Primarna prevencija na področju kibernetske varnosti v mednarodnih korporacijah

Tehnik 4. junij 2021 Čas branja članka: 6 min
/PublishingImages/primerjava-prevencije-li-jun21-hero.jpg


Kibernetska varnost v mednarodnih korporacijah

Zaradi svoje razširjenosti, velikosti in v veliki večini primerov visokega prometa so multinacionalke za kibernetske kriminalce zelo mamljiva tarča.

Praktično ne obstaja večje podjetje, ki že ne bi bilo tarča ali celo žrtev spletnih kriminalcev. Če govorimo o avtomatiziranih vdorih, je teh zelo veliko, nekaj manj pa je usmerjenih napadov, za katere mora biti napadalec bolj usposobljen in po navadi mora imeti dober motiv.

V današnjem globalnem svetu, ko se veliko poslovanja seli na svetovni splet, morajo podjetja posebno pozornost posvečati informacijski varnosti. Spletna varnost ni samo protivirusni program in požarni zid, saj pojem »informacijska varnost« zajema tudi vèdenje in delovanje vseh zaposlenih.

Seveda mora vsako odgovorno podjetje poskrbeti za osnove informacijske varnosti. To pomeni, da je treba vso računalniško infrastrukturo ustrezno zaščititi pred škodljivo programsko kodo, oziroma zlonamernimi programi. Ti so najbolj znani pod skupnim imenom virusi, vendar se v zadnjem času v večjem obsegu pojavljajo tudi računalniški črvi, trojanski konji, korenski kompleti (rootkits) in druge še bolj sofisticirane grožnje – vse od socialnega inženiringa do lažnih spletnih strani in neposrednih napadov na informacijski sistem podjetja. Po podatkih slovenskega nacionalnega odzivnega centra za obravnavo spletnih incidentov Si-Cert se je v zadnjih letih število incidentov zelo povečalo, kar pomeni, da so tudi slovenska podjetja vsako leto bolj podvržena tovrstnim grožnjam.

Vsaka dostopna točka v podjetje je lahko ranljiva za napad, tako da ne smemo dopustiti, da kakšen računalnik ali strežnik ni ustrezno zaščiten s protivirusno programsko opremo. Poskrbeti moramo tudi za zaščito poštnih predalov in mobilnih naprav, ki jih zaposleni uporabljajo pri svojem delu. Pri tem je treba poudariti, da se vedno bolj uveljavlja koncept BYOD (BringYourOwn Device), pri katerem zaposleni svoje lastne naprave uporabljajo za službene namene. Pametno podjetje bo poskrbelo, da zaposleni ustrezno zaščitijo svoje naprave, saj lahko na ta način pripomorejo k večji varnosti celotne infrastrukture. Pri zaščiti mobilnih naprav je predvsem pomembno to, da uporabljamo programsko opremo, ki nam omogoča oddaljen zaklep ali izbris podatkov z naprave v primeru kraje ali izgube naprave. S tem preprečimo uhajanje poslovnih podatkov v neprave roke.

Primarna prevencija na področju kibernetske varnosti v multinacionalkah

Razne raziskave kažejo, da je za 80 do 90 odstotkov vdorov v sisteme, vzrok na strani žrtve, saj napadalec lažje izkoristi žrtvino nevednost in naivnost, kot pa najde varnostno luknjo v kompleksnem informacijskem sistemu.

Zato je temelj primarne prevencije preventivno izobraževanje zaposlenih, da ne bi postali žrtve kraje podatkov ali socialnega inženiringa.

Socialni inženiring velikokrat poteka po principu izrabe že obstoječih informacij o posamezniku za pridobitev še več in bolj ključnih podatkov. Glede na to, da se skoraj o vsakem izmed nas na internetu pojavljajo določeni podatki, socialni inženir lahko zlahka pridobi podatke o naši preteklosti (o naših hobijih, obiskovanih šolah, profesionalnem življenju in ostalih aktivnostih). Nemalokrat se zgodi celo, da so na internetu objavljeni določeni osebni podatki (v obliki seznamov, tabel,…) pomotoma, saj za velikimi strežniki in računalniškimi ekrani seveda sedijo ljudje, uredniki spletnih strani, ki lahko objavijo na internetu nekaj, česar pravzaprav niso nameravali.

Tudi Informacijski pooblaščenec je že obravnaval primere, ko so bili na internetu pomotoma objavljeni domači naslovi in gsm številke zaposlenih v podjetju, davčne številke, itd. Informacije, ki so prosto objavljene na internetu, lahko napadalec uporabi najprej za izbiro najustreznejše žrtve in nato za nadaljnje pridobivanje podatkov od nje same s pomočjo psihološke manipulacije oz. uporabo ene od tehnik socialnega inženiringa. Če socialni inženir pridobi imena in priimke naročnikov revije o luksuznih avtomobilih, lahko naročnika pokliče, se izdaja za predstavnika revije ter z lažno anketo denimo pridobi podatke o tem, kakšno varnost namenja svojemu avtomobilu.

Druga možnost zlorabe interneta pa je vzpostavitev t. i. lažnih spletnih strani; v skrajnem primeru gre za lažne strani spletnih bančnih poslovalnic, pa tudi vseh ostalih strani, ki za vstop zahtevajo registracijo oz. prijavo. Napadalec pridobiva osebne podatke od obiskovalcev spletnih strani tako, da jih pravzaprav prelisiči, da vpišejo svoje podatke na spletno stran, za katero so prepričani, da je “prava” oz., da pripada osebi ali podjetju, ki so mu pripravljeni zaupati.

 

Iz leta v leto število uporabnikov spletnih družabnih omrežij, kot so na primer Facebook, Instagram, Twitter itd., neverjetno hitro raste. Navedeni podatki pričajo o izjemni razširjenosti spletnih družabnih omrežij, ki temeljijo na ustvarjanju lastnega profila ter s tem na objavljanju lastnih osebnih podatkov. Spletna družabna omrežja tako predstavljajo pravo zakladnico informacij za socialne inženirje. Bistvo socialnega inženiringa so ravno informacije – več kot jih napadalec ima, lažje bo izvedel svoj napad.

Še en način, ki trka na naivnost uporabnikov, je zelo priljubljen in to je »ribarjenje«. Izraz ribarjenje podatkov (phishing) izvira iz angleških besed za geslo (password) in ribarjenje (fishing). Gre za nezakonit način zavajanja uporabnikov, pri katerem poskuša prevarant s pomočjo lažnih spletnih strani in elektronskih sporočil od uporabnikov na takšen ali drugačni način izvabiti njihove osebne podatke, kot so: številke kreditnih kartic, uporabniška imena in gesla, digitalna potrdila podjetja in ostale službene podatke. Pri tem uporabljajo različne tehnike. Praviloma najprej postavijo lažno spletno stran, ki je zelo podobna pravi, nato pa od žrtve z lažnim elektronskim sporočilom poskušajo izvabiti bodisi obisk te strani ali kar takoj pridobiti podatke z odgovorom na to sporočilo.

Gre za primer, ko storilec pošlje elektronsko sporočilo, ki je videti na primer kot pravo sporočilo banke. V sporočilu bo pošiljatelj navedel, da je prišlo do problemov z uporabnikovim bančnim računom, zaradi česar ga prosijo, da mu pošlje številko računa oz. uporabniško ime in geslo. Če bi uporabnik na takšno sporočilo odgovoril, bi postal žrtev spletne prevare.

Ena v nizu prevar je Vishing, ki je novejši poltehnični pristop in ki izkorišča telefonske sisteme vrste VoIP (Voice over IP). Tudi ta izraz je kombinacija dveh besed, in sicer “voice”, torej glas, in “phishing”, ribarjenje. Vishing se uporablja predvsem za krajo identitete in drugih zaupnih podatkov (npr. podatki o kreditnih karticah). Pri izvedbi klica napadalec skrije pravo številko in jo zamenja s številko, ki jo žrtev pozna ali ji zaupa (npr. operaterja). Tehniko je mogoče uporabiti v navezi z ribarjenjem, tako da je v elektronski pošti navedena številka namesto spletne povezave. Napad se izvede ob pomoči vnaprej posnetega govora, ki uporabnika opozori, da je z njegovim računom nekaj narobe. Nato ga ta posnetek vodi skozi procese, ki na koncu pripeljejo do želenega razkritja zaupnih informacij.

Žal je res tako, da je uporabnik najšibkejši člen pri varnosti informacijskega sistema. Še tako dobro postavljena varnostna politika podjetja ne pomaga prav veliko, če zaposleni po mili volji klikajo na vse povezave in priponke v sumljivih elektronskih sporočilih ali vpisujejo uporabniške (lahko tudi finančne) podatke na lažne spletne strani. Zato je tu najboljša preventiva – izobraževanje zaposlenih. Le na ta način se lahko kar najbolje zavarujemo pred sodobnimi grožnjami na spletu. Zaposlenim je treba predstaviti varnostno politiko podjetja in jih seznaniti z najbolj pogostimi spletnimi grožnjami ter dobrimi praksami na tem področju. Primer dobre prakse je uporaba kompleksnih gesel za dostop do različnih storitev. Bistveni napotki pri izbiranju gesel so: izogibajte se osebnim imenom, rojstnim datumom, obletnicam –uporabljajte raje kombinacijo velikih in malih črk, številk in znakov. Dobro geslo naj vsebuje vsaj 8 različnih znakov, predvsem pa ne uporabljajte enega gesla za različne storitve.

Zaključek

Posamezniki, podjetja in ne nazadnje tudi multinacionalke hranimo vsakodnevno cel kup informacij na medmrežju oz. v digitalnem formatu. Večino teh informacij prejmemo od kolegov, znancev, partnerskih podjetij, strank, dobaviteljev itd. Do nas prihajajo preko e-mailov, socialnih omrežij (facebook, instagram, twitter,…) in iz različnih baz podatkov. To pomeni, da smo vsi potencialne žrtve kibernetskega kriminala.

Vse o naših življenjih, o naših navadah in hobijih se nahaja na računalnikih, zato je skrajni čas, da se zavemo, da moramo preventivno delovati, da bi se kvalitetno zaščitili. V zgornjih poglavjih sem že navedel nekaj načinov preventive, bi pa vseeno poudaril še nekaj zelo pomembnih in učinkovitih metod prevencije oziroma varnostnih praks, ki jih je treba vpeljati, da bi bili kot uporabniki kibernetskega prostora (ne glede na to ali smo zaposleni v manjših podjetjih ali v velikih multinacionalkah) bolj varni:

Pravilnik o postopkih in ukrepih za zavarovanje osebnih podatkov: Pravilnik mora določati organizacijske, tehnične in logično-tehnične postopke in ukrepe za zavarovanje osebnih podatkov z namenom, da se prepreči nepooblaščena obdelava osebnih podatkov (pridobivanje, shranjevanje, spreminjanje, priklicanje, vpogled, uporaba, razkritje, sporočanje, posredovanje,…).

Hramba podatkov : Hramba podatkov mora biti jasno opredeljena.

Zamenjava gesel : Varnostna politika bi morala zahtevati uporabo mešanih znakov (številk, velikih in malih črk) pri ustvarjanju gesel. Določiti bi morala tudi pogostost menjave in minimalno dolžino gesel.

Pomoč zaposlenim : Varnostna politika mora prepovedati kakršnokoli posredovanje gesel brez preverjanja istovetnosti osebe s sledečimi metodami:

  • zaposlenega pokličemo nazaj, da preverimo lokacijo (če je res klical s svojega delovnega mesta),
  • z uporabo identifikacije klicatelja na telefonu,
  • pri e-pošti z uporabo elektronskega podpisa zaposlenega,
  • s tem, da vztrajamo, da morajo zaposleni sami prevzemati želene informacije.

Nadzor dostopa: Varnostna politika bi morala določiti, ali je treba podpisati varnostni sporazum pred dovoljenim dostopom do omrežja in prostorov; kdo ima pravico dodeljevati dostop do sistema in kakšne pravice lahko dodeljuje; metode za ustvarjanje uporabniških računov in njihovo brisanje; postopke za ustvarjanje uporabniških računov in brisanje le-teh.

Fizično varovanje: Ključne predele je treba označiti in primerno zaščititi dostop, sam dostop pa dovoliti samo upravičenim osebam. Ključev do varovanih mest se ne sme puščati na vidnih in dostopnih mestih. Katerikoli vstop v službene prostore je treba identificirati in kontrolirati.

ID zaposlenega : Podjetje naj opredeli politiko razpoznavanja zaposlenih (ID kartica, ključ, koda,…), prav tako naj vsak gost ob prihodu dobi začasno kartico. Tovrstni ukrepi se lahko v manjših okoljih, kjer se vsi medsebojno poznajo, ustrezno prilagodijo (oz. omilijo), so pa toliko bolj pomembni v večjih sistemih, kjer se ljudje med seboj osebno ne poznajo. Zaposleni naj se navadijo identificirati vsakogar brez kartice in zahtevati, da se predstavi.

Uničevanje dokumentov: Vsak pomembni dokument, ki ga ne potrebujemo več, je treba uničiti z rezalnikom dokumentov oz. ga kako drugače avtorizirano uničiti. Vsi magnetni mediji morajo biti pred zavrženjem očiščeni vseh podatkov ali fizično uničeni.

Modemi in brezžične dostopne točke: Politika bi morala jasno opredeliti, da modemi in brezžične dostopne točke niso dovoljeni v omrežju podjetja, saj s tem ustvarjajo varnostno luknjo v omrežju in deloma izničujejo vlogo požarnega zidu. Če se že nameščajo, naj bodo nameščeni z vsemi varnostnimi ukrepi.

Napaka, ki se pojavlja v mnogih podjetjih, je, da upoštevajo zgolj možnost napada v fizičnem smislu, to pa zaposlene pušča povsem nepripravljene za primer družbeno-psiholoških vplivanj. Podjetja morajo razumeti, da so vse investicije v programsko opremo popolna izguba, če ne upoštevamo ustreznih mehanizmov za zaščito pred napadi, ki temeljijo predvsem na psiholoških tehnikah.

Dvigovanje ozaveščenosti in stalno izobraževanje zaposlenih veljajo za temelje varnega in uspešnega delovanja družbe, zato bi morala vsaka resna družba biti pripravljena investirati znanje, čas in finančna sredstva v prevencijo.


Nalaganje vsebine
© 2021 Telekom Slovenije
4. junij 2021
5679
4. junij 2021
Primarna prevencija na področju kibernetske varnosti v mednarodnih korporacijah