Oktobra obeležujemo mesec kibernetske varnosti. Foto: EPA
Oktobra obeležujemo mesec kibernetske varnosti. Foto: EPA

Prelistali smo brošuro Kibernetska varnost: Vodnik za prve korake k varnejšemu poslovanju, ki ga je izdalo Digitalno inovacijsko središče Slovenije. Oktober je namreč v mnogih državah sveta mesec ozaveščanja o kibernetski varnosti. Agencija Evropske unije za kibernetsko varnost je v ta namen tudi letos oblikovala številne aktivnosti in objave, s katerimi želi spodbuditi družbo k aktivnejšemu ukrepanju za zaščito pred kibernetskimi napadi. Pri nas je Digitalno inovacijsko središče Slovenije izdalo publikacijo z naslovom Kibernetska varnost: Vodnik za prve korake k varnejšemu poslovanju.

Med odmevnejšimi dogodki meseca izpostavljamo panevropsko tekmovanje študentov in mladih strokovnjakov s področja kibernetske varnosti. Evropskega izziva kibernetske varnosti (European Cybersecurity challenge). Tekmovanja, ki je pretekli teden potekalo na Češkem, se je udeležilo 19 nacionalnih ekip, med njimi tudi ekipa iz Slovenije. Največ točk so letos osvojili predstavniki Nemčije. O pomeni tovrstnih tekmovanj na področju kibernetske varnosti smo se pogovarjali s strokovnjakom za informacijsko varnost, Gregorjem Spagnolom.
"Ljudje se mogoče srečajo s tem področjem na faksu ali pri vdorih oziroma takrat, kadar jih kdo izsiljuje ali jim ukrade podatke. Drugače se o kibernetski varnosti govori izredno malo. Na nek način so ta tekmovanja namenjana promociji kibernetske varnosti. So pa pomembna tudi zato, da se na nek način preizkusiš, kako si res dober. Ne samo, da si misliš, da si dober, da svoje veščine preizkusiš tudi v praksi. Tekmovanja, ki jih organiziramo večinoma temeljijo na idealnih scenarijih. To pomeni, da tisto, kar vidimo v podjetjih med penetreacijskimi testiranji, da to prestavimo v neko virtualno okolje, ki ni realno. Tam potem pokažemo vse ranljivosti, ki jih srečamo v digitalnem svetu."

Spletno ribarjanje del digitalnega vsakdana

Nacionalni odzivni center za kibernetsko varnost SI-CERT je lani zabeležil 2775 incidentov, med katerimi je bilo zaznati izrazito povečanje phishing napadov, izstopali pa so tudi napadi onemogočanja, izsiljevalski virusi in podtikanje škodljive kode. Phishing napadu lahko rečemo tudi spletno ribarjenje. Zagotovo ste bili že kdaj deležni tovrstne kibernetske grožnje.
Phishing napad največkrat poteka tako, da oseba na elektronski naslov prejme elektronsko sporočilo, katere pošiljatelj naj bi bila spletna banka, pri kateri ima oseba urejeno spletno bančništvo. Goljuf, ki se torej predstavlja v imenu spletne banke, želi prejemnika sporočila prepričati, da mora nujno in čim hitreje posredovati uporabniško ime ter geslo za prijavo, saj naj bi banka zaznavala nepooblaščene vstope v svoje sisteme.

Pri vdoru v programsko opremo se spletni goljufi poslužujejo raznolikih trikov. Njihov osrednji namen je pridobiti uporabniška imena in gesla, ki jih lahko nadalje zlorabijo. Foto: Pixabay
Pri vdoru v programsko opremo se spletni goljufi poslužujejo raznolikih trikov. Njihov osrednji namen je pridobiti uporabniška imena in gesla, ki jih lahko nadalje zlorabijo. Foto: Pixabay

Včasih je v elektronskem sporočilu prisotna tudi povezava, ki vodi do lažne spletne strani, zelo podobne originalni spletni strani. Na tej strani je ponavadi obrazec, kamor mora uporabnik vtipkati staro in novo geslo. S tem, ko vtipka gesli, staro in veljavno geslo sporoči goljufu, novo pa itak nikogar več ne zanima.

Pri kibernetski varnosti ne smemo pozabiti na človeške ranljivosti

Spletni goljufi torej natančno nastavijo svoje vabe, izkoriščajo pa predvsem človeške ranljivosti. V svetu informacijske varnosti nas ravno lastnosti, ki so imanentno človeške, delajo tako ranljive. Človeška komponenta je torej Ahilova peta v vsaki organizaciji, zato bomo težko bomo našli univerzalni recept, kako se v celoti zaščititi pred tveganji in nevarnostmi. Pomemben korak je vsekakor že zavedanje, na katero karto bodo igrali napadalci.

  • Radovednost
    Šokantni naslovi in zvezdniška imena so že prežvečeni triki, kako vzbuditi radovednost pri spletnih uporabnikih, pa vendar še vedno delujejo. Klik na video `Poglej, kako je kača pojedla človeka´ še vedno učinkuje, pa čeprav zahteva od radovedneža še prenos sumljivega vtičnika ali programske opreme.
  • Želja po zaslužku
    Elektronsko sporočilo vam obljublja 300 % donose z investicijo v kripto naložbene pakete, spet drugo pa sporoča, da smo edini dedič naftnega mogotca v Ameriki.
  • Želja po ljubezni
    Spletni goljufi se v primeru ljubezenskih prevar izkažejo kot najboljši poznavalci človeške psihologije. Po večmesečnem dopisovanju z žrtvijo ustvarijo globoko čustveno navezanost in zapolnijo osamljenost.
  • Strast
    Strast je eno najmočnejših gonil v življenju, česar se goljufi zelo dobro zavedajo. Neverjetno, kaj vse je moč doseči s seksi profilno sliko, zapeljivimi besedami in nekaj golote. Strast na daljavo se hitro sprevrže v izsiljevanje z intimnimi fotografijami in posnetki, ko nas seksi neznanka prepriča, da se slečemo. Ne boste verjeli, lani je SI-CERT obravnaval več kot 300 tovrstnih primerov.
  • Strah
    Goljufi trdijo, da je naš računalnik okužen z virusom, da so nas posneli v intimnem trenutku, sedaj pa želijo izsiliti plačilo v eni izmed kriptovalut.
  • Naivnost
    Pogosto slabim odločitvam botrujejo preveliko zaupanje v sogovornika in nepoznavanje zakonitosti spletnega sveta, povrh začinjeno z veliko mero naivnosti. Preprosto, vedno bodo ljudje, ki bodo na svet gledali z rožnatimi očali in dejansko verjeli, da bodo v teden dni stari spletni trgovini kupili uro Rolex za 20 evrov.
  • Nepozornost
    Priznajmo, vsem se mudi, svet se vrti vsak dan hitreje, utapljamo se v aplikacijah, hipnih sporočilih, elektronski pošti in naša pozornost je omejena na nekaj minut. Ravno na trenutek nepozornosti računajo goljufi, ki spretno postavijo phishing stran ali zamaskirajo virus v povsem običajno pisarniško datoteko.
  • Sočutje
    Naravne katastrofe, izredni dogodki in panika so priložnost za goljufe, tudi COVID pandemija ni izjema. Žal, nič nenavadnega niso lažne humanitarne organizacije, ki prosijo za sredstva ali potvorjene spletne strani, ki zlorabljajo podobo uradnih organizacij.
  • Naveličanost
    Pojav, znan pod angleškim izrazom `security fatigue´, je nekako pričakovan odziv na množico dražljajev v obliki varnostnih opozoril, zahtev po menjavi gesel, bombastičnemu poročanju o nevarnem kibersvetu. Uporabniki lahko užijemo le določeno količino opozoril in dodatnih nastavitev, potem pa enostavno odnehamo in spregledamo resne opozorilne znake in drobni tisk, le še naveličano klikamo `Naprej´.
  • Ignoranca
    Seveda vemo, da veste, koliko znakov ima dobro geslo, kako nastaviti dvofaktorsko avtentikacijo in da se aplikacije vedno išče zgolj na uradnih tržnicah. Ampak uporabniki včasih enostavno nimajo dovolj motivacije oz. želje, da bi upoštevali znana navodila in nasvete. Občutek `meni se to ne more zgoditi´ je pogost predvsem pri naprednejših uporabnikih, kar je še posebej nevarno v poslovnem okolju, kjer lahko prevelika zaverovanost v lastno nezmotljivost vodi v katastrofo.

Kako se izogniti kibernetskim napadom?

Kibernetskim napadom pa se lahko z vrsto ukrepi tudi uspešno izognemo. Najpomembnejši koraki so zavedanje naših človeških ranljivosti, ki smo jih pravkar našteli, vzpostavitev in izbira varnega žičnega oziroma brezžičnega omrežja, izogibanje odprtim omrežjem oziroma ob uporabi odprtih omrežij hkratna uporaba VPN storitev ter redna posodobitev programske opreme. Kako lahko preprečimo številne napade nam bo razložil tudi etični heker Peter Aleksander Bizjak:
"V praksi vidimo, da je predvsem v malih podjetjih problem predvsem v tem, da so naprave stare, nimajo več ustrezne podpore. Možnosti napade so v tem primeru velike. Tudi v domačih omrežjih imamo te težave. Po navadi nam naš dostavljalec interneta proda opremo, ki je nekoliko zastarela, zato je najboljše, da se točno vpraša, za kakšen produkt gre. Najbolje je, da se redno izvaja teste, preverjanja. Vsaj enkrat letno je potrenbo narediti sistemski varnsoti pregled. Rezultat teh testov je poročil, ki pomaga podjetju, da popravi konfiguracijske napake. teh napak je lahko veliko, lahko so male, gre za sanitarne popravke. Lahko pa govorimo o tem, da je potrebno popolnoma spremeniti infrastrutkuro podjetja. Sistemski varnosti pregledi so najboljši odgovor na to, kako se lahko zavarujemo."

Žal se v poslovnem svetu, kjer kibernetski napadi povzročijo največ premoženjske in poslovne škode, še danes dogaja podcenjevanje tovrstnih groženj. Direktor premoženjskih zavarovanj na Zavarovalnici Triglav Peter Filipič Jakopič nam je razložil, kakšne primere kibernetskih napadov obravnavajo kot zavarovalnica.
"Na tej pavšalni ravni se vsi zavedajo, vejo, da tveganja obstajajo. Ko pridejo do momenta, da bi sklenili zavarovanje pa se zgodba spremeni. Ugotovili smo, da tisti, ki sklepajo ustrezna zavarovanja, to storijo šele potem, ko so bili sami tarča kibernetskega napada. Najbolj jih skrbi, da bi njihove podatke zlorabili. Ljudi skbri, da bi obstal njihov posel."

Z razmahom pandemije covida-19 so se številni procesi in področja še dodatno digitalizirali. To ponuja nove priložnosti spletnim prevarantom, ki izkoriščajo vsak naš nepremišljen korak v digitalnem svetu. Če mislite, da dovolj skrbite za svojo digitalno varnost, se spomnite na star slovenski pregovor: Tudi močnemu volu lahko rog poči!