Pametni telefoni

Hakerski napadi sve su češći i sofisticiraniji. Mete su zbog sveopće digitalizacije i mobilnosti sve ranjivije i sve su interesantnije male tvrtke, koje se mogu susresti s općim prijetnjama zloćudnih softvera (malware), ali i s ciljanim napadima, gdje ih se koristi kao slabu kariku kako bi se došlo do većih tvrtki. No u malim tvrtkama rijetko se razumiju razmjeri rizika. Stvari, nažalost, jasnije postaju tek kada se netko ‘opeče’.

Zbog masovne uporabe pametni telefoni postali su česta meta napada, znatno utječu na ranjivost tvrtki jer malo korisnika redovito ažurira operacijski sustav i ima neki oblik antihakerskog softvera i softvera protiv ‘malwarea’. Broj zločudnih softvera za mobilne operacijske uređaje drastično raste. Samo prošle godine zabilježeno je 167 posto više raznih zločudnih aplikacija u odnosu na prethodnu. Web-trgovine su dobra potencijalna meta hakerima, to više što sadržavaju razne podatke o korisnicima i transakcijama. Tvrtke koje nude usluge računarstva u oblaku obično imaju vrlo visoku razinu sigurnosti, no ako se dogode propusti u konfiguraciji ili otkrije nova prijetnja, prve će biti na udaru jer probij u njihovim servisima znači da će napadač doći do goleme količine podataka mnogih tvrtki. Osim sigurnosnih prijetnji, društvene mreže obiluju informacijama o pojedincima koje napadači mogu iskoristiti za razne taktike socijalnog inženjeringa. Nezadovoljni zaposlenici, pogotovo oni s jačim tehničkim znanjem, također predstavljaju rizik, osobito u vrijeme kada se zbog krize i restrukturiranja tvrtki dijeli više otkaza.

Prema istraživanju provedenom u suradnji s Kaspersky Lab-om, prosječni trošak povrede podataka za male i srednje tvrtke diljem svijeta može iznositi i do 47 tisuća američkih dolara. Ta svota uključuje izgubljene poslovne prilike, trošak zapošljavanja vanjskog IT stručnjaka za popravak štete te potencijalno nabavu nove opreme. Jedan od razloga pomicanja fokusa napada s velikih korporacija na manje tvrtke je i ulaganje u informacijsku sigurnost, gdje velike korporacije, a pogotovo financijske institucije, prednjače. Male tvrtke tako postaju idealna meta – napadač može nekako ‘monetizirati’ takav napad, a one vrlo rijetko ulažu u informacijsku sigurnost. Od najčešćih napada, izdvojene su dvije grupe: napad izravno s interneta putem ranjivosti u nekom sustavu na internetu, najčešće web-aplikacijama, te napad upotrebljivim socijalnim inženjerima (npr. phishing).

Jedan od velikih rizika koji primjećujemo je krađa/gubitak podataka. S obzirom na to da korisnici sve više poslovno osjetljivih informacija drže na prijenosnim uređajima, nužna je kontrola nad tim podacima pomoću tzv. DLP (Data Leakage Protection) produkata, koji omogućavaju označavanje osjetljivih informacija i onemogućavanje korisnika u slanju tih dokumenata npr. mailom na vanjske adrese, kopiranje na USB medije i slično. Na taj način može se do određene mjere povećati razina sigurnosti kritičnih dokumenata, gdje smo vidjeli više slučajeva kompromitiranja i u Hrvatskoj. Promjena poslovne okoline i načina poslovanja sigurno olakšavaju posao hakerima. Nema sumnje da je recepsija imala utjecaja na sigurnost budući da tvrtke imaju manje novca za investiranje u zaštitu i to u vrijeme kada se uvelike mijenja poslovna praksa pod utjecajem mobilnosti, trenda BYOD (bring your own device) itd.

Ranjivosti se vrlo često otkrivaju u operacijskim sustavima mobilnih uređaja jer su učestala meta napada upravo zato što prestigli stolne uređaje u svakodnevnoj upotrebi. Samo malobrojni korisnici pametnih telefona redovito ažuriraju operacijski sustav i imaju neki oblik zaštite. Osim toga, zločudni softveri za mobilne operacijske uređaje u drastičnom su porastu. Samo prošle godine zabilježeno je 167 posto više raznih zločudnih aplikacija u odnosu na prethodnu. Intelovi stručnjaci za sigurnost navode da se u prosjeku detektira 200 novih prijetnji svake minute. Web-trgovine su, dodaje Jerković, dobra potencijalna meta hakerima jer sadržavaju razne podatke o korisnicima i transakcijama.

U ekonomskoj krizi korporacije obično smanjuju investiranje u razne segmente među koje se ubrajaju i ono u IT infrastrukturu, što je jedan od uzroka povećane opasnosti od kiberkriminala. Više nezaposlenih, općenito negativna stajališta prema bankama i velikim korporacijama te sve veća rasprostranjenost interneta i alata za hakiranje koji ne zahtijevaju programersko znanje svakako su ključni razlozi povećavanja kiberkriminala. Globalna ekonomija trpi petstotinjak milijardi dolara gubitaka na godinu zbog različitih oblika hakerskih napada. Stručnjaci procjenjuju da su ti napadi indirektni uzrok petsto tisuća radnih mjesta manje samo u SAD-u zbog masovne štete prouzročene intelektualnom vlasništvu, povjerljivim korisničkim i strateškim informacijama te zbog uništenog ugleda tvrtki. U Hrvatskoj je teško naći egzaktne statističke podatke, no izvještaji raznih domaćih IT sigurnosnih tvrtki pokazuju da se ti svjetski trendovi mogu primijeniti i kod nas. Treba imati na umu da statistike često nisu odraz stvarne situacije jer tvrtke upravo radi očuvanja ugleda pokušavaju prikriti IT sigurnosne incidente.

Male tvrtke sve su više mete napada, no to djelomično ovisi kojim se poslovanjem bave, dakle rizik nije podjednak za sve. One koje su više orijentirane na web, npr. portalni, web trgovine i slično, češće će biti mete napada. Hakeri uglavnom skeniraju standardizirane propuste na javno dostupnim servisima, uglavnom web-sjedištima, te u skladu s time napadaju nakon što dobiju informaciju da je napad izvediv, tj. da je tvrtka ranjiva. U tim slučajevima njihov je motiv dobiti što više raznih korisnih informacija, posebno o korisnicima, dakle njihova imena, adrese e-pošte, telefonske brojeve, adrese, što su sve vrijedne informacije na crnom tržištu. Ako je napad potekao iz lokalne zajednice, u tom slučaju motivi za napad mogu biti izazvani emocijama pojedinaca kao što su ljubomora, mržnja, zavist, povrijeđenost i slično. U tom slučaju vrsta napada ovisi o sposobnosti i ekonomskom statusu pojedinca. Opće stanje svakako će izazvati i porast broja napada i na manje tvrtke ako se pojedincu omogućava dobivanje financijske koristi.

Imaju li tvrtke uopće prikladne alate za borbu protiv napada? Koriste li se starom tehnologijom za bitke budućnosti? Imaju, samo je upitno koliko su spremne ulagati u nove tehnologije za otkrivanje i sprečavanje napada. Stara tehnologija za zaštitu jednaka je ratovanju s kopljem i mačem protiv nekoga tko na vas ide sa strojnicom. Ako se koristite starom tehnologijom za zaštitu, budite spremni na posljedice. Ako se sigurnosni incidenti ne događaju, to ne znači da ne postoji plodno tlo za njih.

Ako se ne ostvari, za očekivati je povećavanje broja informatičkih napada i njihove ozbiljnosti. Kako se uopće zaštiti kada nema rješenja koje jamči stopostotnu sigurnost? Ne postoji jedno rješenje za informacijsku sigurnost (tzv. silver bullet). Za dobru informacijsku sigurnost potrebno je ulagati u sve segmente IT-a: tehničke, administrativne i fizičke. To znači da je sigurnosne kontrole potrebno ugraditi na što je moguće više razina, čime se postiže tzv. defense in depth. Situacija je takva da, na žalost, visoku razinu zaštite trebaju ostvariti kako male, tako i velike tvrtke. Tvrtke bi trebale redovito testirati svoju računalnu mrežu i poslužiteljsku infrastrukturu za razne oblike ranjivosti koje se otkrivaju. Na sličan način trebale bi biti svjesne ranjivosti poslovnih aplikacija koje se svakodnevno upotrebljavaju unutar kompanije ili od kuće. Posebnu pažnju treba posvetiti osiguranju i nadzoru javno dostupnih servisa (email, web-serveri i sl.) i pametnih telefona jer su oni vrlo često izvori sigurnosnih prijetnji.

No statistike pokazuju da je, dodao je Jerković, velika većina hakerskih napada posljedica nemara zaposlenika budući da tvrtke ne provode adekvatnu edukaciju zaposlenika o sigurnosnim praksama i procedurama kod upotrebe aplikacija i podataka za poslovnu komunikaciju. I malim i velikim kompanijama zajednički je ljudski faktor – uvijek neki zaposlenik klikne neki link ili privitak. U Kasperskom smatraju da se malo poduzeće mora usmjeriti na probleme koji su ključni za pojedinu tvrtku ili za područje u kojem posluje te odabrati dobavljača sigurnosnih usluga koji može nadograditi usluge u skladu s rastom njihovog poslovanja. Na početku mala poduzeća trebaju osnovnu zaštitu koju može pružiti antimalware softver i vatrozid. Jednom kad tvrtka postane operativna i počne obrađivati narudžbe, potrebna joj je tehnologija enkripcije podataka kako bi mogla zaštititi informacije o plaćanju te informacije o korisnicima. Ako tvrtka počne zapošljavati djelatnike koji rade izvan ureda, tada su poželjne značajke osnovne mobilne sigurnosti. Načelno, svi se brinu o sigurnosti, ali u stvarnosti, upozorio je Juranić, ta briga i nije toliko velika. A sigurnost je dinamičan proces, ako ste danas sigurni, ne znači da ćete biti sutra. Ako se ne prilagođavate, ne mijenjate, ako ispitivanje sigurnosti ne prihvatite kao ozbiljan permanentan proces, pogotovo ako niste inventivni, onda nemate mnogo šanse. S druge strane, svake sekunde pojavljuje se novi virus. Procjena kibernetičkog rizika za 2015. je, kazao je Jerković, u vrhu, a smatra se da su tvrtke nepripremljene da adekvatno odgovore na te prijetnje. Postoji samo djelomična svijest o rizicima, a menadžment rijetko razumije koji su njihovi stvarni razmjeri. Stvari, nažalost, postaju jasne tek kada se netko ‘opeče’ i kada se taj ‘imaginarni’ rizik pretvori u opipljivi incident u neposrednom okruženju.

Globalna ekonomija trpi petstotinjak milijardi dolara gubitaka na godinu zbog različitih oblika hakerskih napada.