Ransomware, napad z izsiljevalsko programsko opremo, ena izmed najbolj razširjenih oblik kibernetskega kriminala, ki okuži računalnike in mobilne naprave ter jim omeji dostop do datotek oziroma trajno uniči podatke, če napadena žrtev ne plača odkupnine, dosega pandemične razsežnosti. Pred petimi leti se je v svetu zgodil tak kibernetski napad vsakih 40 sekund, zdaj se zgodi že vsakih 11 sekund. Napadalci ocenijo, koliko bo žrtev pripravljena plačati, in so neusmiljeni. V več primerih so denimo zahtevali 20 bitcoinov – približno milijon dolarjev – in če žrtev ni hotela plačati, so za vsak dan neplačila zvišali odkupnino za deset bitcoinov, je za revijo Times poročala ameriška novinarka Nicole Perlorth. V ameriški raziskovalni organizaciji Cybersecurity Ventures napovedujejo, da bodo svetovni stroški izsiljevalske gospodarske škode programske opreme letos dosegli 20 milijard dolarjev, 57-krat več kot leta 2015.
V celoti bo kibernetski kriminal letos povzročil že za šest tisoč milijard dolarjev gospodarske škode. Stroški kibernetskega kriminala vključujejo škodo zaradi uničenja podatkov, ukradenega denarja, izgubljene produktivnosti, kraje intelektualne lastnine, osebnih in finančnih podatkov, škodo zaradi poneverb, goljufij in motenj v poslovanju po napadu, forenzičnih preiskav, obnove napadenih sistemov in izgube poslovnega ugleda. V Cybersecurity Ventures predvidevajo, da bodo ti stroški do leta 2025 dosegli vrednost 10.500 milijard dolarjev.
Po podatkih lanske raziskave ameriškega centra Pew vidi 65 odstotkov anketiranih prebivalcev 14 gospodarsko razvitih držav eno od glavnih groženj na svetu v kibernetskih napadih iz drugih držav.
Hitro narašča število zrelih hekerskih tarč
Na ilegalnem temnem spletu (dark web), do katerega ni mogoče dostopati prek konvencionalnih iskalnikov, kiberkriminalci kupujejo in prodajajo zlonamerno programsko opremo, komplete za izkoriščanje in storitve za kibernetske napade na podjetja, vlade in izvajalce bistvenih storitev (IBS), tako imenovano kritično infrastrukturo. Po slovenski zakonodaji sodijo med izvajalce bistvenih storitev javni in zasebni subjekti, ki delujejo na področjih energije, digitalne infrastrukture, oskrbe s pitno vodo, zdravstva, prometa, bančništva, infrastrukture finančnega trga, preskrbe s hrano in varstva okolja.
Največ žrtev kiberkriminala je še vedno med malimi in srednjimi podjetji, po podatkih Mastercarda jih je globalno 66 odstotkov v zadnjih dveh letih doživelo vsaj en kibernetski incident. Sorazmerno pa narašča tudi število kibernetskih napadov na kritično infrastrukturo. Čedalje večje količine podatkov se selijo iz omrežij podjetij v računalniške oblake in zasebne telefone ter računalnike zaposlenih. Delo od doma je nova normalnost. Po podatkih univerze Stanford v pandemiji dela od doma skoraj polovica ameriške delovne sile. Tudi v kritični infrastrukturi se stvari vse bolj selijo na splet in v računalništvo v oblaku, s tem pa se ob pomanjkljivi varnostni zaščiti napihuje tudi število varnostnih mrtvih točk – zrelih hekerskih tarč.
»Ohranitve uporabniške izkušnje pri premiku nekaterih osrednjih delovnih tokov pa tudi podatkov in poslovne inteligence v računalniške oblake ne moremo kar izenačiti s področjem varovanja informacij, kjer prihaja do tektonskih sprememb v kibernetskih grožnjah,« pravi Matevž Mesojednik, vodja varnostno operativnega centra v IT-družbi NIL. »Motivirani hekerji v novih razmerah prepoznavajo izjemno priložnost za doseganje zlonamernih ciljev.«
Razvijalci cepiv še posebej na muhi
Action Fraud, britanski center za kibernetske prevare, je marca lani naštel 500 tisoč napadov goljufivih elektronskih sporočil (phishing), povezanih s koronavirusom. V mednarodni organizaciji kriminalistične policije Interpol so od januarja do aprila odkrili 900 tisoč neželenih sporočil, 737 incidentov, povezanih z zlonamernimi kodami, in 48 tisoč zlonamernih spletnih strani, povezanih s COVID-19. Ameriški FBI je še posebej zaskrbljen zaradi napadov z izsiljevalsko programsko opremo na izvajalce zdravstvenih storitev, bolnišnice, policijo in reševalno osebje.
Po navedbah ameriške Agencije za kibernetsko in infrastrukturno varnost so kitajski hekerji maja lani poskušali ukrasti podatke, povezane z raziskavami cepiv in zdravljenja COVID-19. Ruski kiberkriminalci so »sesuli« klinične preizkuse zdravljenja v razvoju cepiva za COVID-19 in izvedli kibernetski napad na Universal Health Services, verigo z več kot 400 bolnišnicami v ZDA in Veliki Britaniji. Vzpostavitev vnovičnega delovanja je trajala tri tedne, izguba je znašala 67 milijonov dolarjev. Julija so ruski hekerji s povsem novimi orodji vdrli v vodilne raziskovalne organizacije na področju razvoja cepiv v Veliki Britaniji, ZDA in Kanadi.
V prvi polovici preteklega leta so po poročanju Reutersa kitajski vohuni prek sistemov nemške univerze vdrli v omrežje Evropske agencije za zdravila (EMA), v drugi polovici leta pa so hekerji ruske obveščevalne službe izkoristili napake pri dvostopenjskem preverjanju prijave, vdrli v omrežje agencije EMA in imeli dostop v njem več kot mesec dni.
Prva smrtna žrtev kiberkriminalcev
S praviloma zastarelim informacijskim sistemom, slabšim protokolom kibernetske varnosti in skromnim osebjem IT, a z dragocenimi podatki in nujno potrebo po zdravstvenih storitvah in delovanju bolnišnic, je zdravstvo za izsiljevalske napadalce precej lahka tarča. Interpol je lani odkril tri tisoč spletnih mest, povezanih s spletnimi lekarnami, osumljenimi prodaje prepovedanih zdravil in medicinskih pripomočkov, 1.700 od njih je vsebovalo kibernetske grožnje.
Jürgen Stock , generalni sekretar Interpola, je dejal, da je prišlo v pandemiji do pomembnega premika tarč kiberkriminala s posameznikov in malih podjetij k večjim korporacijam, vladam in kritični infrastrukturi. Svetovna zdravstvena organizacija je v prvem valu pandemije zaznala 500-odstotno rast kibernetskih napadov.
Avgusta lani je kibernetski vdor po poročanju agencije AP terjal prvo smrtno žrtev. V bolnišnici v Düsseldorfu jena pad z izsiljevalskim programom povzročil odpoved sistemov IT in pacientka, ki je potrebovala nujen sprejem, je umrla, ker so jo morali odpeljati na zdravljenje v drugo mesto. V ZDA je bilo lani z izsiljevalskimi programi napadenih 764 ponudnikov zdravstvenih storitev. V Franciji so lani našteli 27 kibernetskih napadov na bolnišnice. Po navedbah Cedrica Oja, francoskega ministra za digitalne tehnologije, letos še ni minil teden brez novega kibernetskega napada na bolnišnico.
Energetika kot »naravna « tarča hekerjev
V ZDA, kjer so lansko jesen ob vnovičnem začetku šolanja zaznali napade z izsiljevalskimi programi v 16 okrožjih, od Kalifornije do New Jerseyja, se stopnjujejo tudi skrb zbujajoči vdori v računalniška omrežja oskrbe s pitno vodo. Februarja so mediji poročali, da je neznani heker poskušal na Floridi na daljavo zastrupiti vodo v mestu Oldsmar. Premikanje miške na zaslonu in povečanje vrednosti strupenega natrijevega hidroksida, s katerim uravnavajo kislost vode, je opazil dežurni delavec in spremembo nemudoma razveljavil.
V zadnjem desetletju je postal glavna tarča kiberkriminalcev energetski sektor: gre za »naravni instinkt hekerjev« v kibernetskem bojevanju med državami, saj lahko električni mrk ohromi ogromno dejavnosti od ogrevalnih sistemov do delovanja bolnišnic in ogrozi nacionalno varnost.
»Pet let po obsežnih kibernetskih napadih, ko je četrt milijona Ukrajincev ostalo brez električne energije, so postala električna omrežja v svetu še ranljivejša,« so marca zapisali v Bloombergu. Digitalizacija in uporaba pametnejših aplikacij to ranljivost še povečujeta. »Napadalec lahko prodre do kritičnih plinskih kompresorjev in turbin že prek lažnih elektronskih sporočil v nabiralniku zaposlenega,« je za Bloomberg povedal Sanjay Aurora Aramco, direktor azijsko-pacifiškega oddelka v britanskem ponudniku varnostnih rešitev Darktrace.
Domnevno kitajska hekerska sabotaža je oktobra lani povzročila izpad električne energije v Mumbaju in v finančnem središču Indije ustavila delovanje delniških trgov, mestni promet in prizadela na tisoče gospodinjstev.
Vsi proti vsem
Kibernetska varnost in povečanje števila dezinformacij, napadov in kraj podatkov je osrednji problem tudi v letošnji izdaji poročila Svetovnega gospodarskega foruma o globalnih tveganjih. »Državni in nedržavni akterji se bodo vpletali v še nevarnejše kibernetske napade, ki bodo čedalje bolj izpopolnjeni,« piše v poročilu.
Ena od trenutnih največjih nadlog ameriške vlade je odprava posledic operacije ruskih vladnih hekerjev, ki so marca lani – vdor so v ZDA odkrili šele konec leta – skozi ameriško podjetje za programsko opremo SolarWinds napadli 18 tisoč njihovih strank, prodrli so v več kot 400 ameriških največjih podjetij in elektro gospodarstev. BBC je poročal, da naj bi bil motiv napada kraja podatkov o ameriški nacionalni varnosti. Rusom je uspelo vdreti tudi v State Department, v ministrstva za pravosodje, finance in energetiko, Center za nadzor in preprečevanje bolezni, urad za domovinsko varnost pa tudi v dele Pentagona in celo Nacionalno upravo za jedrsko varnost.
V Franciji so prodrli prek podjetja za programsko opremo Centreon v omrežja podjetij Airbus, Air France in Electricite France, največjega proizvajalca jedrske energije na svetu. Za to kibernetsko ofenzivo naj bi bila odgovorna skupina Sandworm, tisti hekerji ruske vojaške obveščevalne službe, ki so izvedli uničujoče napade na energetski sistem v Ukrajini.
V državno sponzoriranih kibernetskih vdorih ni zaveznikov: pakistanski hekerji napadajo indijske organizacije, indijski kitajske, kitajski udarijo nazaj po indijski IT in bančni infrastrukturi. Nigerijski hekerji so se spravili na sto milijonov dolarjev sredstev za nezaposlene v šestih ameriških zveznih državah, severnokorejski pa na šest zahodnih in azijskih držav, ki so javno napovedale finančno podporo zaradi pandemije ogroženim podjetjem.
»Kibernetski tipi napadov so najučinkovitejši, dokler nihče ne ve, da se dogajajo, zato delujejo bolj kot vohunjenje, črne operacije, o katerih države načeloma ne razpravljajo. Sumimo lahko, da takšne kibernetske napade izvajajo vse države, od ZDA do Rusije in Kitajske,« pravi David Fahrenkrug, ameriški strokovnjak za kibernetsko bojevanje.
»Leto 2021 bo še okrepilo zavedanje, da so digitalne tehnologije glavno bojišče za geopolitično prevlado,« so februarja zapisali v britanski svetovalni družbi Control Risk in napovedali, da bo ameriški predsednik Joe Biden zaradi SolarWindsa uvedel proti Rusiji dodatne sankcije, odobril naj bi tudi povračilne kibernetske udarce.
Kitajski napad na Microsoftov strežnik
V začetku marca so iz Microsofta sporočili, da je v njihovem Microsoft Exchange Server, enem od najbolj razširjenih strežnikov za elektronsko pošto, vodenje koledarjev in stikov, več kritičnih ranljivosti, ki omogočajo hekerjem krajo podatkov in izsiljevalske napade. Med žrtvami vdora v Microsoftov strežnik, ki naj bi ga izvedla kitajska skupina Hafnium, se je znašla tudi Evropska bančna agencija (EBA), kjer so dopustili možnost, da so napadalci z njihovih strežnikov zajeli tudi osebne podatke.
V slovenski upravi za informacijsko varnost so povedali, da so strežniki MS Exchange v Sloveniji zelo razširjeni in da je zato povečana ogroženost varnosti omrežij in informacijskih sistemov pri izvajalcih bistvenih storitev. »V zadnjem mesecu smo v našem centru obravnavali več poskusov zlorab kritične ranljivosti v strežnikih MS Exchange,« je povedal Matevž Mesojednik iz družbe NIL. »Pri tem se nismo omejili le na analizo ogroženosti oziroma dovzetnosti za izrabo kritične ranljivosti, temveč primarno na forenzično preiskavo posledic napada.«
Mesojednik poudarja, da avtomatizirane rešitve v podporo digitalizaciji procesov in odločanja zahtevajo določene kompromise in tudi spremembe v zasnovah informacijskih sistemov izvajalcev bistvenih storitev. »Ocenjujemo, da se zavezanci novih digitalnih pasti relativno dobro zavedajo in zahteve zakonodaje tudi v največji meri spoštujejo,« pravi. »Vendar pa ugotavljamo, da so sprejeti ukrepi za zaščito kritične infrastrukture naravnani predvsem v preventivo, zadnji kibernetski napadi pa kažejo potrebo po pravočasnem zaznavanju in omejevanju škodljivih posledic napadov.«
Pri nas so hit goljufiva sporočila
V Sloveniji so pristojni lani izsledili 3.326 incidentov, vendar nobeden od njih ni pomembno vplival na izvajanje bistvenih storitev. V pandemiji so zaznali rast incidentov, ki so posledica dela in učenja na daljavo, med njimi tudi porazdeljen napad onemogočanja (DdoS) na strežnik, ki zagotavlja podporo izobraževalnim ustanovam pri e-učenju, vendar so ga uspešno ustavili, piše v februarskem poročilu uprave za informacijsko varnost.
»V dosedanjem delu opažamo pri izvajalcih bistvenih storitev visoko raven odzivnosti, sodelovanja in zavedanja pomena kibernetske varnosti,« pravi direktor uprave Uroš Svete. Mesojednik dodaja, da bi morali biti pozorni tudi na druge pomembne gospodarske panoge, na primer proizvodnjo zdravil in medicinskih pripomočkov, ravnanje z odpadnimi vodami in odpadki, poštne in kurirske storitve ter javno upravo. »Enak manko so zaznali na ravni EU, kjer so decembra lani sprejeli predlog nove direktive NIS2 z razširjenim seznamom dodatnih osmih izvajalcev pomembnih storitev in njihovo večjo odgovornostjo pri zagotavljanju učinkovite kibernetske obrambe. V direktivi so opredeljene tudi sankcije za organizacije, ki ne bodo upoštevale direktive, vključno z globami do 10 milijonov evrov oziroma do dveh odstotkov letnega prihodka subjekta.«
Lanski »hit« so bila v Sloveniji phishing sporočila. V skoraj 90 odstotkih primerov je sicer šlo za incidente nizke stopnje, več kot 80 odstotkov je bilo usmerjenih proti fizičnim osebam in podjetjem, vendar: »Zaradi vse večje družbene odvisnosti od digitalizacije in pomena izvajalcev bistvenih storitev, ki se bodo v skladu z načrti reforme NIS direktive še širili, v prihodnje pričakujemo povečano verjetnost napadov nanje,« pravi Svete.
Lani so zaznali 10 pomembnih incidentov, urad pa lahko v skladu z zakonodajo posreduje javnosti le anonimizirane informacije. Kot pravi Svete, je šlo za napade DdoS, izsiljevalski virus in izkoriščanje ranljivosti sistemov in naprav, pri teh napadih pa tarče niso bili le izvajalce bistvenih storitev. Med temi je bilo lani največ napadov usmerjenih na bančništvo in – niti ne presenetljivo – na raziskovalno-izobraževalni sektor. »Informacije raziskovalnih institucij postajajo v svetu strateško čedalje pomembnejše, zato je razumljivo, da se vanje usmerjajo tudi kibernetski napadi,« pravi Svete. »Ocenjujemo, da bodo v prihodnje še vedno najbolj izpostavljene bistvene storitve na področju bančništva in infrastrukture finančnih trgov. Zaradi COVID-19 pa se kažejo kot pomemben cilj tudi bistvene storitve izvajalcev s področja zdravstva. Uprava za informacijsko varnost je za dvig odpornosti sprožil koordinacijo deležnikov s področja zdravstva.«
Večja ogroženost med predsedovanjem Svetu EU
»Kiberkriminalci vedo, da imajo lahko z vdori, kršitvami podatkov, izsiljevalsko programsko opremo in napadi onemogočanja podjetja in celotno gospodarstvo za talce,« je za spletno revijo Cybersecurity Ventures povedal Jack B. Blount iz podjetja Intrusion, ameriškega ponudnika rešitev za omrežno varnost. »Za podjetja in vlade je ključno razumevanje, da povprečni kibernetski napad ne prihaja več od osebe s tipkovnico, ampak od algoritma umetne inteligence, ki deluje na superračunalniku in noč in dan napada vsak naslov IP, ki ga najde na spletu. Vseeno je, ali je tarča majhna ali velika.« Organizirani subjekti kibernetske kriminalitete združujejo moči, verjetnost njihovega odkritja in pregona pa naj bi bila zgolj 0,05-odstotna.
V tem smislu bi bilo lahkomiselno reči, da »majhna Slovenija« ni zanimiva tarča za kibernetske napade, pravi Mesojednik in spomni na leto 2017, ko je razsajal izsiljevalski virus Wannacry in so morali v novomeškem podjetju Revoz za nekaj dni ustaviti proizvodnjo.
»Slovenija bo v drugi polovici leta 2021 predsedovala Svetu EU in je kot država z izjemno strateško lokacijo v vseh pogledih zanimiva tarča organiziranih hekerskih skupin,« še pravi Mesojednik. »Obstaja precejšnja verjetnost, da se bo ta izpostavljenost med predsedovanjem povečala,« pritrjuje Svete.
Kritično pomanjkanje strokovnjakov
Matevž Mesojednik pravi, da je za kibernetsko varnost v prihodnosti še bolj kot pričakovano stopnjevanje pogostosti kritičnih incidentov skrb zbujajoča kadrovska zmogljivost izvajalcev bistvenih in tudi drugih pomembnih storitev. Po podatkih mednarodne organizacije ICS2 za leto 2020 na globalni ravni primanjkuje 3,1 milijona specialistov s področja kibernetske varnosti. »Kadra s specializiranimi znanji in zmogljivostmi neprekinjenega izvajanja varnostnih operacij podjetja ne zaposlujejo oziroma ga preprosto ni,« pravi vodja varnostno operativnega centra v podjetju NIL. »Oddelki IT so preobremenjeni z rednimi nalogami vzdrževanja in upravljanja vse bolj zapletenih sistemov, kaj šele, da bi se lahko ustrezno in pravočasno odzivali na vse naprednejše tehnike motiviranih hekerjev.«
Soočeni s kadrovskim pomanjkanjem začenjajo vodje informacijske varnosti v ameriških srednjih in velikih podjetjih opremljati svoje osebje s programsko opremo in napravami umetne inteligence in strojnega učenja, namenjenimi odkrivanju kibernetskih vsiljivcev. Ti sistemi temeljijo na zbirkah velikih podatkov, zbranih v desetletjih, in lahko analizirajo terabajte podatkov na dan, kar je za ljudi nepredstavljivo. »Nove pristope v procesih zaznavanja in odzivanja na naraščajoče napredne hekerske napade uporabljamo tudi v našem centru, vendar pa strojno učenje in umetna inteligenca nikoli ne odtehtata končne odločitve analitika, ki mora razumeti veliko širši kontekst odstopanj od normalnega,« dodaja Mesojednik.
Avtor: Gorazd Suhadolnik (Časnik Finance) Članek je bil izvorno objavljen v Časniku Finance. Objavljamo z dovoljenjem. Vse pravice pridržane.
Kako v 2021 izboljšati informacijsko varnost ali lekcije napada Sunburst na SolarWinds
Kibernetski napad globalnih razsežnosti Sunburst Malware na rešitev SolarWinds Orion je dodobra zatresel poslovanje v mnogih organizacijah in kibernetsko stroko. Slovenske organizacije smo jo v veliki večini sicer odnesle brez prask. Kljub temu se lahko iz incidenta veliko naučimo o tem, kako v 2021 izboljšati varnost poslovanja pred kibernetskimi napadi.