Zaradi sodelovanja v kibernetskem kriminalu so v ZDA prejšnji teden oglobili tri javne uslužbence, zaposlene v obveščevalni službi in vojski. Razvijali so škodljivo programsko opremo za podjetje v Združenih arabskih emiratih, ki izvaja hekerske napade za tamkajšnjo vlado.1
Kibernetska vojna? V njej se borijo nevidni napadalci in žrtve, ki bolečino začutijo predvsem ob pogledu na bančni račun. To ni znanstvena fantastika, to je realnost 21. stoletja. Vedno nove 0-day ranljivosti v programski opremi, vladna vohunjenja, zbiranje podatkov o posameznikih in podjetjih ter primeri »dvojnih vohunov«.
V tem zapisu bom poskusil odgovoriti na vprašanje, na kateri točki se vojna ustavi in kdo je zmagovalec. In še pomembneje, kdo si te vojne sploh želi?
V kibernetskem svetu nas povezovanje deli
Ko pomislim na informacijske sisteme pred desetimi leti, se mi zdi, da je svet uporabnikov z namiznimi računalniki in sem ter tja kakšno tablico in pametnim telefonom svetlobna leta daleč. Napredek na področju informacijske tehnologije je za tako kratek čas skoraj nepredstavljiv. Vedno večje število naprav na posameznika je prineslo tudi vedno večje število povezav med njimi. Če so bili prej usmerjevalniki v domeni poslovnih okolij in posameznih bolj tehnološko usmerjenih gospodinjstev, je danes domače omrežje nekaj najbolj običajnega.
Povezovanje naprav v omrežja pomeni tudi povezovanje varnostnih lukenj v dolg varnostni tunel. Heker ima ob vdoru v posamezno napravo kar naenkrat dostop do vseh naprav, povezanih v to omrežje. Če niso ustrezno varnostno zaščitene. In če uporabniki naprav niso ustrezno ozaveščeni.
Dosegli smo veliko boljšo povezanost naprav in storitev ter si na veliko področjih z digitalizacijo olajšali življenje. Hkrati pa smo s svojo prisotnostjo v različnih omrežjih potencialno dali na vpogled in uporabo svoje osebne, zdravstvene, bančne, finančne in druge podatke. Razdelili smo se na tiste, ki puščajo za seboj ogromen digitalni odtis in tiste, ki jih omrežja skoraj ne poznajo. Na tiste, ki znajo dobro prepoznavati kibernetske napade in tiste, ki vedno znova »padejo na finto«. In na najvišji ravni na hekerje in žrtve hekerskih napadov.
Pa se kibernetskega sveta res ne bi dalo popolnoma zavarovati?
Kibernetska vojna zajema ves svet
Že od nekdaj velja, da so hekerji korak pred svojimi žrtvami. Njihov cilj je odkrivati nove ranljivosti in napadati. Primarna naloga njihovih žrtev pa običajno ni iskanje varnostnih lukenj, temveč obramba sistemov z različnimi mehanizmi. Ki imajo tudi svoje pomanjkljivosti. Pričakovali bi, da so uporabniki željni varnostnih popravkov, a podatki kažejo, da jih le četrtina varnostni popravek namesti takoj, ko je na voljo, četrtina v enem mesecu, tretja četrtina v enem letu, 25 % uporabnikov pa varnostnega popravka sploh nikoli ne namesti.
Na ravni poslovnih omrežij morajo vodje opraviti analizo tveganja, ki jo povzroča določena ranljivost. Ko je stopnja tveganja opredeljena, se odločijo, ali jo sprejmejo ali bodo vpeljali ukrepe za odpravo tveganja. To so lahko bodisi varnostne posodobitve opreme, dodatna oprema ali pa t. i. obvozne poti, ki jih v primeru 0-day ranljivosti priporočijo proizvajalci opreme.
V digitalnem svetu so največja vrednost podatki. Če imamo podatke, lahko v veliki meri manipuliramo z njihovimi lastniki. Zato se kibernetski kriminal usmerja na pridobivanje in preprodajo podatkov. Posel tako dobro cveti, da so hekerji postali najboljši zaslužkarji na svetu.
Kdo ima koristi od varnostnih lukenj in naivnih uporabnikov?
Poleg hekerjev so to zagotovo posamezniki in podjetja, ki se z ukradenimi podatki lahko okoristijo ali pa z njimi izsiljujejo. Poleg njih pa hekanje s pridom izrabljajo tudi vladne službe. Zbirajo podatke o posameznikih, ki jih želijo imeti bolj pod nadzorom ali jih želijo kazensko preganjati. Z ukradenimi podatki pa poteka tudi mednarodno vohunjenje in kibernetsko vojskovanje.
Ko govorimo o tem, da se podjetja okoriščajo s podatki posameznikov, ne smemo pozabiti na to, da tudi sami dovolimo manipulacijo z našimi podatki. Pomislite na Google in Facebook ter njihovo varnostno politiko. Zagotavljajo nam visoko zaščito podatkov, v zameno pa jim dovolimo, da sami te visoko zaščitene podatke uporabljajo za prilagajanje spletnih strani in oglasov našemu uporabniškemu profilu. Kot pravijo sami, skrbijo za boljšo uporabniško izkušnjo. Dejansko pa lahko zaradi namenske uporabe naših podatkov potrošimo veliko več, kot bi sicer.
Stopite v vrste ozaveščenih bojevnikov
Najboljši taktiki v boju proti kibernetskemu kriminalu sta redno testiranje ter posledično odpravljanje kritičnih pomanjkljivosti in stalno nadgrajevanje znanja. Morda bo kdo pripomnil, da so upravljavci sistemov tisti, ki morajo poskrbeti, da heker ne bo vstopil v omrežje in v naše naprave. Res je, skrbniki morajo imeti zelo poglobljeno znanje o delovanju varnostnih naprav in preprečevanju vdorov na sistemski ravni. A neprodušnost sistemov za kibernetske napade je omejena z vsaj dvema pomembnima faktorjema:
- Veliko število varnostnih popravkov za ranljivosti, ki so odkrite na nameščenih sistemih. Te popravke bi bilo treba dnevno nameščati, a so skrbniki pogosto preobremenjeni z drugimi zadolžitvami.
- Premalo ozaveščeni uporabniki, ki spregledajo škodljive povezave ali priponke. Uporabniki, ki znajo dobro prepoznavati poskuse vdorov, lahko v zelo veliko primerih preprečijo napad na naše poslovno ali domače omrežje.
Predstavljajte si srednjeveško mesto z obzidjem, ki ga je že malo načel zob časa ali pa ni bilo ravno najbolje zgrajeno. Če bo le nekaj meščanov branilo to ranljivo obzidje, ostali pa bodo samo sumničavo gledali prišleke, ki ga hočejo zavzeti, bo mesto hitro padlo. Če pa meščani tvorijo trden ščit okrog obzidja, je veliko več možnosti, da bo mesto kljub kakšni luknji v obzidju ostalo varno. Še bolje bodo mesto zaščitili, če se bodo redno igrali »ravbarje in žandarje« in skušali na različne načine zavzeti mesto. Enako je s kibernetsko varnostjo.
Izobraževanje uporabnikov in penetracijski testi
Socialni inženiring je še vedno najboljši način za prvi vstop v omrežje, najpogosteje se izvaja s ciljanimi napadi z ribarjenjem. Pri tem ne gre le za klasična elektronska sporočila v polomljeni slovenščini ali angleščini. Sodobni napadi nas lahko prelisičijo tudi v obliki spletnih oglasov ali video posnetkov. Zato je zelo pomembno, da se naučimo biti pozorni na vse pasti, v katere nas hočejo ujeti napadalci.
Učinkovit način pridobivanja veščin prepoznavanja napadov z ribarjenjem je trening varnostnega ozaveščanja. Stalno in nenapovedano soočanje z različnimi poskusi napadov uporabnika utrdi v prepoznavanju trikov, ki jih hekerji uporabljajo, da nas spravijo v težave. Takšen trening posameznika ne omeji le na poslovno okolje, pač pa znanja uporablja v svojem vsakdanjem življenju. Pozoren je, ko doma brska po internetu, ko želijo otroci nameščati igrice, ne priklaplja se na nezaščitena omrežja ipd. S takšnim ravnanjem daje zgled tudi svojim sodelavcem, prijateljem, družini.
Na ravni informacijskega sistema pa močno obrambo dosežemo s »štih probami« v obliki penetracijskih testov in varnostnih pregledov. Ni treba, da vedno izvajate pregled celotnega sistema. Lahko se enkrat osredotočite na spletne aplikacije, drugič na strežniški del, vsekakor pa je dobro, da se takšni testi izvajajo redno in da priporočila izvajalca testa vzamete zelo resno. Cilj penetracijskega testa in varnostnega pregleda je izboljšanje kibernetske varnosti celotnega informacijskega sistema. Ali če se vrnem na prispodobo z mestom – utrjevanje obzidja, krpanje lukenj, močnejša mestna vrata, … vsi ukrepi, ki bodo izboljšali varnost.
Lahko torej poskrbimo, da se kibernetska vojna konča? Prav končala se verjetno ne bo, saj bodo hekerji vedno korak pred nami. Z odgovornim ravnanjem pa vsaj omilimo njene posledice in poslovno škodo.
Kaj je po mojem mnenju ključ do uspeha? Kibernetska varnost vam mora zlesti pod kožo.
Če si želite natančnega in zanesljivega partnerja v boju proti kibernetskim napadom, kontaktirajte Carbonsec.
1 Vir: BBC