Zagotavljanje informacijske varnosti zahteva nenehno delo

Objavljeno: 13.6.2017 | Avtor: Miran Varga | Kategorija: Fokus | Revija: Posebna 2017

Naloga zagotavljati informacijsko varnost v poslovnih okoljih ni niti najmanj lahka. Samo pomislite, kako bi se sami lotili nadgrajevanja in zamenjave varnostnih rešitev, tesno vpetih v vse digitalne pore poslovanja, medtem ko na drugi strani stoji četa napadalcev, ki prežijo na sleherno razpoko. Preverili smo, kje so slovenska in tuja podjetja najšibkejša, ko gre za informacijsko varnost.

Varnost je danes ena glavnih in najbolj aktualnih tem v svetu informacijskih tehnologij. Stalen razvoj dogodkov in rešitev na področju varnosti tudi pomeni, da se niti informatiki več ne znajdejo med vsemi rešitvami. Velika podjetja zato vse pogosteje zaposlujejo specializirane strokovnjake za varnost IT, manjša pa poiščejo pomoč pri specializiranih zunanjih ponudnikih.

Dejstvo je, da razen nekaterih tehnik socialnega inženirstva napadalci danes v podjetja ne vstopajo več skozi glavni ali stranski vhod. Vsaj ne dobesedno. Tudi oni so radi »na varnem«, po možnosti več tisoč kilometrov stran. Do podatkov podjetja in/ali zaposlenih se vse pogosteje prebijejo (včasih pa zgolj) sprehodijo kar skozi razpoke v omrežju ali požarnem zidu. Potrebujejo le računalnik in internetno povezavo. Sodobna okolja IT niso idealna, ker stalno rastejo in se razvijajo, postajajo vedno bolj kompleksna. Njihov stopničasti razvoj narekuje tudi vsaj začasno sobivanje starih in novih tehnologij ter s tem pušča za seboj precej razpok in vrzeli, skozi katere lahko napadalci opravijo napad. Pogosto to storijo celo povsem nevidno. Študija podjetja Kaspersky Lab je pokazala, da podjetja v povprečju okoli 200 dni sploh ne vedo, da so bila napadena – to je več kot pol leta! V tem času napadalci o podjetju vedo praktično vse.

»Nobeno presenečenje ni, da se digitalne grožnje razvijajo izjemno hitro, napadalci so vendarle vedno bolj motivirani, saj želijo s ciljanimi napadi pridobiti finančno korist. Zato je zelo pomembno, da varnostni strokovnjaki in informatiki vedo, kaj jih čaka, in temu primerno poskrbijo za zaščito okolja IT, omrežja in uporabnikov,« pravi Stojan Rančić, varnostni strokovnjak iz podjetja NIL.

Domača podjetja se v povprečju premalo posvečajo informacijski varnosti. Za večino se uvedba varnostne opreme konča z namestitvijo požarnih pregrad (pa še te niso nove generacije) in protivirusnih rešitev v naprave v pisarniških okoljih. Le redka uporabljajo namenske rešitve za odkrivanje in preprečevanje vdorov, prav tako so redkeje implementirane rešitve za zaščito mobilnih naprav in varovanje mobilnega dela poslovanja, na ustrezno varovanje virtualnih in oblačnih okolij pa sploh kar pozabijo. Priložnosti za motivirane napadalce torej ne manjka.

Najpogosteje spregledane varnostne grožnje

Podjetja se tako znajo ubraniti najočitnejših varnostnih groženj, toda večina novejših je očem in varnostnim rešitvam skrita. V svetu informacijske varnosti je treba biti stalno na preži. Za podjetja je praktično nemogoče spremljati prav vsako stvar, ki jih ogroža. Kiberkriminalu ali pa industrijskemu vohunjenju se praktično ni mogoče izogniti. Napadalci uporabljajo na stotine različnih tehnik napadov, pogosto tudi več hkrati, s čimer pretentajo varnostne rešitve.

Oglasi s škodljivimi kodami. Spletni napadalci se tudi učijo iz izkušenj. Če so v preteklosti z vstavljanjem okuženih oglasov na spletne strani z velikim obiskom in medijsko izpostavljenostjo pritegnili (pre)več pozornosti varnostnih strokovnjakov in organov pregona, so se v zadnjih letih osredotočili na druge, a še vedno dobičkonosne tarče. Predvsem spletne strani manjših, a prepoznavnih blagovnih znamk, ki ustvarjajo dovolj spletnega prometa, da je prikaz »oglasov« na njih dobičkonosno početje. Sploh če je v teh oglasih skrita škodljiva koda, ki se namesti v uporabnikov računalnik in napadalcu omogoča prevzem nadzora. Okužene računalnike nato povežejo v omrežja botnet in z njimi opravljajo različne spletne napade, rudarijo kriptovalute ipd. Okuženih oglasov mrgoli tudi na spletnih straneh za (nelegalen) prenos datotek, saj je njihovim upraviteljem očitno le malo mar za »stranke«. Spretni napadalci okužene oglase raje nameščajo na strani, za katere vedo, da jih upravlja zunanji ponudnik – tako imajo več možnosti, da jih ne bodo odkrili – oglasi so grafično povsem enaki izvirnim spletnim oglasom. Kdor se ne poglobi v njihovo izvorno kodo, ne bo v njih videl nič sumljivega.

Naprave interneta stvari. Uporabniki danes precej slepo zaupamo napravam s področja interneta stvari, posebej če zanje menimo, da niso del interneta stvari, torej povezane v splet. Pri tem ne gre nujno za manjše napravice, temveč tudi za velike rešitve, kot so sistemi za upravljanje proizvodnje ipd. V sisteme ameriške trgovske verige Target so napadalci leta 2013 vdrli prek nezaščitene rešitve za upravljanje klimatskih naprav. Ker vedno več zaposlenih vsaj občasno dela od doma, kjer imajo dostop do omrežja in virov podjetja, je težava nezaščitenih naprav(ic) interneta stvari tudi težava poslovnih okolij. Zlorabljen pametni pralni stroj, hladilnik ali otroška kamera lahko napadalcem odprejo vrata do podjetja.

Slabe prakse pri rabi enkripcije. Čeprav je enkripcija ena najučinkovitejših metod varovanja podatkov in informacij pred nezaželenimi vpogledi, jo morajo podjetja izvajati celovito in dosledno. A to v praksi počno le redka. Večina jih podatke šifrira pri prenašanju, pozabijo pa na šifriranje podatkov na končni lokaciji, še posebej v arhivih. Med slabe prakse pri rabi enkripcije sodijo tudi shranjevanje ključev v istih sistemih, kjer se shranjujejo podatki, pa tudi razdeljevanje ključev (pre)velikemu številu zaposlenih. Ko ima vsak zaposleni dostop do ključa ali gesla, je to tako, kot če podatkov sploh ne bi šifrirali oziroma zaklenili.

Napadi v pomnilniku. Grožnje, ki ne temeljijo na datotekah, se silovito množijo. Škodljive kode, ki se skrivajo v dokumentih ali na spletnih straneh, okužijo pomnilnik računalnika. Tega vse varnostne rešitve ne preverjajo. Ker take grožnje na disku računalnika ne puščajo sledi, jih je toliko teže odkriti. Za uporabnika so praktično nevidne, zato je možnost, da bi napadalca odkrili, zelo zelo majhna. Ob novem zagonu računalnika namreč napada ni več. Proti takim napadom še najbolj zaleže prepoved obiska sumljivih spletnih strani in onemogočanje poganjanja ukazov makro na računalnikih uporabnikov, ki te funkcionalnosti ne potrebujejo. A to počno le redka podjetja.

Nepreverjene (brskalniške) aplikacije. V preteklosti so poslovno programsko opremo izdelovala le redka podjetja, danes pa jo lahko izdela praktično vsak, tudi zlikovci. Torej se, posebej v primeru uporabe različnih brskalniških vtičnikov in razširitev, lahko primeri, da so jih spisali napadalci – te brskalniške aplikacije poleg temeljne naloge, ki jo opravljajo za uporabnika, lahko še kradejo podatke, odpirajo zadnja vrata v računalnik ipd.

Naslednja težava je povezana z »amaterskimi« izdelovalci programske opreme. Ti so manj izkušeni, aplikacije za pretežno manjša podjetja in posameznike gradijo s pretežno odprtokodnimi platformami in orodji – žal tudi takimi, ki so povsem nepreverjena in so jih napisali hekerji. Poleg tega programerji začetniki pogosto nimajo izkušenj glede rabe in integracije varnostnih mehanizmov, tudi testiranja aplikacij (za varnostnimi pomanjkljivostmi in ranljivostmi) so v želji po tem, da bodo čim prej na voljo uporabnikom, vse prej kot temeljita. Rezultati pa znani.

Zle čistilke. Veliko poslovnih uporabnikov hodi na poslovne sestanke in obiskuje konference zunaj domačega kraja. Pogosto prespijo v hotelih, v hotelskih sobah se počutijo varne. A tudi do njihovih naprav v hotelski sobi lahko pridejo napadalci, in sicer tako, da se preoblečejo v hotelsko osebje ali pa hotelskemu osebju naročijo, naj računalnik gosta okuži s škodljivo kodo. Žrtev to redko opazi, saj ji naprava ni bila odtujena, zgolj zlorabljena. Če je napadalec sam v prostoru z napravo, mu dostop do podatkov na njej pogosto učinkovito prepreči le polna enkripcija diska.

Je na voljo obramba? Je.

»Varnostni strokovnjaki se zavedamo, da podjetja težko vsakih nekaj mesecev vlagajo v najnovejše varnostne rešitve. Lahko pa z ustreznim znanjem tudi iz obstoječe varnostne opreme sestavijo kar najvišjo oviro. Za večino podjetij, ki ne upravljajo res občutljivih podatkov, je eden izmed varnostnih ciljev že ta, da svojo obrambo naredijo dovolj trdno, da si bodo napadalci lažje poiskali tarče,« svetuje Rančić.

Podjetja se morajo zavedati, da skrb za varnost zahteva stalno delo. Tudi varnostna oprema prej ali slej zastari, podjetja pa potrebujejo in zahtevajo funkcije, ki jih na starejši opremi preprosto ni. Nadgradnje starih in uvedbe novih varnostnih rešitev lahko poleg zamenjave fizičnih naprav prinesejo tudi spremembe v licenciranju in/ali financiranju varnostnih rešitev. Zato je še kako pomembno, da podjetje pozna svoj varnostni zemljevid in zaposluje ljudi, ki imajo pred seboj t. i. veliko sliko okolja IT in njegovih varnostnih rešitev.

A varnost pravzaprav ni (le) tehnološki problem. Najpomembnejši, žal tudi pogosto spregledan del informacijske varnosti, je izobraževanje zaposlenih. Zaposleni, ki ne poznajo varnostnih tveganj v poslovnem okolju, so največja nevarnost. Tem je treba pojasniti, kaj sta zaupnost in zasebnost poslovnih podatkov in kako ravnati z napravami in aplikacijami. Predvsem pa jim vcepiti odgovornost za svoje napake. Šele takrat se informatiki v podjetjih ne bodo več držali za glavo, ko bodo videli, kako zaposleni, ki imajo prek svojih mobilnih naprav dostop do dokumentov in aplikacij podjetja, z njimi izpolnjujejo osebne podatke za pridobitev kuponov, popustov in drugih ugodnosti, rešujejo ankete tipa: »V kateri državi bi radi živeli?« in podobno.

Informacijska varnost se začne in konča z ljudmi, tehnologija je zgolj orodje v rokah tistih, ki napadajo, in tistih, ki branijo.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

ph

Komentirajo lahko le prijavljeni uporabniki