Antonija Bilić Arar
02. 12. 2022.
Napadi hakera, malware i ransomware ne događaju se nekom drugom. Kako takve napade spriječiti i što učiniti ako se ipak dogode - s tehničke, ali i ljudske strane, saznali smo od konzultanta za cybersigurnost Tomislava Poljaka.
Sigurnost i zaštita podataka naših korisnika je u top 5 prioriteta ove kompanije, reći će svaki CEO ili CIO. Ipak, sigurnosni propusti i incidenti u kojima hakeri paraliziraju cijele tvrtke ili institucije, ili ukradu podatke korisnika koje preprodaju na “dark webu”, događaju se sve češće. Prije samo koji dan iz WhatsAppa su iscurili podaci o 500 milijuna njihovih korisnika. U ljeto 2021. ransomware je paralizirao irski zavod za zdravstveno osiguranje. Iz Ubera su nedavno iscurili podaci…
Kako to?
Sigurnost naglo prestaje biti prioritet kad se dodjeljuju budžeti pa većini tvrtki kronično nedostaje i tehnologije i ljudi koji bi se sustavno bavili sigurnošću. Najčešći izgovori vodstva tvrtki svode se na “neće valjda baš mene”.
Koliko su tvrtke ranjive na sigurnosne incidente, što poduzeti kako bi se spriječili, a što ako se dogodi ispričao je Tomislav Poljak, konzultant za sigurnost u Microsoftu Hrvatska na ovogodišnjem izdanju konferencije Advanced Technology Days u predavanju nazvanom Sigurnosni incident podrazumijeva paniku, izgubljene podatke i ransomware. Ima li rješenja za takve situacije?
Kako spriječiti sigurnosni incident?
Poljak u svakodnevnom radu pomaže korisnicima u analizi sigurnosnih incidenata te radi na oporavku poslovnih sustava nakon kibernetičkih napada pa je ponudio nekoliko uvida i savjeta. Kao što se za rat najbolje priprema u miru, tako se i za sigurnosni incident priprema kad je sve u redu. Odnosno, tad je vrijeme za čitanje teorije, proučavanje studija slučaja, implementaciju tehnologije i educiranje kolega.
Educiranje kolega posebno je važno jer iza mnogih velikih krađa podataka i sigurnosnih kriza često stoji jedan zaposlenik kojega je netko identificirao, na Linkedinu ili nekoj drugoj društvenoj mreži, kao osobu koju bi se “društvenim inženjeringom” moglo uvjeriti da im da pristupne podatke:
Gotovo svaki incident – a to je ono kad se tek dogodilo nešto loše – dolazi putem emaila, ili kao link ili kao maliciozni program u prilogu emaila. To tvrtka može spriječiti razvojem internih procedura, poput edukacija, pa i testiranja zaposlenika tako da im se nasumično šalju testni mailovi koji oponašaju one zlonamjerne.
U mnogim tvrtkama postoje neke načelne revizije stanja ili načelne strategije za sigurnost koje su napravili “jer moraju”, ali stoje pospremljene u ladicu i ne provode se. A ako i postoji neki odjel ili tim koji se bavi sigurnošću i postoje procedure koje taj tim piše, opet se te procedure ne provode jer nema suradnje između security i IT tima. Često vidim da su ti timovi u svađi.
“Kad uljez dobije pristup jednom računalu, imate malo vremena”
U trenutku kad je uljez uspio od zaposlenika dobiti podatke za pristup i zauzeti jednu radnu stanicu incident prerasta u kompromitiranost, ali integritet podataka tvrtke još nije ugrožen, niti su podaci napustili tvrtku:
Kad se tako nešto dogodi, imate jako malo vremena. Nemojte problem zanemarivati, sakrivati pod tepih ili misliti da ćete se time baviti kasnije jer imate možda par dana, a možda tek par sati prije nego dođe do najgore razine, a to je breach, odnosno curenje podataka iz kompanije.
Tvrtke ne žele to priznati, ali neke statistike kažu da u više od 40% slučajeva to radi netko iznutra. Tu pomaži softveri koji uz pomoć strojnog učenja proučavanju patterne korisnika i detektiraju radi li nešto što nije zadnjih par mjeseci.
Za sprječavanje sigurnosnih propusta ključno je raditi na oba faktora, i tehnologiji i ljudima. A kako je sigurnost nešto što tvrtke često outsourceaju, naglasio je da je dobro ostaviti bar jednu osobu u tvrtki koja će se baviti sigurnošću i uvijek biti upućena.
Što kad se dogodi sigurnosna kriza? Ne paničarite!
Pravilo broj jedan – nemojte paničariti! Poljak je sigurnosnu ugrozu usporedio s bolešću i preporučio isti postupak: sve počinje s dijagnostikom, zatim ide liječenje, a nakon toga dugotrajna rehabilitacija:
Za početak identificirajte što se dogodilo, a potom ili riješite ili eskalirajte dalje. Ključno je da ne odgađate eskaliranje, nemojte o tome razmišljati kao o “cinkanju”.
Nakon toga ide oporavak, odnosno čišćenje nereda i nadgledanje situacije. Svakako, izvijestite sve dionike o tome što se dogodilo i nastojte nešto naučiti iz toga.
Kao konkretne korake koje bi trebalo napraviti u prvih nekoliko minuta/sati od otkrivanja incidenta, Poljak navodi mješavinu tehničkih i soft skill poteza jer kriza uvijek zahtjeva upravljanje i ljudima:
- Isključite računala s mreže.
- Imajte backupe i nemojte ih držati na istim lokacijama.
- Smirite ljude.
- Nemojte prebacivati odgovornost na konkretne zaposlenike ili dobavljače.
- Izbjegavajte konfliktne situacije.
- Probajte ne potpasti pod pritisak menadžmenta, nego ostati hladne glave.
- Smirite zaposlenike, partnere i klijente, ako je potrebno.
- Nemojte iz panike guglati i raditi stvari koje nikad niste ni probali.
Nakon što se riješi prijetnja kreće dugotrajan proces oporavka i, naravno, učenje iz incidenta i poboljšanje slabosti koje su do njega dovele.
A za ona mirna vremena, kad se treba educirati, preporučio je, među ostalim, detaljno i više puta čitati Ciscove studije slučaja, kao i Microsoftovu istragu nedavnih iranskih napada na albanske vladine institucije.
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.
Pravila ponašanja
Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:
Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.
Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.