Poleg pandemije COVID-19 je leto 2020 zaznamovala tudi pandemija kibernetskih napadov, ki so bili v mnogih primerih tesno povezani z zdravstveno krizo. Spletni napadalci so s pridom izkoristili vsesplošno zmedo ob reorganizaciji delovnih okolij in selitvi tako delovnih mest kot šolstva na splet.
Raziskave kažejo, da je bilo v letu 2020 izvedenih kar dvakrat toliko kibernetskih napadov kot v letu poprej. Po podatkih organizacije Cybersecurity Ventures naj bi stroški zaradi kibernetskih napadov do leta 2025 vsako leto narasli za 15 %. Če bi kibernetski kriminal obravnavali kot državo s svojim gospodarstvom, bi se ta umestil na tretje mesto na svetu, za ZDA in Kitajsko.
Katere grožnje in napadi so najbolj zaznamovali leto 2020? Katere panoge so bile najpogosteje na udaru? Kako kaže kibernetski varnosti v 2021 in kaj lahko storite, da bo vaše podjetje letos odpornejše kot je bilo lani?
Katere varnostne grožnje so v 2020 stopile na zmagovalni oder?
Po podatkih poročila ISACA State of Cybersecurity Report 2020 so najpogostejši napadi s socialnim inženiringom. Teh je 15 %. Na drugem mestu je z 10 % t. i. APT (angl.: advanced persistent threat). Predstavniki tovrstnih groženj so organizirane skupine, ki dlje časa prikrito pripravljajo in izvajajo škodo v korporativnih okoljih.
Tretje mesto pa si delita izsiljevalska programska oprema in neposodobljeni sistemi. Vsaka od teh groženj predstavlja 9 % vseh groženj, ki so se pojavile v letu 2020. Pri tem velja omeniti, da velik delež napadov z izsiljevalsko programsko opremo izhaja iz napadov s socialnim inženiringom. Pogosto namreč uporabnik najprej prejme elektronsko pošto z napadom z ribarjenjem, ki se nadaljuje z izsiljevalskim programjem.
Kdo je bil najbolj na udaru?
Izbor panog oz. področij, ki so jih spletni napadalci največkrat izbrali za svoje tarče, je bil močno povezan s pandemijo COVID-19. Napadi s socialnim inženiringom so se začeli v obliki lažnih objav ali oglasov intenzivneje pojavljati na družbenih omrežjih.
Ogromno napadov je bilo izvedenih v zdravstvu, kjer se je ribarjenje najpogosteje nadaljevalo z izsiljevalsko programsko opremo. Zdravstveni podatki posameznikov so namreč ogromno vredni – za podatke o eni osebi lahko odštejete tudi 1000 USD. Za primerjavo, podatki o kreditni kartici vas po podatkih Forbesa stanejo 12 – 20 USD, e-poštni naslovi pa 100 USD.
S selitvijo šolstva in dela v domača okolja se je občutno povečala uporaba videokonferenčnih sistemov. Tudi tukaj so napadalci hitro ugotovili, kako prevzeti poverilnice sodelujočih, ukrasti gostiteljstvo in preko videokonferenčnega sistema priti do podatkov na računalnikih ali sistemih.
Kraja osebnih podatkov je bila v 2020 zlasti problematična v turizmu. To panogo je že sama koronakriza močno prizadela, nekatere največje svetovne verige pa so se spopadale še s hekerskimi napadi. Prevzeti so bili podatki več tisoč gostov, kar gotovo ne vpliva pozitivno na ugled ponudnika turističnih storitev.
Glavna ozka grla v kibernetski varnosti organizacij
1. Uporabnik
Vezano na pogostost napadov s socialnim inženiringom in izsiljevalsko programsko opremo je glavno ozko grlo zagotovo uporabnik – zaposleni v organizaciji ali uporabnik v zasebnem življenju. Ob prepletanju delovnega in domačega okolja je še toliko bolj pomembno, da so zaposleni visoko varnostno ozaveščeni in znajo prepoznati napade bodisi v obliki elektronski sporočil ali oglasov na družbenih omrežjih.
2. Politike uporabe gesel
Gesla so za mnogo uporabnikov ena bolj nadležnih »varnostnih muh«. Pri svojem delu zaposleni uporabljajo več različnih aplikacij, ki zahtevajo uporabo gesla. Če k tem dodamo še zasebne aplikacije, se gesel kar hitro nabere več kot deset. Ker smo ljudje nagnjeni k poenostavitvam, si radi izberemo enako geslo za več aplikacij ali pa vsa gesla shranimo (npr. v brskalniku). S tem pa postanemo mi in naše podjetje lahka tarča napadalcev, ki shranjena gesla prevzamejo.
3. Varnostno posodabljanje sistemov
Veliki informacijski sistemi so s stališča varnostnih posodobitev velik zalogaj. Dnevno spremljanje potencialnih ranljivosti in nameščanje varnostnih popravkov sta v marsikateri organizaciji delo, ki preprosto ne pride na vrsto. V veliko pomoč so orodja za avtomatsko spremljanje ranljivosti (vulnerability scanner), a žal niso prilagojena vašemu okolju. Ta orodja odpravijo ranljivosti glede na njihovo kritičnost. A stopnja kritičnosti posamezne ranljivosti v vaši organizaciji ni enaka kot v sosednjem podjetju. Na kritičnost ranljivosti vplivajo varnostne nastavitve posameznih podsistemov znotraj vašega informacijskega sistema. Samo na orodje za prepoznavo in odpravljanje ranljivosti se torej pri nameščanju varnostnih popravkov ne gre zanašati.
Kako se v 2021 lahko kibernetsko okrepite?
Po podatkih portala Forbes se nam letos na področju kibernetske varnosti obeta prav tako pestro dogajanje, kot je bilo lani. Po napovedih se bodo napadi usmerili bolj na področje intelektualne lastnine, verjetno pa bo vse odvisno od splošnega globalnega dogajanja – političnega, ekonomskega in zdravstvenega.
Vodje podjetij po vsem svetu se zavedajo pomena kibernetske varnosti, saj bo po podatkih revizijske hiše PWC 55 % podjetij povečalo sredstva za zagotavljanje kibernetske varnosti, prav tako jih bo dobra polovica dodatno zaposlovala strokovnjake s tega področja.
Glede na ozka grla, prepoznana v letu 2020, se je smiselno osredotočiti na krepitev področij, s katerimi lahko te vrzeli odpravite ali vsaj omilite.
1. Poskrbite za stalno varnostno ozaveščanje
Predavanje o pomenu kibernetske varnosti enkrat letno že dolgo ni več dovolj. Področje se hitro spreminja in prav vsak uporabnik katerega koli informacijske sistema lahko že v naslednjem trenutku postane žrtev hekerskega napada. Izobražujte svoje zaposlene vsak dan, izzovite jih s simulacijami resničnih napadov v različnih oblikah. Tako se bodo izurili v prepoznavanju škodljivih vsebin. V vsakdanjem življenju bodo odgovorno ravnali tako v službenem kot v domačem okolju, saj jih bo trening pripravil na to, da lahko žrtev napada postanejo ne glede na lokacijo in napravo.
2. Naj večfaktorska avtentikacija in močna gesla postanejo pravilo
Za poslovno kritične sisteme vpeljite večfaktorsko avtentikacijo. Z vsako dodatno stopnjo avtentikacije hekerju postavite nov zid, ki ga mora razbiti, če želi priti do vaših podatkov. Kjer ocenite, da uporaba večfaktorske avtentikacije ni potrebna, zahtevajte uporabo močnih gesel, ki morajo vsebovati velike in male črke ter številke. Zaposleni naj za različne sisteme uporabljajo različna gesla. S sodobnimi sistemi za upravljanje identitet in dostopa lahko zahteve glede uporabe gesel učinkovito sistemsko uredite in nadzirate.
3. Redno izvajajte penetracijske teste
Stalno varnostno preverjanje informacijskega sistema je zagotovo najbolj zanesljiva rešitev za doseganje močne kibernetske varnosti. Še vedno velja priporočilo, da naj organizacija vsaj enkrat ali dvakrat letno izvede varnostni pregled oz. penetracijski test informacijskega sistema. A prav leto 2020 nam je pokazalo, da se v pol leta svet lahko začne vrteti popolnoma drugače. Zato naj velja, da podjetje glede na obseg informacijskega sistema določi periodo izvajanja avtomatskih penetracijskih testiranj. Takšna orodja odkrijejo ranljivosti v sistemu, jih poskušajo izrabiti in na podlagi rezultata tudi odpraviti. Tako bodo v vašem sistemu vedno odpravljene tiste ranljivosti, ki dejansko ogrožajo vaše poslovanje. Če ste tudi ponudnik mobilne aplikacije, poskrbite, da bo vaša aplikacija pred produkcijo varnostno preverjena in izvedite penetracijski test ob vsaki spremembi kode aplikacije.
Ta tri priporočila naj bodo vaše vodilo pri krepitvi kibernetske odpornosti vaše organizacije. Tako bo krmarjenje skozi izzive leta 2021 varnejše in stabilnejše.
Še za konec: V večini velikih organizacij je varnostnih rešitev že dovolj, morda celo kakšna preveč. Pogosto se izkaže, da je potrebno le fino nastavljanje.