Kibernetička sigurnost: prevencija i obrana

Veće organizacije, poput vojnih, često se suočavaju s golemim dodatnim izazovima u kibernetičkoj obrani. Svi djelatnici koji rade s računalima mogu biti meta, stoga je bitno da o tome imaju barem osnovnu razinu svjesnosti

Španjolski mornarički časnik na fregati ESPS Cristóbal Colón upravlja protokom informacija o zrakoplovima dok gradi taktičku sliku protivničkih površinskih snaga na NATO-ovoj vježbi Trident Juncture 18 (Foto: NATO)

Kibernetički prostor i njegova infrastruktura osjetljivi su na širok raspon rizika koji proizlaze iz fizičkih i kibernetičkih prijetnji. Kibernetički kriminalci, ali i državni akteri, iskorištavaju tu ranjivost u svrhu krađe informacija i novca. Stoga razvijaju sposobnosti za ometanje ili ugrožavanje pružanja usluga. Loša je vijest što mogu djelovati s bilo kojeg mjesta u svijetu te koristiti povezanost između kibernetičkog prostora i fizičkih sustava. Već neko vrijeme sve veću zabrinutost izazivaju kibernetičke prijetnje kritičnoj infrastrukturi. No, danas, kad u Europi bjesni rat izazvan agresijom na Ukrajinu, kibernetički napadi sve su aktualniji i kao dio pravih ratnih djelovanja.

Većina kibernetičkih kriminalaca ili onih koji za tipkovnicom djeluju zlonamjerno kao produljena ruka neke države ili organizacije vrhunski su manipulatori. Ali to ne znači da su svi manipulatori tehnologijom. Kako su ljudi najčešće najslabija karika kad je u pitanju kibernetička sigurnost, mnogi favoriziraju manipulaciju ljudima. Drugim riječima, koriste socijalni inženjering, što znači iskorištavanje ljudskih pogrešaka i ponašanja za izvođenje kibernetičkih napada. Kao i kod većine kibernetičkih prijetnji, socijalni inženjering može doći u mnogim oblicima i stalno se razvija. U osnovi, napadač socijalnim inženjeringom koristi socijalne vještine kako bi dobio ili kompromitirao informacije o organizaciji ili njezinim računalnim sustavima. Napadač uvijek želi ostaviti dojam legitimnosti, odnosno uvjerljivosti. Primjerice, može tvrditi da je novi zaposlenik, osoba zadužena za popravke ili istraživač. Biste li dali svoju lozinku za internetsko bankarstvo neznancu koji vam je prišao na ulici i rekao da radi za vašu banku? Odgovor je sigurno negativan. Tako bismo trebali postupiti i kad na naše računalo, službeno ili privatno, stigne e-poruka čiji pošiljatelj tvrdi da je vaša banka i traži određene podatke.

Vojnici Bundeswehra pomažu u registraciji putnika koji dolaze u zračnu luku Tegel u Berlinu tijekom pandemije 10. kolovoza 2020. (Foto: Bundeswehr /Tom Twardy)

Nemojte biti žrtva

Kako izbjeći da budete žrtva socijalnog inženjeringa? Kao prvo, budite sumnjičavi prema neželjenim telefonskim pozivima ili porukama e-pošte od pojedinaca koji se raspituju o zaposlenicima ili drugim internim informacijama. Ako nepoznati pojedinac tvrdi da je iz legitimne organizacije, pokušajte provjeriti njegov identitet kontaktirajući izravno s tom organizacijom. Nemojte davati osobne podatke ili podatke o svojoj organizaciji osim ako niste sigurni da osoba ima ovlasti za raspolaganje tim informacijama. To posebno vrijedi ako ste dio vojnog sustava ili ministarstva. Isto tako, ne otkrivajte osobne ili financijske podatke u e-pošti i ne odgovarajte na zahtjeve e-pošte za te informacije. Ako vas se želi preusmjeriti na neku web-stranicu, obratite pozornost na njezinu adresu (URL). Potražite URL-ove koji počinju s “https”. To je indikacija da su stranice sigurnije (za razliku od onih s “http”). Dobro je i potražiti ikonu zatvorenog lokota – to je znak da će vaši podaci biti šifrirani. Ako niste sigurni je li zahtjev putem e-pošte legitiman, pokušajte ga potvrditi izravnim kontaktom s tvrtkom. Nemojte koristiti podatke za kontakt navedene na web-stranici povezanoj sa zahtjevom, nego provjerite prethodne izjave za podatke za kontakt. Informacije o poznatim phishing napadima također su dostupne na stranicama grupa kao što je npr. Anti-Phishing Working Group (https://apwg.org). Instalirajte i održavajte antivirusni softver i vatrozid (Firewall) kako biste smanjili dio neželjenog prometa. Korištenje višefaktorske autentifikacije omogućava visoku razinu sigurnosti autentifikacije. Sumnjate li da ste možda otkrili osjetljive podatke o svojoj organizaciji, prijavite to ovlaštenim osobama unutar organizacije. Sumnjate li da bi vaša novčana sredstva mogla biti ugrožena, odmah kontaktirajte sa svojom financijskom institucijom. Obratite pažnju na bilo kakve neobjašnjive troškove na svojem računu. Odmah promijenite sve lozinke koje ste možda otkrili. Ako ste koristili istu lozinku za više usluga, svakako je promijenite za svaki račun.

Prizor s glavne planske konferencije za vježbu kibernetičke obrane američkih oružanih snaga Cyber Shield 22 (Foto: US Army National Guard / SSG. Jeffrey D. Reno)

Vojne organizacije

Velike i male organizacije kao i tvrtke imaju puno zajedničkih izazova iz područja kibernetičke sigurnosti. U proteklom desetljeću usluge temeljene na oblacima (cloud) omogućile su i malim tvrtkama pristup nizu dobro zaštićenih sustava i tehnologija. To su nekad koristile samo velike organizacije. Mnogi sigurnosni rizici ovise o veličini organizacije, ali kvalitativno se ne razlikuju na temelju broja njezinih zaposlenika, partnera i kupaca ili iznosa proračuna za informacijsku tehnologiju. Istodobno se veće organizacije, poput vojnih, često suočavaju s dodatnim izazovima – velikim brojem različitih sustava, često raspoređenih na više fizičkih lokacija i dr. – što visoku razinu kibernetičke sigurnosti čini prilično složenom. Iako bi male organizacije trebale imati planove vezano uz kontinuitet poslovanja te oporavak od kibernetičke katastrofe, a trebale bi ih i redovito provjeravati, njihovi su planovi u najboljem slučaju u povojima. Velike organizacije obično imaju puno formalnije planove, uključujući i detaljne, koji podrazumijevaju nastavak rada i tijekom najgorih napada. Isto tako, velike organizacije često podliježu obvezi poštivanja više propisa, zakona, smjernica i industrijskih standarda nego male.

Složenost bilo kojeg sustava povećava izglede za ljudske pogreške. U velikim organizacijama, na primjer vojnim, moraju biti uspostavljeni pojednostavnjeni procesi za odlučivanje tko čemu može pristupiti i tko za što može dati autorizaciju. Mora biti uspostavljen jednostavan postupak za opoziv dozvola iz različitih sustava kad vojne osobe napuste postrojbu ili cijeli sustav, vanjski izvođači dovrše svoje zadaće i tako dalje. Opoziv pristupa osobama koje odlaze nije jednostavan. Zaposlenik velike organizacije može, na primjer, imati pristup do više nepovezanih podatkovnih sustava koji se nalaze na različitim lokacijama kojima upravljaju različiti timovi iz različitih odjela. Sustavi upravljanja identitetom i pristupom koji centraliziraju dijelove procesa autentifikacije i autorizacije mogu pomoći, ali mnogim velikim organizacijama još uvijek nedostaje sveobuhvatna centralizacija potrebna da bi opoziv pristupa bio proces u jednom koraku. U velikim organizacijama, poput vojnih, svi zaposlenici trebaju razumjeti određene osnove kibernetičke sigurnosti. Oni bi, na primjer, trebali znati kako izbjegavati rizično ponašanje u kibernetičkom prostoru. U to spada otvaranje priloga i klikanje na linkove u neočekivanim porukama e-pošte, preuzimanje glazbe ili videa iz upitnih izvora, neprimjereno korištenje javnog Wi-Fi-ja za osjetljive zadaće… Međutim, u velikim se organizacijama većina zaposlenika ne poznaje osobno. Takva situacija otvara vrata za sve vrste socijalnog inženjeringa. Stoga je ključna odgovarajuća obuka zaposlenika kako bi se osiguralo da takvi napadi ne mogu postići svoj cilj.

Prepoznavanje opasnosti

Unatoč svim naporima vezano uz zaštitu računalnih sustava i podataka, vjerojatnost povrede sigurnosti ne može se izbjeći. Stoga je za sve koji koriste računalne sustave u nekoj organizaciji iznimno važno prepoznavanje znakova potencijalne povrede sigurnosti. Pristupi li napadač vašim sustavima, treba ga što prije zaustaviti i poduzeti potrebne korektivne radnje. Najlakše je prepoznati one napade koje objavljuje i pruža dokaz o tome. Tri najčešća otvorena kršenja ona su koja uključuju ransomware, defacement i claimed destruction.

Ransomware je oblik zlonamjernog softvera koji kriptira ili krade podatke s korisnikova uređaja i zahtijeva otkupninu kako bi ih vratio pod kontrolu korisnika.

Defacement se odnosi na napade u kojima napadač narušava žrtvine sustave – na primjer, mijenja web-stranicu prikazivanjem svoje poruke.

Claimed destruction odnosi se na incident u kojem hakeri objave informaciju o uništenju nečijih programa ili podataka.

Većinu je kibernetičkih napada prilično teško otkriti iako različite tvrtke i organizacije troše milijune dolara godišnje na sustave koji pokušavaju identificirati kršenja sigurnosti informacijskih sustava. Neka kršenja dugo budu neotkrivena – ponekad i godinama. Međutim, ako vam se iznenada učini da se nešto neuobičajeno događa s računalom ili ako se stanoviti problemi pojave neposredno nakon što ste kliknuli na poveznicu u e-poruci, preuzeli i pokrenuli neki softver i slično, velika je vjerojatnost da je na vaše računalo izvršen kibernetički napad.

Neke od pojava koje upućuju na napad:

  • čini se da je uređaj sporiji nego prije
  • Task Manager ne može se pokrenuti
  • postavke uređaja su promijenjene
  • uređaj šalje ili prima neuobičajene poruke e-pošte
  • na uređaju je instaliran novi softver (uključujući aplikacije) – a vi ga niste instalirali
  • čini se da se baterija uređaja prazni brže nego prije
  • uređaj se zagrijava više nego prije
  • nedostaju datoteke
  • neki programi (ili aplikacije) prestaju ispravno raditi
  • povećan mrežni promet
  • uređaj se iznenada ponovno pokreće
  • čini se da se svjetlo tvrdog diska nikad ne gasi.

Prva reakcija

Kad je riječ o reakciji na kibernetički napad, za odgovarajuću pripremu, odnosno prevenciju napada jednostavno ne postoji zamjena. Osjećaji bijesa, uzrujanosti pa i panike sasvim su normalne reakcije na kibernetički napad. Međutim, potrebno ih je prevladati, razmišljati logično i jasno te djelovati sustavno. Potrebno je djelovati što prije i usredotočiti se na rješavanje problema. Treba zatvoriti sve aktivne programe, spremiti sve otvorene dokumente i izraditi njihove sigurnosne kopije.

Potrebno je prikupiti što više informacija o tome što se dogodilo:

  • Koji su informacijski sustavi i baze podataka pogođeni?
  • Što bi napadač mogao učiniti s ukradenim materijalom?
  • Tko je potencijalno suočen s rizicima zbog kibernetičkog napada?

Neke od mjera koje treba poduzeti:

  • što prije prekinuti sve mrežne veze
  • odspojiti sve mrežne (Ethernet) kabele
  • isključiti Wi-Fi na napadnutom uređaju
  • isključiti Bluetooth i NFC (Near Field Communication)
  • odspojiti sve USB i druge prijenosne uređaje
  • opozvati prava pristupa koja napadač iskorištava.
Litavski i talijanski vojnici na NATO-ovoj vježbi Dynamic Front u bazi Grafenwöhr u Njemačkoj 7. ožujka 2018. (Foto: NATO)

Sigurnosno kopiranje i oporavak

Iako sigurnosno kopiranje podataka zvuči jednostavno, ipak nije lako postići da bude rutina. Prilikom izrade sigurnosnih kopija treba voditi računa i o njihovoj fizičkoj lokaciji, enkripciji, lozinkama… U kontekstu kibernetičke sigurnosti, sigurnosno kopiranje odnosi se na izradu dodatne kopije ili dodatnih kopija podataka koje služe kao zamjena ako je izvornik oštećen, izgubljen ili uništen. Izrada sigurnosne kopije jedna je od najvažnijih obrana od gubitka podataka.

 

Sigurnosno kopiranje može se kategorizirati na više različitih načina. Jedan od najzapaženijih temelji se na tome što se kopira. Ovisno o tome, postoji više vrsta sigurnosnog kopiranja, primjerice:

  • – Full backups of systems
  • – Original system images
  • – Full backups of data
  • – Incremental backups
  • – Differential backups

Postoji niz alata za stvaranje sigurnosnih kopija, upravljanje kopijama i vraćanje podataka iz sigurnosnih kopija. Tim se alatima mogu automatizirati različiti procesi, na primjer, upravljanje stalnom sinkronizacijom sigurnosne kopije. Alati za sigurnosno kopiranje dolaze u različitim cjenovnim rasponima, ovisno o svojoj robusnosti i skalabilnosti. Sigurnosne kopije moraju biti pravilno pohranjene kako bi im se po potrebi moglo brzo i jednostavno pristupiti. Nadalje, nepravilna pohrana sigurnosnih kopija može ozbiljno narušiti sigurnost informacija sadržanih u njima. Budući da je jedna od svrha sigurnosnog kopiranja mogućnost očuvanja podataka čak i ako je primarna kopija uništena, poželjno je imati barem jednu sigurnosnu kopiju na drugoj fizičkoj lokaciji. Različita su mišljenja o tome koliko daleko od primarne lokacije pohrane treba držati sigurnosnu kopiju. Opće je pravilo: držati ih dovoljno daleko da prirodna katastrofa koja može ozbiljno utjecati na primarno mjesto ne bi utjecala na sekundarno. Nema jednostavnog općeg pravila o tome koliko je često potrebno sigurnosno kopirati sustav i podatke. Važno je osigurati da se nikad ne izgubi toliko podataka da bi njihovo ponovno kreiranje imalo za posljedicu veće opterećenje zaposlenika.

Ključan je čimbenik provjera sigurnosnih kopija. Neki softveri za sigurnosno kopiranje dolaze s mogućnošću provjere kopija – to jest, nakon izrade sigurnosne kopije oni provjeravaju podudaraju li se izvorni podaci i podaci u sigurnosnim kopijama. Pokretanje takve provjere nakon izrade sigurnosne kopije znatno produljuje proces sigurnosnog kopiranja, ali je poželjno jer pomaže osigurati da ništa nije nepropisno snimljeno ili na drugi način oštećeno tijekom izrade sigurnosne kopije. Sigurnosno kopiranje i oporavak iz sigurnosnih kopija kritična je komponenta svakog plana kibernetičke sigurnosti. Budući da se oporavak s pomoću sigurnosnih kopija ne događa često, odnosno samo onda kad se dogodi nešto loše, djelatnici koji rade na oporavku mogu biti pod velikim stresom. U takvoj situaciji moguće su pogreške i stoga postupak oporavka mora biti pomno planiran i uvježbavan kako se ne bi dogodilo da se umjesto oporavka izgubi još više podataka.

U sastavu Obrambene akademije Ujedinjenog Kraljevstva djeluje i Škola kibernetičke obrane (Defence Cyber School – DCS), koja provodi obuku i izobrazbu za potrebe svih grana (Foto: UK MOD / Crown copyright 2023 / PO PHOT Dave Jenkins)

“Uvijek je bolje pretpostaviti najgore”

Svijet je zadnjih desetljeća doživio korjenite promjene. Unutar samo jedne generacije zapadno je društvo evoluiralo od filmskih kamera, fotokopirnih uređaja, TV prijamnika temeljenih na radiovalovima do uređaja koji imaju značajke svih navedenih i još mnogo toga – sve unutar jedne jedine kutije. Kontinuirano se pojavljuju nove, sve naprednije računalne tehnologije, koje znače golem potencijal za još širu primjenu tehnologija u svakodnevnom životu.

Međutim, s dolaskom novih tehnologija i digitalnom transformacijom dolaze i veliki rizici za kibernetičku sigurnost. Osobe koje su svjesne da im hakeri žele provaliti u računala i telefone te ukrasti podatke postupaju različito od onih koje ne razumiju pravu prirodu prijetnje. Razumijevanje današnje stvarnosti pomaže u razvoju zdravog skepticizma te utječe na stanovišta i ponašanje. Ključnu ulogu u kibernetičkoj sigurnosti ima ljudski faktor. Napadi socijalnim inženjeringom, uključujući phishing, pokazuju da napadači, kad ciljaju na čovjeka, mogu i hoće zaobići najbolju obranu. Tehnologija i alati sami po sebi ne mogu osigurati organizaciju, već se sigurnost mora promatrati kao zajednička vrijednost i kultura, a svi članovi organizacije, posebno vojne, imaju svoju ulogu i odgovornost. Čelnici odnosno zapovjedništva moraju biti istinski predani razvoju i jačanju kompetencija organizacije u području kibernetičke sigurnosti.

Bruce Schneier (1963.) američki je kriptograf, stručnjak za računalnu sigurnost i pisac. Svojedobno je napisao: “Povijest nas je naučila: nikad ne podcjenjujte količinu novca, vremena i napora koje će netko uložiti kako bi ugrozio sigurnosni sustav. Uvijek je bolje pretpostaviti najgore. Pretpostavite da su vaši protivnici bolji nego što jesu. Pretpostavimo da će znanost i tehnologija uskoro moći raditi ono što još ne mogu. Dajte sebi prostor za pogreške. Dajte sebi više sigurnosti nego što vam je danas potrebno. Kad se dogodi neočekivano, bit će vam drago što ste to učinili.”

Ilustracija američkog zrakoplovstva upozorava na izbjegavanje phishinga (Ilustracija: USAF / Airman 1st Class Christopher Thornbury)

Napadi socijalnim inženjeringom

Phishing napadi koriste elektroničku poštu ili zlonamjerne web-stranice za traženje osobnih podataka. Napadači se predstavljaju kao dio neke pouzdane, relevantne organizacije. Na primjer, napadač može poslati e-poštu koja izgleda kao da ju je poslala renomirana tvrtka za kreditne kartice ili financijska institucija. U pošti zahtijeva podatke o računu, često sugerirajući da postoji problem. Kad korisnici pošalju tražene informacije, napadači ih mogu iskoristiti za pristup računima.

 

 

Napadači često iskorištavaju aktualna događanja, na primjer:

  • prirodne katastrofe
  • epidemije
  • ekonomske krize
  • praznike.

Kako je phishing najčešći oblik napada putem socijalnog inženjeringa, poželjno je poznavati njegove uobičajene pokazatelje. Sumnjiva adresa pošiljatelja – adresa pošiljatelja može oponašati adresu legitimne tvrtke. Kibernetički napadači i kriminalci često koriste adresu e-pošte vrlo sličnu adresi renomirane tvrtke, mijenjajući ili izostavljajući tek nekoliko znakova. Generički pozdrav i potpis – pozdrav poput “Dragi cijenjeni kupče” ili “Gospodine/gospođo” – i nedostatak podataka za kontakt u bloku potpisa upozoravaju na moguću phishing e-poštu. Organizacija od povjerenja obično će vam se obratiti imenom i dati svoje podatke za kontakt.

Lažne hiperveze (linkovi) i web-stranice – zadržite li pokazivač (kursor) iznad bilo koje veze u tijelu e-pošte, a veze ne odgovaraju tekstu koji se pojavljuje kad prijeđete iznad njih, veza je možda lažna. Zlonamjerna web-stranica može biti jednaka legitimnoj, ali URL može koristiti varijaciju u pravopisu ili drugu domenu (npr. “.com” umjesto “.net”). Pravopis i izgled – loša gramatika i struktura rečenice, pravopisne pogreške i nedosljedno oblikovanje drugi su pokazatelji mogućeg phishinga. Renomirane institucije imaju osoblje koje izrađuje, provjerava i lektorira korespondenciju s klijentima. Sumnjivi prilozi – neželjena e-pošta kojom se od korisnika traži preuzimanje i otvaranje priloga (Attachment) uobičajen je mehanizam dostave zlonamjernog softvera. Internetski kriminalac može iskoristiti lažan osjećaj hitnosti ili važnosti kako bi uvjerio korisnika da preuzme ili otvori prilog, a da ga prethodno ne pregleda. Vishing je vrsta socijalnog inženjeringa koji koristi glasovnu komunikaciju. Ta se tehnika može kombinirati s drugim oblicima socijalnog inženjeringa koji navode žrtvu da nazove određeni broj i otkrije osjetljive informacije. Napredni vishing napadi mogu se odvijati u potpunosti preko glasovne komunikacije korištenjem VoIP-a (Voice over Internet Protocol), tj. internetske telefonije koja omogućava lažiranje identiteta pozivatelja. Smishing je oblik socijalnog inženjeringa koji iskorištava SMS ili tekstualne poruke. Tekstualne poruke mogu sadržavati veze na web-stranice, adrese e-pošte ili telefonske brojeve koje kad se kliknu mogu automatski otvoriti prozor preglednika ili poruku e-pošte odnosno birati broj. Takva integracija e-pošte, glasa, tekstualnih poruka i funkcionalnosti web-preglednika povećava vjerojatnost da korisnici postanu žrtve zlonamjerne aktivnosti.

John Sherman obnaša dužnost glavnog službenika za informacije (Chief Information Officer) u Ministarstvu obrane SAD-a (Foto: US DoD / Chad J. McNeeley)

Odgovorne osobe

Dok sve organizacije trebaju osobu koja će u konačnici preuzeti odgovornost za informacijsku sigurnost, one veće često imaju timove koji se bave tim područjem. Velike organizacije trebaju nekoga tko može nadgledati sve različite aspekte upravljanja informacijskom sigurnošću, kao i upravljati svim osobljem uključenim u sustav informacijske, odnosno kibernetičke sigurnosti. Ta je osoba također odgovorna upravi ili zapovjedništvu organizacije za sve aspekte informacijske sigurnosti, a obično se naziva voditeljem informacijske sigurnosti (Chief Information Security Officer – CISO). U Ministarstvu obrane SAD-a postoji dužnost Chief Information Officer (CIO). Riječ je o osobi koja je, uz ostalo, glavni savjetnik ministra obrane za upravljanje informacijama / informacijsku tehnologiju (IT) i osiguranje informacija. CIO postoji i u Američkoj kopnenoj vojsci.Dok se specifične odgovornosti CISO-a razlikuju ovisno o djelatnosti, zemljopisnom području, veličini organizacije i relevantnim propisima, većina CISO uloga ima zajedničke osnovne karakteristike. Općenito, uloga CISO-a uključuje nadzor i preuzimanje odgovornosti za sva područja informacijske sigurnosti. CISO je, među ostalim, odgovoran i za:

  • upravljanje ljudskim rizikom
  • klasifikaciju i kontrolu informatičke opreme
  • sigurnosne operacije
  • strategiju informacijske sigurnosti
  • upravljanje identitetom i pristupom
  • sprečavanje gubitka podataka
  • sprečavanje prijevara
  • plan odgovora na incident
  • plan oporavka od katastrofe i kontinuitet poslovanja/djelovanja
  • usklađenost
  • istrage
  • fizičko osiguranje
  • sigurnosnu arhitekturu.

    TEKST  Vladimir Štimac

Slični članci

Označeno sa: