Nedavni kibernetski napad na družbo HSE je povzročil nemalo motenj v delu organizacije in tudi v drugih povezanih organizacijah ter s tem pokazal, kako ranljiva je pravzaprav kritična infrastruktura. Incident je odprl vprašanja o stopnji kibernetske varnosti in odpornosti v kritični infrastrukturi, zlasti v elektrarnah in pri distribuciji električne energije. Izpostavil je tudi problematiko ozaveščenosti zaposlenih o kibernetski varnosti in pripravljenosti na takšne napade.
V tokratnem zapisu bomo razmišljali o kibernetski varnosti v širšem družbenem kontekstu, o vlogi vodstva pri promociji kibernetske varnosti, o pomenu zaposlenih, ki so pogosto prva obrambna vrsta ter o varnosti dobavne verige in krepitvi kibernetske odpornosti.
Izzivi kibernetske varnosti v kritični infrastrukturi
Kritična infrastruktura je za kibernetske napadalce zelo privlačen sektor, saj uspešni napadi močno vplivajo na dostopnost javnih storitev in lahko ohromijo delovanje družbe. Nemoteno delovanje tehnologije, ki poganja ključne storitve, je nujno za delovanje družbe. Upravljanje elektrarn, vodovodov, komunikacijskih omrežij, prometa, finančnih in bančnih storitev in drugih podobno pomembnih področij zahteva neprekinjeno spremljanje informacijskih in operativnih sistemov, ki skrbijo za delovanje celotne infrastrukture. Kibernetski napadi so vedno pogostejši in naprednejši, zato je učinkovito sledenje varnostnim ukrepom v organizaciji pogosto izziv. Pred desetletji so bili OT sistemi popolnoma zaprti (ang. air-gapped) in se niso povezovali navzven. Danes se povezujejo v internet kot vsi drugi sistemi, še vedno pa na njih pogosto tečejo zastareli programi brez varnostnih posodobitev.
Poleg tega je velik izziv postala tudi (ne)varnost dobavnih verig. Ta problem moramo nasloviti in obvladati v čim krajšem času. Deljenje VPN povezav in oblačnih storitev z drugimi družbami širi področje napada in pušča posledice ne samo napadeni organizaciji, temveč rudi drugim organizacijam v dobavni verigi.
Uspešen kibernetski napad ne prinese le izgube podatkov, ampak tudi izgubo ugleda. Poleg tega mu sledijo visoki stroški za odpravo posledic po napadu, v kritični infrastrukturi pa se lahko soočamo celo z življenjsko ogrožajočimi situacijami. Vse to so razlogi, zakaj bi morala biti kibernetska varnost ter z njo povezano deljenje informacij o kibernetskih grožnjah in ozaveščanje uporabnikov eno glavnih poglavij vsake poslovne strategije za leto 2024.
Vloga socialnega inženiringa in kibernetski napad
Ne glede na to, kako napredne in kvalitetne so vaše varnostne naprave, so v boju proti socialnemu inženiringu še vedno neučinkovite. Ko odgovarjamo na različne pozive v e-pošti, na družabnih omrežjih in v aplikacijah za klepete, moramo biti ekstremno previdni. Porast v spletnem nakupovanju je odprl nove dimenzije napadov preko SMS sporočil (ang. smishing), kar je pogosto povezano z vdori v baze dostavnih služb. Kadar se poslano škodljivo sporočilo časovno povezuje z uporabnikovim nakupov v spletni trgovini ali v drugi aplikaciji (npr. e-banki), je možnost za uspešen potek napada zelo velika.
Pred nekaj tedni je bila v zagonu kampanja preko SMS sporočil, v katerih so od uporabnika zahtevali plačilo nizkih carinskih stroškov za dostavo blaga izven EU. Predstavljajte si, da ste prav v tistem času naročili nekaj iz Velike Britanije. Vrednost »carinskih stroškov« se zdi sprejemljiva, zato znesek poravnate. Čez nekaj minut pa prejmete sporočilo za potrditev plačila v e-banki v vrednosti 300 EUR. Zagotovo bi vam malo zavrelo. Na srečo večina ponudnikov bančnih storitev pri plačevanju z e-banko zahteva potrditev transakcije in se nadaljnjih odlivom lahko izognete. Vseeno pa lahko hekerji že samo z množico nakazil po 1,98 EUR zaslužijo milijone.
CISO ne more preprečiti napak, ki jih uporabniki delajo v svojem prostem času. Vsekakor pa bi vzpostavljanje kibernetsko odpornega poslovnega okolja morala biti ena njegovih glavnih prioritet. V podjetju Carbonsec verjamemo, da je najboljši način za dvig ozaveščenosti zaposlenih reden trening s simulacijami napadov z ribarjenjem. Rezultate kampanj naj odgovorni predstavijo zaposlenim ter izvedejo delavnice, na katerih predelajo glavne in najpogostejše napake.
Socialni inženiring ni samo »phishing«
Čeprav socialni inženiring pogosto enačimo z različnimi variantami napadov z ribarjenjem, obstajajo tudi drugi napadi, ki prav tako sodijo v socialni inženiring. Kibernetski napad se začne z zbiranjem informacij in nihče ne ve, kako dolgo so nas opazovali, preden se je napad dejansko začel.
Informacije, ki jih delimo na internetu, so za napadalce prava zakladnica. Morda se bodo s pomočjo teh informacij z vami celo spoprijateljili, in to na poponoma nesumljiv način. Nedolžen klepet je lahko dragocen vir informacij za nekoga, ki točno ve, kaj išče.
Še en primer socialnega inženiringa je t. i. »pridržanje vrat« (ang. tailgating) – omogočanje dostopa v poslovne prostore osebam, katerih identitete nismo preverili. Lahko se pretvarjajo, da so zunanji izvajalci, npr. serviserji tiskalnikov ali avtomata za kavo. In ne pozabite, o občutljivih temah se v javnosti ne pogovarjajte. V kavarni ali restavraciji nikoli ne veste, kdo sedi pri sosednji mizi.
Kibernetski napad in načrtovanje rednih varnostnih testov
Na sistemski ravni mora biti redno varnostno testiranje del organizacijskih procesov, kot je to npr. požarna vaja. Varnostni testi pokažejo, kako učinkoviti so varnostni ukrepi in protokoli ter ponudijo smernice za aktivnosti v naslednjem obdobju. Rezultati varnostnega testa so osnova za osvežitev ocene tveganja, vpeljavo dodatnih varnostnih kontrol v poslovnem okolju ter izboljšanje vaših storitev.
V skladu s strateškim upravljanjem kibernetske varnosti je smiselno planirati različne varnostne teste tekom celega leta in glede na vaše notranje procese v plan umestiti tudi verifikacijo. Tako lahko celotno notranje omrežje testirate enkrat letno, teste z manjšim obsegom pa časovno ustrezno razporedite (npr. testiranje ene aplikacije ali le dela omrežja, testiranje odpornosti na določeno ranljivost ipd.).
Priprava časovnice varnostnih testiranj vam pomaga pri prioritizaciji aktivnosti na področju kibernetske varnosti, naloge lahko razporedite čez vse leto in se izognete ozkim grlom pred določenimi roki (npr. zunanje revizije, doseganje letnih ciljev ipd.).
Podpora vodstva je nujna
Strategija kibernetske varnosti mora biti usklajena z načrtovanjem poslovanja in razvoja. Ob koncu tretjega kvartala, ko se običajno oblikujejo plani za naslednje leto, vodstvo določi cilje. Pomembno je, da pri strateškem načrtovanju sodeluje tudi CISO ter v cilje vključi informacijsko in kibernetsko varnost.
Na primer, če razvijate programsko opremo in želite novo aplikacijo lansirati v oktobru, načrtujte vdorni test za junij. Tako bo imela vaša razvojna ekipa dovolj časa, da odpravi odkrite ranljivosti in lahko najpozneje v začetku septembra izvedete verifikacijo.
Strategija upravljanja kibernetske varnosti naj vključuje redne revizije po enem od uveljavljenih ogrodij (npr. CIS) ter načrt za odziv in povrnitev po kibernetskem napadu. Ukrepi in odgovorne osebe morajo biti točno določeni. Tako bo vsak v organizaciji vedel, kdo je odgovoren za posamezno nalogo ali del infrastrukture.
Včasih je vodstvo težko prepričati, naj varnosti namenijo več sredstev. CISO mora skrbeti, da kibernetska varnost postane in ostane glavna prioriteta. Ozaveščanje je dolgotrajen proces in se ne zgodi čez noč, zato moramo biti potrpežljivi. Včasih se je treba kaj naučiti tudi na napakah. Nekatere organizacije se že od samega začetka zavedajo pomena kibernetske varnosti, druge pa morajo najprej izkusiti napad, šele potem umestijo kibernetsko varnost med podporne stebre poslovanja. Če je končni rezultat boljša kibernetska varnost, smo cilj dosegli.
Spremljajte varnost dobavne verige
Viša raven kibernetske varnosti za podjetje pomeni boljši položaj na trgu. Kot določa nova EU regulativa, je spremljanje varnosti dobaviteljev nujno, saj povezovanje podjetij v mreže oblačnih tehnologij ustvarja večjo površino napada.
Zelo verjetno katera od vaših strank že spremlja vaše zunanje omrežje. Tudi vi začnite spremljati varnost svojih dobaviteljev in s tem prispevajte k ustvarjanju varne dobavne verige. Predstavljajte si, da bi vsi začeli obveščati svoje dobavitelje o varnostnih pomanjkljivostih, ki jih zaznamo pri rutinskem spremljanju. Ustvarjati bi začeli »inteligenco dobavne verige«, s pomočjo katere bi lahko odstranili varnostne grožnje, še preden bi se uresničile, in zmanjšali tveganja, ki grozijo verigi organizacij.
Skupaj gradimo varnejšo družbo
Kot smo že omenili, izzivi kibernetske varnosti niso vezani le na poslovna okolja. Postali so pomemben del naših življenj. Običajni uporabniki interneta v svojih domovih navadno ne nameščajo požarnih pregrad ali drugih varnostnih naprav. Vsekakor pa bi vsak uporabnik internetnih storitev moral imeti določeno stopnjo ozaveščenosti in znanja o kibernetski varnosti, da lahko ostane odporen na kibernetske napade in ne ogroža drugih, ki so z njim povezani v kibernetsko dobavno verigo (npr. prijateljev v družabnem omrežju).
Menim, da bi tisti, ki imamo dovolj znanja o kibernetskih grožnjah morali prenašati to znanje na tiste, ki so na tem področju šibkejši (npr. otroci, starejši, manj izobraženi uporabniki, tisti, ki za opravljanje svojega primarnega dela ne uporabljajo računalnika ipd.). Ustvarjanje varnostno ozaveščene družbe je naloga, pri kateri lahko vsi sodelujemo in ki vsem prinaša koristi.
Penetracijski test
Penetracijski test omogoča odkrivanje ranljivosti IT sistema in je podlaga za določanje njihove kritičnosti in podajanje priporočil.
Test varnosti gesel
Test varnosti gesel je storitev, s katero preverite, ali je vaša varnostna politika ustrezna in kako varna so gesla v vašem omrežju.
Ransomware Readiness – ustavite izsiljevalski virus
Izsiljevalski virus povzroči veliko finačno škodo in uniči ugled podjetja. S testom Ransomware Readiness preverite, kako odporni ste.