»Ko je napadalec v sistemu, si vzame čas in zakriptira tudi backupe«

»Včasih so imeli v podjetjih varnostne kopije zato, da so se zavarovali pred katastrofami, kot sta požar ali poplava, pred nevarnostjo izbrisa podatkov ali odpovedjo strojne opreme. Danes se je pomembnost varnostnih kopij preusmerila na zaščito pred zlonamerno izsiljevalsko kodo (ransomware).« Tomaž Kaluža, varnostni inženir pri podjetju Anni, tako v hipu pogovor z našega vprašanja, kje naj podjetje hrani svoje varnostne kopije, preusmeri k veliko bolj aktualni problematiki. Napadi na podjetja z zlonamerno programsko kodo oziroma z izsiljevalskimi virusi, pri čemer napadalec za odklep podatkov zahteva določeno kupnino, so namreč bolj aktualni kot kadar koli doslej. Pri tem uspejo napadalci nemalokrat zakleniti (zakriptirati) tudi backupe oziroma varnostne kopije.

Največja nevarnost je neznanje zaposlenih

»Po nekaterih podatkih analiz se kar 80 % napadov začne s phishingom, prav zato morajo biti uporabniki res pozorni na to, katere datoteke, ki jih prejmejo na svoj računalnik, odpirajo,« opozori Kaluža.

Toni Jeršin, direktor centra za kibernetsko varnost pri podjetju Anni d.o.o., ob tem poudari, da je (ne)znanje uporabnikov, ne glede na vse varnostne ščite, ključno: »V kibernetsko varnost podjetja lahko vložimo milijon evrov, a če ne izobrazimo uporabnikov, nismo naredili prav veliko,« pravi. »Še vedno je uporabnik s svojim neznanjem ključni faktor in največja grožnja. Po eni strani bi moralo podjetje dati zaposlenim samo tiste pravice in dostope, ki jih potrebujejo, po drugi pa mora uporabnik vedeti, da ne sme klikniti na vsako datoteko ali povezavo, ki jo prejme. To sta dva pomembna poudarka.« Pri Anniju tudi zato za podjetja med drugim izvajajo periodične preglede z vidika phishing napadov.

Napadalec si vzame čas, nato pa sproži pravo »bombo«

Kaluža pogovor nadaljuje ob predpostavki, da imamo v podjetju dokaj resen varnostni sistem in smo bili žrtev izsiljevalskega napada. »Ko je napadalec enkrat v sistemu, si navadno vzame čas,« nadaljuje Kaluža. »Zanimajo ga čim bolj pomembni podatki, administratorske pravice, hkrati pa je zanj pomembno tudi, da odkrije varnostne kopije. Ko oceni, da je naredil dovolj, sproži bombo, sproži izsiljevalsko kodo in zakriptira podatke. Napadeno podjetje se znajde v resnih težavah in iz tega položaja se ne bo moglo rešiti drugače, kot s plačilom,« razloži Kaluža.

Če ima podjetje srečo, da napadalec ni odkril varnostne kopije, je to tista zadnja obrambna linija.

Imamo »čist« backup? Smo ga sposobni restavrirati?

»Če imamo backup, ki ni zakriptiran, moramo podatke restavrirati oziroma obnoviti. Pred tem se moramo prepričati, da je to, kar restavriramo, čisto. To ni enostavno, ampak ravno zato podjetje potrebuje pomoč zunanjih strokovnjakov, kot smo mi,« pojasnjuje Kaluža.

Predpostavljajmo, da ima podjetje zakriptirane strežnike, datotečne sisteme, kritične aplikacije, mogoče celo delovne postaje … Pomembno je, da ima dovolj dober backup, ki ga je sposobno restavrirati.

Metoda 3, 2, 1 – zlato pravilo varnostnih kopij

Pri pravilnem backupu velja metoda 3, 2, 1 – za vsak dober backup imamo 3 kopije, od tega 2 online – morda celo na dveh različnih medijih: eno kot diskovni sistem in drugo, ki je na kasetah ali cenejšem diskovnem polju ter je kopija prve kopije. »Tretja kopija je offline kopija in se priključi samo v času, ko se backup izvaja. Kje naj bo ta kopija? Lahko je na neki drugi geografski lokaciji, kar pride prav v primeru, če se zgodi naravna katastrofa, poplava, požar. Z vidika kibernetskega napada pa je, če je kopija dosegljiva po mreži, popolnoma vseeno, kje se fizično nahaja. Ta kopija je lahko na  kriptiranih magnetnih trakovih na zunanji lokaciji ali kot oblačna hramba. Eden izmed ponudnikov, ki omogoča tudi offline kopijo v oblaku, je Acronis, s katerim sodelujemo sami. Lahko vam naredimo backup tako na lokaciji kot tudi v oblaku nekje zunaj,« pogovor izmenjaje nadaljujeta sogovornika.

»Za tista podjetja, ki si ne morejo privoščiti vse te infrastrukture, je mogoče dovolj dobra možnost določeno število zunanjih diskov, vsaj tri, štiri, odvisno od tega, koliko podatkov imate. Te diske na določene intervale priključujemo v sistem, ko delamo offline kopijo. Pomembno je, da diske rotiramo. To je veliko cenejša zadeva. Ni avtomatizirana, vse je treba narediti ročno, ampak je pa to tretja offline možnost,« pojasni Kaluža.

Backup je pomembno osamiti, segmentirati, otežiti dostop

Ne glede na to, za katero izmed možnosti se odločimo, je zelo pomembno, da sistem načrtujemo pravilno. Vsak software (programsko opremo), ki ga za to uporabljamo, moramo primerno konfigurirati in čim bolj osamiti. Napadalcu moramo postaviti čim večje ovire. To dosežemo tako, da čim bolj segmentiramo, ločimo strežnike, na katerih imamo varnostne kopije oziroma backup sistem.

»Prav tako mora imeti svojo mrežo, ločeno s požarnim zidom, ki naj zapre vse ‘porte’ (vhode), ki niso nujno potrebni. Pomembno je, da backup ni dosegljiv z vašega omrežja in je striktno zavarovan. Vse konfiguracije v tem sistemu morajo biti zaklenjene, da ni mogoče zlahka spreminjati nastavitev,« pomembnost varnosti poudarja Kaluža.

Prav tako mora biti ta backup sistem vedno posodobljen. Ko je ranljivost zaznana in so na voljo posodobitve, ga je treba posodobiti in ne po nepotrebnem tvegati.

»Uporabniški računi, ki jih uporabljamo za ta strežnik, ne smejo biti del ‘Active directory’ infrastrukture, tako da backupov ne moremo upravljati z domenskim administratorjem, kar je pogosta praksa, ker je tako najenostavneje. A če nekdo pride v omrežje in pridobi dostop do domenskega administratorja, imamo lahko veliko težavo. V podjetjih je (pre)pogosta praksa en domenski administrator, ki ima dostop do vsega, tudi do tovrstnih backupov. Ta administrator ima eno uporabniško ime in geslo. In to je lahko velika težava. Tega se informatiki premalo zavedajo,« se strinjata sogovornika.

Z varnostnega vidika je zelo priporočljiva tudi večnivojska avtentikacija. Podjetja in administratorji se kljub večletnim opozorilom zelo redko poslužujejo njene uporabe.

Redni testi in obnova podatkov

Da bo v primeru napada varnostna kopija delovala, mora podjetje izvajati periodične varnostne preglede in restavracijo podatkov. To bi bilo z zunanjimi strokovnjaki, kot jih imajo v Anniju, dobro izvajati vsaj enkrat na leto, še bolje pogosteje, ampak to je odvisno od zmožnosti podjetja. Vsako podjetje bi moralo imeti zaradi svoje varnosti dorečene postopke, na kakšen način se bo restavriranja oziroma obnove podatkov sploh lotilo.

»Mi priporočamo, da se delovanje varnostnih kopij testira vsaj enkrat na leto. Prav je, da če za nekaj poskrbiš in za to plačaš, to tudi deluje. Če kupiš neko programsko opremo in v štirih letih ne preveriš, ali pravilno deluje, nisi naredil ničesar,« poudarja Jeršin.

Varnost podatkov je še kako smotrna

Zakaj kibernetske varnosti mnogi še vedno ne jemljejo resno? »Jaz dam tu primerjavo z zavarovanjem hiše. Ogromno jih zavaruje škodo v primeru potresa, čeprav vemo, da je majhna možnost, da do njega pride. Zavarovanih imamo kar nekaj zadev, do katerih verjetno ne bo prišlo. Prav tako je v primerih kibernetskih nevarnosti – to so zadeve, za katere vemo, da lahko do njih pride ali pa morda tudi ne. Zadeva je zelo podobna, ampak hišo bomo zavarovali pred vsem mogočim, za varnost podjetja pa mnogi ne poskrbijo ustrezno,« stanje slikovito oriše Jeršin.

Kaluža nadaljuje: »Večina podjetij s težkim srcem vlaga v kibernetsko varnost. Nek direktor na primer vloži veliko denarja v služben avto, en mali delček tega pa ne bi dal za zaščito sistema v podjetju. Je pa res, da backup sistema, požarnega zidu ali večfaktorske avtentikacije nihče ne vidi. Ampak če pride do večjega vdora, bo morda treba avto prodati. To ozaveščenost bi morali dvigniti. Verjetnost za napad se iz leta v leto povečuje.«

»Poglejmo, kaj se je zgodilo v zadnjih nekaj tednih. Vsi hekerji so se fokusirali na Rusijo, ampak se bojim, kaj se bo zgodilo, če bodo oni udarili z enako mero nazaj. Ko gre vojska na teren v fizični obliki, vemo, kje so državne meje. V virtualnem svetu pa meja ni. Večina na svetu praktično uporablja isto programsko opremo, ni za vsako državo pisana posebej, in njene ranljivosti so enake v Sloveniji, Ukrajini, Rusiji, na Kitajskem ali v ZDA. Če uporabljamo vsi isti software in se ga napadalci poslužujejo, smo na drugi strani vsi enako ranljivi. Edina meja je internetni kabel. Ozaveščenost se žal povečuje samo s takšnimi dogodki, kot smo jim priča zadnje čase. Žal je tako,« zaključi Jeršin.

Da bi se težavam kar najbolj ognili, imajo pri Anniju v ponudbi tudi novo generacijo rešitev podjetja Watchguard, ki skrbi za celovito zaščito poslovanja. Ta večnivojska zaščita ščiti pred izsiljevalskimi in drugimi virusi ter škodljivimi kodami, prepozna sumljive in škodljive povezave in se zna samodejno odzvati na varnostne dogodke.

Več najdete na anni.si. (P.R.)