Porast kibernetskih vdorov pri podjetjih

Zadnjih nekaj let je opazen porast števila kibernetskih vdorov, še posebej pri manjših in srednje velikih podjetjih. Posledice tovrstnih vdorov so lahko obsežne: od očitnih posledic, kot so neposredne finančne posledice (zaradi neupravičenega plačila nepridipravom oz. spletnim goljufom), do bolj posrednih posledic, kot so morebitne odškodnine posameznikom, katerih podatki se pri tem razkrijejo in prekrškovnih sankcij (zlasti v obliki glob).

Kaj narediti?

Prvi odziv po ugotovitvi kibernetskega udora je pri mnogih panika – kaj sedaj, na koga se obrniti, ali nam bo banka povrnila plačana sredstva, kaj sploh moramo storiti? Odgovori na vse ta vprašanja niso enoznačni. V praksi je zaznavnih toliko različnih vrst prevar, da je težko podati natančna navodila, kaj in v katerem vrstnem redu začeti ukrepati. Pa vendarle si podjetja lahko pomagajo z naslednjimi napotki:

• prijava na policijo – obvezna je zlasti v primerih, ko gre za nakazovanje sredstev na nepravilne račune, saj gre v osnovi za krajo, ali izsiljevanje s plačilom zneskom proti vračilu ukradenih podatkov;
• prijava na SICERT – gre za Nacionalni odzivni center za kibernetsko varnost SI-CERT (Slovenian Computer Emergency Response Team), ki opravlja koordinacijo razreševanja incidentov, tehnično svetovanje ob vdorih, računalniških okužbah in drugih zlorabah ter izdaja opozorila za upravitelje omrežij in širšo javnost o trenutnih grožnjah na elektronskih omrežjih.[1] Navodila za prijavo so na voljo na naslednji povezavi: SICERT;
• zavarovanje dokazov – smiselno je zbrati čim več dokazov o vdoru, kot so dnevniški izseki (ang. log files), vzorci škodljive kode, podtaknjene vsebine na spletni strani, kopije prijav na policijo in SICERT itn. Če sami niste usposobljeni za tovrstna opravila, je smiselno najeti strokovnjaka, zlasti v primerih, ko gre za poneverbo večjih zneskov.

Primeri

Primeroma lahko izpostavimo podjetje, ki je zaradi virusa, ki je bil poslan po elektronski pošti in pomotoma aktiviran s strani zaposlenega podjetja pri odpiranju priponke (tako imenovano izsiljevalsko programje), ostalo brez vseh podatkov na strežniku. V zameno za to, da odklenejo podatke, so spletni goljufi zahtevali plačilo določenega zneska v bitcoinih, kar je podjetje zavrnilo. Podjetje je sicer takoj ukrepalo in podalo prijavo na policijo. Čez nekaj tednov so v podjetju imeli obisk davčnega inšpektorja, ki je zahteval med drugim tudi podatke, ki jih je podjetje imelo na strežniku in do katerih niso imeli več dostopa. Ker je podjetje predložilo zapisnik prijave policiji o vdoru v strežnik, je bil inšpektor razumevajoč in so uspeli podaljšati rok za predložitev dokumentov. V vmesnem času so uspeli zahtevane podatke pripraviti na podlagi dokumentov iz drugih evidenc. Če tega ne bi imeli, bi tvegali, da jih še inšpektor oglobi zaradi pomanjkljivih evidenc.  

Drug primer je podjetje, ki je bilo žrtev spletne goljufije z vrivanjem v poslovno komunikacijo. Pri poslovanju in komunikaciji s poslovnim partnerjem iz tujine, je prišlo do vdora v komunikacijo. Pri tem so spletni goljufi zamenjali številko TRR na računu, ki ga je za dobavo poslal poslovni partner. Podjetje je kupnino nakazalo na TRR iz poslanega računa, na kar so zvedeli, da poslovni partner kupnine nikoli ni prejel. Poslovni partner pa je tudi zavračal dobavo blaga dokler ne prejme kupnine. Zato se je postavilo vprašanje, kdo je odgovoren za vdor in nepravilno nakazilo kupnine.

Poleg predstavljenih primerov, se teoretično lahko zgodi, da pride do vdorov, pri katerih so ogroženi še osebni podatki strank podjetja, kar lahko vodi še v inšpekcijske in prekrškovne postopek pred Informacijskim pooblaščencem ter zahteve po odškodnini posameznikov, katerih podatki so končali v rokah nepridipravov. Kot primer bi lahko navedli podjetje, ki trži medicinske pripomočke in ima koncesijo Zavoda za zdravstveno zavarovanje RS. Posledično obdelujejo velike količine osebnih podatkov o strankah, vključno s posebnimi podatki (ki so še posebej varovani zaradi svoje občutljive narave, kot so podatki o zdravstvenem stanju, diagnozah ipd.). Če bi pri njih prišlo do vdora v strežnik in krajo podatkov, vključno s podatki o strankah, bi bili dolžni incident prijaviti še Informacijskemu pooblaščencu. Posledično bi se lahko postavilo vprašanje, ali so ustrezno zavarovali svoj sistem in še bolj pomembno, v praksi izvajali varovalne ukrepe, ki bi vdor in zlorabo osebnih podatkov preprečili.

Nasvet

V izogib takšnim situacijam podjetjem svetujemo, da poskusijo ravnati preventivno in proaktivno. Podjetja se zato naj:

• izobrazijo: kot prej navedeno, SICERT, kot pristojen organ za kibernetsko varnost v Sloveniji, je pripravil vrsto člankov in drugega izobraževalnega gradiva. Smiselno je, da se vodilni v podjetju in vsi zaposleni, ki so izpostavljeni rizikom spletnih goljufij, seznanijo s tem gradivom in sprejmejo smiselne ukrepe v podjetju, da bi se podobnim incidentom izognili. Za začetek predlagamo sledeče gradivo: ABC varnosti na spletu[2] in Najstrašnejša žival je … miš![3];
• zaščitijo: preučijo zaščitne in varovalne ukrepe v podjetju, zlasti z vidika ITK omrežja in poiščejo ranljive točke;
• zavarujejo: člani OZS (imetniki kartice Mozaik podjetnih) pa imajo na voljo tudi popust pri poslovnem partnerju kartice, Zavarovalnici Triglav, d.d., s katero so upravičeni do popusta pri nakupu zavarovanja kibernetske zaščite. Več o kartici Mozaik podjetnih lahko preberete na naslednji povezavi: Mozaik podjetnih.