Uspešno poslovanje bazira se na rastu prihoda i sprečavanju gubitaka. Preduzeća su posebno teško pogođena kada jedan ili oba od ovih poslovnih zahteva trpe. Curenje podataka, zastoji u radu i gubitak ugleda mogu lako odbiti nove i postojeće klijente, ako se takve situacije ne rešavaju veoma brzo i na odgovarajući način. To, pak, može uticati na marginu zarade i u mnogim slučajevima izazvati poslovni gubitak. Pojava kompjuterskih virusa, upadi na mrežu ili prekidi u radu IT sistema mogu koštati firmu milione dinara. U nekim slučajevima to čak može podrazumevati pravnu odgovornost kompanije i posledično dovesti do tužbi.
Činjenica je da mnoge organizacije žele da imaju sigurno IT okruženje, ali vrlo često potreba za tim dolazi u sukob sa drugim prioritetima. U firmama je teško realizovati uporedno upravljanje poslovnim i bezbednosnim funkcijama. Kada su ekonomske prilike teške, lako je pretvoriti bezbednost u stavku koja se, nažalost, stavlja u drugi plan. Medjutim, realnost je da i u takvim situacijama bezbednost treba da ima prioritet. Velika je verovatnoća da će se pretnje koje utiču na poslovanje povećavati, a posledice mogu biti štetne za reputaciju i ostale aspekte poslovanja firme.
Namera nam je da ovim člankom na sistematizovan način prikažemo moguće bezbednosne pretnje za preduzeća i podignemo svest, prvenstveno kod menadžera kompanija, o razmerama rizika i mogućim posledicama po poslovanje. Takodje, želimo da IT menadžerima pružimo dodatne argumente da se izbore za budžet i mogućnost da adekvatno odgovore na bezbednosne pretnje.
Maliciozni internet sadržaji
Danas gotovo da nema preduzeća kojem za rad nije potrebna internet veza. Kada bismo uklonili ovaj način komunikacije, mnoga područja organizacije ne bi mogla normalno da funkcionišu. Dovoljno je podsetiti se koliko je e‑mail postao važan – za mnoge organizacije to je primarni način komunikacije. Čak i klasična telefonska komunikacija menja oblik u Voice‑over‑IP, koji postaje standard u mnogim organizacijama.
Takođe, skoro da nema organizacije koja nije bila žrtva napada kompjuterskim virusima. Iako mnogi koriste antivirusnu zaštitu, nije neuobičajeno da organizacije koriste elektronsku poštu ili internet bez ikakvog oblika zaštite. Čak ni velike organizacije u Srbiji nisu pošteđene takve prakse. Nedavno je jedna državna institucija u Srbiji morala da se isključi sa interneta i zatvori svoju mrežu zbog infekcije zlonamernim sadržajem preko crva tipa Mytob; normalno funkcionisanje ove institucije bilo je privremeno onemogućeno. Iako su ovakvi incidenti veoma česti, kompanije se trude da te informacije zadrže za sebe, kako ne bi narušavale svoj ugled. Mnoge kompanije ne mogu sebi da priušte korišćenje mehanizama za segregaciju mreže. U ovakvim uslovima, olakšano je širenje crva po celoj organizaciji.
Maliciozni internet sadržaj (malware) je pojam koji obuhvata kompjuterske viruse, crve, trojance i bilo koju drugu vrstu zlonamernog softvera. Zaposleni i krajnji korisnici unutar organizacije mogu nesvesno uneti malware na mrežu, kada pokrenu zlonamerni izvršni kod. Ponekad, oni mogu primiti elektronsku poruku s priloženim crvom ili preuzeti spyware prilikom posete malicioznoj internet stranici. Takođe, da bi posao bio obavljen, može se dogoditi da zaposleni odluče da instaliraju piratski softver, za koji nemaju licencu. Ovakav softver vrlo često sadrži zlonamerne kodove, a namera njihovih tvoraca jeste da zaraze kompjuter krajnjeg korisnika. Organizacije koje posluju efikasno uglavnom su ustanovile metode za zajedničko korišćenje datoteka i razmenu sadržaja u celoj organizaciji. Crv može zloupotrebiti ove metode da dodatno zarazi kompjuterski sistem na mreži.
Kompjuterski virus ne mora biti unet ručno, niti svesno. Osnovni programski paketi instalirani na desktop računarima, kao što su Internet Explorer, Firefox, Adobe Acrobat Reader ili Flash, imaju udeo u sigurnosnim propustima. Ove sigurnosne slabosti aktivno se iskorišćavaju od strane pisaca zlonamernih kodova, kako bi automatski zarazili računar žrtve. Takvi napadi poznati su kao drive‑by download, jer korisnik ne zna da je uz sadržaj koji svesno preuzima sa interneta na svoj računar došao i zlonamerni sadržaj. Svojevremeno je Google izdao upozorenje u kome opisuje 450.000 web stranica čijem pristupanju se mogu instalirati zlonamerni virusi bez izričitog pristanka i znanja korisnika.
Ovakvi napadi spadaju u kategoriju socijalnog inženjeringa, što je pojam koji se odnosi na skup tehnika kojima napadači koriste slabosti ljudske prirode, a ne mane u tehnologiji. Napad „pecanjem“ odnosi se na vrstu napada socijalnog inženjeringa koji je inače oportunistički i cilja određeni segment društva. Korisnik se često „upeca“ kada otvori e‑mail koji mu se čini poznatim, sa prepoznatljivim vizuelnim elementima (na primer, od dobro poznate banke). Kada krajnji korisnik postupi po uputstvima iz ovakve elektronske poruke, ima utisak da komunicira sa svojom bankom, na primer, i naveden je da otkrije osetljive ili privatne podatke, poput lozinke, PIN koda i brojeva kreditnih kartica.
Zaposleni i njihovi desktop računari nisu jedina meta u organizaciji. U većini preduzeća koriste se e‑mail servisi, sistemi za upravljanje odnosima sa kupcima (CRM) i servisi za razmenu sadržaja. Ti servisi uglavnom sadrže važne informacije, koje lako mogu postati meta napada. Pored toga, savremeno poslovanje sve više zahteva korišćenje web aplikacija koje su izložene na internetu, što omogućava veliki broj napada zbog sigurnosnih propusta u aplikacijama koje nisu dovoljno dobro zaštićene i testirane. Ako su ti servisi ugroženi, postoji veliki rizik da će osetljive informacije procureti i biti iskorišćene od strane sajber‑kriminalaca za različite prevare ili ugrožavanje kompanija.
Napadi na fizičke sisteme
Pretnje sa interneta nisu jedini sigurnosni problem sa kojim se organizacije suočavaju. Laptopovima i mobilnim telefonima poverene su najosetljivije informacije o organizacijama. Ovi uređaji, bilo da su vlasništvo preduzeća ili lično vlasništvo, često sadrže poslovnu dokumentaciju i koriste se za prijavljivanje na kompanijsku mrežu. Uz to, ovi mobilni uređaji se koriste tokom konferencija i putovanja, čime se izlažu riziku fizičke krađe. Broj ukradenih laptopova i mobilnih uređaja konstantno raste iz godine u godinu.
Druga pretnja koja utiče na fizičku sigurnost jesu nezaštićene krajnje tačke. USB portovi i DVD mediji mogu se iskoristiti za curenje podataka, a na njima se mogu izneti osetljive informacije ili se zlonamerni sadržaji mogu uneti na mrežu. USB memorija, kakva se uglavnom koristi za rad i može sadržati osetljive dokumente, postaje sigurnosni rizik ako se, na primer, odnese kući i ostavi tako da i ostali članovi porodice mogu da je koriste na sopstvenom računaru. Dok zaposleni može razumeti osetljivu prirodu podataka uskladištenih na USB‑u, sa ostatkom njegove porodice to verovatno neće biti slučaj. Oni mogu kontinuirano kopirati datoteke, ne znajući za moguće posledice. Ovo je tipičan primer nemara, ali to takođe može biti i ciljani napad, kada zaposleni može izneti iz firme velike količine poverljivih informacija.
Preduzeća koja zanemaruju važnost preventive neovlašćenog fizičkog pristupa server‑sali i mreži stvaraju dodatne sigurnosne rizike. Otvorene mrežne tačke i nezaštićene server‑sale mogu omogućiti nezadovoljnom zaposlenom ili posetiocima da se povežu na mrežu i pokrenu napad, kao što je ARP spoofing radi presretanja mrežnog saobraćaja bez enkripcije ili krađe lozinki i preuzimanja osetljivog sadržaja.
Autentifikacioni napadi
Lozinka je i dalje najčešći izvor ranjivosti u mnogim sistemima. Nije jednostavan zadatak imati siguran sistem u kojem se od ljudi traži da odaberu jedinstvenu lozinku, koju drugi ne mogu pogoditi, ali je istovremeno lako za korisnika da je zapamti. Danas većina ljudi ima barem pet drugih lozinki za pamćenje, a lozinka koja se koristi u poslovnom okruženju ne bi trebalo da bude ista kao ona koja se koristi za web‑mail, forume, društvene mreže itd. Veliki broj upada, poput onog na Twitter‑u (gde je lozinka bila „sreća“), pokazuju da su lozinke najčešće sigurnosne slabosti i da se koriste za napade koji ne zahtevaju mnogo tehničkog znanja.
Složenost politike kreiranja lozinki može da ide dovoljno daleko da se umanji rizik, ali ako je previše stroga i komplikovana, korisnici će naći načina i sredstava da je zaobiđu. Oni će napisati lozinku na stikeru i zalepiti je na monitor, podeliti je sa svojim kolegama ili jednostavno naći šablon na tastaturi (qwert54321) koji je lako zapamtiti, ali lako i pogoditi. Većina složenih politika za lozinke pokazala se beskorisnim.
Sistem‑administratori u preduzećima često rade i posao projekt‑menadžera, kao i analitičara za bezbednost. Stoga nezadovoljan sistem‑administrator može predstavljati veliki sigurnosni rizik, s obzirom na obim odgovornosti (i prava pristupa) koje ima. S punim pravima pristupa, sistem‑administrator može ostvariti curenje osetljivih informacija firme, koje mogu značajno uticati na stabilnost i ugled organizacije. Osim toga, u mnogim slučajevima je upravo sistem‑administrator osoba koja postavlja lozinke za važne usluge ili servere. Kada administrator napusti organizaciju, može se dogoditi da ove lozinke ostanu nepromenjene (pogotovo ako nisu dokumentovane), čime je bivšem zaposlenom i dalje omogućen pristup. Treba imati na umu primer jedne firme koja je ostala bez bekap‑kopije podataka, kada je njihov bivši administrator odlučio da uništi glavnu bazu podataka. Firma je bankrotirala 12 nedelja nakon ovog incidenta.
Pripadnici visokog menadžmenta kompanije takođe mogu imati visoka administratorska ovlašćenja na ličnim računarima. Razlozi za to su različiti, ali oni često žele da budu u stanju da instaliraju novi softver ili da jednostavno imaju više kontrole nad svojim mašinama; međutim, pri tome vrlo često naprave neki propust i njihove mašine postaju nedovoljno zaštićene. Problem u ovom scenariju predstavlja činjenica da je i samo jedna ugrožena mašina napadaču dovoljna da prodre u sistem cele organizacije. Sama firma ne mora posebno biti odabrana – ona jednostavno može postati žrtva napada usmerenih na određene ranjivosti programskih paketa.
Zaposleni sa mobilnim uređajima i laptopovima mogu predstavljati značajan rizik kada koriste nesigurne bežične mreže dok učestvuju na različitim konferencijama ili tokom boravka u nekom hotelu. U mnogim slučajevima, neadekvatna enkripcija ili neenkriptovani sadržaji stvaraju priliku da neovlašćeni korisnik dospe do osetljivih podataka.
Prekidi u radu sistema
Mnoga preduzeća u svojim informacionim sistemima imaju jednu kritičnu tačku (single point of failure) čije otkazivanje može izazvati prekid rada čitavog sistema. Ovo je velika sigurnosna pretnja, koja se vrlo često zanemaruje usled zahteva za smanjenjem troškova ili prosto zbog nedovoljne svesti o posledicama. Napadači nezaštićenog sistema mogu pokrenuti DoS napad kojim se generiše veliki saobraćaj, čime dolazi do zagušenja mreže, što dovodi do prekida rada servisa. Prekid u radu sistema ili usluge je događaj koji sprečava ovlašćene korisnike da koriste usluge, što se u ovakvim situacijama ne može lako sprečiti. Zastoji u radu sistema zbog postojanja kritičnih tačaka obično dovode do zastoja u radu cele kompanije, finansijskih gubitaka i gubitka poverenja korisnika prema firmi.
Pre nekoliko godina, brojne organizacije u regiji Sredozemlja i Bliskog istoka pretrpele su velike gubitke zbog oštećenja podvodnih internet kablova. Neke od tih organizacija oslanjale su se na jednu internet vezu, a njihov posao je bio vezan za internet komunikaciju. Postojanje takvih kritičnih tačaka pokazalo se vrlo štetnim za ove organizacije, zbog ugrožene produktivnosti i poslovnih gubitaka. Za većinu kompanija pouzdanost poslovanja je prioritet, a nepostojanje alternative za rad usled kvara na kritičnoj tački u sistemu ili zbog prevelike zavisnosti od samo jedne osobe može se pokazati kao pogubno za preduzeće.
Takođe, mnoge kompanije ne uzimaju u obzir mogućnost dešavanja neke prirodne katastrofe, poput požara, poplave, zemljotresa ili hemijskih incidenata velikih razmera, koja može dovesti do gubitka data‑centra. U takvim situacijama oporavak bi trajao toliko dugo da bi šteta zbog zastoja bila tolika da bi mogla odvesti i u bankrotstvo.
Ako se organizacija ne pripremi za sigurnosni incident, verovatno neće rešiti situaciju na odgovarajući način. Pitanje koje treba postaviti jeste: Ako, na primer, dođe do bezbednosnog incidenta, ko bi trebalo da donosi odluke o tome šta je potrebno preduzeti kako bi se sistemi oporavili i nastavili da rade? Ako se organizacija jednostavno oslanja samo na sistem‑administratora za obradu takvih incidenata, onda u organizaciji ne postoji svest o tome da takva situacija nije isključivo tehničke prirode.
Zaključak
U godinama koje dolaze očekuje se značajan porast sajber‑kriminala, zbog čega smo želeli da menadžerima, analitičarima i administratorima predočimo sažet i sistematizovan uvid u moguće informaciono‑bezbednosne pretnje sa kojima se preduzeća suočavaju. Svako preduzeće je različito, ali na mnogim instancama pretnje su iste. Bezbednost možda jeste trošak za poslovanje, ali za one koji se pripreme na vreme – biće od velike koristi, dugoročno posmatrano.
Jovana Samardžić
0 %s Comments