Information Security Forum (ISF), globalno nezavisno bezbednosno telo u oblasti informacionih tehnologija koje se fokusira na sajberbezbednost i risk management, predviđa znatno povećanje broja sigurnosnih pretnji s kojima će se kompanije sresti tokom nastupajuće godine. Prema njihovim analizama, očekuje se da će se sajbernapadi tokom 2018. godine fokusirati na ugrožavanje verodostojnosti i reputacije današnjih najpouzdanijih organizacija.
S povećanjem broja upada u sisteme i krađe očekuje se da će doći i do povećanja štete u napadnutim kompanijama. Razlog za to je što će napadi biti sve sofisticiraniji i bolje targetirani. Osvrnimo se zato na globalne trendovi na polju IT bezbednosti u 2018. godini.
Crime-as-a-service (CaaS)
Tokom 2017. godine uočeno je ogromno povećanje sajberkriminala u kome su učestvovale organizovane kriminalne grupe. One se sve češće uređene tako da imaju kompleksnu hijerarhiju, međusobno sarađuju i prikrivaju se pod maskom velikih privatnih poslovnih organizacija. Predviđanje za 2018. godinu je da će CaaS raširiti svoje polje delovanja na nova tržišta, čime će se znatno povećati broj stvarnih i potencijalnih žrtava. Pored toga, sajbernapadi postaju sve sofisticiraniji u primeni socijalnog inženjeringa, iznalazeći nove načine kako da prodru u sisteme kompanija koje napadaju.
Sofisticiranost napada ogleda se u načinima korišćenja zaraženih računara. Prethodne dve godine veliki problemi bili su s ransomware napadima – kriptovanjem sadržaja hard-diska i traženjem otkupa za otključavanje podataka. U poslednje vreme fokus se polako pomera ka CoinMiner-ima – JavaScript aplikacijama koje se preko zaraženih sajtova instaliraju na lokalne računare i u pozadini „rudare“ kriptovalute u korist sajberkriminalaca. Ako je za neku utehu, ovaj trend je donekle sigurniji za korisnike, jer njihovi podaci na računarima ostaju netaknuti. Umesto toga, kriminalci koriste procesorsku snagu tih računara za generisanje kriptovaluta. Ako znamo da jedan prosečan malware danas uspeva da zarazi desetine i stotine hiljada računara, kao i koliko brzo raste vrednost kriptovaluta, jasno je da je u igri ogroman novac.
Internet uređaja (IoT)
Mnoge kompanije ubrzano prihvataju IoT uređaje, ne razmišljajući o tome da oni uglavnom nisu dizajnirani da spreče sajbernapade. Većina je namenjena za ličnu upotrebu, pa je stoga akcenat stavljen na dizajn i upotrebljivost, dok je svest o IT bezbednosti nekako gurnuta u stranu. Pomenućemo samo jedan primer – Android televizori sve se češće koriste kao zamena za projektore u konferencijskim salama i povezani su sa Internetom. Napadači mogu da na takvim televizorima instaliraju softver koji će „hvatati“ screenshot-ove prezentacija tokom sastanaka i slati ih tvorcu takvog softvera, što je klasičan primer industrijske špijunaže.
Nesiguran lanac nabavke
Godinama se proces nabavke smatra jednom od najvećih bezbednosnih „rupa“ u kompanijama, prvenstveno zato što podrazumeva da se pristup kompanijskim podacima odobrava nekim trećim licima. A kada se informacija podeli, jasno je da se gubi direktna kontrola nad njom. Pošto svaka kompanija mora da ima neki lanac nabavke, ovo je potencijalna opasnost koja može da utiče bukvalno na sve poslovne subjekte. Očekuje se da će se u 2018. godini velika pažnja posvetiti upravo tom aspektu, a najbolji način za rešavanje problema jeste proaktivnost – identifikacija koji podaci izlaze iz kompanije kroz proces nabavke i smišljanje procedura koje će sprečiti da se nad njima izgubi kontrola.
Low-level napadi
Pošto ni antivirusne kompanije ne sede skrštenih ruku, tvorci malicioznih programa trude se da svoje napade usmere na deo sistema koji nije obuhvaćen proverom. Zbog toga se u narednom periodu očekuje i povećanje sofisticiranih UEFI napada. Unified Extensible Firmware Interface (UEFI) je softver koji se nalazi između firmvera i operativnog sistema. Za razliku od svog prethodnika BIOS-a, UEFI omogućava da se u njemu instaliraju i pokrenu programi koji se tiču mreže, kriptografije, drajveri... To ga čini veoma atraktivnom platformom za napade, jer omogućava malicioznim programima da se pokrenu pre operativnog sistema, pa stoga i pre bilo kog anti-malware rešenja. Ovakvi UEFI zasnovani zlonamerni programi postoje još od 2015, a stručnjaci iz oblasti IT bezbednosti procenjuju da će tokom 2018. njihov broj znatno porasti.
Veštačka inteligencija u službi hakera
AI će u narednom periodu postati uobičajeno sredstvo sajbernapada. Neka forma veštačke inteligencije već sada se koristi kao sredstvo za precizno ciljanje naprednih kampanja. A zamislite kakvu bi štetu mogao da napravi „pametni“ malware kada bi mogao da iskoristi podatke iz poslovnog kalendara žrtve, koji bi bio sposoban da pošalje poslovnom partneru naizgled legitiman e-mail, napisan sličnim stilom koji upotrebljava vlasnik računara, ali sa zaraženim dokumentom u prilogu. Nažalost, možda uskoro nećemo morati to da zamišljamo, jer se predviđa da će u narednih pet godina ovakvi napadi postati ne samo mogući, već i uobičajeni.
Nerazumevanje menadžmenta
Ljudski faktor jedan je od najvećih sigurnosnih problema s kojima se kompanije suočavaju. Pri tome, neispunjena očekivanja menadžmenta često su pri samom vrhu, mada ne na direktan način. Naime, menadžment kompanije najčešće ne razume da povećanje budžeta za IT bezbednost, ma koliko on bio velik, ne može da dovede do potpune sigurnosti kompanije od IT napada. A ako to i shvate, obično očekuju da povećanje budžeta donese instant rezultate – što je nemoguće. Zato oni često donose pogrešne odluke – ne odobravajući onoliko sredstava koliko je neophodno za postizanje najvišeg mogućeg stepena IT bezbednosti.
Ljudska glupost i neznanje
Koliko god da su bezbednosne procedure i polise u kompaniji dobro osmišljene i sprovedene, uvek će se naći neko od zaposlenih koji će kliknuti na e-mail s naslovom Invoice 201712-32 i otvoriti istoimeni prilog iako ta kompanija nikad nije poslovala sa inostranstvom! A samo jedan takav pogrešan klik može da dovede u pitanje bezbednost svih računara u mreži. Zato je neophodno redovno edukovanje zaposlenih i ukazivanje na moguće pretnje kako bi se izbegli potencijalni problemi.
Kako se zaštititi?
Potpuna zaštita nije moguća, ali to ne znači da se treba predati. Osim nezaobilazne edukacije zaposlenih, treba maksimalno obezbediti i poslovno okruženje, koliko je god to moguće u datim uslovima. Proaktivnost je ključni faktor, jer se ne sme čekati da se problem desi – tada je šteta već učinjena. Umesto toga, potrebno je učiniti sve da do nje ne dođe. Koliko god to izgledalo skupo, svakako će biti jeftinije od sanacije eventualne štete.
Osim precizno targetiranih napada spolja, radnici predstavljaju najveći sigurnosni rizik. Insajderske pretnje, bilo da su u pitanju namerne ili slučajne, veoma je teško otkriti. U mnogim organizacijama još ne postoji mogućnost identifikacije promene šablona ponašanja zaposlenih koji mogu da ukažu na eventualne pretnje i to je jedan od pravaca koje treba unapređivati.
Podizanje svesti o rizicima ključan je faktor za zaštitu od sajberpretnji. Razumevanje na koje načine oni mogu da ugroze kompaniju i njene resurse, prepoznavanje potencijalnih internih i eksternih sigurnosnih propusta predstavljaju ne samo preventivne već i edukativne radnje. A najbolji način za to je redovna i konstantna informisanost zaposlenih o različitim bezbednosnim rizicima i pretnjama.
Enkripcija podataka takođe je od velike važnosti. Ako se i desi krađa takvih podataka, sajberkriminalci će morati da ulože mnogo dodatnog truda da bi došli do informacija koje su šifrovane, ako uopšte i uspeju u tome. Najbolje je što za aktiviranje ove vrste zaštite sve već postoji spremno. Svi današnji operativni sistemi poseduju opciju za šifrovanje celih diskova i samo je potrebno da se uključi ta opcija. Kriptografiju treba kombinovati s drugim tipovima zaštite, kao što su forsiranje logovanja i automatsko izlogovanje korisnika nakon određenog perioda neaktivnosti računara.
Fizička zaštita računara takođe je jedan od bezbednosnih faktora o kojem se mora voditi računa. Veliki broj sajbernapada započinje krađom računara. A kako znamo da većina korisnika danas nosi sa sobom laptop računare kad odlaze kući, drže ih pored sebe u kafićima i na sličnim javnim mestima, mogućnost krađe prilično je velika. Kada se računar koristi na javnom mestu i dalje je najbolja staromodna zaštita – Kensington Lock, metalni kabl koji obezbeđuje vezivanje računara za neki nepokretni objekat. I serverske sale u kompanijama moraju da budu obezbeđene, zaključane i sa strogo restriktivnom polisom pristupa.
Zadatak za svaki dan
IT bezbednost u kompanijama ne treba da bude zadatak koji će se povremeno obavljati. Ona mora da bude utkana u poslovnu kulturu, a kompanija mora da ima strogo, možda čak i previše restriktivno definisane polise upotrebe Interneta. To znači definisanje koji tipovi mail-ova su prihvatljivi i smeju da se otvore, koji tip priloženih dokumenata je bezbedan za čitanje, koji sajtovi smeju a koji ne smeju da se posećuju... Ova pravila mora da definiše IT služba, uzimajući u obzir i specifičnosti pojedinačnih radnih mesta.
Da sve ovo nije samo prazna priča o bezbednosti, govori i GDPR uredba (General Data Protection Regulation), koja će na tlu Evropske Unije stupiti na snagu 25. maja 2018. godine. Ona je osmišljena i razvijena kako bi se sprečio ili makar ograničio broj incidenata koji uključuju neadekvatnu razmenu i skladištenje ličnih podataka korisnika. Uredba propisuje velike kazne za sve kompanije koje na bilo koji način čuvaju podatke korisnika i koje dozvole njihovo „curenje“, ali i procedure koje je potrebno pratiti da bi se sprečili i izbegli takvi scenariji. Na taj način očekuje se „uvođenje reda“ u makar jednom segmentu IT bezbednosti. Već i sam podatak da je više od 80 odsto ovakvih incidenata moguće sprečiti adekvatnom edukacijom zaposlenih govori da je ova uredba i te kako potrebna.
|