Dok čitate ove redove, možda se baš neko u vašoj firmi upeca na fišing mejl. Statistika je neumoljiva: 95% kompanija koje su pogodili ransomver napadi reklo bi "da" otkupu podataka, samo da izbegnu mesece agonije. RGZ je celo leto pokušavao da se oporavi, EPS je više od mesec dana izdavao "bespotrebne račune", a Ministarstvo pravde, Pošta Srbije, Srbijagas... lista žrtava raste. Vladan Stevanović, stručnjak za e-learning i edukaciju u oblasti sajber-bezbednosti, otkriva šta stoji iza ove tihe epidemije i kako da se odbranimo.
Kad stigne poruka na engleskom, a niko ne zna jezik
Zamislite scenu: u nekoj srpskoj opštini svi računari odjednom prestanu da rade. Na ekranima se pojavljuje poruka – na engleskom. Traže otkup za podatke. Problem? Niko u službi ne zna engleski dovoljno dobro da shvati šta piše. Rezultat? Izgubljena cela baza podataka. Bez bekapa. Bez plana B.
Ljudi jednostavno nisu svesni u kakve probleme mogu da se uvale. To nije više neki klinac haker u kapuljači koji sedi u mraku i nema šta da radi. Iza svega stoje ozbiljne organizacije, psiholozi koji osmišljavaju metode socijalnog inženjeringa, profesionalci koji mesecima „neguju“ svoju žrtvu pre nego što napadnu.
Ova priča, iako deluje kao scenario za film, događa se kod nas redovno. I najgore od svega – uglavnom se prećutkuje.
"Neće baš mene" – najopasnija mantra
Najveći problem je nedostatak svesti o bezbednosnim rizicima. Uvek postoji onaj rezon: 'Neće mene'. E, neće baš mene – i to je to. Dok jednog dana ne dođe račun.
A brojke su zastrašujuće. Prošle godine je Odeljenje za visokotehnološki kriminal MUP-a Srbije zabeležilo svega tristotinak prijava sajber napada. Zvuči malo? Jeste – zastrašujuće malo. Kolege iz Ratela govore o milionima pokušaja napada. Razlika? Ljudi ne prijavljuju.
"Generalno, ljudi nemaju ni naviku da prijavljuju te napade", objašnjava Stevanović. "A bilo bi idealno da prvi koji naleti na nešto to objavi – kao kod kladionica kad bude dojava, da se spreče drugi da uplaćuju na to isto."
Novi Zakon o informacionoj bezbednosti, koji bi trebalo da stupi na snagu 1. januara 2027. godine, trebalo bi da promeni ovu praksu. Predviđene su kaznene odredbe za nepridržavanje bezbednosnih principa, a obaveza prijavljivanja biće proširena. Ali dok se zakon primenjuje, firme svakodnevno gube milione.
RGZ, EPS, Ministarstvo pravde – niko nije imun
Spisak žrtava čitamo kao telefonski imenik državnih institucija: Republički geodetski zavod koji nije radio mesecima, EPS koji je više od mesec dana izdavao račune "na pamet", Ministarstvo pravde, Pošta Srbije, Srbijagas...
Često se dešavaju penetracije, napadi na ozbiljne sisteme. Neki su izgubili podatke, nekima su kopirani podaci, neki su dobili ransomver (ransomware – ucena za plaćanje otkupa). A problem je što je RGZ „tamo neka“ državna organizacija, ali zbog njega ne mogu da rade ni advokati, ni notari, ni ostali. A zamislite da ne radi banka. Ili kladionica. Ili EPS. To su ozbiljne pare u pitanju.
Paradoks je u tome što većina tih institucija i kompanija ima bezbednosne sisteme, ima zaposlene za bezbednost, ima Cisco rutere i softver. Pitanje sad da li je to baš najbolje podešeno ili ne. Uglavnom jeste ali šta sve to vredi kada „obični korisnici“ ne vode računa?
Wellness tretman, kozmetika i... trojanac
Ženska populacija zaposlenih pokazala se posebno ranjiva na određeni tip napada. Gospođe se naročito lako upecaju kada dobiju gratis neki wellness tretman, kozmetički tretman, gospoda na razne poklone, dobitke u nagradnim igrama… I onda kliknu gde ne treba i pokupe nešto. To što uđe u veliki sistem, u mrežu, stoji tu negde, prikriva se neki trojanac, i posle nekog vremena samo se aktivira ransomver. Pošalje se poruka sa zahtevom za otkup podataka koji su kriptovani. I onda je kasno.
Dilema: platiti ili ne platiti?
Istraživanje u Americi otkrilo je šokantan podatak: 95% kompanija koje su prošle kroz iskustvo ransomver napada i pokušaja da sami povrate podatke, reklo je da bi, da mogu da vrate vreme, odmah platile otkup.
Zašto? Pa platiš to možda rešiš problem tog dana. Ne kažem da treba da se plati ali ovo drug traje. RGZ je celo leto jedno to radio, spasavao se.
Naravno, postoji i krivična odgovornost – plaćanjem otkupa finansirate terorizam. Ali, mnogi su to rešavali na taj način ‒ ćutiš, platiš, i nadaš se najboljem.
Nije to više samo krađa broja kreditne kartice
Sa pojavom veštačke inteligencije, pretnje su postale mnogo sofisticiranije. Nije to više samo krađa broja kreditne kartice, PIN-a, matičnog broja, pasoša… Sad je to mnogo ozbiljnije. Vrlo lako nešto može da se klonira i da izgled verno originalu.
Krađa identiteta danas obuhvata lični, finansijski, poslovni identitet. I što je najgore – nije to više pitanje jednog mejla na koji kliknete ili ne. Oni rade gruming (grooming – engleski negovanje, održavanje) neguju te tamo sa one strane. Malo se dopisuju sa vama, mesec dana, i onda samo tras. To su specijalne metode, to psiholozi stoje iza toga.
Bankari prednjače, ostali – daleko iza
Naravno, kada su kompanije institucije ozbiljne, sve je drugačije. Postoji sektor koji je uspeo da se odbrani ‒ bankarski. Jedan razlog je što se najviše štite, a drugi što najviše ulažu u edukaciju zaposlenih. Banke redovno imaju četiri puta godišnje edukaciju svih zaposlenih za sajber rizike, pretnje, bezbednosne stvari. I oni to stvarno tako rade.
Suprotno tome stoji državna uprava i obrazovni sektor. Tu treba da se rade masovni projekti obuka. Je, džabe ne znam kakvi sistemi, džabe hardver, softver, Cisco ruteri – kad obični korisnici u radno vreme imaju vremena da surfuju i idu na nebezbedne vebsajtove.
Rešenje: preventiva, edukacija, backup
Šta je, dakle, recept za odbranu? Obuka i preventiva su najvažnije. Mi svi zaostajemo za Zapadom dosta u toj preventivi.
- Prvo pravilo: redovan backup ‒ Ljudi ne prave redovno backup, to je prvi problem. Državne institucije, opštine, koji nisu radili backup, pa dobili ransomware – izgubili su celu bazu.
- Drugo: svest o riziku ‒ . Ako se vodi računa o preventivnim aspektima, ako ljudi postanu svesni šta može da se desi, polovina posla je urađena.
- Treće: prijavljivanje ‒ Novi zakon će obavezati širi krug državne institucija, uz operatore, banke, finansijske institucije, da prijavljuju napade kako bi se imala evidencije i da bi neki drugi mogli da se zaštite ako je jedan napadnut.
Zakon stiže – pitanje je da li će biti dovoljan
Novi Zakon o informacionoj bezbednosti trebalo bi da u potpunosti stupi na snagu 1. januara 2027. godine, kadav se donesu podzakonski akti zakona koji je usvojen u oktobru. Predviđene su kaznene odredbe za nepridržavanje osnovnih bezbednosnih principa.
Zakon obuhvata IKT sisteme od posebnog značaja, operatore prioritetnih IKT sistema – energetiku, rudarstvo, vojsku, policiju, transport, naravno banke.
Ali dok zakon ne zaživi, dok se ne napišu podzakonska akta, dok se ne sprovede masovna edukacija – firme ostaju prepuštene sami sebi. I svojoj proceni da li će baš njih pogoditi napad.
Uvek postoji onaj rezon: „Neće mene“ ali treba svima da bude jasno ‒ nije pitanje da li će doći do napada, pitanje je samo kada. I da li ćete biti spremni.
O autoru:
Vladan Stevanović je stručnjak za e-learning i projektovanje informacionih sistema. Poslednjih dvadesetak godina se bavi onlajn obukama, posebno u oblasti sajberbezbednosti. Na njegovoj platformi za e-learning su u proteklih 20 godina svi koji su polagali ECDL ispite u Srbiji radili na njegovom softveru, sertifikovanom od strane ECDL Fondacije u Dablinu.
Stevanović ove nedelje, sa kolegom prof. dr Acom Aleksićem, u Privrednoj komori Srbije drži seminar „Informaciona bezbednost, zakonska regulativa i praktična primena“, gde će polaznici imati priliku da se upoznajuu sa bezbednosnim procedurama i da, vežbajući na interaktivnim simulacijama iz realnog okruženja, ostvare maksimalne efekte edukacije.
