Napadalci prežijo z drugega konca sveta ali poskušajo priti do gesla med klepetom ob pivu
Matjaž Ropret 30. maja 2019 ob 11:10

Trditev, da se število spletnih napadov povečuje, je že skoraj omiljevanje situacije. Po marsikaterih dostopnih statistikah se obseg različnih poskusov, kako priti do podatkov ali ohromiti določeno storitev, na letni ravni skoraj podvoji. Občasno policiji v navezi z odzivnimi centri uspe koga najti in izključiti večje gruče strežnikov, vendar se potem drugod pojavijo novi. Vse skupaj je pač industrija, v kateri se pretaka precej milijonov. Še bolj kot posamezniki so na udaru podjetja, zato samo »osnovni« ukrepi za varnost niso več dovolj. To trdijo tudi v operativnem centru kibernetske varnosti (OCKV) Telekoma Slovenije, kjer smo si ogledali, kako poteka njihovo zaznavanje in preprečevanje različnih napadov na njihovo omrežje ter slovenska podjetja, kjer skrbijo za varnost.

Tistega jutra, ko smo prišli na obisk v Stegne, so ravno opažali manjši napad s porazdeljeno ohromitvijo storitve (ddos), nekaj gb/s lažnih podatkov je teklo skozi omrežje, kar običajno traja nekaj ur, vendar se ekipi centra to ni zdelo nič dramatičnega. Take stvari se dogajajo skorajda ves čas. Poskušajo jih čim prej zaustaviti – z »metanjem prometa stran«, kot temu, da paketki ne dosežejo cilja, rečejo v žargonu –, vendar večina prizadetih v zdajšnjih povezavah ter strežniških kapacitetah take zadeve dokaj normalno prestane. Seveda je huje ob večjih napadih, lani so se že spopadali s takim, ki je dosegal podatkovni promet 1,4 tb/s. Takrat pa ne gre več za igračkanje ali kakšna obračunavanja med igričarji ali igralci na srečo, kar je menda pogost vzrok pošiljanja nenormalnih količin prometa, temveč za resne poskuse nekoga povsem ohromiti ali mu celo onemogočiti večji posel. Ker se lahko nekdo odloči za drugega izvajalca, mogoče v ozadju naročnika napada, če se napadeno podjetje ne more odzivati. Pa še kakšne druge razlage takih napadov so, vsekakor pa niso več zelo redki. V Telekomovem OCKV za iskanje vsega tega ves čas spremljajo več kot pet tisoč virov v omrežju in skupno deset tisoč dogodkov na sekundo. Po njihovim nadzorom je več kot tri tisoč računalnikov in drugih naprav, na napade pa prežijo na različnih mestih – v elektronski pošti, preprečujejo čudno nameščanje programske opreme, nepooblaščen priklop lastne opreme, zlorabo pravic (lahko samo zatipkana gesla), poganjanje zlonamernih programov s ključkov in zunanjih diskov in še na druge načine.

Kot opažajo zaposleni v OCKV Telekoma Slovenije, se največ »nevarnega« dogaja na nivoju odjemalcev, se pravi uporabniških naprav (telefoni, PC-ji), kjer nekdo poskuša pognati kaj sumljivega. Nikakor niso izumrle stare dobre metode, ko se ob pivu ali kakšni drugi priložnosti poskusi nekomu kaj podtakniti, da si lahko napadalci zagotovijo vstop v sistem in potem lahko tudi več mesecev nemoteno in neopaženo vohljajo ter odnašajo podatke. Še posebej finančni sektor je zelo podvržen »ribarjenju«. Na banke in zavarovalnice je tudi največ napadov, saj je tam največ denarja. Potem so tu poskusi na omrežnem nivoju, kot je »prisluškovanje« (če prenos podatkov ni šifriran), vrivanje v komunikacijo (angl. man in the middle), kraja seje, pa injeciranje zlonamerne kode in tako naprej. Možnosti je veliko in na vse je treba biti pripravljen ali pa vsaj pripravljen hitro odreagirati.

Toda, kaj lahko podjetja storijo, da jih taki napadi ne ujamejo povsem gole in bose ter morda celo ogrozijo nadaljnjega poslovanja? V Telekomu zagovarjajo pet korakov, od katerih tehnični ukrepi po njihovem prepričanju pridejo na vrsto šele kot tretji. Pa vendar se večina podjetij najprej zakadi vanje in pri različnih načinih programske in strojne obrambe tudi obstane. Toda še pred tem bi se morali ukvarjati z res dobrim poznavanjem organizacije in nato organizacijskimi ukrepi (kdo lahko kaj počne, kdo je za kaj odgovoren, itd). Nato pa sledita še aktivno spremljanje, kaj se v podjetju dogaja, tudi z rednim preverjanjem ranljivosti sistemov in ocenjevanjem groženj, najsi bo z lastno ekipo ali z zunanjo, kot je Telekomova, in nazadnje še zavarovanje tveganj, kajti v tem primeru lahko podjetje od zavarovalnice terja povrnitev škode. Ta pa je lahko milijonska.

V vodilnem slovenskem operaterju so glede postopanja podjetij precej kritični. Ocenjujejo namreč, da »se pri nas dokaj veliko investira v tehnologije, ki pa se jih potem slabo izrablja.« Trdijo pa, da ni organizacije, ki ne bi imela potrebe, da jo nekdo spremlja z vidika varnostnih dogodkov. In kot smo še slišali na tem obisku – Med strateškimi odločitvami vsakega podjetja mora biti tudi zagotavljanje kibernetske varnosti. Vendar raziskava podjetja Kaspersky Lab kaže vrzel med načrtovanimi in izvedenimi ukrepi pristojnih za informacijsko tehnologijo v evropskih organizacijah. Večina vprašanih (83 odstotkov) pritrjuje, da v podjetju izvajajo preventivne ukrepe za preprečitev spletnih napadov. Toda le dve petini jih vsem zaposlenim omogočata varnostno usposabljanje. In le dobra polovica vprašanih ocenjuje, da ima njihova organizacija dovršeno varnostno politiko za preprečevanje in morebitno ukrepanje v primeru napada. Slovenija sicer ni prva tarča napadov, to potrjuje tudi zadnje poročilo Mednarodne zveze za telekomunikacije, toda velika napaka bi se bila slepiti, da smo povsem varni.

Naroči se na redna vsakotedenska e-poštna obvestila o novih prispevkih na naši strani.


Fotografija: Telekom Slovenije

Avtor Matjaž Ropret
mm
Matjaž že več kot desetletje novinarsko pokriva tehnološki svet. Najprej na Radiu Slovenija, nato je na Delu od začetka leta 2009 do jeseni 2016 urejal redno tedensko prilogo Infoteh in pripadajočo rubriko na spletni strani. Zdaj je urednik Tehnozvezdja in hkrati glavni avtor na tej strani. Uporablja tiste naprave, ki se mu zdijo tehnološko dovolj napredne, uporabne in narejene z vsaj nekaj sloga, ne glede na znamko, operacijski sistem, platformo in ostale religiozne razloge.
Matjaž Ropret - prispevki
Brez komentarjev

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja