Nesaglediva opasnost od cyber napada
6. veljače 2013
"Bok Paul, upoznali smo se prije četiri tjedna na partyju održanom na Cebit-u:-) Kokteli na vašem štandu nisu bili loši. Šaljem ti još par fotografija koje sam napravio. Na njima ste ti i tvoja kolegica Susanne. Sve najbolje i do naredne godine u Hannoveru! Rob."
Paul je zaposlen u telekomunikacijskoj tvrtki sa sjedištem u Hannoveru i ne može se sjetiti nekog Roba. Ipak, sjeća se da je na partyju na zatvaranju kompjutorskog sajma Cebit pio brazilske koktele i proveo ugodnu večer. Paul je bez razmišljanja kliknuo na fotografije u mailu. Činilo se da nešto ne funkcionira, jer nije uspjevao pogledati fotografije.
Ciljani napadi na tvrtke
Mail je imao dalekosežne posljedice. Paul je špijunskim softverom inficirao ne samo svoj kompjutor nego i računalnu mrežu svog poslodavca. Bio je to softver "skrojen po mjeri", koji antivirusni programi nisu mogli prepoznati. Od tog trenutka je "Rob" imao pristup IT sustavu poduzeća. Informacije o partyju na Cebit-u tzv. "Rob" je pronašao na Paulovoj stranici na Facebooku.
"Social Engineering" je naziv koji stručnjaci upotrebljavaju za ciljane hakerske napade na zaposlenike neke tvrtke. Ta metoda je jednako učinkovita, koliko je i opasna. I cyber napadi na poznate listove "New York Times", "Wall Street Journal" i "Washington Post" izvedeni su putem elektronske pošte. Indicije ukazuju na to da su mailovi s virusima stigli iz Kine.
Napadi na njemačke tvrtke najčešće potječu iz Kine, Rusije i istočnoeuropskih zemalja. To pokazuje studija o toj vrsti kriminala u kojoj je sudjelovalo 500 šefova njemačkih firmi, a koje je provela revizorska i konsultantska tvrtka KPMG. Nikada se ne može s potpunom sigurnošću dokazati tko stoji iza nekog cyber napada, kaže Alexander Geschonneck, voditelj tima koji je izradio studiju.
Obavezna prijava cyber napada?
Najčešće firme uopće ne primjećuju da su napadnute. "Na kraju krajeva, hakeri njihove podatke ne kradu fizički, već ih kopiraju", kaže Geschonneck. Krađa se uoči tek kasnije, kada se te informacije nađu u rukama ucjenjivača ili konkurencije. Geschonneck upozorava na još jedan problem: mnoge tvrtke se u slučaju cyber napada ne obraćaju policiji jer strahuju za svoju reputaciju.
Njemački ministar unutarnjih poslova Hans-Peter Friedrich smatra da toj praksi barem u nekim branšama treba stati u kraj. "Radi se o tome da moramo zaštititi takozvanu kritičnu infrastrukturu. To se odnosi na tvrtke koje nas snabdijevaju električnom energijom, osiguravaju nam komunikacijske usluge i logistiku i koje su sastavni dio naše svakodnevnice i djelovanja. Ako se dogodi sličan napad na neki sustav, obvezno ga treba prijaviti kako bi naši odbrambeni cyber sustavi čim prije mogli djelovati i spriječiti posljedice tih napada", istaknuo je ministar.
Nemoguća potpuna zaštita
Ministar Friedrich je na Sigurnosnoj konferenciji u Münchenu dobio podršku i od Neelie Kroes, europske povjerenice za digitalni razvoj. Planovi Europske komisije su da se u važnim branšama treba uvesti obveza prijavljivanja većih incidenata.
Do sada je njemački Savezni ured za sigurnost u informatičkim tehnologijama (BSI) zagovarao dobrovoljno prijavljivanje hakerskih napada, kao što je propisivala inicijativa pod nazivom "Alijansa za cyber sigurnost". Na taj način su se firme međusobno mogle upozoravati na napade ove vrste. "Potpuna zaštita od ciljanih hakerskih napada nije moguća. Mi želimo sve IT resurse koristiti. Želimo jednostavno komunicirati. Ta komunikacija podrazumijeva i da dobivamo elektronske poruke koje se ne mogu jednostavno provjeriti i znati odakle zapravo dolaze. Ako se napadi ne mogu zaustaviti, onda se moraju smanjiti njihove posljedice", rekao je suradnik Saveznog ureda za sigurnost u informatičkim tehnologijama Dirk Haeger, koji je nadležan za zaštitu i obranu operativnih mreža.
Interno narušavanje sigurnosti
Čak i Alexander Geschonneck iz KPMG-a smatra da je potpuna zaštita iluzorna. On savjetuje tvrtkama da svoju pažnju usredotoče na što bolju zaštitu svojih najvažnijih podataka.
Također se preporučuje firmama da kritički gledaju i na vlastite zaposlenike. Koliko je to nužno pokazao je jedan nevjerojatan slučaj iz SAD-a. U jednom američkom poduzeću je primjećeno da je u njegov kompjutorski sustav upao netko iz Kine. No, iza napada se nisu skrivali hakeri, već jedan lukavi, ali i lijeni zaposlenik. On je naime mjesecima za male novce angažirao jednog kineskog stručnjaka da obavlja njegov svakodnevni posao. Lozinku za pristup kompjutorskoj mreži svog poslodavca on je u Kinu jednostavno poslao - poštom.