Manjše proizvodno podjetje iz Trbovelj je zaradi slabe informacijsko-varnostne higiene v letu 2020 postalo tarča izsiljevalskega virusa. Ob priklopu okuženega USB ključa na enega od službenih računalnikov se je virus hitro razširil po notranjem omrežju.

Vdor v Trbovljah

Naslednji dan je zaposlene na računalnikih pričakalo sporočilo, da so ti okuženi z izsiljevalskim virusom. Vsi podatki o strankah, pogodbah, računih in ostalih poslovnih skrivnostih so bili zašifrirani in nedostopni. Vlomilci so pustili navodila za plačilo odkupnine dobrih 3000 evrov za dešifriranje podatkov. Po posvetu z informatikom in oblastmi so ugotovili, da so podatki kritičnega pomena za podjetje, poleg tega pa še precej zaupne narave.

Brez teh bi zelo verjetno utrpeli precejšnjo poslovno škodo, ki bi bila za podjetje lahko usodna. Izgubljene podatke bi sicer lahko obnovili, ampak je bila zadnja varnostna kopija strežnika narejena pred približno pol leta, pa še ta ne preverjeno delujoča. Ob tem jim je grozila še dodatna poslovna škoda in izguba ugleda, saj bi morali stranke obvestiti o odtujitvi njihovih poslovnih skrivnosti.

Po tehtnem premisleku se je vodstvo odločilo, da plačajo odkupnino. Po nakazanem znesku so prejeli programski ključ za odklep datotek in te uspešno povrnili. Razen odkupnine niso utrpeli večje poslovne škode.

(Ne)varno (ne)uspešni

Ob upoštevanju izgube omenjenega zneska, ki za malo podjetje niti ni tako zanemarljiv, je to zgodba o uspehu. Ne povsem in za to obstaja več razlogov.

Podjetje ni preverilo, če so storilce in njihov virus povsem odstranili ter jim preprečili nadaljnji dostop in nadzor nad računalniškim sistemom. Plačilo ni ‘garancija’, da se vdor ne ponovi, da pri tem ničesar niso odnesli in so se odrekli nadaljnjim možnostim dodatnega zaslužka. S prodajo ali izsiljevanjem za odtujene poslovne skrivnosti o aktivnostih podjetja, strankah ter konkurenci bi lahko še dodatno zaslužili.

Nemalokrat se je zgodilo, da je podjetje ‘prehitro’ plačalo odkupnino. Kar je bil jasen signal za vlomilce, da lahko zahtevajo precej višjo odkupnino. Neko drugo podjetje je po plačilu prejelo nedelujoč šifrirni ključ. Po tem so ugotovili, da storilci ne upoštevajo reklamacije. Ostali so brez denarja in brez podatkov.

Tovrstnih prevar je precej, večina pa izkorišča slabo ozaveščenost podjetij in zaposlenih o nevarnostih in osnovah informacijske varnosti.

Iskanje rešitev

Najšibkejši člen informacijske varnosti smo in vedno bomo ljudje. Nobeno tehnično sredstvo (od dragih požarnih zidov do strežnikov) ne varuje pred naivnostjo, kognitivno pristranskostjo in podobnimi človeškimi ‘slabostmi’. Najverjetnejši zaključek: skoraj zagotovo ste že bili, ste in/ali še boste napadeni. Tega se verjetno le še ne zavedate.

Prva in najboljša linija obrambe proti t. i. socialnemu inženiringu je ozaveščanje in usposabljanje zaposlenih. K temu lahko prištejte še osnovni sistem pravil za predvidevanje tveganj in primernih aktivnosti za zmanjševanje.

V čem je smisel vlaganja v IT varnostno opremo, če zaposleni z ‘najdenim’ USB ključkom ali posredovanjem gesla ‘IT podpori’ nevede zaobide vse varovalne mehanizme? Dober rek pravi, da je najbolj varna digitalna informacija tista, ki ni priključena na internet, niti na elektriko in je dobro zaklenjena. Pa še ta ni stoodstotno varna.

Socialni inženiring

Iz matičnega podjetja večje evropske IT korporacije so podružnicam poslali nujno opozorilo, da so v organizacijah po Evropi zaznali več spletnih prevar. Domnevni direktorji so po telefonu prosili vodjo financ, da za ‘nujen posel’ mimo ustaljenih postopkov nakaže denar na račun drugega podjetja. Večkrat jim je uspelo.

Rešitev: ozaveščanje zaposlenih, idealno z natančno določenimi pravilniki, ki jih določi najvišje vodstvo in ne dovoljujejo izjem.

Večina ne verjame, da bi nasedli takšni prevari. Najbolj znana ‘nigerijska prevara’ pa opozarja, da ne gre vedno za naivnost. Pri tej precej razširjeni obliki spletne prevare storilec poskuša žrtev prepričati v prostovoljno plačilo namišljenih stroškov. Najpogosteje ‘pravni zastopnik umrlega bogataša brez potomcev’ išče kandidate za prepis bogastva proti plačilu manjših ‘administrativnih stroškov’.

V najbolj znanem primeru pa je storilec večjo banko prepričal v ‘investicijo’ 242 milijonov dolarjev za gradnjo izmišljenega letališča. Tako visok znesek bi banki težko izmaknili na račun naivnosti. Razlog je bila odkrita luknja v sistemu, ter odlično pripravljena in izpeljana prevara.

Rešitev: dobro postavljen sistem pravil, ki zmanjšuje in onemogoča tovrstna tveganja. V osnovi pa ozaveščanje zaposlenih o morebitnih tveganjih in priporočljivi osnovni higieni.

Izsiljevanje ‘na ključ’

Objavljanje tega je dvorezen meč, pa vendar neizogibna realnost, s katero se je treba soočiti. Izsiljevalski virusi (ransomware) so postali franšizni posel – storitev ‘na ključ’! Strokovnjaki ugotavljajo, da gre za najhitreje rastoče in izjemno dobičkonosno orodje spletnega kriminala.

Iz tega je nastala ‘storitev na ključ’ in združbe masovno zaposlujejo. Uporabnikom – najemnikom in žrtvam ponujajo 24-urno podporo. Na pogosto zastavljeno vprašanje »Kdo bi (lahko) nas napadel?« si zasavska podjetja lahko zdaj odgovorijo z: »Vsak, najraje pa konkurenca!«

Rešitev: za dvig ozaveščanja o informacijski varnosti je na spletu veliko rešitev. Slovenske institucije ponujajo brezplačne spletne tečaje, namenjene dvigovanju ozaveščenosti in higiene, predvsem za manjše organizacije in podjetnike.

Širši pogled

Kljub temu večina manjših podjetij informacijsko varnost popolnoma zanemari. Kot najpogostejši razlog navedejo domnevno previsoke stroške. Čeprav so ti ob redni skrbi za ozaveščanje in osnovno higieno ter najpomembnejšem predpogoju kvaliteti v organizaciji zanemarljivi.

Kvaliteta organizacije (v okolju, produktih in storitvah) je tista, kamor vlomilci ‘vrtajo luknje’. Dejansko so luknje že tam, storilci jih le razkrivajo. Vrta pa jih, vedé ali ne, organizacija sama, v glavnem s pretiranim varčevanjem dveh ključnih virov – časa in denarja.

S širšega sistemskega vidika pa je videti, kot da so vlomilci korektivni mehanizem. Del oziroma funkcija, ki v sistemu identificira, zmanjšuje in odpravlja napake. V naravnih sistemih vsi deli sodelujejo in opravljajo točno določeno funkcijo z namenom, da sistem kot celota deluje in se izboljšuje. Vsak del, ki svojo vlogo opravlja zadovoljivo, o(b)stane in uživa vzajemno podporo sistema. Naravna selekcija: preživijo tisti, ki prispevajo k delovanju in izboljševanju sistema, napake oziroma nekoristne dele pa ta odstrani, ali razgradi in predela.

Ker vlomilci niso nov pojav, očitno ne gre za napako v sistemu. Ta jim dovoljuje sobivanje, ker nekako upravičujejo svojo vlogo in obstoj. Z vidika varnosti so ‘vedno korak naprej’. Varovanje je igra brez konca. Sistem koristnih delov ne ovira ali odstrani, ampak jih podpira, da so v svoji vlogi čim bolj uspešnejši. Razen tistih, ki svoje vloge ne razumejo povsem.

Pri takšni dinamiki varovanja bi lahko zaključili, da so vlomilci za družbo dolgoročno koristni. (Pre)šibke člene sistema odstranijo, dovolj močne pa silijo v zmanjševanje in odpravljanje napak. Največjo korist ima tako sistem sam – v omenjenem primeru družba, ker se nadgrajuje in na napakah napreduje. Vdori v sistem pa so vedno boleči: ko nekdo s prstom pokaže na napake, napadeni pri tem težko ostanejo objektivni in neprizadeti.

Tako je bivši predsednik ene izmed slovenskih bank nedavno izjavil, da bodo podjetja pri današnji konkurenci potrebovala sposobnost brutalne samorefleksije. Če se ob napakah lahko ozremo vase in ob odsotnosti ega uspemo objektivno oceniti, kaj se lahko iz teh naučimo in izboljšamo, lahko upamo na napredek. V nasprotnem pri iskanju odgovornosti zunaj sebe praktično ni nobenih možnosti za napredek.

V razmislek

Zakaj je na seznamu največjih vdorov toliko startupov in mladih podjetij? Na nezavarovanem mestu se hitro nabere ogromno kapitala in/ali osebnih podatkov uporabnikov – to pa so za vlomilce idealni pogoji za hiter zaslužek.

Podjetja v začetku delovanja na informacijsko varnost največkrat niti ne pomislijo, ker že to zahteva določeno razumevanje oziroma ozaveščenost. Če pa že, resni finančni izzivi te misli hitro razblinijo. Kasneje zaradi intenzivnosti rasti, delovanja in sprotnih izzivov na varnost povsem pozabijo. In to drži za večino manjših podjetij.

Kljub enostavnim rešitvam (vzdrževanju kvalitete svojega okolja, produktov in storitev, ter ozaveščanju zaposlenih o tveganjih) skoraj vsa podjetja v Zasavju varovanje svojega ‘digitalnega premoženja’ povsem zanemarjajo. Čeprav so zelo nezaupljivi in izjemno pozorni na lokalno konkurenco, dvomijo, da bi kdo napadel ravno njih. Eno izmed svetovno uspešnih zasavskih podjetij je za intelektualno lastnino in tržno prednost na svojem področju prepričano, da ta spletnih kriminalcev in konkurence ne zanima.

Borut Kmetič

Foto: arhiv Savus