Izsiljevalski virusi so novo priljubljeno orožje

»Pozdrav vsemu človeštvu. Dogaja se največja kraja informacij v računalniški dobi. Za koga gre? Oh, pozabil sem povedati. Za HBO in Igro prestolov ...!!!!! Lahko se veselite, da ste pionirji, ki ste priča temu. Uživajte in širite naprej.« Tako so zapisali hekerji, ki so ukradli in na spletu objavili scenarije za prihodnje epizode televizijske serije Igra prestolov (Game of Thrones). Tudi peti del Piratov s Karibov so si maja prisvojili hekerji in od studia Disney zahtevali odkupnino grozeč, da bodo sicer film postopoma objavljali na spletu. V roke hekerjev je letos padla tudi peta sezona nadaljevanke Oranžna je nova črna (Orange Is The New Black). Hekerska skupina je sprva od Netflixa zahtevala odkupnino, nato pa je scenarije objavila na spletu.

Elektronska pošta z izsiljevalskimi virusi je danes najbolj priljubljeno orožje v kibernetskih napadih. S tem orožjem opletajo državno sponzorirane kibernetske vohunske skupine pa tudi tolpe, ki si tako služijo kruh.

Pexels

Ugrabljeni podatki

Posledice kibernetskih napadov so vse prej kot nedolžne. »Napadalci lahko naše nezaščitene domače usmerjevalnike in pametne naprave izkoriščajo za napade na tuje sisteme, lahko onemogočajo industrijske procese, v bolnišnicah blokirajo sisteme za zagotavljanje življenjskih funkcij pacientov, na daljavo onemogočijo upravljanje vozečega avtomobila ali pa v državi povzročijo padec električnega omrežja,« je za Svet kapitala povedal strokovnjak za omrežno varnost Tadej Hren iz nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT.

Zakon o informacijski varnosti, ki bo sprejet v prvi polovici naslednjega leta, bo primerno uredil področja, v katerih je Slovenija v zadnjih 20 letih malce zaspala.

Lani je bila vsaka 131. poslana elektronska pošta okužena z izsiljevalskimi virusi. To pomeni, da je bilo z izsiljevalskimi virusi okužene en odstotek vse poslane elektronske pošte, kar je največji porast v zadnjih petih letih, je ugotovila Mednarodna telekomunikacijska zveza (ITU). Izsiljevalski virusi tudi niso tako nedolžni, kot so bili virusi, ki smo jih dobili na računalnik pred desetletjem ali več, in se zaradi njih nismo pretirano vznemirjali. Današnji nam lahko zašifrirajo vse datoteke ter za šifrirni ključ zahtevajo odkupnine ali pa nam preprosto ukradejo podatke za dostop do spletne banke in izpraznijo račun. Vse pogostejše tarče izsiljevalskih virusov so podjetja, od katerih idejni očetje virusa zahtevajo vse višje odkupnine; pred dvema letoma so znašale okoli 250 evrov, lani pa so se zahtevki povišali na povprečno 850 evrov. Največji kibernetični napad je maja letos poskrbel za kaos tako v podjetjih kot bolnišnicah v več kot 150 državah. Na lastni koži so v drugem četrtletju letos dolgo roko izsiljevalskega virusa NotPetya izkusili tudi izdelovalec zdravil Merck in Mondelez, proizvajalec piškotov Oreo. Merck je moral ustaviti proizvodnjo nekaterih zdravil, kolikšna je poslovna škoda po poročanju Reutersa, še niso ocenili. Isti virus je ohromil tudi dostavo pošiljk FedExa, podjetja s hitro pošto, in poskrbel za kaos v pristaniškem logističnem centru proizvajalca izdelkov Reckitt Benckiser.

Pexels

Smo res slabši od Bocvane, Alžirije, Pakistana?

Poročanje o kibernetskih napadih bi lahko v prihodnje, ko bo v splet povezanih čedalje več elektronskih naprav, postalo primerljivo s poročanjem o nevihtah ali cenah nafte. Ker sočasno z rastjo kibernetskega sveta raste tudi nevarnost kibernetskih napadov, so države (ne le posamezniki in podjetja) vse pogosteje prisiljene k varnostnim ukrepom. Nekatere države so kibernetsko varnost postavile na tako visoko raven, da imajo celo posebne vojaške enote, ki skrbijo ne samo za varnost pred kibernetskimi napadi, ampak jih znajo tudi izvajati. Predvsem v Evropi se medsebojno povezujejo in združujejo funkcionalnost nacionalnih odzivnih centrov in znanja ter težijo k celovitemu reševanju problematike na vseh ključnih področjih: pravu, tehniki, organizaciji, izobraževanju in sodelovanju. Izmed 193 držav, ki so sodelovale pri raziskavi Global Cybersecurity Index – GCI, ki jo je vodil ITU, v celovito kibernetsko varnost vlagajo ZDA, sledijo Kanada, Rusija, države severne Evrope, Francija, Velika Britanija, Norveška, Oman, Avstralija in Španija. V kar 96 državah pa je kibernetska varnost šele v povojih. Kako dobro skrbimo za kibernetsko varnost pri nas? Po podatkih GCI, ki je kibernetsko varnost raziskoval med 193 državami članicami GCI, je Slovenija na 83. mestu. Po tej lestvici so nas prehitele celo Črna gora, Bocvana, Alžirija, Pakistan, Makedonija, Hrvaška, Romunija. Najslabše pa je rangirana Ekvatorialna Gvineja.

Če bi bilo vlaganje v kriminalno industrijo legalno, bi bilo vlaganje v kibernetske napade dobra naložba.

Raziskava organizacije ITU je tako Slovenijo glede stanja kibernetske varnosti postavila na rep območja držav vzhodne in jugovzhodne Evrope oziroma v svetovnem merilu med Kazahstan in Jamajko, pri čemer je višje uvrstila države, kot sta Nigerija in Slonokoščena obala.

Da je uvrstitev precej porazna, nam je povedal Primož Govekar, vodja področja kibernetične varnosti pri podjetju Ascaldera, ki se ukvarja z informacijsko varnostjo: »Samo pomislimo, kaj bi podoben rezultat pomenil v športni disciplini, kot so skoki, alpsko smučanje ali pa manj znano športno plezanje. Bi bili potem še zadovoljni? Bi bili še zadovoljni, če bi rekli, da je npr. naše zdravstvo ali naša elektroenergetska oskrba na 83. mestu? Osebno to ocenjujem kot precej slabo. Ne toliko zaradi mesta samega, kot zaradi tega, kje vse imamo še priložnost za izboljšavo.«

»Če bi bila to dejansko realna ocena, bi bilo to za Slovenijo precej neugodno,« je raziskavo komentiral Hren. Opozarja, da bi lahko bila metodologija, ki jo je uporabila ITU, v nekaterih elementih tudi vprašljiva, saj ni preverjala izvajanja nekaterih kriterijev v praksi: »Če ima neka država na papirju nacionalni CERT, ki ni operativen, ali sprejeto zakonodajo, ki je ne izvaja v praksi, to k stanju kibernetske varnosti v državi ne pripomore ravno veliko. Upal bi si trditi, da ocena ITU ni povsem realna in da stanje v Sloveniji vseeno ni tako zelo porazno.«

Zakon o informacijski varnosti

ITU pravi, da je najpomembnejša strategija, ki opisuje, kako se bo država pripravila na odgovor morebitnemu kibernetičnemu napadu. A le 38 odstotkov sodelujočih držav, ugotavljajo, ima objavljeno kibernetsko strategijo, 11 odstotkov pa dela na tem področju. Glede na te ugotovitve kar polovica držav nima strategije kibernetske varnosti. Nasprotno pa ima kar 61 odstotkov držav v pripravljenosti ekipe, ki bi v takem primeru priskočile na pomoč. Slovenija je bila ena izmed prvih držav, ki je imela operativen nacionalni odzivni center na področju informacijske varnosti (SI-CERT).

Lani je bilo z izsiljevalskimi virusi okužene en odstotek vse poslane elektronske pošte, kar je največji porast v zadnjih petih letih. Ubranili se jih niso niti HBO, Netflix, Disney, Merck, … in so utrpeli tudi finančno škodo. ta naj bi bila letos 15-krat večja, kot je bila leta 2015, in bo znašala več kot 4,2 milijarde evrov.

V Evropi je daleč najboljši zgled glede kibernetske varnosti Estonija. A roko na srce, Estonija se je kibernetske varnosti zagnano lotila šele po resnem hekerskem napadu leta 2007. Enako Gruzija, ki danes skupaj z Estonijo spada v sam vrh zglednosti. Sledita Francija in Norveška. Slednja je v postavljanju arhitekture kibernetske varnosti med prebivalci izvedla celo podrobno anketo, do katere mere dovolijo nadzor nad aktivnostmi na spletu. Kje smo v Sloveniji? »Slovenija zaostaja predvsem na področju sprejemanja zakonodaje, ki bi naslavljala problem kibernetskega kriminala, ter na področju zagotavljanja zadostnih odzivnih kapacitet. Pogrešamo tudi zavest odločevalcev v državi, ki kibernetski varnosti dolga leta kljub opozorilom niso namenjali dovolj pozornosti. Menimo pa, da se bodo z zakonom o informacijski varnosti, ki bo sprejet v prvi polovici naslednjega leta, zadeve tudi na področjih, v katerih je Slovenija v zadnjih 20 letih malce zaspala, primerno uredile,« razlaga Hren.

A ni vse slabo. Veliko smo naredili pri programih ozaveščanja uporabnikov o informacijski varnosti, ki naslavljajo različne skupine uporabnikov – Varni na internetu, SAFE-SI, Spletno oko, Tom telefon –, pravita sogovornika. V zadnjem času je zaznati tudi premike glede sodelovanja pri obravnavanju ključnih sektorjev področja kibernetske varnosti, a bomo morali veliko več narediti pri varnostnem izobraževanju arhitektov in upravljavcev rešitev informacijske družbe, meni Govekar. »Še posebno v državnih institucijah, ko se vzpostavljajo sistemi e-poslovanja,« pravi, saj je bil neprijetno presenečen nad varovanjem e-naročanja in e-napotnic. »Verjetno bi pomagalo, če ne bi bil edini kriterij najnižja cena, temveč tudi zahteva po neodvisnem varnostnem preverjanju opravljenega dela,« razmišlja Govekar.

Pexels

Za 4,2 milijarde evrov škode

Da spletna varnost ni nepomembna, pričajo številke o napadih. Še leta 2010 so na SI-CERTU obravnavali manj kot 500 incidentov, zdaj jih obravnavajo več kot 2000 na leto. V svetovnem merilu število kibernetskih napadov vsako leto zraste za 30 odstotkov. Največ poskusov vdorov v računalniške sisteme je v ZDA in na Kitajskem.

Redspin, ameriško podjetje za IT varnostno svetovanje, je lani na drugi strani Atlantika zaznalo 320 odstotkov več vdorov v zdravstvene informacijske sisteme, kot jih je bilo v letu 2015. Trend števila zlorab v kibernetskem prostoru se bo v prihodnjih letih še povečeval, s tem pa tudi stroški, povezani s preprečevanjem napadov. Po nekaterih ocenah bo škoda zaradi izsiljevalskih virusov letos 15-krat večja, kot je bila leta 2015, in bo znašala več kot 4,2 milijarde evrov, leta 2015 pa je znašala 277 milijonov evrov, pravi Govekar.

Ker se bo povečevalo tudi število ljudi in naprav, povezanih v splet, bo tudi možnost širitev napadov še večja. »S povečanjem števila uporabnikov spleta se veča tudi množica možnih žrtev, kar napadalci s pridom izkoriščajo,« razlaga Hren. Dodaja, da globalna širina interneta in razvoj informacijske tehnologije za napadalce po eni strani pomeni odličen poligon za izvajanje najrazličnejših napadov in goljufij, po drugi strani pa jim zagotavlja tudi precejšnjo anonimnost in zaščito pred morebitnim kazenskim pregonom. »Če bi bilo vlaganje v kriminalno industrijo legalno, bi bilo vlaganje v kibernetske napade dobra naložba,« je pripomnil Govekar.

Sistemi pa so ranljivejši tudi, ker so vse bolj povezani med seboj. »Kmalu, recimo, ne bo več mogoče prevzeti zdravila, ne da bi bil recept shranjen v vsaj enem informacijskem sistemu, medsebojno prepletenem čez celotno državo. Vdor v tak sistem bi teoretično lahko povzročil, da vam farmacevt izroči drugačno zdravilo, kot ga je v resnici predpisal zdravnik,« pravi Govekar.

Pexels

Popolne zaščite ni, lahko pa preprečimo nesrečo

Človek se začne problema informacijske varnosti zavedati šele takrat, ko je že žrtev prevare ali napada. In res je tudi, kot pravi Hren, da informacijska varnost ni nekaj, s čimer bi se uporabniki radi ukvarjali, saj nas ta skoraj vedno omejuje in povzroča dodatno delo. Pa vendar so stroški odpravljanja posledic zlorabe – pa najsi gre za posameznika ali podjetje – običajno dosti višji, kot če bi se v informacijsko varnost sproti vlagalo. Hren še pravi, da je vsak sistem varen toliko, kolikor je močan najšibkejši člen v verigi: »Pri informacijski varnosti je to skoraj vedno človek, tako da je izobraževanje uporabnikov eden najuspešnejših načinov dvigovanja ravni varnosti. V tem pogledu pogrešamo interes države, da bi se problematika kibernetske varnosti naslavljala širše, tudi v okviru šolskega sistema.« »Popolne zaščite seveda ni. Vendar, če se držimo temeljnih pravil, lahko – tako kot v prometu – precej zmanjšamo možnost nesreče,« je dodal Govekar. Kako? Z varnostnimi kopijami dokumentov, rednem nadgrajevanju računalniških programov, pri pametni hiši je treba že pri načrtovanju upoštevati možnost kibernetskega napada. Klikati je treba s premislekom in imeti dobro antivirusno zaščito, svetujejo strokovnjaki.

Žrtve tudi medijske hiše, skype …

Za plačilo odkupnine zadostuje že samo grožnja z napadom, ki povzroči porazdeljeno ohromitev storitve (angl. Distributed Denial of Sevice – DDoS), je ugotovila družba Kaspersky Lab.

Med žrtvami napadov DDoS so bile letos tudi znane medijske hiše, kot so Al Jazeera ter spletne strani časopisov Le Monde in Figaro, pa tudi strežniki spletne storitve Skype. Kibernetske kriminalce so v drugem četrtletju letos k manipulaciji cen z izvajanjem napadov DDoS spodbudili tudi naraščajoči tečaji kriptovalut. Največja menjalnica bitnih kovancev Bitfinex je bila napadena sočasno z uvedbo trgovanja v novi kriptovaluti – žetoni IOTA. Pred tem je menjalnica BTC-E poročala o upočasnitvi delovanja zaradi močnega napada DDoS. Da je uporaba tovrstnih napadov lahko dobičkonosna, kaže trend izsiljevalskih napadov DDoS (angl. Ransom DDoS oz. RDoS). Kibernetski kriminalci običajno pošljejo sporočilo, v katerem od svojih žrtev zahtevajo odkupnino v višini od pet do 200 bitnih kovancev. Če podjetje zavrne plačilo, napadalci zagrozijo z napadom DDoS na kritično pomembne spletne storitve žrtve. Junija je skupina Armada Collective poskušala z izsiljevalskim napadom DDoS pridobiti po 315.000 ameriških dolarjev od sedmih južnokorejskih bank. Priljubljen je postal tudi domnevni izsiljevalski napad DDoS brez resničnega napada, pri katerem napadalci velikemu številu žrtev pošljejo grozilna sporočila v upanju, da se bodo nekatera med njimi odločila za plačilo. »Za izsiljevanje svojih žrtev lahko demonstrativen napad kupijo tudi goljufi brez potrebnega tehničnega znanja in veščin za organizacijo obsežnega napada DDoS. Izbirajo tehnološko nepodkovana podjetja, ki nimajo nameščene zaščite pred napadi DDoS in jih demonstracijski napad zlahka prepriča v plačilo odkupnine,« je pojasnil Kirill Ilganaev, vodja oddelka rešitev za zaščito pred napadi DDoS v družbi Kaspersky Lab.

Najdaljši napad DDoS v tem četrtletju je trajal 277 ur, kar je več kot enajst dni in pomeni kar 131-odstotno povečanje v primerjavi s prvim tromesečjem.