Hakerski napadi – nepoznata opasnost
10. februar 2013“Zdravo Paul, upoznali smo se prije četiri sedmice na zabavi održanoj na Cebit-u.:-) Kokteli na vašem štandu nisu bili baš ukusni, Šaljem ti još par fotografija koje sam napravio. Na njima ste ti i tvoja kolegica Suzana. Sve najbolje i do naredne godine u Hanoveru! Rob.”
Paul je uposlenik telekomunikacijske firme sa sjedištem u Hanoveru i ne može se sjetiti Roba. Ipak, sjeća se da je na zabavi na zatvaranju sajma Cebit pio brazilske koktele i proveo ugodnu večer. Paul je bez veće sumnje kliknuo na fotografije u “atačmentu”. Izgleda da nešto ne funkcioniše, pomislio je, jer nije uspjevao “otvoriti” tobožnje fotografije .
“Socijalni inžinjering“
Osjećaj često vara. Shvatio je to kasnije i Paul, jer je baš tada špijunskim softverom inficirao svoj kompjuter, ali i korporativnu mrežu svog poslodavca. Bio je to “po mjeri skrojen” softver, koji antivisrusni programi nisu mogli prepoznati. Od tog trenutka je “Rob” imao pristup IT-sistemu preduzeća. Informacije o zabavi na kompjuterskom sajmu Cebit on je pronašao na Paulovom facebook-profilu.
“Socijalni inžinjering” je naziv koji su stručnjaci dali ciljanim hakerskim napadima na uposlenike određene firme. Ta metoda je jednako učinkovita, koliko je i opasna. Primjeri nedavnih napada na čuvene svjetske časopise “New York Times”, Wall Street Journal” i “Washington Post” pokazali su koliko mogu biti opasne poruke ovakve vrste. Također se pokazalo da je, prema indicijama, napad došao iz Kine.
Subjektivna procjena opasnosti
Iza Kine, po broju hakerskih napada, dolazi Rusija i istočno evropske zemlje, koje predstavljaju glavnu opasnost za napade nepoznatih nalogodavaca na njemačke firme. To smatra 500 rukovodilaca njemačkih firmi, učesnika studije provedene od strane revizorske i konsultantske firme KPMG.
Nikada se ne može sa potpunom sigurnošću dokazati ko stoji iza nekog sajber-napada, kaže voditelj studije Aleksander Gešonek (Alexander Geschonneck). Procjene njemačkih menadžera još su po jednom pitanju bile subjektivne. Kada je riječ o riziku, niko od njemačkih poduzetnika, što se dalo primjetiti, nije povezivao napade sa svojom firmom, već uvijek sa drugim firmama. “Drugi su bili napadnuti, ali mi to nismo doživjeli”, isticali su poduzetnici. To je princip kojim se ništa ne rješava. Takav stav je iznenađujući i pokazuje da se ti poduzetnici osjećaju sigurnijima nego što to uistinu jesu”, ističe Gešonek.
Obavezna prijava hakerskih napada?
Najčešće firme nemaju nikakvu korist od toga da priznaju da su napadnute. “Na koncu, hakeri njihove podatke ne kradu fizički, već ih kopiraju”, kaže Gešonek. Do bolne spoznaje dolazi tek onda kada se te informacije negdje pojave i to u rukama ucjenjivača ili konkurencije. Iz konsultantske prakse eksperti prepoznaju jedan novi problem. Naime, mnogi privrednici se u slučajevima napada i štete plaše odlaska u policiju, jer bi hakerski napad mogao naštetiti ugledu firme i kod klijenata izazvati osjećaj nesigurnosti.
Njemački ministar unutrašnjih poslova Hans Peter Fridrih (Friedrich) smatra da pokušajima zataškavanja treba stati u kraj,. “Radi se o tome da mi takozvanu kritičnu infrastrukturu moramo zaštititi. To se odnosi na firme koje nas snadbijevaju strujom, osiguravaju nam komunikacijske usluge i logistiku i koje su sastavni dio naše svakodnevnice. Ako se dogodi sličan napad na neki sistem, obavezno ga treba prijaviti kako bi naši odbrambeni sajber sistemi što prije mogli djelovati i spriječiti posljedice tih napada.”, rekao je ministar u intervjuu za Televiziju WDR.
Nemoguća potpuna zaštita
Ministar unutrašnjih poslova Fridrih je na Konferenciji o sigurnosti u Minhenu dobio podršku i od Neli Kros (Neelie Kroes), EU komesarke za razvoj digitalnih tehnologija. Planovi Komisije EU su da se u sigurnosno-kritičnim branšama treba uvesti obaveza prijavljivanja “većih incidenata”.
Do sada je njemački Savezni ured za sigurnost informatičkih tehnologija (BSI) zagovarao dobrovoljno prijavljivanje hakerskih napada, kao što je propisivala inicijativa pod nazivom “Alijansa za sajber sigurnost”. Na taj način su se firme međusobno mogle upozoravati na valove napada ove vrste. “Potpuna zaštita od ciljanih hakerskih napada nije moguća. Mi želimo iskoristiti sve IT-resurse. Želimo komunicirati. Ta komunikacija podrazumijeva i da dobijamo elektronske poruke, koje se ne mogu jednostavno provjeriti i znati odakle zapravo dolaze. Ako se napadi ne mogu zaustaviti, onda se moraju smanjiti njihove posljedice ”, rekao je uposlenik Saveznog ureda za sigurnost informatičkih tehnologija Dirk Heger (Haeger), koji je nadležan za zaštitu i odbranu operativnih mreža.
Interno narušavanje sigurnosti
Čak i Aleksandar Gešonek iz KPMG-a smatra da je potpuna zaštita iluzorna. On savjetuje firmama da svoju pažnju ipak usredsrede na što bolju zaštitu najvažnijih podataka. Također se preporučuje da firme trebaju kritički posmatrati i sopstvene uposlenike, kao što pokazuje i jedan slučaj iz SAD-a. Tokom sigurnosne provjere ispostavilo se da je postojao redovan pristup mreži iz Kine. Iza toga se nisu krili hakeri. Krivac je bio jedan lukav, ali veoma pokvaren nemještenik te firme. On je, uz malu novčanu nadoknadu, koja je predstavljala neznatan dio njegovih primanja, bio u službi svojih kineskih poslodavaca, ustvari naručilaca. Pristup zaštićenoj korporativnoj mreži bio je moguć tako što je isti uposlenik neophodni pasvord generator “partnerskoj firmi”poslao u poštanskom paketu.
Autori: Danhong Zhang / Faruk Šabanović
Odgovorna urednica: Jasmina Rose