Kibernetičke prijetnje i kibernetički napadi dio su naše svakodnevice koje su jednako opasne za sve slojeve, kako za fizičke tako i za pravne osobe. Iako većina napada usmjerenih prema pojedincima ne uzrokuje značajnu štetu, kod poslovnih subjekata ta šteta postaje sve veći problem. Tržište je općenito upoznato s pojmom kibernetičke sigurnosti, ali u praksi većina nije upoznata što točno treba napraviti kako bi tvrtku učinili sigurnijom, tj. kako bi napadača demotivirali u realizaciji napada. Napadač je uspješan onoliko koliko mu je kompliciran put do krajnjeg cilja. Obično su iz perspektive napadača bitna dva faktora, a to su resursi novca i vremena. S druge strane tvrtke rade velike greške iz perspektive percepcije kibernetičkih prijetnji i vrlo često povezuju kibernetičku zaštitu isključivo s tehnologijom. Tehnologija je jedan od tri elementa kibernetičke sigurnosti, a preostala su dva ljudi i procesi.
Neka istraživanja kažu nam kako je samo 14 posto uspješnih napada uzrokovano manjkavostima tehnologije, a čak 86 posto napada dolazi zbog ljudske greške. Zato su u uspostavi kibernetički sigurnih okruženja ljudi i procesi/procedure jednako važni faktori. Nadalje veliki izazov tržištu stvara i mišljenje kako je kibernetička sigurnost isključivo problem odjela informatičke sigurnosti i sav fokus tvrtke usmjeravaju prema informatičkim tehnologijama. Kao da nismo svjesni da je digitalna transformacija odavno zagazila iu industriju, tj. u automatiziranim postrojenjima koja su najčešće tvrtkama njihove ‘tvornice novca’ i koje uslijed napada usmjerenih ka njima mogu imati značajne posljedice za poslovanje, ali i za cjelokupni lanac opskrbe. Što napraviti, i kako se zaštititi od svih češćih cyber napada ispričao nam je Marko Gulan, konzultant za cyber sigurnost (Schneider Electric SEE)
Što poduzeti ako se dogodi kibernetički napad?
Danas nije pitanje hoće li se kibernetički napad desiti, već je pitanje kad će se desiti. Doživjeti kibernetički napad nije sramota, ali je svakako za tvrtke i uprave tvrtki vrlo stresan događaj. Gotovo kad se uzme u obzir činjenica da su se trebali upoznati s potrebom i važnošću uspostave rješenja za kibernetičku sigurnost, a da se zanemarili pod izlikom ‘a neće valjda nas’ ili ‘nismo mi toliko bitni da bi nas netko napao’. Svaki pojedinac i tvrtka, koliko god da su mali napadači jednako su važni. Napadač ne gleda nužno koga napada, već ih gleda kao kanal kroz koji će doći do svog cilja, a to je najčešće novac. Poštoj naravno i ciljani napadi gdje se napadač kroz duži vremenski period priprema za napad koristeći sve izvore podataka i tehnike te ciljanim i sofisticiranim napadom na kraju ucjenjuje žrtvu.
Što poduzeti ako se kibernetički napad dogodi pitanje je koji nema jednoznačnog odgovora. Jedno je sigurno, tvrtka se mora čim prije izvući iz ralja napadača i nastaviti s nesmetanim radom. Više je mogućih scenarija napada.
Prvi je, uvjetno rečeno, ransomware prve generacije gdje se, najčešće, kroz zaposleničke tvrtke namjeravalo da zaposlenici naprave željenu aktivnost, tj. kliknite na link koji ih vodi do najgoreg scenarija. U velikom broju slučajeva umjesto linka u tekstu e-mail poruke se nalazio privitak, naizgled uobičajenog dokumenta (npr. PDF ili Excel ili Word datoteka) koji je bio zaražena datoteka i prilikom otvaranja privitka bi se aktivirao zlonamjerni kod koji je zaključao, tj. kriptirao cjelokupno računalo, ali se i dalje širio po računalnoj mreži i kriptirao računala svih zaposlenika na toj mreži. Poruka na ekranima sadržavala je naputak na koji način tvrtka mora platiti da bi dobila ključ kojim će podatke ponovno učiniti dostupnima.
Napadi ransomware druge generacije su u suštini vrlo slični kao i kod prethodnog slučaja, samo napadač kroz linkove i/ili zlonamjerne datoteke sebi otvara put i preuzima podatke, pa tek potom komunicira sa žrtvom učeći ih. Ucjena koju napadač radi je usmjerena prema objavi podataka na nekom od javnih servisa ili čak kako će obavijestiti sve poslovne korisnike i partnere kako su uspješno napadnuti. Tvrtke se iz straha od gubitka povjerenja i reputacije nalaze u vrlo stresnom stanju i često donose krive odluke. Uvjetno rečeno, sreća u nesreći, u ovoj situaciji je da se poslovanje odvija, točnija tvrtka nema zastoja. Međutim u ovakvoj situaciji nikad niste sigurni kada može doći do neželjenog učinka. Ako je netko bio ili je još uvijek prisutan u vašem sustavu, ne možete sa sigurnošću tvrditi da do zaključavanja neće doći.
Najbolje bi bilo da u slučaju napada ostanete mirni jer napadač računa na to da vam je napravio stres i da ćete u takvim situacijama sigurno donijeti loše odluke. Međutim, teorija je jedno, a praksa drugo. Ako bismo se poslužili onom starom poslovicom ‘sit gladnom ne vjeruje’, možemo reći da ‘nenapadnuti ne vjeruje napadnutom’.
Najbolji savjet tvrtkama bio bi da je prevencija najbolja zaštita. Isto tako dobro složeni procesi i procedure mogu biti od velike pomoći u situacijama kibernetičkog napada. U velikom broju slučajeva zaposlenici koji su postali žrtve šuta o tome da su kliknuli na krivičnu vezu u strahu od posljedica i nadaju se kako drugi neće primijetiti. Baš zato je važno da su procedure jasno napisane kako bi svaki zaposlenik mogao postupiti prema proceduri. Najčešća krivica uspješnog napada uzrokovana je neulaganjem u edukaciju zaposlenika.
Gdje tražiti pomoć, šutjeti o napadu ili odmah prijaviti, platiti ili snositi posljedice hakerskih prijetnji?
Ovisno o veličini, složenosti i stupnju tehnološke zrelosti poduzeća, neka poduzeća mogu riješiti same takve probleme, no udio takvih poduzeća mjeri se u promilima. Također je važno znati koji je segment i koji dio poslovanja zahvaćen napadom. Tvrtke sve češće imaju napade na svoje automatizirane objekte, a takvi napadi obično uzrokuju golemu štetu, ugrožavajući opstojnost poslovanja, ali i nestabilnost u cijelom opskrbnom lancu.
Jedno je sigurno, pomoć tvrtke treba tražiti kod tvrtki specijaliziranih za određene segmente poslovanja. Svakako treba voditi računa da se napadi na IT razlikuju po opsegu i kompleksnosti napada na industrijske automatizirane sustave, odnosno proizvodne dijelove tvrtki. Sukladno tome za pomoć se treba obratiti i kompetentnog partnera. Najlošiji izbor svakako bi bio „mali iz garaže“ kojem će u slučaju napada vaš sustav biti poligon za vježbu.
O napadima ne bi trebali šutjeti, jer tako tržište neće saznati da su napadi i posljedice prisutne na tržištu. Takvu situaciju zapravo imamo danas, službene statistike su umjerene, ali su neslužbeni podaci zabrinjavajući. Ako samo uzmemo za primjer da netko ušeta u vašu tvrtku, dođe do vas i šapne vam na uho kako je ukrao vaše podatke i kako zahtijeva otkupninu u određenom novčanom iznosu, te otiđe iz vaše tvrtke, najvjerojatnije ćete prijaviti pokušaj iznude ili procjene. Zašto se tako ne ponašamo kad nas se uči u virtualnom svijetu?
Isto tako najbolje je da vaši partneri i korisnici dobiju informacije od vas. Krizno komuniciranje nikad nije ugodno, ali manja je šteta kad tvrtka sama komunicira nego kad o napadu i rezultatima sazna nakon proteka vremena ili još gore od napadača. Šutnjom o napadima podržavamo i potičemo napadače na nove napade.
Platiti ili ne? Ovo je pitanje za milijun eura. Iako svaki napadač prilikom napada ostavi naputak za plaćanje i to nam se učini kao jedini izlaz, valja promisliti je li nam to zaista jedini izlaz. Treba voditi računa prije odluke o (ne)plaćanju da se s druge strane nalazi osoba koja vas je, kako to obično biva u kriminalu, napala bez valjanog razloga i uči vas. Nemate nikakve pregovaračke pozicije, već je naputak jednosmjeran. A na kraju, ništa vam ne jamči da ćete zaista
Više o temiIzvor: Leadermedia.hr