25.2.18

Izvješće o stanju računalnih ranjivosti

Tvrtka Risk Based Security je prije prije desetak dana objavila zanimljivo istraživanje o stanju računalnih ranjivosti u 2017. godini. Spomenuta tvrtka održava bazu podataka o računalnim ranjivostima VulnDB (komercijalna verzija nekad slobodno dostupne OSVDB baze podataka o računalnim ranjivostima). Preporučujemo pročitati izvješće, a ovdje ću izdvojiti nekoliko indikativnih podataka o još uvijek podcijenjenoj komponenti informacijskih rizika.

  • Prvi podatak - u 2017. godini je formalno evidentirano 20.832 ranjivosti, što je porast od 31% u odnosu na 2016. godinu - čak i ne smatram ključnim. Na taj broj su mogli utjecati i neki drugi faktori osim pada kvalitete softverskih proizvoda - od unaprjeđenja prakse traganja za računalnim ranjivostima, proširenja platformi obuhvaćene istraživanjem ranjivosti, promjena prakse prijave ranjivosti... Zanimljive su, zapravo, druge informacije o svojstvima samih ranjivosti.
  • Što se tiče ocjena ranjivosti prema CVSSv2 standardu ocjenjivanja, zadržana je raspodjela koja je zacrtana i u ranijim godinama: oko 40% ranjivosti ima CVSS ocjene 7 ili više, a gotovo 20% ocjene 9 ili 10 (točnije, 17,2% u 2017.).
  • Analizirajući podatke o scenarijima iskorištavanja ("exploit"),  izvješće pokazuje da za 39,5% ranjivosti postoje "exploit" scenariji, a za 6.569 ranjivosti postoje javno objavljeni "exploit" scenariji. Preostali scenariji su prisutni u komercijalnim paketima ili za njih postoji dovoljna količina informacija za uspješno iskorištavanje u praksi. Za širu sliku, treba uzeti u obzir da se u svakoj tekućoj godini pojavljuju "exploit" scenariji za ranjivosti iz prethodnih godina koji nisu obuhvaćeni ovim brojkama.
  • Osobito je zanimljiv podatak o vektoru iskorištavanja određenog "exploit-a", tj. točke s koje napadač pokreće scenarij napada. Gotovo pola utvrđenih ranjivosti (točnije 49,9%) može biti pokrenuto s udaljenih lokacija odnosno preko mreže, što se smatra najkritičnijim vektorom napada. Ako ovom broju pribrojimo oko 7.000 ranjivosti čije iskorištavanje ovisi o lokalnom kontekstu, dolazimo do preko 17.000 ranjivosti koji se sasvim sigurno ili prilično izvjesno mogu iskoristiti mrežnim putem, što za napadača predstavlja ležerniju i poticajniju priliku za ostvarivanje ciljeva.
  • Za 23,2% ranjivosti iz 2017. godine nije bilo odgovarajućih popravaka (programskih zakrpi ili softverskih nadogradnji). Ako uzmemo u obzir uobičajeno neučinkovit proces primjene ovih popravaka onda možemo zaključiti da značajni opseg resursa ostaje ranjiv.
  • Nedovoljna, neispravna ili čak nepostojeća kontrola aplikativnih ulaznih vrijednosti  predstavlja uzrok za 66,7% ranjivosti. Ova činjenica govori o nekvalitetno provedenom procesu razvoja i testiranja aplikacija i potvrđuje nam da je upravo ovo područje ključ za ograničavanje računalnih ranjivosti.
  • Sigurnosni softver sudjeluje s gotovo 1000 ranjivosti u ukupnom broju ranjivosti u 2017. godini, a dodatnu ozbiljnost ovoj činjenici daje i podatak da je proizvođačima trebalo prosječno 195 dana za otklanjanje ovih nedostataka.
  • Među zanimljivim podacima iz prošlogodišnjeg izvješća možemo istaknuti one o ranjivostima u SCADA sustavima i programima vezanim za kriptovalute. U SCADA sustavima (računalnim sustavima kojima se kontrolira kritična infrastruktura - od nadzora industrijske infrastrukture, proizvodnje i distribucije energetskih resursa pa do upravljanja industrijskim procesima) izbrojeno je 692 ranjivosti - broj koji izgleda nizak u odnosu na ukupan broj ranjivosti ali nikako nije zanemariv s  obzirom na značaj ili s obzirom da je dvije trećine nalaza visoke kritičnosti (CVSSv2 ocjena 7 ili više). Što se tiče kriptovaluta, imamo, za sada,  simbolički broj od 60 ranjivosti no koji ukazuje na prisutnost slabih točaka u ovoj tehnologiji koja je u 2017. doživjela značajnu afirmaciju.
Pored indikatora opisanih u dokumentu, moramo biti svjesni i činjenice da smo u 2017. godini imali eskalaciju ranjivosti koja je bila poznata godinama ranije ali koja nije bila javno objavljena niti obuhvaćena VulnDB, OSVDB ili NVD/CVE bazom podataka i to iz jednostavnog razloga što podaci o ovim ranjivostima nisu bili objavljeni. Možemo biti sigurni da i danas postoji negdje arsenal takvih ranjivosti.


Ipak, zaključit ću u pozitivnom tonu: računalne ranjivosti su izuzetno značajna komponenta ukupnih informacijskih rizika, no, srećom, jedina kojom možemo koliko-toliko upravljati. 

20.1.18

Prognoza za Hrvatsku: Cybersecurity u području niskog tlaka

"Allianz Risk Barometer 2018" je naziv publikacije koju Allianz objavljuje niz godina (možete je preuzeti ovdje), a sadrži procjene specifičnih rizika prisutnih u svjetskom gospodarstvu. Publikacija je rezultat anketa koje su obuhvatile 1911 stručnjaka na području upravljanja rizicima iz 80 zemalja, a odgovori su obrađeni posebnom metodologijom. Ukratko, publikacija donosi popis 10 glavnih rizika koji su identificirani ovom anketom, pri čemu su rizici rangirani sukladno procijenjenom značaju. Pored glavnog popisa koji se odnosi na svjetsko gospodarstvo u cjelini, publikacija donosi rezultate po pojedinim regijama i za uzorak država, te za glavne gospodarske grane.

Glavni rezultati nisu iznenađujući. Na globalnoj razini, kao i vodećim svjetskim gospodarstvima, glavnim rizikom je identificiran "Business interruption", a odmah iza njega slijedi rizik "Cyber incidents" (u nastavku vidimo prvih 5 rizika)





"Business interruption" obuhvaća sve posljedice uslijed prekida poslovnog procesa koji dolaze od djelovanja iz njegovog vanjskog okruženja -  cyber incidenti, tehnički prekidi, požari, prirodne katastrofe,  požara, prekidi rada dobavljača...

"Cyber incidents" rizik, pozicioniran na drugo mjesto, obuhvaća sve direktne posljedice djelovanja cyber prijetnji na poslovanje - krađe informacije, ugrožavanje reputacije, operativne posljedice. Treba naglasiti da djelovanje cyber prijetnji čini i komponentu prvo-pozicioniranog rizika i to kroz rizik izazivanja prekida poslovnog procesa.

Gledajući popise po pojedinim razvijenim gospodarstvima, rizici "Business interruption" i "Cyber incidents" po pojedinim državama drže prva dva mjesta (rotirajući ove pozicije), pa možemo definitivno zaključiti da su cyber prijetnje izrazito prepoznate kao značajan rizik svjetskog gospodarstva. 

No sad dolazimo na zanimljiviju točku ovog istraživanja. Publikacija sadrži popise rizika po državama. U europskom dijelu istraživanja obuhvaćeno je 10 EU država (uključujući Hrvatsku) te Švicarska.

Pogledajte popis 10 najvažnijih rizika u Hrvatskoj - "Cyber incidents" je percipiran tek kao umjeren rizik i nalazi se na šestom mjestu ovog popisa:




Najprisutnijim rizikom za Hrvatsku predviđa se utjecaj zakonodavnih i regulatornih promjena, promjena državne administracije i sličnih sustavnih događaja (pretpostavljam da nećemo biti toliko pogođeni Brexitom).

Ako pogledamo druge članice Europske unije s ovog popisa, u većini ovih država imamo isti uzorak kao i na globalnoj razini. Rizik "Business interruption" i "Cyber incidents" zauzimaju prva dva mjesta (uz uglavnom neznatnu razliku u visini procjene), no meni su zanimljivija odstupanja od ovog uzorka: u Grčkoj se "Cyber incidents" ne nalazi uopće na Top 10 popisu, a u Španjolskoj dijeli tek četvrto i peto mjesto (istina, procjena iznosi 32% što je znatno više od 20% za Hrvatsku). Podsjeća li vas ovo na razdoblje ekonomske krize iz proteklih desetak godina? Nažalost, Allianzovo istraživanje ne obuhvaća druge tranzicijske EU države s kojima bismo se mogli usporediti, no ipak se upitajmo možemo li izvući neke zaključke iz rezultata ovog istraživanja?

Prije nego što pokušam dati odgovor, želio bih naglasiti da je ovakva procjena rizika za Hrvatsku prilično realna. Govorim iz vlastitog iskustva i smatram da se među velikim dijelom gospodarstvenika cyber prijetnje ne percipiraju kao realna i prisutna opasnost. Je li baš realnija prijetnja prirodnih katastrofa od cyber napada kako nam sugerira gornja tablica - to je za diskusiju, no to ne utječe značajno na Allianzov popis.

Prema rezultatima ovog istraživanja možemo zaključiti da je visina cyber rizika direktno proporcionalna stupnjem razvoja i snagom gospodarstva. U slabije razvijenim gospodarstvima kakva je Hrvatska (a, složiti ćete se, i Grčka) manje je vrijednosti izloženo cyber prijetnjama i manje se može izgubiti. No, ne radi se samo ograničenoj snagi gospodarstva. Možemo govoriti i o (ne)disciplini korporativnog upravljanja, izostanku poslovne odgovornosti i ukupno problematičnoj gospodarskoj klimi. U situaciji kada tržišni mehanizmi nisu presudni kriterij poslovnog uspjeha i kad značajan dio gospodarstva još uvijek čine politički upravljani te politici podložni sustavi, za naš management zaista veća prijetnja dolazi od nekontrolirane promjene sustava u kojem se pokušava poslovati nego od cyber prijetnji.

Nemojte me krivo shvatiti: ovime nikako ne obezvrjeđujem napore koje moje kolege, uključujući i mene, provodimo na osvješćivanju glavnih dionika na tržištu i u promociji mjera informacijske sigurnosti, niti pokušavam defetistički zaključiti da radimo nepotreban posao. Radi se ipak o poremećaju percepcije rizika, na koji svi možemo utjecati.

Moj prijedlog za unaprjeđenje stupnja osviještenosti o cyber rizicima: mislim da treba pojačati napore na dijeljenu informacija o cyber prijetnjama i unaprijediti mjere aktivnog praćenja pojave prijetnji. Nekako tradicionalno, mi nismo skloni dugoročno sagledavati niti rizike ali niti doprinose bilo kakvih procesa pa tako ni poslovnih, no iščekivane promjene gospodarskog okruženja moraju unaprijediti percepciju i cyber rizika.

Zaključujem u meteorološkom žargonu iz naslova ovog teksta. Područje niskog tlaka u kojem su danas nalaze cyber rizici stvaraju uvjete za skoro pogoršanje vremena. Možemo predvidjeti da će se i kod nas pojaviti prvi epohalni cyber incidenti kakvi su u 2017. na globalnoj razini bili, npr. krađe podataka u Equifaxu i Uberu. Za prve žrtve će biti prekasno, no na Allianzovom barometru će cyber rizici preći u područje visokog tlaka. To neće značiti nužno bezbrižan vremenski ugođaj, ali bi mogao biti pokazatelj da se cyber rizicima zna i želi upravljati.