Petek,
7. 12. 2018,
14.43

Osveženo pred

6 let

Oglasno sporočilo

Natisni članek

Natisni članek

PR članek Zavarovalnica Triglav

Petek, 7. 12. 2018, 14.43

6 let

Strokovni posvet "Kibernetska tveganja – nova realnost: Kako jih upravljati?" v centru Triglav Lab

Kibernetski incidenti: Ni vprašanje, ali se bo zgodilo, temveč kdaj se bo zgodilo

Oglasno sporočilo

Čas razširjenosti informacijsko-komunikacijskih sistemov in omrežij prinaša številne prednosti in koristi, sočasno pa naraščajo tudi kibernetske grožnje, zlasti nevarnost kibernetskih napadov na informacijske sisteme, računalnike ter mobilne in druge pametne naprave. Globalne finančne posledice kibernetskih tveganj iz leta v leto naraščajo in letno obsegajo več sto milijard dolarjev. Med tveganji izstopa kibernetski kriminal. V več kot 60 odstotkov načrtovanih napadov so tarče kibernetskega kriminala mala in srednja podjetja. To je ena izmed ugotovitev posveta "Kibernetska tveganja – nova realnost: Kako jih upravljati?", ki ga je v torek, 4. decembra 2018, z namenom ozaveščanja o kibernetskih tveganjih organizirala Zavarovalnica Triglav.

Zavarovalnica Triglav | Foto:

Pomena kibernetskih tveganj se države in mednarodne organizacije vedno bolj zavedajo. Svetovni gospodarski forum (WEF) tako na primer kibernetska tveganja opredeljuje kot eno izmed naraščajočih varnostnih groženj. Kibernetskih tveganj se zavedamo tudi v Sloveniji, saj je vlada leta 2016 sprejela Strategijo kibernetske varnosti, katere namen je okrepiti sistem kibernetske varnosti in področje sistemsko urediti, je na začetku posveta izpostavil moderator Anže Tomić, spletni urednik Valu 202 in avtor poddaje Apparatus, ki se tudi sam ukvarja s področjem kibernetske varnosti.

Kdo je izpostavljen nevarnosti?

Mag. Bojana Kifnar Strmčnik iz Pozavarovalnice Triglav Re, poznavalka področja kibernetskih tveganj in njihovih posledic za gospodarstvo, je med dejavniki, ki najbolj krepijo izpostavljenost kibernetske nevarnosti, naštela naslednje: internetne strani, informacijske sisteme in tehnologijo poslovanja v oblaku, sisteme za pošiljanje elektronske pošte ter mobilne naprave, strojno opremo in internet stvari (IoT). Naštela je primere odmevnejših kibernetskih oziroma varnostnih incidentov, ki so jih v preteklosti doživela številna znana podjetja in tako postala tarče hekerjev oziroma kiber kriminalcev: Yahoo, Sony, Amazon, Uber, Merck in Maersk. Našteta podjetja so zaradi napadov utrpela več stomilijonsko škodo.

Tarča kibernetskega kriminala pa so največkrat, v več kot polovici poskusov, mala in srednja podjetja, pri čemer je skoraj polovica vseh napadov globalno gledano usmerjena na družbe z manj kot 250 zaposlenimi. Posledice napadov so različne in segajo od materialne škode, ki po ocenah dosega na svetovni ravni skoraj 500 milijard dolarjev na leto, do izgube ali poškodovanja pomembnih podatkov, njihove zlorabe in okrnjenega ugleda podjetij, kar se posledično kaže tudi v občutnem upadu prodaje izdelkov oziroma storitev. Po raziskavah lahko namreč odstotni upad ugleda podjetja privede do triodstotnega upada prodaje.

Zavarovalnica Triglav | Foto:

Eno izmed ključnih tveganj za podjetja je tako imenovani socialni inženiring, ki se kaže na več načinov: "Namen socialnega inženiringa je: zbiranje informacij o tarči, kraja podatkov in povzročitev škode. Napadalci se pri tem poslužujejo različnih načinov, na primer pošiljanja lažne elektronske pošte, phishinga, namestitve zlonamerne strojne ali programske opreme in ponarejanja identitete," je na posvetu opozoril etični heker Milan Gabor, direktor in lastnik podjetja Viris. Tudi Gabor navaja internet stvari kot eno izmed najbolj ranljivih področij, saj lahko napadalci preko ene vstopne točke dostopajo do več naprav, povezanih v omrežje. Enako kritična so tudi javna brezžična omrežja. Zato Gabor uporabnikom omrežij in naprav, povezanih s spletom, svetuje previdnost in našteva naslednje varnostne ukrepe: "Pazite, kje in komu omogočate dostop do osebnih podatkov. Preverite identiteto oseb, s katerimi poslujete ali v okviru svoje dejavnosti drugače sodelujete. Ko v podjetju podeljujete pooblastila zunanjim izvajalcem, bodite previdni, sodelujte samo s preverjenimi in uveljavljenimi partnerji."

Po navedbah Tadeja Hrena iz SI-CERT, nacionalnega odzivnega centra za kibernetsko varnost, število prijavljenih kibernetskih incidentov iz leta v leto narašča. Hren je poudaril, da bo v tem letu število incidentov, ki jih bo obravnaval SI-CERT, preseglo številko 2.300. Med najpogostejšimi incidenti so škodljiva koda, prevare pri spletnem nakupovanju, poskusi vdorov prek gesel oziroma tako imenovani phishing, pa tudi prevare s skeniranjem in tipanjem naprav in tako imenovane nigerijske prevare, ki se dogajajo preko e-pošte. "Napadalci na tehnologijo so se postopno preusmerili na napade na človeka, ki je pogosto najšibkejši člen v verigi informacijske varnosti."

Podobno je navedel Marko Zavadlav iz podjetja Unistar, ki je partner Zavarovalnice Triglav na področju zavarovanja kibernetske zaščite in odzivanja na kibernetske incidente: "Ključ do kibernetske varnosti so ljudje, človek je tisti, od katerega je največkrat odvisno, ali bodo informacijsko-komunikacijsko sistemi varni in dovolj odporni na kibernetske nevarnosti."

Število prijavljenih kibernetskih incidentov, ki jih je v zadnjem desetletju obravnaval SI-CERT. Število prijav iz leta v leto narašča. Če so pred leti prednjačili tehnični incidenti, so v zadnjem času pogostejše goljufije in prevare. | Foto: Število prijavljenih kibernetskih incidentov, ki jih je v zadnjem desetletju obravnaval SI-CERT. Število prijav iz leta v leto narašča. Če so pred leti prednjačili tehnični incidenti, so v zadnjem času pogostejše goljufije in prevare.

Klemen Kraigher Mišič, nekdanji državni nadzornik za varstvo osebnih podatkov, zdaj pa direktor Info hiše, ki je specializirana za varstvo osebnih podatkov, je dejal, da Evropa pri zavedanju nevarnostih kibernetskih groženj nekoliko zaostaja za območji, kot so na primer ZDA. "Podjetja, ki upravljajo in obdelujejo zbirke osebnih podatkov, se morajo zavedati, da gre za posebej občutljivo področje, ki prinaša tudi veliko odgovornost. Opozoril bi na tako imenovano revizijsko sled, ki podjetjem narekuje, naj zagotovijo avtentičnost in možnost nespreminjanja revizijske sledi. Temu morajo zlasti slediti večja podjetja, manjša pa naj revizijsko sled uporabljajo kot dobro prakso, ki lahko učinkovito prepeči zlorabe osebnih podatkov."

Neprijetne izkušnje slovenskih podjetij

Udeleženci popoldanskega posveta, ki je bil v digitalnem centru Triglav Lab v Ljubljani, so lahko prisluhnili tudi izkušnji dveh podjetij, ki sta doživeli kibernetski napad. V enem primeru je šlo za napad na informacijsko-komunikacijski sistem podjetja, ki oddaja radijski program: podjetje je dan po napadu ostalo brez vse računalniške infrastrukture, v času napada niso pomagali niti trije požarni zidovi niti certificirana programska zaščita. "Sistem je bil popolnoma blokiran, bili smo brez možnosti ukrepanja. Sistem je 'počepnil' v vsega šestih minutah. Ko je bilo vsega konec, smo prejeli prijazno sporočilo v guglovski slovenščini in navedbo zneska z nekaj ničlami, ki ga moramo plačati, če želimo vračilo podatkov," je povedal predstavnik podjetja. Kljub temu, da so bili računalniki in trdi diski popolnoma uničeni, je podjetju po sedmih dneh s pomočjo strokovnjakov uspelo rešiti vse podatke. Obravnavo primera so prevzeli območja policijska postaja, ministrstvo za notranje zadeve in – ker je bil napad voden iz tujine, iz Malezije – tudi Interpol.

Zavarovalnica Triglav | Foto:

Pri drugem podjetju je šlo za napad izsiljevalskega virusa, ki se mu je v informacijski sistem uspelo prebiti s pomočjo datoteke word, po aktivaciji pa je sistemu onemogočil dostop do datotek in elektronske pošte. Šlo je za občutljive poslovne podatke, saj se podjetje ukvarja z računovodstvom, izobraževanjem in poslovnim svetovanjem. Podatke so rešili tako, da so izsiljevalskemu virusu, t. i. "ransomware", plačali zahtevanih 450 evrov za ponovni dostop. Od napada v podjetju s podatki ravnajo bolj skrbno. Po napadu so vsi zaposleni zamenjali gesla za dostop do sistema, na računalniške naprave so namestili dodatno zaščito. V podjetju ugotavljajo, da je eden od najpomembnejših ukrepov ozaveščenost zaposlenih o nevarnostih, ki jih pomenijo kibernetske grožnje.

Popolne zaščite ni, tveganja lahko le obvladujemo

Kljub vse močnejšemu zavedanju pomena kibernetskih tveganj na strani mednarodnih organizacij in držav je ozaveščenost med podjetji, sploh med malimi in srednjimi podjetji, ki so tudi najpogostejša tarča poskusov kibernetskih napadov, še vedno na zaskrbljujoče nizki ravni, je poudarila Bojana Kifnar Strmčnik. Razlog za to sta med drugim nerazumevanje vsebine kibernetskih tveganj in mišljenje, da se to "nam ne more zgoditi". "Podjetja morajo imeti vzpostavljen sistem obvladovanja kibernetskih tveganj, priporočljiva pa je tudi strokovna asistenca specializiranih IT-družb in zavarovanje za primer, ko se zgodi incident. Ni namreč vprašanje, ali se bo incident zgodil, pač pa le še, kdaj se bo zgodil."

Našteti ukrepi predstavljajo zaščito na več ravneh, se medsebojno dopolnjujejo, idealno pa je, da so vzpostavljeni sočasno, je izpostavila Bojana Kifnar Strmčnik. "Osnova je tehnični del, zavarovanje pa je eden od načinov, ki pomagajo pri upravljanju tveganj, ob tem, da je sočasno povezano še z drugimi ukrepi. Če se zgodi incident, bo zavarovanje lahko učinkovito znižalo stroške. Zelo visoki stroški lahko nastanejo zaradi izgubljene opreme in podatkov, zavarovanje pa v tem primeru zagotavlja kritje stroškov njihove ponovne vzpostavitve. Zavarovanje lahko pokrije odziv na incident, vanj pa so vključeni tudi stroški preiskave in reševanja položaja. Ne gre pa zanemariti niti stroškov, ki nastanejo s pravnimi postopki in globami uradnih organov zaradi kršenja predpisov – tudi v teh primerih je lahko zavarovanje zelo primerna rešitev."

Zavarovalnica Triglav | Foto:

Zavarovanje kibernetske zaščite za podjetja

Zavarovalnica Triglav je kot prva zavarovalnica v Sloveniji in regiji Adria razvila zavarovanje kibernetske zaščite za podjetja, ki je pomemben ukrep za povečanje kibernetske varnosti. Predvsem za mala in srednje velika podjetja to zavarovanje lahko pomeni pomembno dodatno zaščito pred finančnimi posledicami morebitnega kibernetskega vdora, saj je prilagojeno načinu dela v omenjenih podjetjih in najbolj pogostim tveganjem, ki so jim ta podjetja izpostavljena.

Osnovna kritja, ki jih prinaša zavarovanje, so:

  • odziv na incident (npr. kritje stroškov strokovnjaka za izvedbo preiskave, stroške svetovanja strokovnjaka, pravne stroške, globe s strani Informacijskega pooblaščenca …),
  • stroški ponovne vzpostavitve podatkov in programske opreme,
  • odgovornost za kršitve zaupnosti in zasebnosti (odškodninski zahtevki tretjih oseb) ter
  • odgovornost za omrežno varnost (odškodninski zahtevki tretjih oseb).

Na voljo so tudi dodatna kritja, ki zajemajo težje primere in posledice kibernetskih incidentov: obratovalni zastoj (izguba dobička v obdobju prekinitve poslovanja), kibernetsko izsiljevanje (med drugim tudi stroški odkupnine) in kibernetski kriminal (kritje nezakonito odvzetih denarnih sredstev).

Ob tem je treba poudariti, da zavarovanje kibernetske zaščite za podjetja vključuje tudi asistenčno pomoč ob incidentu. Zavarovalnica tako strankam v sodelovanju s pogodbenimi partnerji in s pomočjo IT-forenzikov, specialistov za krizno vodenje in komuniciranje ter pravniki omogoča na primer zajezitev incidenta, odstranjevanje vzroka incidenta, vzpostavitev delovanja sistemov ter pripravi analizo primera in priporočila o nadaljnjih ukrepih s področja informacijske varnosti.


Naročnik oglasne vsebine je Zavarovalnica Triglav.