Se vas loteva “E in e” sindrom? Se ne počutite varne? Menite, da ste ogroženi? Prestrašeni? Ste trmasti? Nevedni? Nespametni? Osamljeni? Glede malih e-jev se posvetujte z IT-strokovnjakom in pred obiskom obvezno preberite hitri vodnik po e-jih!

ieLeta 2015 je bil ogrožen skoraj vsak uporabnik računalnika ali mobilne naprave. 80 % podjetij se je spopadalo z varnostnim incidentom (hotelski verigi Donalda Trumpa, 15 milijonov naročnikom T-Mobila in 4.6 milijona strankam Scottrada so ukradli podatke, razkrite so bile identitete kar 37 milijonov uporabnikov spletne strani Ashley Madison).

Tarča kriminalcev so v zadnjem obdobju največkrat start-up podjetja, majhna in srednje velika podjetja, saj zaradi njihovega majhnega vlaganja v kibernetsko varnost lahko računajo na lahek dostop. Prepričanje marsikaterega srednjega in majhnega podjetja, da so nepomembni za hekerje, je torej zmotno, kar dokazuje podatek, da je kar 44 % vseh majhnih podjetij žrtev kibernetskih kaznivih dejanj in vsak napad “je stal” dobrih 8.000 EUR. Taka škoda pa je za podjetje že lahko pogubna.

ieOnline Trust Alliance

Poroča, da bi se kar 90 % kibernetskih vdorov lahko izognili s preprostimi kontrolami in uvedbo dobrih varnostnih praks. Kar 80 % žrtev se na tem mestu znajde po naključju – bodisi ker niso zaščitili svojega Wi-Fi omrežja z geslom ali ker so imeli nasploh zelo nizko stopnjo varnosti.

E-Bančništvo

Symantec ugotavlja, da hekerji vedno pogosteje napadajo kar osnovno bančno infrastrukturo, saj je možnost velikega izplena zelo visoka, varnostni standardi pa ne. Kot je pokazal vdor v bangladeško centralno banko, so uspeli ukrasti 81 milijonov dolarjev, kar pomeni, da so v nekaterih primerih varnostni ukrepi izredno nizki. Symantec dodaja, da zlonamerna koda že vsaj od januarja izbirno napada banke in finančne ustanove, ki sodelujejo v medbančnem komunikacijskem omrežju SWIFT. (Povzeto po https://slo-tech.com).

ieVsakodnevne grožnje na ranljivih mobilnih napravah.

Veliko ljudi jih uporablja za e-bančne storitve in shranjevanje osebnih podatkov. Skoraj polovica naprav, ki so v uporabi tudi v poslovnem okolju, nima gesla, PIN-a ali postopka onemogočanja zaslona. Polovica naprav vsaj enkrat mesečno za e-storitve uporabi nezavarovano brezžično omrežje (Wi-Fi). Polovica mobilnih aplikacij pa ima vsaj eno veliko varnostno luknjo. Med mobilnimi operacijskimi sistemi je še vedno najbolj na udaru Android, saj pokriva največji del svetovnega trga. In ker banke nadaljujejo z nezadržnim razširjanjem svojih mobilnih e-storitev, nastajajo popolne priložnosti za kibernetske prevare: bolj ko je agresivno uvajanje, večja je ranljivost.

ieVarnost spletnih plačil ni samoumevna.

Namestitev varnostnega programa že dolgo ni zadostna metoda preprečevanja vdorov in odkrivanja zlorab. Na spletu vsako leto opravimo več finančnih transakcij, spletno plačevanje računov in storitev ter naročanje izdelkov postajajo del našega vsakdanjika. A kjer je denar, so tudi nepridipravi, ki nam ga poskušajo odtujiti, tudi če gre za virtualno različico. Posamezniki se pred tehnično odlično podkovanimi in oboroženimi napadalci zelo težko popolnoma zaščitimo in napadalci uporabljajo zelo napredne tehnike zlorab, s katerimi prelisičijo uporabnika, podjetje ali finančno ustanovo.

ieZlorabe so, a banke o njih ne govorijo.

Zloraba identitete je eden najpogostejših prijemov, saj je mnogo bolj učinkovita od vdorov z grobo silo. Navadne smrtnike zanima varnost plačil nizkih vrednosti, kamor spada večina spletnih plačil, za katere velja celo višja stopnja goljufij kot za klasično plačevanje. Podatki o zlorabah spletnih plačil niso javno znani, saj poročanje o tem (še) ni obvezno.

ieNapadi z ribarjenjem so prevladujoča oblika kibernetskega kriminala.

Žrtev prejme elektronsko pošto legitimne organizacije (npr. banke), ki izgleda (nepoučenemu) kot da je izvirno. V sporočilu uporabnika prosijo, da potrdi svoje osebne podatke s klikom na neko spletno povezavo, ki pa ga preusmeri na goljufivo napadalčevo spletno stran. No, po vnosu osebnih podatkov lahko kriminalci dostopajo do njegovih e-storitev in mu v primeru, da gre za e-bančništvo, izpraznijo račun.

Kibernetska varnost v Sloveniji: v sedmih letih skoraj sedemkratni porast omrežnih incidentov!

Poleg tehničnih incidentov so zelo neugodni tudi tisti na osnovi tehnik socialnega inženiringa. Pri tem gre  za pridobivanje koristi z manipulacijo in zlorabo zaupanja posameznika. S prigovarjanjem, vzbujanjem zaupanja, uporabo vpliva in podobnim od žrtve pridobijo njene osebne podatke (ime, priimek, številko transakcijskega računa, razna gesla, EMŠO …),  ki jih uporabijo (zlorabijo) za pridobivanje premoženjske koristi. Žrtve izsiljujejo, jim grozijo, šikanirajo ali kako drugače spravljajo v slabši položaj ( phishing, kraja identitete, spletne goljufijevdoriokužbe in spam).

ieIzsiljevalski programi.

Napadalci ukradejo ali izbrišejo vsebino uporabnikovega računalnika in za povrnitev podatkov zahtevajo  kupnino. Zastrašujoče je že pomisliti, a enako tehniko napadov lahko uporabijo na inzulinskih črpalkah in srčnih spodbujevalnikih in tako postane posameznikovo življenje dobesedno v rokah napadalcev.

ieOblačne storitve

Omogočajo shranjevanje ogromne količine podatkov, ne da bi zavzemali prostor na naših fizičnih nosilcih podatkov (diskih). Podjetja se vedno bolj zanašajo na te sisteme, in sicer prav za vzdrževanje občutljivih podatkov. In prav zaradi rasti oblačnih storitev (iz 14 bilijonov $ v letu 2011 na 33 bilijonov $ v letu 2016) postajajo ti vedno večja tarča kriminalcev in tako še ena izmed največjih groženj, pri čemer hekerjem ni potrebno premagati fizičnih ovir, ampak se lotijo oblačnih podatkov od koderkoli in kadarkoli.graf

ieIoT – Internet stvari.

Vse kaže, da bodo ranljivosti le še naraščale. IoT  je velika in za napadalce mamljiva pošast nedoumljivih zmožnosti. Povezane naprave lahko z izjemno hitrostjo masovno zbirajo  osebne podatke o uporabnikovem življenju, dnevnih rutinah in tako predstavljajo pravo bogastvo za vsakega hekerja. Proizvedejo na stotisoče pametnih naprav, ne da bi upoštevali varnostna vprašanja njihove uporabe. Seznam tveganj je v resnici neskončen.

Imate brezžično omrežje? Poskrbite vendar, da bo varno. Uporabite vsaj VPA2-kodiranje in izberite AES-kodirni algoritem. Če lahko nastavite t. i. Group Keys, jih nastavite na enak algoritem kodiranja. In nikoli ne odpirajte povezav (linkov) v e-sporočilih in priponkah od neznanega pošiljatelja, ne razkrivajte svojih osebnih podatkov, sestavite kompleksna in varna gesla, šifrirajte svoje podatke.

ieZa zaščito moramo skrbeti vsi.

Razmislite torej, ali ste ozaveščeni in dovolj izobraženi o kibernetski varnosti. Posamezniki smo za zlorabe spletnih plačil odgovorni le do vrednosti 150 evrov, preostalo škodo krije banka, a ne vedno. Pod tem pojmom lahko razumemo marsikaj, saj je treba, odvisno od pravil bank, za varno rabo spletnih plačilnih sistemov, za varno delo in plačevanje na spletu namestiti kakovostno varnostno rešitev in se držati pravil varnega poslovanja. Za podjetja ta omejitev ne velja, zato so (tudi finančno) bolj izpostavljena tveganju spletnih zlorab.

E-poslovanje NI ogroženo, saj ravno tako kot nove grožnje nastajajo tudi nove zaščite. E-poslovanje je zelo širok pojem, pri katerem se uporabljajo raznovrstne zaščite. Nekatere so bolj, nekatere pa manj uspešne. Stoodstotne zaščite pa, žal, NI. In tega bi se morali zavedati vsi.

ieVelika malomarnost je puščanje pametnih kartic v računalniku, saj to omogoča proženje transakcij na daljavo med uporabnikovo odsotnostjo.

iePoslovna varnostna politika. 

Mobilne naprave in vnos zasebnih mobilnih naprav v poslovno okolje, posebej še, če se uporabljajo tudi v službene namene (npr. zaposleni na svojem mobilnem telefonu berejo službeno elektronsko pošto itd.) predstavljajo poseben varnostni izziv. Zaposleni naj z gesli in PIN-om zaščitijo svoje naprave, šifrirajo podatke in instalirajo varnostne aplikacije. Sestavijo in uporabijo naj močna gesla, ki jih menjujejo vsake 3 mesece.

Izoblikujte seznam: kateri ljudje, aplikacije in naprave lahko dostopajo do katerih podatkov. Opredelite in označite podatke o strankah, zaposlenih, finančne podatke in druge občutljive podatke kot “zaupne” ter temu primerno z njimi ravnajte.

Uporabniki naj dostopajo le do podatkov, ki jih potrebujejo za svoje delo. Nihče ne sme imeti dostopa do vseh podatkov podjetja. Onemogočeno naj bo instaliranje programov brez dovoljenja. Podjetje naj v primerih, kjer se to izkaže potrebno, uvede večfaktorsko identifikacijo, ki poleg gesla zahteva še dodatne podatke. Obvestilo o pričetku izvajanja elektronskega nadzora nad zaposlenimi v smislu uporabe spleta, e-pošte in družbenih omrežij, je lahko neprijetno presenečenje, vzrok neugodnih občutkov in nezadovoljstva nad poseganjem v delavčevo zasebnost. In to popolnoma upravičeno. Hkrati pa velja, da so službeni računalniki in internetni dostop lastnina podjetja in da so zaposleni plačani, da med delovnim časom opravljajo službene dolžnosti, in ne za preverjanje osebne pošte in Facebooka.

ie(Etična) vprašljivost e-nadzora zaposlenih.

Nadzor na delovnem mestu je etično vprašljiv in pogosto povzroči nezadovoljstvo in zmanjšano delovno učinkovitost zaposlenih. Po drugi strani pa je za večino vodstev podjetij ravno premajhna produktivnost zaposlenih glavni razlog za uvedbo e-nadzora. Pa vendar se zgodi, da je zaupna pogodba zapustila podjetje kot priponka v navadni e-pošti, pa tudi, da je baza osebnih podatkov strank prenesena v Dropbox – sicer z najboljšimi nameni, da bi zaposleni lahko tudi ob koncu tedna (med vikendom) nadaljevali svoje prodajne strategije – a kaj se je z bazo podatkov dogajalo od tam dalje, ne morete vedeti.

In zgodi se, da zaupne informacije “nehote” spolzijo izpod prstov: oblačno shranjevanje in enostavno deljenje dokumentacije preko e-pošte sta tako postala zelo enostavna načina uhajanja zaupnih informacij.

Pripravil: mag. Rudi Lesjak, univ. dipl. inž. informatike, predavatelj na ERUDIO višji strokovni šoli.