V svetovni akciji, ki jo je podpiral tudi Europol v zadnjih tednih, so zasegli 4,4 milijona enot nezakonitih farmacevtskih izdelkov, da so uničili sedem skupin organiziranega kriminala, izvedli 121 aretacij ter odstranili 2.500 lažnih spletnih povezav, strani in profilov na družbenih omrežjih. To je v torek v svojem nagovoru in pozivu varni uporabi svetovnega spleta in čuječnosti pri elektronskih sporočilih in spletnih straneh, povezanih s koronavirusom, sporočila predsednica Evropske komisije Ursula von der Leyen.

Akcija, pri kateri je, tako von der Leyen, sodelovalo kar 90 držav, seveda ne bo zajezila poskusov spletnih kriminalcev, da se okoristijo s trenutno stisko milijonov ter s poprej skoraj nezamisljivim porastom dela od doma in selitvijo učenja na svetovni splet. Ni težko razumeti, da so mnogi nasedli elektronskim sporočilom, ki so ponujala nakup zaščitne opreme ali kar najbolj ažuren dostop do novih informacij o razvoju širjenja koronavirusne bolezni 19.

Povečano zanimanje za koronavirus, sledi povečano 'zanimanje' hekerjev za WHO
Ena od ’žrtev’ teh poskusov goljufij je tudi Svetovna zdravstvena organizacija (WHO), ki se v tovrstnih izsiljevalskih in prevarantskih sporočilih pogosto pojavlja kot njihov avtor. Prav zato je WHO, ki je bila v zadnjem času tudi sama večkrat tarča poskusov hekerskih napadov, na svoji spletni strani opozorila, da organizacija sama od sebe nikoli na zasebne naslove ne pošilja nobenih informacij; ob tem opozorilu pa zapisala tudi domeno, ki je edina uradna domena v uporabi WHO.

Povečano zanimanje za novo bolezen in eksponentna rast prometa na spletu sta – kot je v enem izmed novejših sporočil na svoji spletni strani zapisala tudi družba za zagotavljanje spletne varnosti ESET – kot najčudovitejši božični čas za spletne kriminalce.

O tem, ali res lahko govorimo o povečanem obsegu spletnega kriminala v času koronavirusa, o tem, ali so pandemijo za napade izkoristili celo akterji v službi nekaterih držav in ali se je uresničilo pričakovanje možnosti povečevanja poskusov napadov na infrastrukturo organizacij zaradi ukrepov za zamejitev širjenja novega koronavirusa, ki ga je na svoji spletni strani zapisal SI-CERT, nacionalni odzivni center za kibernetsko varnost, smo se pozanimali pri njegovem vodji Gorazdu Božiču.

Ali oziroma zakaj je v tem trenutku še posebej relevantno govoriti o spletnem kriminalu?
Seveda je o tem relevantno govoriti, in sicer že zato, ker spletni kriminalci to pandemijo kot vse druge nenavadne dogodke izkoriščajo za to, da pod neko krinko izvajajo poskuse goljufij na daljavo. Torej, za kaj gre pri tem družbenem inženiringu, ki je zelo pogosto uporabljena tehnika, ko gre za zlorabe osebnih podatkov? Ključno je, da nekoga prepričate, da klikne na določeno povezavo ali odpre priponko.

V mirnodobnem času vas tako morda nekdo želi prepričati, da vam bo s klikom na neko povezavo Microsoft ali katero drugo podjetje dalo milijone. V nekaj urah po tem, ko ste na povezavo kliknili, pa celotna zadeva poteče in izgine. Gre za podoben prepričevalni mehanizem kot pri TV-prodaji: ponudba je omejena časovno in količinsko … V tem trenutku se torej izplača.

Spletni prevaranti sicer pogosto zlorabljajo tudi sočutje in dobre namene ljudi.
Seveda. Če se zgodi potres, vas želijo prepričati, da donirate v neki sklad za žrtve potresa. V pandemiji izkoriščajo tudi veliko zanimanje za najbolj aktualne podatke in tako, denimo, lahko dobite povabilo za aplikacijo, s katero naj bi v trenutku vedeli, kakšno je stanje v vaši okolici, koliko je okuženih … Spletni prevaranti so izjemno prilagodljivi in izkoristijo vsako situacijo.

Drugi vidik pa so napadi na ustanove. Še v normalnih razmerah je neprijetno, če pride do kakšnega večjega napada, kot smo to doživeli lani ob napadu na Lekarno Ljubljana. Predstavljajte si, da do takšnega napada pride zdaj, ko imajo ljudje omejeno gibanje, ko pričakujejo, da bodo stvari, povezane z zdravstvom, delovale.

Pomislite, kaj če pride do podobnega napada na UKC, na Inštitut za mikrobiologijo ali pa na na Nacionalni inštitut za varovanje zdravja.

Ampak kakšen je cilj napadov na tovrstne, torej tudi neprofitne ustanove?
Cilj je, da dobijo odkupnino. Ko so napadli Lekarno Ljubljana, so zašifrirali podatke in rekli, če jih hočete nazaj, plačajte nekaj 10.000 evrov.

Mislite, da je potem tovrsten cilj vodil tudi zlikovce, ki so vdrli v univerzitetno kliniko v Brnu, ki je ena vodilnih na Češkem na področju aktualnega raziskovanja značilnosti novega koronavirusa? Pred dvema tednoma se je računalniški sistem celotne bolnišnice začel ustavljati, in ugotovljeno je bilo, da je bila ta druga največja bolnišnica na Češkem 13. marca tarča kibernetskega napada, ki je tudi začasno ustavil nekatere načrtovane operativne posege, nove paciente so morali delno preusmeriti … Hitro se je pokazala ranljivost bolnišnic.
Ne vemo, kakšni so motivi storilcev, ker se še nihče ni z njimi pogovoril, če lahko tako rečemo. Vedno obstaja tudi možnost, da so v UKC Brno prišli po naključju, da ni bil to njihov namen. Lahko pa je šlo za razmišljanje, da bodo morda pa zdravstvene ustanove v teh razmerah v primeru napada hitreje plačale.

Pomemben vidik tovrstnih napadov v sedanjih okoliščinah je tudi odziv javnosti. Storilci lahko tovrsten kriminal bolj mirno izvajajo, kadar ni nekih izrednih razmer.

Tu je treba pomisliti tudi na geopolitično situacijo. Akterji, ki stojijo za tovrstnimi napadi, običajno delujejo z območja nekdanje Sovjetske zveze – v glavnem v Ruski federaciji. Trenutno med Zahodom in Rusijo ne obstajajo ravno prijateljski odnosi in tudi policije ne sodelujejo. Zato če niso ogroženi ruski državljani, v Rusiji ne bodo preganjali teh storilcev, in tudi ne vem, ali do ruskih organov sploh pridejo prijave.

Vendar pomislimo, če bi ti storilci napadli bolnišnice, denimo, v Italiji in bi nastal javni preplah, češ da zdravniki ne morejo več zdraviti, bi pa lahko prišlo tudi do tega, da bi ruski vrh rekel, to pa ni več ’hec’; moramo paziti na naš ugled države v svetu. Tako da bi morda lahko reagiral celo Putin in bi temu svoje ravnanje prilagodili tudi kriminalci, ki delujejo iz Rusije.

SI-CERT je že 11. III. zapisal pričakovanje okrepljenih poskusov napadov, morebiti tudi vdorov v infrastrukturo različnih organizacij. Ste kaj takšnega zaznali?
Kar se tiče nas, nimamo zaznanih posebnih napadov na infrastrukturo. V tujini poročajo, da domnevajo, da gre za poskuse napadov na proizvajalce v zdravstvenem sektorju, torej na podjetja, ki izdelujejo zdravstveno opremo. Tu lahko da gre za kriminal ali pa za kibernetsko špijonažo, ki je danes že dosti utečeno dejstvo.

Mi za zdaj še nimamo podatka, da bi prihajalo do takih napadov pri nas, bomo pa ustrezno spremljali razmere.

Za zdaj so bili neki manjši poskusi, denimo phishing napadi, katerih cilj je pridobitev gesel za spletno poslovanje in za različne online storitve. Obstajajo govorice, da se nekaj dogaja, ampak česa izrednega ne pričakujemo.

Ključna sprememba v trenutnih okoliščinah je seveda ta, da nas veliko dela od doma. To pomeni, da so zdaj zasebni računalniki v več primerih postali službeni računalniki. To je seveda odvisno tudi od različnih delovnih organizacij, kako to organizirajo.

Vendar se seveda pogosto zgodi, da računalnik, na katerem otroci igrajo igrice in nanj nalagajo kdovekaj, postanejo službeni, in to je lahko problematično. Temu žargonsko rečemo perimeter službenega omrežja, ki se naenkrat razširi v naše domove. Napadi na organizacije se običajno zgodijo prek najšibkejšega člena, in to smo seveda mi, uporabniki, v domačih omrežjih.

Pomislimo na to, da imamo doma obiske in nam želi prijatelj nekaj pokazati na svojem telefonu. Skuša se priklopiti na naše omrežje, pa mu to morda kljub vpisovanju gesla ne uspe. Morda je njegov gostitelj potem pripravljen začasno izklopiti zaščito dostopa do domačega wifi-omrežja z geslom, ko pa obiskovalci odidejo, morda pozabi ponovno vklopiti sistem zaščite. To pomeni, da je zdaj bistveno manj zaščiten. To je čisto realen scenarij.

Poročilo CERT-EU, datirano s 6. marcem, omenja tudi verjetnost, da so za dvema večjima napadoma stali akterji, povezani z državnimi ustanovami. Eden od primerov naj bi izkoristil širjenje lažnih informacij glede žrtev koronavirusa, kar naj bi vodilo do javnih protestov v Ukrajini. Ampak s kakšnim namenom države sploh izvajajo kibernetske napade?
Takšnim napadom rečemo državno podprti napadi. Gre v bistvu za vohunjenje med državami , ki izkoriščajo tudi možnosti medmrežja. To počnejo vse velike države, od Ruske federacije, Francije, ZDA do Izraela. Morda se spomnite primera Stuxnet iz leta 2010, ko sta ZDA in Izrael z nekim posebej prirejenim virusom sabotirala centrifuge za bogatenje urana v Iranu. Tako da kibernetska sabotaža je dejstvo in Kitajska se je prva začela zelo jasno ukvarjati s temi dejavnostmi.

Tudi iz Snowdnovih razkritij smo izvedeli, kakšne vse dejavnosti je tudi pri zavezniki izvajala ameriška agencija NSA. To je nekaj, kar moramo upoštevati tudi v trenutni situaciji, torej da lahko pride tudi do poskusov vohunjenja za izkoriščanje trenutne pandemije za lažji dostop do podatkov. Kako je potem to mogoče izkoriščati, pa je odvisno od strokovnjakov v tajnih službah, kako potem informacijo, ki jo dobijo v roke, ustrezno izkoristijo za svoje namene.

Na kaj pa morajo paziti vodstva držav oziroma vlad v trenutnih razmerah, ko tudi velik del državne birokracije deluje od doma? V nekem članku sem celo zasledila, da naj bi v britanski vojski obstajala možnost izdajanja ukazov prek aplikacije Whatsapp in da naj bi imeli tovrstni ukazi isto veljavnost kot ukazi, izdani na papirju …

Če komentiram to v zvezi z britansko vojsko. Bi verjel, da je dodano še kakšno dodatno preverjanje avtentičnosti takšnega ukaza, kajti sicer bi bila takšna ureditev tudi odgovor na to, kaj bi bil motiv neke države, da nekomu vdre v oseben račun. Torej, se lahko izda ukaz …

Kar se pa tiče zagotavljanja delovanja državnega aparata. V razmerah pandemije je še toliko pomembnejše, da lahko državni aparat izvaja svoje naloge v največji možni meri. Najbolj jedrni del so zdaj seveda zdravstvene storitve, ampak tudi druge storitve v javnem sektorju morajo delovati. In pomembno je, da lahko ves sistem državne infrastrukture deluje. Procese dela je treba prilagoditi delu od doma, a obenem morajo teči naprej in po varni poti.

Enako velja za izvajalce bistvenih storitev v zasebnem sektorju, torej v panogah, kot so energetika, deli transporta, logistika, oskrba s pitno vodo... To mora delovati. In v teh razmerah, ko se seli veliko funkcij v digitalni svet, je še bolj pomembno, da poskrbimo za zaščito in varnost delovanja omrežja, ker imajo lahko izpadi veliko hujše posledice kot v običajnih razmerah.

Če poskušamo skleniti: kaj je običajno cilj spletnega kriminala?
Tudi če na začetku morda kaže, da gre za neke druge motive, na koncu vedno pridemo do finančne koristi. Dandanes se vedno vse konča pri finančni koristi. Včasih imamo spletni aktivizem, kot ga, denimo, izvaja kakšna skupina. Pred desetimi leti so bili taki primeri, ampak to, kar vidimo danes, tu gre pa skorajda izključno za finančne koristi.

Kakšen je torej vaš nasvet vsem nam, ki večino dela opravimo na računalniku, zdaj morda večino tudi od doma?
Skrbimo za spletno higieno. Najpreprostejši napotek: pojdite na spletno mesto Varni na internetu in tam boste na prvi strani našli napotila za varno delo od doma v petih točkah.