Česa na spletu bi se morali poslovni uporabniki najbolj bati?
Pomanjkanja vpogleda. Vsi smo obremenjeni, uporabljamo veliko varnostnih rešitev, ki nam vsak dan sporočajo vse dogodke in alarme. Zaradi pomanjkanja resursov teh dogodkov in alarmov preprosto ne spremljamo aktivno, časa za proaktivno iskanje varnostnih groženj je še manj. Celoten trend kibernetske varnosti in groženj kaže, da bo treba čim več orodij in analiz avtomatizirati. Strah nas je lahko tega, da bodo napadalci prej izkoriščali dane možnosti avtomatizacije kot mi, ki ščitimo občutljive in vredne podatke.
Kaj je novega na področju kibernetske varnosti?
Kibernetska varnost zelo napreduje. Na začetku so bile dovolj definicije za zaznavanje posameznih škodljivih programov, zdaj je vse skupaj napredovalo v tehnike opazovanja groženj – tako na delovnih postajah in strežnikih kot na omrežni ravni. Te v zadnjih letih močno prehajajo na področje strojnega učenja in umetne inteligence. Tehnologija, ki nam omogoča hitro analizo in hitre odločitve, privede do tega, da poslovno omrežje hitreje in z manj stroški očistimo ob morebitnem varnostnem incidentu.
Katere so največje spletne nevarnosti za podjetja, kje so ob vdoru v njihovo IT-okolje najbolj ranljiva?
Največja nevarnost je pri uporabnikih. Narašča število groženj, ki v podjetja vstopajo prek elektronske pošte. Navadno so to odlične kopije legitimnih sporočil poslovnih partnerjev, ki naslovnika nagovarjajo k plačilu, odprtju priponk ... V teh primerih je velika odgovornost na zaposlenih, da uspešno ločujejo legitimna sporočila od poskusov napada.
Taki napadi v večini primerov neposredno oškodujejo podjetje, bodisi prek bančnih nakazil bodisi z zahtevanjem odkupnine v primeru kriptiranih podatkov. Vse več je tudi primerov, ko podjetje ni neposredno oškodovano finančno, ampak gre le za izkoriščanje poslovne infrastrukture za rudarjenje kriptovalut.
Število napadov prek elektronske pošte se povečuje, saj so obrambni sistemi (protivirusna zaščita, požarne pregrade, redno posodabljanje programske opreme, strog varnostni pravilnik glede pravic uporabnikov ...) pripomogli k temu, da napadalcem zmanjšujemo možnosti izkoriščanja znanih ranljivosti.
Omenjeni napadi navadno sodijo v skupino množičnih napadov, ki so oportunistični in računajo na naivnost ali nepazljivost uporabnikov. Če gre za načrtovan napad, pa je ta bolj specifičen in uporabniki tako rekoč ne ločijo več med pravim in napadalskim sporočilom. V takšnih primerih so potrebne rešitve, ki so sposobne odzivanja na incidente in čimprejšnje zaznavanje vdora.
Kakšne so finančne posledice, če se podjetja ne odzovejo pravočasno?
Posledice za podjetja so lahko različne. Globalno gledano, povprečen vdor podjetje oškoduje za 3,5 do štiri milijone dolarjev. V Sloveniji statistiko vodi SI CERT, ki za prijavljene varnostne incidente poroča, da so najvišji plačani zneski za izsiljevalski virus tudi do 15 tisoč evrov, oškodovanje v primeru vrivanja v poslovno komunikacijo je v povprečju 13.640 evrov na incident, najvišji plačan znesek pa je bil 40 tisoč evrov. Še vedno se pojavljajo tudi nigerijske prevare, ki so leta 2016 nekoga oškodovale za sto tisoč evrov, lani pa za 20 tisočakov. V vseh omenjenih primerih pa je najpogostejši vektor vstopa v omrežje prav elektronska pošta.
Kako umetna inteligenca spreminja kibernetsko varnost?
Umetna inteligenca je nedvomno naslednja stopnja varnostnih rešitev. Tudi analitska hiša Gartner predvideva, da bodo vsi večji ponudniki varnostnih rešitev do leta 2020 v svoje produkte in storitve vpeljali katero od oblik umetne inteligence, strojnega učenja ali naprednih algoritmov za opazovanje vedenja uporabnikov, naprav ali tudi procesov na posameznih napravah. Na trgu so že rešitve, ki v celoti temeljijo na izkoriščanju umetne inteligence za analizo vseh varnostnih dogodkov in omogočajo uporabnikom precej hitrejši odziv za odpravo incidenta.
Ker pa je kibernetska varnost vedno skupek treh stvari (ljudje, tehnologija in procesi), gredo rešitve in storitve v to smer, da se strankam ponuja storitev odzivanja na posamezne grožnje, torej storitve v obliki »detect and respond«. Take storitve uporabljajo napredne tehnologije, tudi umetna inteligenca, skupaj z izurjenimi in izkušenimi strokovnjaki, ki strankam pomagajo pri odpravi incidenta.
Ali je internetna varnost preslabo regulirana?
Regulacij je na tem področju precej, tu je seveda najbolj znan GDPR, ki poslovnim uporabnikom narekuje prijavo vseh zaznanih incidentov, kadar gre za dostop do uporabniških podatkov. Tu je še nekaj drugih regulacij, ki so predvsem povezane s sledljivostjo po panogah industrije (finance, zdravstvo ...), ki poslovnim uporabnikom sicer narekuje sledljivost, hkrati pa pušča odprte roke pri izbiri rešitev. Področje, na katero podjetja po mojem mnenju najmanj vlagajo in je hkrati tudi najbolj ranljivo, so industrijska oziroma procesna omrežja (še posebej pri kritičnih infrastrukturah, kot so energetika, oskrba z vodo ...). Tu narašča število napadov, saj je veliko tovrstnih omrežij še vedno nezaščitenih ali pa so premalo ščitena. V Evropski uniji je parlament pripravil direkcijo za zaščito omrežij in informacijskih sistemov, ki nalaga državam članicam, da morajo imeti odzivni center, vpeljano izmenjavo informacij med članicami in ukrepe za primerno zaščito kritičnih sektorjev (energetika, promet, oskrba z vodo, finance, zdravstvo, digitalna infrastruktura ...). Posamezne države članice, na primer Nemčija in Francija, so uvedle dodatne regulative, ki nalagajo podjetjem skrb za IT-infrastrukturo z namenom izboljšati varnostno raven, hkrati pa zagotoviti dostopnost, sledljivost, zaupnost.
Nam lahko na praktičnem primeru predstavite, koliko je podjetje prihranilo z ustrezno zaščito oziroma koliko bi lahko izgubilo, če ne bi bilo zaščiteno?
Glede primerov pa je zgodba malo drugačna: podjetja, ki aktivno uporabljajo naše produkte, so v preteklosti bila zaščitena tudi proti medijsko najodmevnejšim napadom (WannaCry, NotPetya ...). Za te konkretno lahko trdimo, da so z uvajanjem naših rešitev prihranila mnogo stroškov, s katerimi bi se srečala pri odpravi okužbe – pogledamo lahko samo statistiko SI CERT za Slovenijo (samo plačana odpravnina je znašala 40 tisoč; drugi stroški niso vključeni). Najodmevnejši napad te vrste je doživelo podjetje Maersk, ki je potrebovalo 14 dni, da je povrnilo vse sisteme iz backupov in naredilo ročni popis vseh manjkajočih podatkov. V tem času so stroški zrasli na več kot 350 milijonov dolarjev. V Sloveniji se je podobno zgodilo v Novem mestu. Vsem tem primerom pa je skupno to, da je naložba v večletno zaščito manjša od stroškov sanacije.
