10.2.15

Zbog čega su male/srednje tvrtke atraktivne cyber napadačima?

Nedavni članak objavljen na portalu CSOonline bavi se kibernetičkim napadima na tržišni segment malih i srednjih tvrtki. Suprotno uobičajenoj percepciji, kibernetički napadi nisu rezervirani samo na velike multinacionalne tvrtke, financijske institucije ili sektor vladinih agencija. Napadači imaju niz motiva za usmjeravanje svojeg oružja na male i srednje tvrtke, a radi se o kombinaciji lakih  meta i bogatog ulova što ih očekuje u malim tvrtkama.

Doista, male i srednje tvrtke u svom poslovanju sve češće akumuliraju atraktivan kapital koji će napadačima svakako opravdati trud, vrijeme i sredstva za realizaciju napada. U isto  vrijeme, sredstava koja malim tvrtkama stoje na raspolaganju za informatičke zaštitne mjere su i proporcionalno znatno niža nego kod velikih organizacija/tvrtki što mjere zaštite čini neučinkovitima.

O ovoj temi sam govorio na prošlogodišnjoj konferenciji MIPRO, a posebno sam se osvrnuo na naše domaću poslovnu okolinu i izgledima takvih napada na segment malih/srednjih tvrtki u našem okruženju, što ću ponoviti i na ovom mjestu.

Iz dostupnih statističkih podataka zaključujemo da mala/srednja poduzeća pružaju značajan doprinos našem gospodarstvu, a stručnjaci su suglasni u razmišljanju da će (nadamo se) budući i očekivani rast gospodarstva u velikoj mjeri biti utemeljen upravo na ovim tvrtkama. Eventualni kibernetički napadi mogu ostaviti značajne i trajne posljedice ne samo na  male/srednje tvrtke nego i na gospodarstvo u cjelini.

Zbog čega bi napadači mogli biti zainteresirani na male/srednje tvrtke?

Neposredni motiv leži u činjenici da male/srednje tvrtke, u usporedbi s većim organizacijama, već sada predstavljaju laku metu. Ne idealiziram, naravno, stanje sigurnosti u velim tvrtkama, no sasvim je izvjesno da dugogodišnje investicije u, makar, bazične mjere i sigurnosnu higijenu daju ploda i otežavaju (nažalost, ne i onemogućuju) posao napadačima na velike tvrtke. Stoga, napadači se sve više okreću manjim tvrtkama uzdajući se u manjkavosti njihove zaštite. No, osim lake mete, male/srednje tvrtke postaju i plodonosna meta, bez obzira što se ne radi uvijek „high-tech“ tvrtkama ili o globalnim igračima.

Analiza motivacije napadača na male/srednje tvrtke je i dobar primjer za jedan česti previd koji se pojavljuju u procesu procjene rizika. Naime, u procjeni rizika se redovito analizira vrijednost informacijske imovine, a u cilju davanja prioriteta kod odlučivanja o sigurnosnim mjerama. No, uglavnom se propušta napraviti inverzna procjena vrijednosti: koliko moja imovina vrijedi potencijalnim napadačima? Postojanje takve informacije znatno će olakšati procjenu izglednosti napada.

Koje su, dakle, potencijalne vrijednosti atraktivne napadačima na male i srednje tvrtke – ostanimo u domaćem okruženju?

Možda najznačajniji motiv, a ujedno i najsvježiji, je atraktivnost sustava Internet bankarstva, tj. njegove klijentske komponente. Niz prošlogodišnjih primjera iz naše okoline govori da je upravo Internet bankarstvo prepoznato kao glavni pokretač napada s, ujedno, najvećim posljedicama, Ostavimo sada po strani diskusije o raspodjeli odgovornosti između banaka i klijenta, no klijentske komponente Internet bankarstva su najranjivije točke ovog sustava. Naravno, i drugi sustavi on-line plaćanja i trgovanja su isto tako zanimljiva meta napadača.

Drugi motiv su podaci o platnim karticama i krađa podataka koje će napadači  se kasnije iskoristiti na brojen načine. Kod nas su ovi oblici napada još uvijek ograničeni zato što domaće tvrtke rijetko čuvaju podatke o platnim karticama kod sebe već ih obrađuju specijalizirani servis za obradu internetskog plaćanja, no nemojte zanemariti da će se trendovi mijenjati (ili se već mijenjaju trendovi mijenjaju). Strpljivim prikupljanjem podataka i upoznavanjem tržišta napadači će prepoznati ove promjene i spremno reagirati.

Atraktivna meta biti će i osobni podaci, ne samo oni vezani za platne kartice. I dalje smatram da je latentna vrijednost OIB-a još neotkrivena, više i ne možemo govoriti o tajnosti ili povjerljivosti OIB-a. OIB može postati ključ do puno vrjednijih osobnih informacija i to bi upravo mogao biti motiv napadača. Ovakvi scenariji su provedivi u nizu djelatnosti – od financijskih, zdravstvenih, osiguravateljskih… Bolje da i ne nabrajamo dalje.

Jedan od tipičnih ciljeva napadača je intelektualni kapital i poslovne tajne. Već čujem komentare koji govore da naše tvrtke nemaju ovdje što pružiti, no ovi su komentari promašeni. Svaki poslovni sustav koji svoju djelatnost bazira na informacijskim tehnologijama ima barem dio povjerljivih i poslovno značajnih informacija ugrađenih u ovaj sustav. Takvim poslovno osjetljivim informacijama možemo pribrojiti i druge informacije koje su atraktivne npr. medijima ili politički angažiranom dijelu javnosti.

Značajnim rizicima su izložene i tvrtke koje pružaju eksternalizirane usluge. I to svih profila – od pružanja usluga čišćenja prostora ili servisiranja klima uređaja pa do informatičkih usluga, a posebno u situacijama kada su korisnici njihovih usluga velike tvrtke. Pružatelji usluga su korisne napadačima na nekoliko načina. U nekim slučajevima može iskoristiti njihova fizička ili logička (korištenjem udaljenog pristupa) prisutnost kod značajnijih klijenata kako bi se kompromitirali upravo ovi značajni klijenti. U drugim slučajevima, a vezano za prethodni scenarij krađe informacija, iskorištava se činjenica da  pružatelji usluga u svojem informacijskom sustavu imaju značajne informacije koje mogu poslužiti kompromitaciji njihovih klijenata. Ponekad su to lozinke za udaljeni pristup, podaci o informatičkoj infrastrukturi ili vrijedne informacije iz Office dokumenata.

Na koncu, nemojmo zaboraviti scenarij iskorištavanje malih tvrtki za formiranje i operativni rad botnet infrastrukturu. Napadači mogu, uz niske troškove, realizirati veoma iskoristivu mrežu botnet računala za najrazličitije namjere.

Vjerujem da sam vam približio način razmišljanja napadača i prikazao argumente koji će ih ohrabriti za napada i na tvrtke manjih proporcija. Naravno, pojam male/srednje tvrtke može se proširiti i na sve državne institucije i agencije srednjih veličina. Napadači će veoma lako naći motivaciju i u ovim slučajevima.

Iz ovdje opisanih primjera može se vidjeti da nestaju granice unutar kriteriji atraktivnosti napada na male/srednje tvrtke i na velike tvrtke. Obje kategorije žrtava postaju jednako zanimljive, no nažalost, male tvrtke su lakše mete.

Nema komentara: