Slovenski angeli varuhi
Ob 30-letnici Nacionalnega odzivnega centra za kibernetsko varnost (SI-CERT) smo govorili z njegovim dolgoletnim vodjo Gorazdom Božičem. SI-CERT opravlja pomembne naloge na področju kibernetske varnosti. Med drugim sprejemajo prijave incidentov, pomagajo, svetujejo, izobražujejo in opozarjajo. SI-CERT v četrto desetletje delovanja vstopa z dobro kondicijo, kljub čedalje nevarnejšemu svetu pa se zavedanje o pomenu varnosti v javnosti izboljšuje.
SI-CERT je v Sloveniji postal sinonim za kibernetsko varnost. Širša javnost nanj pomisli, ko se varnostni incidenti pojavijo v medijih. Vi SI-CERT vodite, vaš elektronski naslov pa se konča z domeno arnes.si.
SI-CERT je Nacionalni odzivni center za kibernetsko varnost oziroma v angleščini Slovenian Computer Emergency Response Team. Smo del javnega zavoda Arnes, ki se je na neki način začel z internetom v Sloveniji. Ko so internet razvijali v akademskem okolju, je Arnes prevzel nekatere naloge v nacionalni infrastrukturi.
Trenutno imamo dve veliki območji delovanja. Arnes nudi storitve za raziskovalno in izobraževalno sfero, kamor sodi tudi internetna hrbtenica, kjer so vse te organizacije povezane. Drugi del pa je nacionalna internetna infrastruktura, kamor sodijo vozlišče za izmenjavo prometa SIX, register domen in tudi naš oddelek SI-CERT.
Midva se danes pogovarjava na razdalji tisoč kilometrov prek Eduroama, ki je tudi del vaše infrastrukture.
Drži, vse to so Arnesove storitve. Nazadnje sem bil na univerzi v Krakovu na Poljskem na sestanku, kjer sem se prav tako z internetom povezal prek Eduroama. Šlo je zelo gladko.
Če torej začneva s SI-CERT, vi ste del Arnesa. Kako veliki ste? Seznam vaših nalog je impresivno dolg.
Drži. Tam imamo zelo spodbudno okolje, v katerem lahko razvijamo svoje storitve. Naše aktivnosti financira Urad Vlade Republike Slovenije za informacijsko varnost, pristojni nacionalni organ za informacijsko varnost.
Zaposlenih nas je samo 13 in želeli bi biti večji. V primerjavi z drugimi državami zaostajamo, pa ne govorimo o Nemčiji ali Franciji, temveč o Estoniji, Latviji ali Hrvaški, ki so nam podobne po številu prebivalcev in BDP. Nas na SI-CERT je zelo malo in to je težava, ki smo jo tudi predstavili pristojnemu organu v EU.
Kako velik bi SI-CERT želel biti?
Hitro zrasti s 13 na sto, govorim na pamet, ni mogoče. Ne gre samo za vprašanje financiranja in postopkov zaposlitve. Treba je najti ljudi z ustreznim znanjem. Na hitro ne moremo uvesti veliko ljudi, zato je lahko rast samo postopna. Ljudi z leti potem pridobijo znanja, integriramo jih v procese, prepoznamo kakovost. A čeprav smo majhna ekipa, sem osebno zelo ponosen na vse, kar nam uspe narediti. Bi si pa seveda želel vizije rasti in zavezo države, da nas bo podpirala in omogočala rast.
Pa je težko dobiti nove kadre? Zasebni sektor je huda konkurenca.
Ni enostavno, a nam za zdaj dobro uspeva. Nekaj kadrov dobimo tudi iz drugih delov javnega sektorja, na splošno sem s trenutno situacijo zadovoljen. Pogosto dobimo tudi vprašanja vodij iz drugih delov javnega sektorja, kakšen mehanizem imamo za privabljanje kadrov.
In skrivnost je?
Malce tudi to, da se ukvarjamo z zelo specifičnimi problemi, kar lahko odtehta razliko v plači v primerjavi z zasebnim sektorjem. Zlasti Slovenija je premajhna, da bi v zasebnem sektorju našli podjetja, ki bi vlagala veliko denarja v raziskave kibernetske varnosti, kot na primer ameriški Mandiant. Tak poslovni model v Sloveniji zelo težko deluje.
Po drugi strani na SI-CERT razvijamo različne strokovnosti, obratuje laboratorij za analizo škodljive kode, nudimo udeležbo na izobraževanjih, vlagamo v karierni razvoj, razvijamo različne kapacitete. Te potem ponudimo tudi organom pregona, ko jih potrebujejo, znamo narediti različne analize in preiskave. Rekel bi, da smo zelo sposobni, kar potrjujejo tudi naši zaposleni, ki so motivirani in zadovoljni.
In ste tudi v prvi vrsti, ko se zgodijo napadi. Lani smo imeli dva velika izpada infrastrukture, incident Crowdstrike in vdor v Univerzo v Mariboru, ki sta bila na prvih straneh medijev. Koliko pa je incidentov, ki tja ne pridejo?
Ni jih malo. Januarja smo objavili statistiko za preteklo leto, v katerem smo prejeli 4.587 prijav incidentov. Od tega je največ, približno tretjina, primerov ribarjenja (phishing). V teh primerih so tarče komitenti bank, denimo v imenu lažnih dostavnih podjetij.
Precej je tudi spletnih goljufij, denimo investicijskih prevar, v katerih neznanci nagovarjajo posameznike, naj vložijo v neko ničvredno kriptovaluto. Mnogokrat vzamejo celo posojila. Teh primerov je čedalje več, medtem ko se število tako imenovanih ljubezenskih prevar zmanjšuje. Ti primeri, čeprav imajo lahko hude posledice za žrtve, se tehnično vodijo kot lažji incidenti. Tu tudi ne moremo storiti kaj dosti, lahko osveščamo in svetujemo, a nismo policija. V preventivo se morajo vključiti tudi banke, potrošniške organizacije in drugi.
Tehnično zahtevnih incidentov pa je bilo 790, kamor sodi razvpiti primer vdora v Univerzo v Mariboru. Tu je najprej potrebna analiza, kaj se je sploh zgodilo, kako in zakaj. In da že takoj odgovorim na obvezno podvprašanje, ki ga vedno zastavijo …
Koliko je neprijavljenih incidentov?
Kot je rekel Donald Rumsfeld, imamo neznane neznanke (unknown unknowns), ki jih zelo težko ocenimo, saj jih ne vidimo. Nekaj ocen vseeno obstaja. Kolegi v tujini ocenjujejo, da je prijavljenih približno tretjina incidentov. Drugi dve tretjini nista nujno le neprijavljeni, včasih so incidenti tudi neopaženi.
Po naši zakonodaji je prijava obvezna.
To drži za zavezance, ki delujejo v posameznih sektorjih in so že po obstoječem zakonu o informacijski varnosti dolžni prijavljati incidente, ki vplivajo na zagotavljanje bistvenih storitev. Obvezne so prijave za incidente, če presegajo prag, ki določa motnje storitve. V prihajajočem zakonu o informacijski varnosti, ki je bil sprejet konec maja letos, se nabor zavezancev širi, zato lahko pričakujemo več prijav malih in srednje velikih podjetij. Če pa je nekdo tarča nekega ribarskega napada, pri katerem ni nastala škoda, tega morda ne bo prijavil, sploh kadar je poskusov veliko. Lahko da prostovoljno prijavo, ni pa to nujno.
Ko se zgodi večji napad s hudimi posledicami, kako se odzove SI-CERT in kaj najprej svetujete žrtvi? Kakšne so vaše funkcije?
Mi se aktiviramo takoj in pomagamo pri prvih korakih. Ukrepi so zelo odvisni od vrste incidenta. Da ponazorim. Če gre za prevaro, s katero je računovodstvu nekdo podtaknil lažni račun (CEO fraud), je ukrepanje drugačno kot pri napadu z izsiljevalskim virusom, ki morda ravno teče, ali pa napadu s preobremenitvijo (denial of service). Oceniti moramo, kako so napadalci vstopili v sistem, katero ranljivost so izkoristili, kako globoko se je napad razširil. Ugotoviti je treba, ali gre za volumetrični ali aplikacijski napad. Skratka, prepoznati moramo vzorec.
Kako pomembna je časovna komponenta? So napadi, kjer je takojšnji odziv nujen in vsaka ura šteje?
Seveda. Takšni primeri so zlasti v večjih organizacijah, ki imajo dobro konfigurirane sisteme. Njihovi sistemi CM (configuration management) in IDR (incident detection and response) lahko pravočasno prepoznajo anomalije in se sprožijo. Običajno postavijo pregrade, ki zamejijo napad in preprečijo šifriranje podatkov po celotnem omrežju. Tak primer je bil tudi HSE, kjer je bila reakcija hitra, s čimer so omejili obseg napada. To so storile že njihove službe in centri, saj se mi vključimo šele, ko dejansko pride do napada in nas pokličejo.
Lahko podobno kot forenziki analizirate zlonamerno kodo?
To tudi počnemo. Zlonamerno kodo pridobimo, jo v laboratoriju analiziramo in nato podamo priporočila žrtvi, kaj naj stori. Analiza lahko tudi pokaže, kaj vse je ogroženo, kakšne posledice so možne. Na primer, ali je napad meril na poverilnice oziroma digitalna potrdila ali druge podatke, ki se lahko prodajajo na temnem spletu.
Zakaj? Ker je mogoče s temi podatki vdreti v podjetja?
To predstavlja dodatno ogroženost, ki so ji izpostavljena zlasti podjetja. Napadalci lahko merijo na posameznike v podjetju, in ko pridobijo dostop do njihovega elektronskega predala ali računalnika, spremljajo komunikacijo in poslovanje. Če je tarča nekdo v nabavi, storilci spremljajo njegovo delo in v ključnem trenutku vskočijo v komunikacijo s pretvezo, da se je spremenil bančni račun ali kaj podobnega. To je relevantno, ko slovenska podjetja poslujejo s tujimi.
Za tak napad običajno izvemo šele po odtujitvi sredstev, čeprav se je začel že s phishingom oziroma vstopom v poštni predal. V teh primerih je treba preveriti, kako je nastavljen poštni predal, ali so kakšni znaki phishing napada. Pomembno je ugotoviti, ali se je zloraba zgodila v slovenskem podjetju ali tujem podjetju, ker je to relevantno pri morebitnih odškodninah.
Kako je s preiskanostjo vdorov in napadov? Vi niste organ pregona, a sodelujete tudi z njimi.
Ena izmed naših osnovnih funkcij je gradnja situacijskega zavedanja. To je bil med drugim tudi razlog za ustanovitev prvega CERT v ZDA in tudi naša naloga je spremljanje stanja v Sloveniji. Da pa bi podrobno preiskali vsak napad in lovili storilce, ni mogoče. Pri zahtevnih incidentih, kadar gre za ključno infrastrukturo (kot na primer HSE), se seveda storilci intenzivno iščejo. Za manjša oškodovanja in zelo splošne napade pa ne. Če karikiram, iluzorno je pričakovati, da se bo za oškodovanje nekaj sto evrov aktiviral celotni mednarodni pregon, ki je med drugim zelo drag. Večina storilcev tudi deluje iz držav, kjer je mednarodni pregon tako rekoč nemogoč. Najdejo pa se tudi primeri, ko so storilci domači.
Delujemo namreč že 30 let in imamo dobro razvejano mrežo ljudi, ki prijavljajo incidente. Ko smo poleti 2023 opazili povečano število phishing napadov, ki so se začenjali s sporočili sms, smo stopili v kontakt z mobilnimi operaterji. Podatkov o naročnikih nam seveda ne smejo posredovati, smo jih pa vprašali, ali so omenjeni sms-i izvirali iz njihovih omrežij ali pa so imeli potvorjeno številko (spoofing). Ugotovili smo, da gre za dejanske stranke v omrežju in da uporabljajo predplačniške kartice SIM, ki so bile kupljene v Sloveniji. Podatke smo nato posredovali policiji, ki ima več pooblastil. Na koncu so v Mariboru aretirali štiri tuje državljane, ki so poslali okrog 50.000 sporočil.
Storilce je torej mogoče odkriti.
Da, toda ta primer je bolj izjema kot pravilo, ker so bili storilci v Sloveniji. V trenutni geopolitični situaciji ni pričakovati, da bo pregon mednarodnega kriminala postal lažji ali da se bodo zgodile kakšne korenite spremembe.
Kar se tiče ljubeznih prevar, ki so pogoste iz Afrike, ter različnih investicijskih prevar, lahko ljudje največ storijo sami. Če nekdo obljublja zaslužek 3.000 evrov tedensko v oglasu na Facebooku, se moramo vprašati, zakaj tega posla ne zagrabijo vsi.
Ko je enkrat denar nakazan, po možnosti v kriptovalutah, ko potuje skozi mešalnike (mixer) in pralnice denarja (tumbler) do različnih borz, se sled za njim izgubi. Videli smo že konkretna oškodovanja, celo do 140.000 evrov.
Kaj pa preventiva?
Da, tudi to je pomemben del naših aktivnosti. Iz več virov pridobivamo podatke o stanju ranljivosti v Sloveniji. Ko se pojavi kakšna kritična, lahko sprožimo obveščanje kot v primeru nezakrpanih (zero-day) lukenj v Microsoftovem Exchangeu v zadnjih letih. Podatke dobimo tudi od tujih partnerjev, kot je Shadowserver Foundation, ki izvaja skeniranje interneta vsakih 24 ur. Kot nacionalni center dobimo podatke za celotno Slovenijo, ki jih nato razkosamo po operaterjih. Včasih vidimo celo, na katero domeno se nanašajo, in tedaj lahko njenega nosilca pozovemo, da namesti popravke.
Kako to storite?
Dokler samo slutimo, da se bo nekaj zgodilo, lahko le opozarjamo, nimamo pa vpliva na to, kaj se zgodi na drugi strani. Rezultate pa spremljamo in potem te grafe, kako se zmanjšuje število ranljivih sistemov, pogosto kažem na predavanjih. Zanimivo je, da se število približuje ničli, a jo redko doseže.
Nekaj sistemov torej ostane ranljivih.
Da. O vzrokih lahko le ugibamo, imamo pa tri teorije. Nekatera podjetja so verjetno v stečaju ali kako drugače neoperativna in tam preprosto ni nikogar, ki bi naša elektronska sporočila sploh prebral, saj je celotna IT-ekipa že zdavnaj v drugi službi. Druga skupina so podjetja, ki nimajo javno objavljenih elektronskih naslovov, zato lahko sporočilo pošljemo le na splošni naslov info@domena.si. Kdo to bere in ali sploh razume, kaj sporočamo, je drugo vprašanje. Tretja možnost pa je, da imajo takrat v podjetju neko drugo izredno situacijo, zato se s sporočilom nihče ne ukvarja. Morda se IT-jevci iz različnih razlogov ne morejo odzvati, morda nimajo podpore vodstva ali sredstev.
Imeli smo primer ustanove v javnem sektorju, ki smo jo obvestili o ranljivosti. Njihov odgovor je bil, da se za obvestilo zahvaljujejo in da bodo dali nadgradnjo v načrt nabave za prihodnje leto. Ampak njihova naprava sploh ni bila več podprta in zanjo popravkov ni bilo mogoče več dobiti, zato so bili izpostavljeni napadu z izsiljevalskimi virusi. Znotraj SI-CERT smo potem imeli resno debato, a ugotovili smo, da več ne moremo storiti. Mi smo izpolnili svojo odgovornost, a potrebujemo tudi sogovornika na drugi strani. Istočasno pa nas čaka še pet novih primerov, ki se jim tudi moramo posvetiti.
Bi potem rekli, da je situacija v javnem in zasebnem sektorju, ko govorimo o varnosti, bistveno različna? Kdo več vlaga v varnost, kdo je bolj zaščiten?
Na to je zelo težko enoznačno odgovoriti, morda lahko pogledamo povprečja. So deli javnega sektorja, kjer je za varnost zelo dobro poskrbljeno, in imamo takšne, kjer ni in je prostora za izboljšave zelo veliko. V zasebnem sektorju pa je razlika predvsem v velikosti podjetij. Velika podjetja, ki po možnosti delujejo na mednarodnih trgih, imajo običajno precej visoko stopnjo zavedanja o varnosti. Večji problem so mala in srednja podjetja, ki pogosto nimajo niti virov niti kadra.
Mi jim poskušamo namenjati čim več pozornosti, kar je zlasti pomembno pri incidentih. Takrat jim lahko pomagamo in svetujemo, kam pogledati, kje iskati podatke, katere dnevniške datoteke analizirati, kako povezati podatke z dogodki. Seveda se nikomur ne vsiljujemo, obstajajo pa zakonske zahteve.
Pripravljate tudi številne kampanje.
Zadnji odmeven primer je kampanja Varni v pisarni, ki je brezplačni 30-minutni spletni tečaj, namenjen vsem zaposlenim. Zdaj pa razvijamo modul za obravnavo incidentov. Vidimo namreč, da je odzivanje težava, zlasti kaj so prvi koraki, kako pristopiti, če se zgodi.
Slovenija je majhna, marsikdo se tolaži, da je nepomemben in nezanimiv za napade. Smemo tako razmišljati?
Tu gre za tri dejavnike. Prvič, spletni kriminalci se vedejo zelo oportunistično. Tarč ne izbirajo načrtno, temveč iščejo odprta vrata in v naslednjem koraku poskusijo to monetizirati. Imamo več akterjev. Ena skupina deluje s trojanci in zbira podatke o uporabnikih, ki jih potem prodajo na temnem spletu, sami pa se ne ukvarjajo z vdori. Druga skupina se ukvarja z izsiljevalskimi virusi in od te prve skupine kupujejo podatke za dostop do omrežij. Nekoč je bil najpogostejši vektor oddaljeni dostop v Windows (RDP), danes pa se napadi zgodijo prek dostopa zaposlenega do VPN. Tu pomaga, da imamo vključeno dvostopenjsko preverjanje identitete.
Drugi dejavnik je položaj naše države, saj smo člani EU in Nata. Ker smo majhni, imamo tudi manj virov za zaščito infrastrukture v državi, zato smo zanimivi kot vstopna točka. Tu je pomembno, da je naša zaščita res na nivoju, kar budno gledajo tudi naši zavezniki.
Tretji dejavnik pa je ravno nasproten, in sicer pri izsiljevalskih napadih nam majhnost pomaga. V Sloveniji nimamo veliko podjetij, ki bi bila sposobna ali pripravljena plačati milijonske odkupnine. Izsiljevalci zato raje napadajo velike multinacionalke v tujini, kjer lahko zaslužijo več. To ne pomeni, da pri nas izsiljevalskih napadov ni, so pa v upadu. Pred leti smo jih imeli od pet do šest na mesec, zdaj tri do štiri. Ker so naša podjetja manjša, so odkupnine nižje, tja do 20.000 evrov. Tarče se tudi spreminjajo. V zadnjih tednih so v tujini popularne tarče trgovske verige, denimo Marks & Spencer v Veliki Britaniji, nekaj indicev kaže tudi na napad na Eurospin na Hrvaškem.
Se v podjetjih zaradi tega bolj zavedajo pomena varnosti?
V večjih podjetjih se tega zavedajo, kar vidimo zlasti ob medijskih odmevnih incidentih. Tedaj se obračajo na nas z vprašanji po priporočilih in predlogih. Tudi tisti, ki doslej niso bili zavezanci po zakonu, pa bodo to postali po novem zakonu, kažejo pristen interes in pripravljenost za sodelovanje. Situacija je boljša kot pred desetimi leti, zagotovo. Hkrati pa danes mnogo več poslujemo prek interneta kot pred desetimi leti, naše življenje je prepleteno z njim. Počasi so se tudi vodstva podjetij zavedela, da so potrebne investicije. V novem zakonu smo tudi predlagali, da za varnost niso odgovorni vodje informacijske varnosti (chief information security officer), temveč da je odgovorno vodstvo, ki mora ekipi za kibernetsko varnost zagotoviti vire, da lahko opravlja svoje delo.
