NEVEN ZITEK, voditelj odjela za odgovor na kibernetičke incidente, Span

Je li najviši menadžment spreman na krizu prouzročenu kibernetičkim napadom?

Promo utorak, 20. prosinca 2022. u 06:00

Kibernetički napadi sve su učestaliji i napredniji, troškovi za učinkovitu cyber obranu sve veći, a oporavak poslovanja nakon cyber napada sve skuplji. Do krize prouzročene kibernetičkim napadom dolazi onda kada trenutačni operativni model nije u stanju adekvatno odgovoriti na incident.

Osim financijske, napadači nanose i reputacijsku štetu napadnutim organizacijama. Primjerice, tko bi želio svoje osobne podatke ostaviti nekoj banci koju su napali cyberkriminalci, ukrali novac i podatke korisnika te ih objavili na Internetu?

Razlikujemo tri vrste prijetnji/ranjivosti koje predstavljaju opasnost za svaku organizaciju:

  • "Samonanesene" su one koje moramo spriječiti, gdje smo prijetnja sami sebi, zbog slabe ili loše upravljačke prakse, nedostatne ili neadekvatne politike, nedostatka alata, školovanja, vježbi ili ekspertize…
  • Kod "slučajnih prijetnji" organizacije mogu biti kolateralna žrtva globalne maliciozne kampanje. Znači, nekim organizacijama će se dogoditi, nekima neće, ovisno o općem odnosu koji imaju prema sigurnosti (sigurnosna kultura, security posture).
  • Ciljani napadi teško se mogu spriječiti. Cyberkriminalci odabrali su baš određenu kompaniju kao primarnu metu, i to s ciljem da dođu do podataka organizacije ili da preko nje dođu do podataka njezinih korisnika (supply-chain-attack).

KIBERNETIČKI KRIMINAL FINANCIJSKI JE MOTIVIRAN

Cybernapadi predstavljaju prijetnju poslovnim procesima (potencijalna ili doslovna šteta).. Zaustavljaju poslovne procese, kako bi žrtve prisilili da plaćanjem spriječe daljnju štetu ili anuliraju postojeću (dvostruka/trostruka ucjena). Ili, pak, napadači krađom / preusmjeravanjem prebacuju novac na svoj račun.

Kako bi se učinkovito odgovorilo na prijetnje, potrebno je:

  • razumjeti vlastite procese i međuovisnosti u lancu vrijednosti,
  • razumjeti taktike, tehnike i procedure napadača te,
  • razviti odgovarajuće sveobuhvatne mehanizme za efektivan i učinkovit odgovor na moguće prijetnje podizanjem razine spremnosti odgovora na prijetnje (edukacija i uvježbavanje).

U odgovoru na cyber incident trebaju sudjelovati svi dijelovi organizacije, od IT odjela, korporativnog dijela, do stručnjaka za kibernetičku sigurnost. Primjerice, ne može netko iz IT odjela donijeti odluku hoće li organizacija privremeno zaustaviti poslovanje dok se ne riješi cyber incident – takve odluke mora donijeti netko iz poslovnih operacija. Zajednički rad svih sudionika važan je da bi se omogućio uobičajen rad u nenormalnim uvjetima te kako bi se izbjegla kriza.

ŽIVOTNI CIKLUS CYBER INCIDENTA

Sigurnosne incidente pratimo kroz faze njihova odvijanja – prije, za vrijeme i poslije incidenta – s time da se prvo fokusiramo na što ranije ovladavanje situacijom. Kad je riječ o onome što treba napraviti poslije incidenta, cilj je poboljšati stanje koje je dovelo do ranjivosti – brzo obaviti imunizaciju i osnažiti sustav kako se napad koji se dogodio ne bi ponovio. Najveći problem kod internetskih sigurnosnih incidenata jest to što se oni najčešće ne otkriju u trenutku u kojem se dogode, već danima i tjednima, pa i mjesecima, poslije.

Riječ je o dugo i pomno planiranom organiziranom zločinačkom pothvatu, u kojem često sudjeluje više sudionika. Hakeri međusobno surađuju i razmjenjuju informacije, upadaju u sustave, mapiraju tko s kime razgovara, kradu vjerodajnice, analiziraju sve čime se tvrtka bavi, i procjenjuju koliko bi velik mogao biti plijen, to jest, koliko će napadnuta tvrtka biti spremna platiti. U drugoj fazi, kad je incident otkriven, treba odmah, u što je moguće kraćem roku, provesti proceduru prikladnu za konkretan slučaj. To dosta ovisi o vrsti napada koji se dogodio, no sve počinje izolacijom napadnutih računala i mreže koja je ugrožena, i smanjivanjem šteta.

VJEŽBE KAO NAJPOVOLJNIJA INVESTICIJA U CYBER SIGURNOST

Stožerne vježbe, poznate i pod nazivima Tabletop ili War-room, otkrivaju kako bi organizacija reagirala u cyber krizi, primjerice, tko odlučuje hoće li poslovanje biti obustavljeno i na koliko dugo. Može li se procijeniti stvarni učinak prekida poslovanja? S trenutačnim načinom rada, može li organizacija učinkovito odgovoriti na cyber prijetnje kao što je ransomware?

Sve su to složena pitanja. Međutim, odgovori mogu biti puno jednostavniji kada na rješavanju izazova od samog početka rade i surađuju IT, sigurnosne i poslovne operacije.

Svrha stožernih vježbi je:

  • podizanje razine osviještenosti,
  • evaluacija planova za odgovor na krizne situacije,
  • inicijative kao odgovor na uočene nedostatke dolaze od samog vrha.

Stožerne vježbe testiraju sposobnosti odgovora organizacije na možebitni krizni događaj. Pokazuju organizaciji gdje su joj najveće slabosti, ali i osvještavaju menadžment za problematiku odgovora na cyber incidente. Pokazuju im kako to nije samo tehničko-tehnološka tema rezervirana za "dečke u podrumu", već da se tiče svih zaposlenika organizacije.

Stožernim vježbama najviši menadžment organizacije dobiva priliku djelovati kao tim, dobro upoznati nove/novije članove upravljačkog tima s ostalima, te uvidjeti kako upravljanje organizacijom u uobičajenim i kriznim uvjetima nije isto.

Cilj stožernih vježbi nije pobjeda, nego uvidjeti i procijeniti rizike, organizacijske slabosti/ranjivosti, i prostor za poboljšanjem te organizacijske snage.

Nakon stožernih vježbi, bitno je fokusirati se na ono što se pokazalo uspješnim, te iskoristiti to kao podlogu i oslonac za nove stvari i nadogradnju postojećih. Potrebno je i analizirati elemente sustava koji su uočeni kao dobri i pouzdani – replicirati ih.

 

PRIPREMA ZA CYBER INCIDENT

Kibernetički kriminal je u porastu, i uzrokuje velike štete (financijska, reputacijska, regulatorna – zakonska…). Incidenti prouzročeni kibernetičkim napadom imaju potencijal da prerastu u krizu, i stoga je iznimno bitno da u odgovor na incidente prouzročene kibernetičkim napadom bude uključena cijela organizacija. Za učinkovit odgovor na cyber prijetnje iznimno je važna priprema – planiranje, procjena rizika i priprema odgovora na incident, te vježbanje i uvježbavanje.

 

PRIJETNJE U KIBERNETIČKOM PROSTORU

    • Prosječno vrijeme od identifikacije neovlaštenog upada u informacijski sustav do detekcije je 286 dana. [1]
    • Vjerojatnost kaznenog progona za kibernetički kriminal u SAD-u je 0,05% (=0,5‰). [2]
    • 45% incidenata uključuje krađu osobnih i korisničkih podataka. [3]
    • Kibernetički napadi su u porastu +11% od 2018. i +64% od 2014. [4]
    • Prosječna otkupnina ransomware napada narasla je +518% [5]
    • Lapsus$ – provale i krađe podataka: Nvidia, Ubisoft, Samsung, Microsoft
    • Lazarus – exploit i krađa 540 milijuna USD, Ethereum, USDC stablecoin
    • Wormhole Ethereum /blockchain bridge/ – u veljači 2022. 321 milijun USD ukradeno
    • Beanstalk exploit – ožujak 2022. exploit stablecoin Beanstalk protokola – 182 milijuna USD ukradeno.
    • Capital One – lipanj 2022., bivša zaposlenica Amazona Paige Thompson osuđena je kao zaposlenica Amazon Web Servicesa (AWS) za krađu osobnih podataka više od 100 milijuna ljudi. Capital one kažnjen je s 80 milijuna USD i 190 milijuna USD za sudsku nagodbu. [6]
Mreza 1 / 2023 siječanj 2023.