Kibernetska varnost: »Vse se je spremenilo, ko je glavni namen napada postal denar.«

»Če pogledamo zadnji zgovorni primer napada na Pop TV, je jasno, da če pride do okužbe, zadeva pač preneha delovati,« pomen kibernetske varnosti ponazori Toni Jeršin, direktor centra za kibernetsko varnost pri podjetju Anni d.o.o. Svojim znanjem na področju kibernetske varnosti je dodal 17 let izkušenj, zato je odličen sogovornik, ki mu ne zmanjka besed in primerov iz prakse. »Včasih smo lahko govorili samo o klasičnih virusih, ko je računalnik le prenehal delovati. Takrat smo ga formatirali, ‘spucali’ in zadeva je delovala. Vse se je postavilo na glavo z izsiljevalskimi virusi, ko je glavni namen napada postal denar.«

Kakšno je torej stanje, če ga primerjamo s tistim pred desetimi leti?

V preteklosti fokus napadalcev na zaslužek ni bil tako izrazit, saj je bilo prihodke težje prikriti. Napadalec oziroma heker ti ni mogel posredovati transakcijskega računa, kamor bi mu nakazal sredstva, ker je to sledljivo. Razširitev kriptovalut je napadalcem močno olajšala pot do sredstev oziroma prikrivanja prihodkov.

Če torej pogledamo sledljivost kriptovalut, je tukaj položaj povsem drugačen. Hekerji ti povedo naslov denarnice, na katerega moraš določena sredstva nakazati, dobiš »transaction ID«, ki jim ga pošlješ, oni temu sledijo, in ko dobijo nakazana sredstva, jih v trenutku prenakažejo na 20 drugih denarnic. Nihče se s tem ne more ukvarjati in tega analizirati.

Mi spremljamo nekatere denarnice, da vidimo, koliko transakcij je preko njih narejenih. Rekorder je iz leta 2017. To je bila denarnica, na katero smo postali pozorni, ker smo nanjo izvedli več plačil. Na njej je bilo na takratno vrednost Bitcoina ustvarjenih 210 milijonov ameriških dolarjev prometa. Na eni strani imamo res lahko opravka s hekerji v domači garaži, ampak ko vidiš, da ima nekdo na denarnici tolikšno število transakcij in takšne zneske, ne morem verjeti, da je to delo garažnega hekerja.

Pri napadih gre navadno za zaklep kritične infrastrukture, napadalci pa želijo neko odkupnino. Kakšna je preventiva?

Za podjetje je vsekakor najboljša preventiva izobraževanje zaposlenih ter napredne varnostne kopije (ang. backupi). Ne kopije v smislu samega podatkovnega strežnika (ang. file serverja), ki ga imamo nekje shranjenega, ampak napredni backupi. V večjem primeru okužb zadnjih let se je namreč izkazalo, da so bili zakriptirani tudi vsi backupi, ne glede na to, kje so jih podjetja imela. Ti napadi so postali zelo sofisticirani. Ko pride do okužbe, ni vidna takoj. Hekerji po vdoru počakajo in se razgledajo po internem informacijskem okolju, da vidijo, kako deluje. Če zakriptirajo en računalnik, s tem niso naredili prav veliko, namen napadalcev je priti na podatkovni strežnik, skupne mape oziroma »backupe« in te zakriptirati.

Če pogledam zadnje tri ali štiri primere, je šlo pri vseh za kriptiranje backup enot. Edina rešitev je bila plačilo. Podatkov nismo mogli povrniti.

Se v praksi to tudi praviloma reši s plačilom?

Odkar smo se začeli ukvarjati s tem, smo imeli do zdaj prijavljenih več kot 300 primerov. Koliko smo jih v imenu strank plačali? Pri 100 smo nehali šteti. Zanimivo je tudi to, da se je do zdaj samo v dveh primerih zgodilo, da podatkov nismo dobili nazaj. Pa še tu so bili razlogi znani. Zanimiv je predvsem primer, ko je bilo podjetje zakriptirano dvakrat, pa tega niso vedeli. Moram potrkati, a to, da po plačilu ne bi več komunicirali z nami, se nam še ni zgodilo.

Tudi hekerji torej pazijo na svoj ugled?

Moramo se postaviti v njihovo vlogo. Če bi zaokrožila informacija, da podatkov po plačilu ne vrnejo, bomo tudi mi oziroma naše stranke nehali plačevati. Sam sicer vsaki stranki povem, da mora sprejeti tveganje, da podatkov ne dobi nazaj. Mi z različnimi orodji stopimo v komunikacijo z napadalci. Če se le da, jim pošljemo nekaj zakriptiranih testnih datotek, da nam jih pošljejo nazaj in vidimo, če je to res to, kar želimo. Nato se pogajamo naprej.

Je razlog za uspeh napadalcev pogosto tudi neznanje zaposlenih? Kaj je prineslo delo od doma?

V večini primerov je pomanjkanje znanja zaposlenih velik faktor. Mi to delimo na dva dela. Prvi je neznanje uporabnikov, drugi je IT okolje. Za varnost v IT okolju lahko poskrbimo do določene ravni. V preteklosti smo na končne naprave namestili antivirus in se na ta način rešili večine nevarnosti. Žal so v zadnjih letih antivirusni programi precej neuspešni. Podjetja so se zato začela odločati za samo nadgradnjo zaščite končnih točk. V vmesnem času so pozabila na ostale kritične točke – tukaj ciljam na požarne pregrade naslednje generacije. Določeni so sicer poskrbeli tudi za to in so zaprli vse vhodne točke v interno IT okolje, kar pa se je pred dvema letoma postavilo na glavo z delom od doma in velikim številom mobilnih uporabnikov. Te poti je bilo treba začeti odpirati, in ko začnemo zadevo odpirati, moramo  poskrbeti za primeren nivo varnosti. Delo od doma je nevarnost zelo povečalo.

Dejstvo pa je, da lahko v varnost IT okolja vložimo milijon evrov, a če ne bomo izobrazili uporabnikov, ne bomo naredili ničesar.

Kako pa je s phishing napadi?

Phishinga je še vedno veliko in je seveda tudi vse bolj izpopolnjen, nekatera sporočila, ki jih dobimo po elektronski pošti, so videti res verodostojno.

Vektor napada v zadnjih letih na nivoju phishinga se povečuje. Phishing je številka ena pri tipih vdorov v IT okolje. Zakaj? Prevodi so narejeni vrhunsko. Gre za ciljane napade, napadalci kupijo ustrezno domeno in poskrbijo za vse. Zaradi vsega tega je sporočila, ki jih prejmemo preko elektronske pošte, zelo težko zaznati kot lažna. Zato je treba dati v podjetju ogromen poudarek na zaščito same pošte, kar nekateri pozabljajo. Se pa močno povečujejo tudi vdori z vidika neposodobljenih aplikacij, to je zdaj zelo aktualno.

Se v podjetjih dovolj zavedajo vseh nevarnosti?

Direktorji podjetij se prepogosto ne zavedajo, kje vse pretijo nevarnosti, to je dejstvo. To govorim izključno iz naše prakse, ko smo se začeli aktivno ukvarjati z varnostnimi pregledi in phishingi. Namen samih analiz varnosti je, da ocenimo stanje ter podjetju predlagamo, kaj mora narediti, kje so kritične ranljivosti. Ne boste verjeli, v koliko primerih v podjetju kljub temu, da vedo za ranljivosti, ne naredijo ničesar. Še huje je, da pride do okužbe, oni plačajo, mi zadevo postavimo nazaj, jim povemo, katere ranljivosti morajo odpraviti, in čez pol leta nas kličejo, da imajo isto težavo. Sploh ne ukrepajo. Neverjetno.

Kako se nek heker odloči, koliko bo zahteval za odklep podatkov?

Moramo vedeti, da če pride nekdo v sistem podjetja, ve praktično vse, tudi to, koliko lahko podjetje plača. Pri nas je bil najnižji zahtevan znesek 200 dolarjev, zadnji je bil 10.000 dolarjev, seveda v protivrednosti določene kriptovalute. Če znajo priti v sistem, bodo znali iti tudi na splet in najti javno dostopne podatke o organizaciji ali podjetju. Tu ni treba odkrivati tople vode.

Kaj lahko pričakujemo v prihodnosti.

Težko je predvideti že to, kaj bo aktualno naslednji teden. Napadov bo vse več. Večina podjetij se tega res ne zaveda. Žal so najboljša reklama na tem področju prav okužbe, ki se dogajajo, in to, da mediji o tem ogromno govorijo. Ozaveščanje je pomembno.

Tudi če bi podjetja imela res dobro shranjene podatke in bi jih lahko po napadu povrnila, pa se pojavi druga težava. Hekerji sčasoma ne bi mogli delati na način, na katerega služijo danes. Naslednja stvar je torej, da podatke ne samo zakriptirajo, ampak jih tudi pretočijo k sebi. V tujini se že dolga leta govori o izsiljevanju s podatki. Pri nas se trenutno nihče ne sprašuje, kaj se lahko zgodi s temi podatki, če so jih nepridipravi pretočili in jih še vedno imajo. Konec koncev so bili v tvojem sistemu, lahko so si pustili tudi odprta stranska vrata do podatkov.

Kaj narediti po napadu?

Ko je sistem postavljen nazaj in ti podatke odklenejo, to ni nujno konec. Nekateri pravijo, da bi morali celo zamenjati diske, na novo postaviti celoten sistem. To so lahko ogromni stroški. Vsakdo mora pri sebi oceniti neko razumno mejo.

Težava je v tem, da odločevalci vsega ne morejo vedeti. Tudi mi kot ponudniki smo morali v zadnjih letih svoje mišljenje večkrat obrniti na glavo, in tudi v prihodnje ga bomo mogli, če se bomo še želeli s tem ukvarjati. Vsekakor je na eni strani pomembna zaščita, večnivojska zaščita, poskrbeti je treba za samo hrambo podatkov in tudi za ozaveščanje zaposlenih.

Kaj pa ocena stanja IT okolja?

Na to ne smemo pozabiti. Tu so ogromno pripomogli vavčerji za kibernetsko varnost. Spodbude za podjetja, da se odločijo za investicijo v varnost, so odlične. V tujini se ta praksa izvaja že mnogo let: podjetja vsaj enkrat na leto naredijo varnostni pregled, ki ga opravi zunanji izvajalec.

Pomembno je tudi, da tega ne dela vedno isti ponudnik, ampak da »kolobarijo« in preglede izvajajo različni. Vsak etični heker ima svoja znanja in postopke. Toliko različnih tehnologij in postopkov je, vsak ima neko svojo pot, zato lahko odkrije kaj novega.