3 hours ago
22
Informacijska varnost ≠ IT varnost — in ta razlika vas bo zelo verjetno precej drago stala. Pa preden začnem, naredimo kratek miselni eksperiment.
Zamislite si organizacijo, ki je ravnokar namestila najsodobnejši AI-podprt požarni zid. Sistem za zaznavanje groženj v realnem času, SIEM, XDR in vse kar spada zraven. Varnostna ekipa je zadovoljna. Management tudi. In revizorji.
Pol leta kasneje pride do vdora.
Ne skozi požarni zid. Ne skozi kakšno sofisticirano tehnično ranljivost. Sistemski administrator je zaposlenega prosil za geslo. Zaposleni niti slutil ni, da ta na drugi strani ni njihov sistemski administrator.
To ni hipotetičen scenarij. To je eden izmed vzorcev, ki se ponavljajo pri večini največjih vdorov zadnjega desetletja.
45 milijonov razlogov za drugačen pogled
Pred nekaj leti sem sodeloval pri sanaciji ene izmed globalno znanih kripto borz po enem največjih vdorov tega desetletja. Odtujenih je bilo skoraj 45 milijonov dolarjev v kriptovalutah.
Ko sem začel analizirati, kaj se je dejansko zgodilo, sem pričakoval kompleksno tehnično zgodbo. Namesto tega sem naletel na serijo presenetljivo preprostih napak. Ne tehničnih, ampak človeških in organizacijskih. Napak, ki bi jih zelo verjetno odpravili že z osnovno informacijsko-varnostno higieno in ne z novim strežnikom ali dražjim požarnim zidom.
Te vzorce sem nato preveril pri primerjavi z drugimi svetovno znanimi vdori. Ugotovitev je bila precej konsistentna in malce neprijetna za stroko: večina največjih vdorov ni bila posledica tehnične prefinjenosti napadalcev. Bila je posledica zanemarjenih osnov.
To ni samo moje opažanje. Stanford University ugotavlja, da je okoli 88 % vseh kibernetskih napadov neposredno ali posredno povezanih s človeško napako. Verizonovo letno poročilo o vdorih (DBIR 2024) potrjuje, da je bil človeški faktor prisoten v 68 % analiziranih primerov. Mimecast v svoji analizi za leto 2024 ugotavlja, da je človeška napaka prispevala k 95 % vdorov.
Ampak da bi lahko razumeli, zakaj se to dogaja, moramo najprej razčistiti temeljni problem pojmovanja.
Tri različne stvari, ki jih vsi tlačimo v eno
V slovenskem in globalnem poslovnem prostoru se pojmi informacijska varnost, IT varnost in kibernetska varnost pogosto uporabljajo kot sopomenke. Pa niso.
Informacijska varnost je krovni pojem. Pokriva vse informacije, na vsakem mediju – digitalne, papirne, verbalne. Vključuje fizično varnost, upravljanje tveganj, politike, zakonodajo, poslovne procese in – kar je ključno – ljudi. Nekako 100% – celotno področje varnosti informacij.
IT varnost je podmnožica informacijske varnosti. Ukvarja se z digitalnimi sistemi in podatki – omrežno varnostjo, upravljanjem dostopa, varnostnimi kopijami, ISMS kontrolami. Pokriva nekje 40–50 % vsebin informacijske varnosti.
Kibernetska varnost je še ožja podmnožica znotraj IT varnosti – osredotoča se specifično na kibernetski prostor: penetracijsko testiranje, SOC/SIEM sistemi, analiziranje groženj, digitalna forenzika, izkoriščanje varnostnih ranljivosti. Tu gre za nekje četrtino do tretjino celotne slike informacijske varnosti – torej 20–30 %. Skupaj IT in kibernetska varnost torej pokrijeta nekje 50–60 % celote.
Vsaka naslednja je del prejšnje. Nobena ni sopomenka za ostali dve.
Zakaj je to pomembno? Ker ko organizacija reče “varnostno smo pokriti” in misli na požarni zid ter antivirusni program, je dejansko pokrila manjši del celotne slike. Preostanek – ljudje, procesi, fizični dostop, organizacijska kultura – ostaja nepokrit. In prav tam hekerji najpogosteje vstopijo.
Vzorci, ki se ponavljajo
Pri analizi vdorov sem identificiral vzorce, ki se pojavljajo z zastrašujočo doslednostjo.
1. Nepopisani viri in zanemarjanje politik dostopa
Večina organizacij nima popolnega popisa svojih informacijskih virov – še posebej zunanjih. Spletne storitve, ki jih je vzpostavil nekdo, ki je že zdavnaj odšel. Dostopi, ki so ostali aktivni po koncu projektov. Integracije tretjih strani, za katere nihče več ne ve točno, kaj delajo in kam segajo.
Brez popisa ni upravljanja. Brez upravljanja je vsak od teh virov potencialna vstopna točka.
2. Nenadzorovane varnostne kopije – siva cona, ki je nihče ne varuje
Varnostne kopije so pogosto organizirane formalno – glavni sistem ima backup, to je dokumentirano, to je zavarovano. Ampak nekje v organizaciji obstajajo še drugi backupi – neevidentiranne in nenadzorovane varnostne kopije. Lokalne kopije na prenosnikih. Izvozi v Dropbox. Nešifrirani arhivi na strežniku, do katerega ima dostop preveč ljudi.
Te nenadzorovane kopije prinašajo dvojen problem. Prvi je varnostni – do njih ima dostop preveč ljudi, niso šifrirane, nihče jih ne nadzoruje. Drugi je manj očiten, a enako nevaren: nihče za njih ne jamči. Če ponudnik storitve preneha delovati, če se pogoji spremenijo, ali če država ponudnika, stopi v konflikt ali uvede omejitve – podatki so lahko čez noč nedosegljivi. Ne ukradeni. Preprosto izgubljeni.
3. Zaposleni iščejo obvode – in s tem nevede luknjajo sistem
Ko so varnostni mehanizmi preveč obremenjujoči za delo, jih zaposleni zaobidejo. Ne iz zlobe – iz pragmatičnosti. VPN je prepočasen, zato pošljejo dokument na osebni mail. Politika gesel je prestroga, zato si geslo zapišejo na papirček. Dvofaktorska avtentikacija je nadležna, zato jo, kjer je mogoče, izklopijo.
Vsak tak obvod je luknja v sistemu. In zaposleni jo ustvari nevede, z najboljšimi nameni, da opravi svoje delo. Varnost, ki jo ljudje zaobidejo, preprosto ni varnost.
4. Več tehnologije = manj pozornosti = manjša dejanska varnost
Ta vzorec je kontraintuitiven, a dobro znan v varnostni teoriji. V prometni varnosti ga imenujejo kompenzacija tveganja (risk compensation): ko se vozniki počutijo bolj zaščitene – zaradi airbagov, ABS zavor, naprednih asistenčnih sistemov, semaforjev in prometnih znakov – začnejo voziti manj previdno. Občutek varnosti zmanjša pozornost in osebno odgovornost.
Enak pojav deluje v informacijski varnosti. Organizacije, ki namestijo najsodobnejša varnostna orodja, pogosto doživijo paradoks: zaposleni in management dobijo občutek, da je “varnost pokrita” — in s tem pade raven pozornosti ravno tam, kjer je najpomembnejša. Pri ljudeh.
To potrjuje tudi podatek iz industrije: medtem ko organizacije investirajo milijarde v kibernetsko varnost, večina vdorov še vedno izhaja iz osnovnih napak. Več orodij ne pomeni nujno boljše zaščite – pogosto pomeni le dražjo iluzijo zaščite.
5. Fizična varnost – prva linija obrambe, ki jo kibernetski svet pozablja
V obsesiji s požarnimi zidovi in šifriranjem organizacije pogosto povsem spregledajo prvo linijo obrambe – fizične dostope dostopa.
Koliko organizacij ima popoln register fizičnih ključev? Evidenco, kdo ima kateri ključ, koliko kopij obstaja in kje so? Kdo ima dostop do strežniške sobe, do arhiva, do prostorov, kjer se obdelujejo občutljivi podatki?
V večini primerov odgovor ni razveseljiv. Rezervni ključ strežniške sobe visi na žebljičku v hodniku. Kopija ključa pisarne je ostala pri zaposlenem, ki je odšel pred dvema letoma. Arhiv s papirno dokumentacijo je zaklenjen — ampak ključavnica je ista od leta 2008 in ključe ima deset ljudi.
Nobena digitalna dostopna kontrola tega ne kompenzira. Fizični dostop je pogosto tista vstopna točka, ki zaobide celoten digitalni varnostni sistem — in je niti najsodobnejši SIEM ne zazna.
Zakaj tega ne uči nihče – niti inkubatorji
Ko sem začel raziskovati to problematiko širše, sem se obrnil na startup inkubatorje po Evropi. Startupi so namreč nesorazmerno pogosto tarče: zbirajo ogromne količine investicijskega kapitala in osebnih podatkov, hkrati pa praviloma nimajo vzpostavljenih niti osnovnih informacijsko-varnostnih temeljev. Podatki kažejo, da so mala podjetja in startupi trikrat bolj verjetna tarča kibernetskih napadalcev kot večje organizacije.
A tu nastopi paradoks, ki ga ustvari prav pojmovna zmeda opisana zgoraj. Ko startupi slišijo “informacijska varnost”, pomislijo na drago tehnično opremo — požarne zidove, varnostne strežnike, specializirane inženirje. In ker tega v zgodnji fazi ne zmorejo financirati, varnost preprosto odložijo. Ne zavedajo se, da osnove informacijske varnosti – popis virov, politika dostopa, ozaveščanje zaposlenih – ne zahtevajo milijonskih investicij. Zahtevajo čas, disciplino in razumevanje.
Ob stiku z več kot 30 inkubatorji sem prejel dva odgovora. Pri enem, ki ga je tema zanimala, sem porabil dve uri, da sem vodjo razvoja poslovanja prepričal o njenem pomenu. Ko je razumel, je rekel: “O, hudiča! Tega pa nismo predvideli. Tega nihče ne dela. Problem je ogromen.“
Večina inkubatorjev ponuja podporo pri financah, marketingu, celo pri upravljanju družbenih omrežij. Informacijska varnost? Ni na seznamu. Ker je “predraga” in “postranskega pomena” — dokler ni prepozno.
Ampak obstaja še en, manj prijeten in neomenjan razlog.
Velik del inkubatorjev in pospeševalnikov je v lasti ali pod vplivom velikih korporacij. In velike korporacije imajo koristi od tega, da so startupi z dobrimi idejami ranljivi. Prevzem je drag. Kraja ideje ali sesutje s pomočjo vdora — bistveno cenejše. Ribnik z ugodnimi razmerami za velike ribe, ki žrejo male.
Kaj pa regulativa?
NIS2, DORA, ENISA smernice — vse to kaže, da sistem na regulatorni ravni prepoznava problem, ki ga stroka in poslovni svet pogosto še ne. Čeprav tudi regulatorji očitno podlegajo mešanju pojmov.
Ampak regulativa brez razumevanja je samo papir. Organizacije bodo kupile certifikat in dokumentacijo, zaposleni pa bodo gesla še naprej zapisovali na papirček.
Rešitev ni v dražji tehnologiji. Rešitev je v razumevanju, da je informacijska varnost v prvi vrsti človeška disciplina — in šele nato tehnična.
Kaj torej storiti?
Nekaj konkretnih izhodišč, ki ne zahtevajo milijonskih investicij:
Popis virov. Vedite, katere informacijske vire imate. Vse. Vključno z zunanjimi in cloud storitvami. In vključno s fizičnimi ključi — kdo ima kateri, koliko kopij obstaja, kje so.
Politika dostopa, ki se dejansko izvaja. Politika, ki jo nihče ne upošteva, je samo dokument. Dostopi morajo biti upravljani aktivno — in ukinjeni takoj, ko niso več potrebni. Velja za digitalne dostope in za fizične ključe enako.
Varnostne kopije kot ključni varnostni element. Kje so backupi? Kdo ima dostop? So šifrirani? Pri katerem ponudniku so shranjeni in kaj se zgodi, če ta preneha delovati? Če ne veste odgovorov takoj, je to že problem.
Varnostni mehanizmi, ki ne ovirajo dela. Če zaposleni iščejo obvode, sta možna dva razloga: mehanizem je narobe zasnovan, ali pa je nesorazmerno zahteven glede na vrednost tega, kar varuje. V obeh primerih je rezultat enak — obvod postane norma, luknja postane sistem. Varnost, ki jo ljudje zaobidejo, ni varnost.
Ozaveščanje kot stalna praksa, ne enkratni seminar. Ljudje so ključni člen. Investicija v njihovo razumevanje je najučinkovitejša varnostna investicija, ki jo organizacija lahko naredi.
Zaključek
Hekerji ne vdirajo v sisteme. Vdirajo v organizacije — skozi ljudi, procese in navade. Tehnični sistemi so pogosto le zadnja obrambna linija, ki nikoli ni bila mišljena kot edina.
Dokler bomo zamenjavali pojme in informacijsko varnost enačili s kibernetsko varnostjo — bodo vdori ostajali v statistikah kot “sofisticirani napadi”.
V večini primerov niso bili sofisticirani. Bili so preprosto uspešni — ker je bila osnovna higiena zanemarjena.
In to je problem, za katerega smo odgovorni vsi. Ne samo IT oddelek.
Borut Kmetič
Poklicno se ukvarjam s področjem informacijske varnosti — od načrtovanja in uvedbe sistemov varovanja informacij do presojanja skladnosti z mednarodnimi standardi.
Kot zunanji svetovalec organizacijam pomagam, da varnost ni le obveznost, ampak del zrele poslovne kulture.
Zasebno pa se posvečam vprašanju, ki me zanima enako globoko: kako živeti bolje. Biohacking, sistemsko razmišljanje, eksponentne organizacije, prebojne ideje in tehnologije, ki oblikujejo prihodnost. Prepričan sem, da dobro življenje ni naključje — ampak sad zavestnih odločitev in poguma, da jih tudi živiš.
Borut@SmartAssets.it
Borut@Medium
The post Hekerji ne vdirajo v sisteme appeared first on Savus.
English (US)