov, ki so jih v preteklosti doživela številna znana podjetja in tako postala tarče hekerjev oz. kiber kriminalcev: Yahoo, Sony, Amazon, Uber, Merck in Maersk. Našteta podjetja so zaradi napadov utrpela več stomilijonsko škodo.

Promocijski material
Bojana Kifnar Strmčnik

Tarča kibernetskega kriminala pa so največkrat, v več kot polovici poskusov mala in srednja podjetja, pri čemer je skoraj polovica vseh napadov globalno gledano usmerjena na družbe z manj kot 250 zaposlenimi. Posledice napadov so različne in segajo od materialne škode, ki po ocenah dosega na svetovni ravni skoraj 500 milijard dolarjev letno, do izgube ali poškodovanja pomembnih podatkov, njihove zlorabe in okrnjenega ugleda podjetij, kar se posledično kaže tudi v občutnem padcu prodaje izdelkov oz. storitev. Po raziskavah lahko namreč 1-odstotni padec ugleda podjetja privede do 3-odstotnega padca prodaje.

Eno izmed ključnih tveganj za podjetja predstavlja tako imenovani socialni inženiring, ki se kaže na več načinov: »Namen socialnega inženiringa je: zbiranje informacij o tarči, kraja podatkov in povzročitev škode. Napadalci se pri tem poslužujejo različnih načinov, na primer pošiljanja lažne elektronske pošte, phishinga, namestitve zlonamerne strojne ali programske opreme in ponarejanja identitete,« je na posvetu opozoril etični heker Milan Gabor, direktor in lastnik podjetja Viris. Tudi Gabor izpostavlja internet stvari kot eno izmed najbolj ranljivih področij, saj lahko napadalci preko ene vstopne točke dostopajo do več naprav, povezanih v omrežje. Enako kritična so tudi javna wi-fi omrežja. Zato Gabor uporabnikom omrežij in naprav, povezanih s spletom, svetuje pazljivost in našteva naslednje varnostne ukrepe: »Pazite, kje in komu omogočate dostop do osebnih podatkov. Preverite identiteto oseb, s katerimi poslujete ali v okviru vaše dejavnosti drugače sodelujete. Ko v podjetju podeljujete pooblastila zunanjim izvajalcem, bodite previdni, sodelujte samo s preverjenimi in uveljavljenimi partnerji.«

Promocijski material
Milan Gabor

Po navedbah Tadeja Hrena iz SI-CERT-a, nacionalnega odzivnega centra za kibernetsko varnost, število prijavljenih kibernetskih incidentov iz leta v leto narašča. Hren je izpostavil, da bo v tem letu število incidentov, ki jih bo obravnaval SI-CERT, preseglo številko 2.300. Med najpogostejšimi incidenti so škodljiva koda, prevare pri spletnem nakupovanju, poskusi vdorov preko gesel oziroma tako imenovani 'phishing', pa tudi prevare s skeniranjem in tipanjem naprav in tako imenovane nigerijske prevare, ki se dogajajo preko e-pošte. »Napadalci na tehnologijo so se postopno preusmerili na napade na človeka, ki je pogosto najšibkejši člen v verigi informacijske varnosti.«

Podobno je izpostavil Marko Zavadlav iz podjetja Unistar, ki je partner Zavarovalnice Triglav na področju zavarovanja kibernetske zaščite in odzivanja na kibernetske incidente: »Ključ do kibernetske varnosti so ljudje, človek je tisti, od katerega je največkrat odvisno, ali bodo informacijsko-komunikacijsko sistemi varni in dovolj odporni na kibernetske nevarnosti.«

Promocijski material
Graf

Na fotografiji zgoraj: Število prijavljenih kibernetskih incidentov, ki jih je v zadnjem desetletju obravnaval SI-CERT. Število prijav iz leta v leto narašča. Če so pred leti prednjačili tehnični incidenti, so v zadnjem času pogostejše goljufije in prevare.

Klemen Kraigher Mišič, nekdanji državni nadzornik za varstvo osebnih podatkov, zdaj pa direktor Info hiše, ki je specializirana za varstvo osebnih podatkov, je dejal, da Evropa pri zavedanju nevarnostih kibernetskih groženj nekoliko zaostaja za območji, kot so na primer ZDA. »Podjetja, ki upravljajo in obdelujejo zbirke osebnih podatkov, se morajo zavedati, da gre za posebej občutljivo področje, ki prinaša tudi veliko odgovornost. Izpostavil bi tako imenovano revizijsko sled, ki podjetjem narekuje, naj zagotovijo avtentičnost in možnost ne spreminjanja revizijske sledi. Temu morajo zlasti slediti večja podjetja, manjša pa naj revizijsko sled uporabljajo kot dobro prakso, ki lahko učinkovito prepeči zlorabe osebnih podatkov.« 

Promocijski material
Klemen Kraigher Mišič

Neprijetne izkušnje slovenskih podjetij
Udeleženci popoldanskega posveta, ki je potekal v digitalnem centru Triglav Lab v Ljubljani, so lahko prisluhnili tudi izkušnji dveh podjetij, ki sta doživeli kibernetski napad. V enem primeru je šlo za napad na informacijsko-komunikacijski sistem podjetja, ki oddaja radijski program: podjetje je dan po napadu ostalo brez celotne računalniške infrastrukture, v času napada niso pomagali niti trije požarni zidovi, niti certificirana programska zaščita. »Sistem je bil popolnoma blokiran, bili smo brez možnosti ukrepanja. Sistem je 'počepnil' v vsega šestih minutah. Ko je bilo vsega konec, smo prejeli prijazno sporočilo v guglovski slovenščini in navedbo zneska z nekaj ničlami, ki ga moramo plačati, če želimo vračilo podatkov,« je povedal predstavnik podjetja. Kljub temu, da so bili računalniki in trdi diski popolnoma uničeni, je podjetju po sedmih dneh s pomočjo strokovnjakov uspelo rešiti vse podatke. Obravnavo primera so prevzeli območja policijska postaja, Ministrstvo za notranje zadeve in – ker je bil napad voden iz tujine, iz Malezije – tudi Interpol.

Pri drugem podjetju je šlo za napad izsiljevalskega virusa, ki se je v informacijski sistem uspel prebiti s pomočjo datoteke word, po aktivaciji pa sistemu onemogočil dostop do datotek in elektronske pošte. Šlo je za občutljive poslovne podatke, saj se podjetje ukvarja z računovodstvom, izobraževanjem in poslovnim svetovanjem. Podatke so rešili tako, da so izsiljevalskemu virusu, 'ransomwareu', plačali zahtevanih 450 € za ponovni dostop. Od napada dalje v podjetju s podatki ravnajo bolj skrbno. Po napadu so vsi zaposleni zamenjali gesla za dostop do sistema, na računalniške naprave so namestili dodatno zaščito. V podjetju ugotavljajo, da je eden od najpomembnejših ukrepov ozaveščenost zaposlenih o nevarnostih, ki jih pomenijo kibernetske grožnje.

Popolne zaščite ni, tveganja lahko le obvladujemo
Kljub vse močnejšemu zavedanju pomena kibernetskih tveganj na strani mednarodnih organizacij in držav je ozaveščenost med podjetji, sploh med malimi in srednjimi podjetji, ki so tudi najpogostejša tarča poskusov kibernetskih napadov, še vedno na zaskrbljujoče nizki ravni, je poudarila Bojana Kifnar Strmčnik. Razlog za to sta med drugim nerazumevanje vsebine kibernetskih tveganj in mišljenje, da se to 'nam ne more zgoditi'. »Podjetja morajo imeti vzpostavljen sistem obvladovanja kibernetskih tveganj, priporočljiva pa je tudi strokovna asistenca specializiranih IT družb in zavarovanje za primer, ko se zgodi incident. Ni namreč vprašanje, ali se bo incident zgodil, pač pa le še, kdaj se bo zgodil.«

Našteti ukrepi predstavljajo zaščito na več ravneh, se medsebojno dopolnjujejo, optimalno pa je, da so vzpostavljeni sočasno, je izpostavila Bojana Kifnar Strmčnik. »Osnovo predstavlja tehnični del, zavarovanje pa je eden od načinov, ki pomagajo pri upravljanju s tveganji, ob tem, da je sočasno povezano še z drugimi ukrepi. Če se zgodi incident, bo zavarovanje lahko učinkovito zmanjšalo stroške. Zelo visoki stroški lahko nastanejo zaradi izgubljene opreme in podatkov, zavarovanje pa v tem primeru zagotavlja kritje stroškov njihove ponovne vzpostavitve. Zavarovanje lahko pokrije odziv na incident, vanj pa so vključeni tudi stroški preiskave in reševanja situacije. Ne gre pa zanemariti niti stroškov, ki nastanejo s pravnimi postopki in globami uradnih organov zaradi kršenja predpisov – tudi v teh primerih lahko zavarovanje služi kot zelo primerna rešitev.«

Zavarovanje kibernetske zaščite za podjetja
Zavarovalnica Triglav je kot prva zavarovalnica v Sloveniji in regiji Adria razvila zavarovanje kibernetske zaščite za podjetja, ki je pomemben ukrep za povečanje kibernetske varnosti. Predvsem za mala in srednje velika podjetja to zavarovanje lahko predstavlja pomembno dodatno zaščito pred finančnimi posledicami morebitnega kibernetskega vdora, saj je prilagojeno načinu dela v omenjenih podjetjih in najbolj pogostim tveganjem, ki so jim ta podjetja izpostavljena.

Osnovna kritja, ki jih prinaša zavarovanje, so:
- odziv na incident (npr. kritje stroškov strokovnjaka za izvedbo preiskave, stroške svetovanja strokovnjaka, pravne stroške, globe s strani Informacijskega pooblaščenca …)
- stroški ponovne vzpostavitve podatkov in programske opreme,
- odgovornost za kršitve zaupnosti in zasebnosti (odškodninski zahtevki tretjih oseb) ter
- odgovornost za omrežno varnost (odškodninski zahtevki tretjih oseb).

Na voljo so tudi dodatna kritja, ki zajemajo težje primere in posledice kibernetskih incidentov: obratovalni zastoj (izguba dobička v obdobju prekinitve poslovanja), kibernetsko izsiljevanje (med drugim tudi stroški odkupnine) in kibernetski kriminal (kritje nezakonito odvzetih denarnih sredstev).

Ob tem velja poudariti, da zavarovanje kibernetske zaščite za podjetja vključuje tudi asistenčno pomoč ob incidentu. Zavarovalnica tako strankam v sodelovanju s pogodbenimi partnerji in s pomočjo IT forenzikov, specialistov za krizno vodenje in komuniciranje ter pravniki omogoča npr. zajezitev incidenta, odstranjevanje vzroka incidenta, vzpostavitev delovanja sistemov ter pripravi analizo primera in priporočila glede nadaljnjih ukrepov s področja informacijske varnosti.

Več informacij na: Zavarovanje kibernetske zaščite