Vsak napadeni najprej vpraša, kaj je s podatki

Po podatkih Svetovnega gospodarskega foruma (WEF) se dnevno zgodi približno 2.200 kibernetskih napadov, mesečna škoda pa naj bi znašala 700 milijard dolarjev. Metode hekerjev so vse bolj sofisticirane, s prihodom umetne inteligence v množično uporabo se je ta znašla tudi v rokah napadalcev. Ti lahko danes za napade izkoriščajo tudi tehnologijo, ki simulira glas direktorja ali drugega vodje, kar je bilo še pred nekaj leti nepredstavljivo.  

Najpogostejši cilj hekerjev so finančna korist in podatki o uporabnikih, ki jih lahko pozneje ti uporabijo za izsiljevanje ali za prodajo na temnem spletu. Med bolj izpostavljenimi napadom so finančne institucije. Banka Slovenije je zaradi vse večjega števila kibernetskih napadov pred meseci zvišala oceno kibernetskega tveganja z zmerne na povišano. Poudarili so, da so bili doslej napadeni predvsem subjekti javnega sektorja, a posebej ranljiv je tudi bančni sektor. 

Iščejo šibkejše tarče 

NLB kot sistemska banka pri poslovanju sledi najvišjim standardom varnosti, pri tem pa sodeluje tudi z drugimi specializiranimi organizacijami. Eden od glavnih ciljev je, da skuša omejiti vektorje napada prek SMS sporočil, "smishinga", ki ima za cilj izvabljanje občutljivih podatkov od ljudi, razlaga Primož Vogrinec, vodja informacijske varnosti v NLB. Banka ima vzpostavljene stroge varnostne standarde, s katerimi blokira škodljive spletne strani. Uporablja blokade, črne liste, večfaktorske avtentikacije, tudi biometrijo, dodaja Vogrinec. 

Na policiji so samo letos prejeli že okoli 1.600 prijav v skupni škodi 25,5 milijona evrov, kar je že blizu lanski celoletni številki. Podjetja in organizacije se vedno bolj zavedajo, kako pomembna je varnost podatkov. Ko se je zgodil napad na mariborsko univerzo, je bilo eno od prvih vprašanj, ali so izginili naši podatki in kdo jih ima, razlaga etični heker Milan Gabor. "Imamo dve skupini organizacij. Regulirane, med katerimi so banke in zavarovalnice, ki morajo poskrbeti za varnost podatkov ter imajo dobro vzpostavljene sisteme za varovanje podatkov."

Po drugi strani so mala in srednje velika prav tako zanimiva zaradi podatkov, imajo pa pogosto slabše varovanje. Pri tem Gabor izpostavlja primer tako imenovanega napada z odbojem, ko hekerji napadejo nekoga, ki sodeluje z velikim podjetjem ali finančno institucijo ter ima sam slabšo zaščito, in se tako dokopljejo do podatkov. To hekerjem omogoča lažji dostop do izvorne kode velikih podjetij.  

Foto: Inštitut za strateške rešitve

Skrbni pregledi morajo biti stalnica 

Ranljivost po Gaborjevih besedah krepijo tudi vedno nove storitve, ki jih razvijajo podjetja, saj to povečuje možnosti kraje podatkov. Posebej izpostavlja, da večja dostopnost podatkov prinaša tudi večje tveganje za napade, še posebej ob hitrem razvoju novih tehnologij. Zato je zelo pomembno, da podjetja redno izvajajo skrbne preglede. Ključno je vlaganje v infrastrukturo, na to pa vplivajo tudi incidenti.

"Ko se zgodi napad in je to v medijih, se vlaga, potem pa to upade do naslednjega incidenta. Zato je treba ves čas in nenehno vlagati v kibernetsko varnost," svetuje Gabor.  

V NLB redno sodelujejo s SI-CERTOM, nacionalnim odzivnim centrom za kibernetsko varnost, veliko pa vlagajo tudi v izobraževanje uporabnikov. "Iz izkušenj vemo, da je velikokrat ravno uporabnik najšibkejša točka. Posvečamo se ozaveščanju najšibkejših skupin. Poskusov napadov ne moremo omejiti, lahko pa omejimo njihovo uspešnost," razlaga Primož Vogrinec. Med drugim uporabljajo pristop "secured by design", ki zagotavlja ustrezno varnost in preprečuje zlorabe, predpogoj pa je, da znajo stranke aplikacije uporabljati. Sodelujejo tudi z Združenjem bank Slovenije, ki izvaja odmevno kampanjo ozaveščanja o spletnih prevarah, poimenovano pazi.se. 

"Imamo uporabnike, ki res vedo, kaj pomeni varnost" 

V Športni loteriji, ki ima za glavno dejavnost prirejanje športnih stav, podatke uporabljajo za analize, optimizacijo poslovanja in strateško odločanje. Nestrukturirani podatki gredo v obdelavo in obdelani postanejo informacija, pravi direktor informatike in tehnologije Jani Ravas. Največ podatkov ne generira nogomet, kot bi marsikdo mislil, ampak tenis, tudi do 1,3 milijona podatkov na uro, pravi sogovornik. Nevarnost pri tovrstnih podatkih je, da bi kdo vdrl v sistem, spremenil podatke in na ta račun zaslužil. Zato s podatki ravnajo pazljivo in odgovorno ter jih skrbno obdelujejo. Ko gre za osebne podatke igralcev, so v ospredju njihova varnost, zasebnost in odgovorna uporaba.  

Po Ravasovih navedbah se uporabniki dobro zavedajo pomembnih vprašanj v zvezi s podatki, zanima jih veliko stvari. Kot pravi, mladim ni težko deliti svojih podatkov, medtem ko starejši od 30 let že vprašajo, zakaj potrebujejo določene podatke. "Nekateri so izjemno ozaveščeni, podatke nam pošiljajo v skrčenih datotekah ali v obliki gesel, ki so dolga tudi do 15 znakov, torej res vedo, kaj je varnost podatkov." Za zaščito v Športni loteriji uporabljajo napredne varnostne rešitve, vključno z dvofazno avtentikacijo, sodelujejo pa tudi s plačilnimi sistemi, kot je Flik, kar zagotavlja celovito zaščito podatkov. Uporabnike spodbujajo k preverjanju varnostnih kod, poznavanju politike zasebnost in k zavedanju pravic. Zbirke podatkov hranijo na različnih lokacijah po državi.  

Foto: Inštitut za strateške rešitve

Največji uvajajo novo vrsto zaščite 

Kibernetska varnost v podjetniškem in korporativnem svetu postaja eno od ključnih vprašanj. "Gesla vodijo do naših digitalnih identitet in posledično do velike količine podatkov. Microsoft in drugi veliki operaterji se vedno bolj pomikajo v smeri digitalnih prepustnic, s katerimi se bomo ustrezno identificirali, preden bomo dostopali do podatkov," pojasnjuje Gabor in dodaja, da se bo proces ozaveščanja odvijal postopoma. S tem ko bodo uporabniki pridobivali novo znanje in poznavanje digitalnih veščin, se bo krepilo tudi zaupanje v ustanove, ki hranijo naše podatke, državo, banke, zdravstvene ustanove. Ta proces se bo odvijal postopoma, država pa je tista, ki ga mora peljati naprej. S tem se bo povečala tudi stopnja varnosti, meni Gabor.  

Vogrinec poudarja tudi dejstvo, da hekerji niso omejeni na posamezne države. Ko so pred časom v NLB dobili informacijo, da s severa prihajajo nove vrste napadov, so se na to pripravili in se po zaslugi izmenjave podatkov napadov tudi uspešno obranili.  

Medtem ko tehnologija napreduje in se grožnje razvijajo, ostaja ključno vprašanje, kako bodo uporabniki znali presoditi verodostojnost digitalnih podatkov in vsebin, poudarja Gabor in pri tem opozarja na nevarno neskladje med digitalnim in realnim svetom ter pogosto pretirano zaupanje s strani uporabnikov in zaposlenih v podjetjih. "Ljudje se še nismo navadili, da resnični in digitalni svet nista enaka. Ko bomo to sprejeli, bomo dvignili tudi raven kibernetske varnosti."

Vsebina je del pogovora na dogodku Inštituta za strateške rešitve V podatke zaupamo: sprejmi ali zavrni, ki je potekal novembra v Ljubljani.  

Naročnik oglasne vsebine je Inštitut za strateške rešitve