Varna gesla so ena glavnih tem, ki smo jih konec lanskega leta srečevali v blog zapisih na temo trendov v kibernetski varnosti. Če je v preteklosti veljalo, da morajo gesla vsebovati velike in male črke, številke in posebne znake ter jih moramo redno menjati, nove smernice poudarjajo pomen gesel v obliki stavkov ter dodatno avtentikacijo, kot je FIDO2.
Z mag. Borutom Žnidarjem, odgovornim za informacijsko varnost v Halcom d.d., smo se pogovarjali o spremembah, ki so v zadnjih letih nastale na področju kibernetske varnosti ter o tem, kako v Halcomu, ki so ukvarja z razvojem visokokakovostnih programskih rešitev za finančni sektor, naslavljajo kibernetsko varnost na prvi obrambni črti – kako skrbijo za varnostno ozaveščanje uporabnikov in varna gesla.
mag. Borut Žnidar
CISO, Halcom d.d.
Mag. Borut Žnidar je izkušen strokovnjak na področju informacijske varnosti, preizkušeni revizor informacijskih sistemov, po standardih ISACA certificiran revizor informacijskih sistemov (CISA) in upravljalec informacijske varnosti (CISM) ter strokovnjak za varnost informacijskih sistemov (ISC)2 CISSP. Od leta 2018 je CISO v podjetju Halcom d.d., kjer skrbi tudi za zagotavljanje kibernetske varnosti.
Podjetje Halcom je tehnološko podjetje, ki že tri desetletja razvija inovativne in varne plačilne in finančne rešitve. Pri tem je kibernetska varnost že vrsto let ena vaših glavnih prioritet. Kako se je v zadnjih štirih letih, ko ste v Halcomu zaposleni kot CISO, spremenil svet kibernetske varnosti?
Kar zadeva moje delo, so se spremenile tri ključne stvari. Povečala se je kompleksnost napadov, in to ne nujno tehnološko, ampak bolj sociotehnološko, saj gre za povezavo več dejavnikov, tudi človeškega. Menimo, da ne gre zgolj za napad na tehnologijo, pač pa za preplet več enostavnejših pristopov. Tako pridemo do druge pomembne spremembe: napadi na ljudi so postali bolj kompleksni. So bolj domiselni, pristop vedno bolj upošteva človekovo naravo. In še tretja pomembna sprememba: Slovenija ni več na obrobju dogajanja. Včasih je slovenščina skoraj veljala za del zaščite, zdaj se na to ne moremo več zanašati. Pred kratkim sem z orodjem ChatGPT v hipu v slovenščini sestavil zelo dobro besedilo za simulacijo napada z ribarjenjem. Ljudje so bili navajeni prepoznavati napade po nepravilni slovenščini, zdaj to ni več možno. Sami sebe moramo stalno opominjati, da pravilna slovenščina še ni zagotovilo za legitimnost sporočila.
Zato je pomembno, da v podjetjih opozarjamo zaposlene, kakšna je naša varnostna politika, kako moramo ravnati. Pri tem ni primarni cilj preprečevanje napadov, ampak osveščanje zaposlenih. Izboljšati želimo zavedanje, da jih ne bo rešila tehnologija, ampak morajo biti tudi oni aktivno vključeni, z glavo pri stvari. Ustrezno moramo uporabljati kombinacijo tehnoloških rešitev in ozaveščenosti zaposlenih.
Celosten pristop k upravljanju kibernetske varnosti vključuje smotrno uporabo varnostnih naprav in sistemov, redno testiranje in preverjanje ter neprestano izobraževanje uporabnikov. Kateremu delu v zadnjem obdobju – v pokoronskem času – namenjate največ pozornosti?
Tehnično gledano se več ukvarjamo z zagotavljanjem varnega dela od doma. Poskušamo bolje delati na ščitenju dostopa od doma in izobraževanju uporabnikov na to temo. Zaposleni se od doma hkrati povezujejo na servise v poslovnem omrežju, na poslovne oblačne storitve ter – če si to priznamo ali ne – tudi na zasebne storitve v oblaku. Seveda slednji niso nujno škodljivi, so pa zasebni. Ta kombinacija mora dobro delovati.
Ni cilj varnosti, da bi uporabnike pri njihovem delu onemogočali, temveč jim moramo omogočiti varno delo. Prijetno sem bil presenečen, ko so se posamezniki obrnili name, ker so zaznali, da kakšna stvar ni urejena tako, kot so si oni predstavljali, da bi morala biti in jih je zanimalo, kako lahko delajo na dovolj varen način. To se mi zdi zelo pozitiven impulz, saj dobiš občutek, da je uporabnikom varnost pomembna in na podlagi takšnih vprašanj in izkušenj omogočiš varno delo tudi drugim. Razmišljamo tudi o vpeljavi nekaterih dodatnih tehničnih rešitev, ki bi izboljšale nadzor pri uporabi oddaljenega dostopa.
Drugi del, ki je prav tako zelo pomemben, pa je izobraževanje in testiranje uporabnikov z napadi z ribarjenjem. Za ta namen uporabljamo platformo KnowBe4, s katero imamo zelo dobre izkušnje. Kampanje izvajamo mesečno, odziv uporabnikov je zelo dober, prav tako odziv vodstva. Z izkušnjami pri izvajanju programa in rezultati smo se uspešno predstavili v poslovni skupini.
Kaj pa je po vašem mnenju najbolj šibka točka informacijskega sistema? Kateri vektor napada je po vašem mnenju najtežje zaznati in odbiti?
Trenutno ocenjujem, da je ta točka človek. V našem podjetju intenzivno delamo na tem, da ne bi bil in ocenjujem, da delamo v pravi smeri.
Zadnje mesece imamo pri simulacijah napadov z ribarjenjem relativno malo »klikerjev«, preštejemo jih lahko na prste ene roke in smo pod industrijskim povprečjem. Po drugi strani pa vidimo, da je več kot polovica zaposlenih pravilno prepoznala in označila testno sporočilo z ribarjenjem, kar se mi zdi zelo dober delež. Preko označevanja lažnih e-poštnih sporočil (testnih in pravih) s strani zaposlenih tudi sam bolje zaznam potencialne napade na tem področju in lažje ukrepam.
Veliko pozornosti torej posvečate izobraževanju zaposlenih na področju prepoznavanja napadov s socialnim inženiringom. Zakaj ste se odločili za sistematično izobraževanje na tem področju?
Pred nekaj leti je na splošno veljalo, da je phishing velik problem. Najprej sem imel idejo, da bi sami pisali simulacije napadov, a smo se na koncu odločili, da poskusimo s platformo. Cena je bila sprejemljiva in odločili smo se, da vzamemo enoletno licenco in zadevo preizkusimo.
Glede na rezultate, ki smo jih v prvem letu dosegli, ni bilo dvoma, da bomo s testiranji nadaljevali. Odzivi so dobri, kljub temu da še vedno pri vsakem testu nekaj zaposlenih pade na testu. Kadar se število »klikerjev« poveča, izvedemo dodatne aktivnosti, bolj ozaveščamo. Ko uporabnik enkrat pade na testu, je naslednje mesece zagotovo bolj previden. Verjetno bi platformo lahko še bolje izkoristili, saj ves čas dodajajo nove izobraževalne vsebine in omogočajo nove funkcionalnosti integracije z drugimi poslovnimi orodji. Teste zaenkrat izvajamo v angleščini, imamo pa v planu tudi teste v slovenščini. V zadnjem letu smo uvedli sporočila z bolj zahtevno vsebino, saj se uporabniki razvijajo in simulacije prilagajamo njihovi ravni znanja.
Posebej bi izpostavil visoko stopnjo avtomatizacije rešitve, ki po začetni nastavitvi dobro deluje brez vsakodnevnega spremljanja.
Ozaveščenost uporabnikov za preprečevanje napadov na tehničnem delu vključuje tudi zavest, kakšna so varna gesla. V podjetju ste pred kratkim izvedli testiranje varnosti gesel vaših zaposlenih. Zakaj ste se odločili za ta test?
Pred približno tremi leti smo spremenili politiko gesel. Prej smo imeli politiko s kompleksnimi gesli, ki so vključevala male in velike črke, številke in posebne znake. Gesla smo spreminjali na tri mesece. Ko je ameriški NIST* pred nekaj leti objavil, da so takšna gesla po eni strani neprijazna do uporabnikov, po drugi pa nič težja za razbijanje ter podal priporočilo, da naj bo geslo raje daljše, najbolje v obliki stavkov (ang. passphrase) in brez neprijaznih kompliciranih znakov, smo se odločili za spremembo politike gesel. Ko smo uvedli nova pravila, sem pričakoval nekaj nejevolje ali nasprotovanja s strani uporabnikov pa tudi s strani revizorjev. Pa se ne eni ne drugi večinoma niso pritoževali. Revizorjem smo pojasnili, da se nova politika ravna po priporočilih NIST, ki je ugledna inštitucija in težav ni bilo.
Dejstvo je, da ob uvedbi takšne spremembe ne veš, kako se bo obnesla, kakšne bodo posledice. Uporabniki so spremenili gesla, menjamo jih letno. Nismo pa vedeli, ali imajo dejansko varna gesla. Kaj bi se zgodilo, če bi nekdo uspel vdreti v omrežje?
Odločili smo se, da učinkovitost politike preverimo s testiranjem gesel. Poleg tega je bilo ob prejšnjem penetracijskem testu nekaj hashev gesel ujetih in nekaj tudi razbitih, kar je bila dodatna motivacija za test. Zato smo izvedli testiranje vseh gesel, ki so bila shranjena v našem aktivnem imeniku (AD).
Verjetno ste pred začetkom izvedbe projekta imeli predstavo o tem, kakšen bo rezultat testa. V kolikšni meri se dejanski rezultati testa ujemajo z vašimi pričakovanji? V katero smer rezultati odstopajo?
Konkretnih pričakovanj nismo imeli. Glede na to, da smo test izvajali prvič, sem imel občutek, da bo razbitih kar nekaj gesel. A jih med samimi aktivnimi uporabniki niti ni bilo veliko, s čimer sem bil zadovoljen.
Smo pa v bazo hashev slučajno vključili tudi stara, neaktivna gesla, ki so bila sestavljena še po stari politiki. Izkazalo se je, da je bilo veliko razbitih gesel iz tega naslova, tako da smo s testom potrdili, da je bila sprememba politike gesel tudi po tej plati korak v pravo smer.
Ali ste na podlagi pridobljenih rezultatov že vpeljali kakšen ukrep za izboljšanje varnosti gesel?
Najprej smo seveda poskrbeli, da so uporabniki, katerih gesla so bila razkrita, svoja gesla ustrezno zamenjali.
Imeli smo nekaj pomislekov, kaj narediti z razkritimi gesli. Odločili smo se, da izvajalec testa razkritih gesel ne bo delil z nami. Uporabniki, katerih gesla so bila razbita, so imeli možnost kontaktirati izvajalca in pridobiti informacijo, zakaj je bilo geslo možno razbiti.
Odziv uporabnikov po opravljenem testu je bil zelo pozitiven, primeri razbitih gesel pa so vzbudili tudi nekaj zanimanja. Kako je na primer možno, da je bilo geslo dolžine 24 znakov razbito? Nekateri uporabniki so svoje izkušnje delili z mano, anonimizirane podatke smo lahko uporabili pri naslednjih internih predavanjih o informacijski varnosti in se iz tega testa vsi veliko naučili. Od pentesterja smo tudi pridobili namige, kako kreirati primerno varna gesla, ki jih je težko razbiti.
Naslednji korak je zagotovo ponovitev testa, da preverimo, ali smo zaznane napake uspešno odpravili.
Za konec še bolj organizacijsko vprašanje. Vedno bolj se poudarja pomen upravljanja kibernetske varnosti “z vrha” – na ravni uprav in kolegijev vodstva. Kakšno je vaše mnenje, je vloga CISO bolj poslovne ali bolj tehnične narave oz. katera znanja bi izpostavili za uspešno upravljanje kibernetske varnosti v velikem podjetju?
Rekel bi, da je CISO oseba, ki je vpeta v podjetje na vseh nivojih. Vsaj do neke mere moraš poznati tehniko, da se lahko pogovarjaš s sistemskimi administratorji in programerji. Po drugi strani pa potrebuješ podporo vodstva, da se s tehniko sploh lahko pogovarjaš.
Odvisno je tudi od velikosti podjetja. Pri nas sem lahko jaz vključen po celotni vertikali, v večjih podjetjih je funkcija CISA bolj ločena. To v določeni pogledih ni najbolje, saj imaš potem težje dober vpogled v situacijo v celotnem podjetju, težje se dobro povežeš z ljudmi. Pri nas se je vzpostavil zaupen odnos in smo dobro povezani po vsej organizaciji. Na tak način lažje spremljamo odstopanja od želenega in tudi lažje ukrepamo.
Naj povzamemo nekaj ključnih točk iz pogovora z mag. Borutom Žnidarjem:
Kibernetski napadi so v zadnjih letih postali veliko bolj sociotehnično dovršeni. Vključujejo elemente, ki za dosego cilja uspešno manipulirajo s človeško naravo.
Najšibkejši člen v kibernetski varnosti je človek, zato mu moramo po eni strani z naprednimi tehničnimi rešitvami omogočiti varno delo in ga po drugi strani neprestano izobraževati in uriti v prepoznavanju napadov s socialnim inženiringom.
Zaposleni se morajo zavedati, da jih pred spletnimi napadalci ne bo rešila le tehnologija, temveč morajo tudi sami z odgovornim ravnanjem aktivno skrbeti za svojo kibernetsko varnost.
Stroga politika gesel še ni zagotovili, da so v vašem omrežju res v uporabi varna gesla, zato jih je smiselno preveriti s testom varnosti gesel.
Test varnosti gesel omogoči vpogled v učinkovitost varnostne politike, rezultat pa so priporočila za izboljšave.
*NIST: https://www.nist.gov/
Test varnosti gesel
Test varnosti gesel je storitev, s katero preverite, ali je vaša varnostna politika ustrezna in kako varna so gesla v vašem omrežju.
Ozaveščanje uporabnikov
Ozaveščanje uporabnikov ustvarja živi požarni zid in je ključno za preprečevanje vdorov v poslovne informacijske sisteme.
Red Teaming
Testirajte svojo IT ekipo, zaposlene in postopke. Cilj storitve Red Teaming je vdreti v sistem tako, da se vi tega sploh ne zavedate.