Leta 2019 so po poročilu vodilne svetovne raziskovalne in založniške hiše Cybersecurity Ventures kibernetski napadi povzročili svetovno gospodarsko škodo v vrednosti 20 milijard dolarjev. Leta 2024 je glede na podatke poročila Cybercrime škoda zaradi izsiljevalskih napadov (ransomware) znašala 42 milijard dolarjev. Gre za napade z izsiljevanjem oziroma izsiljevalsko programsko opremo. Zlonamerni napadalci celotno infrastrukturo podjetja zakriptirajo, nato pa za odklenitev zahtevajo odkupnino. Poročilo za leto 2031 predvideva, da bo ta škoda še narasla – na kar 265 milijard dolarjev. Skratka, kibernetska varnost je aktualna tema in za zaščito potrebujemo strokovnjake. Imenujejo se etični hekerji.
Ko pride do incidenta
Eden od njih je David Kavčnik, sicer tehnični direktor v podjetju Telprom. Povedal je, da je etično hekanje tudi poklic. »Gre za strokovnjake kibernetske varnosti, ki izvajajo varnostne preglede informacijskih sistemov, izobražujejo uporabnike o varni uporabi elementov informacijske infrastrukture ter izobražujejo tehnični kader o dobrih praksah vzdrževanja in implementiranja informacijskih sistemov in spletnih aplikacij. Prav tako etični hekerji izvajajo simulacije kibernetskih napadov ter s tem preverjajo odpornost in odziv podjetij na grožnje, ki jih lahko kibernetski napad predstavlja.« V podjetju Telprom etični hekerji tudi sodelujejo na primer v odzivih na incidente, do katerih pride zaradi kibernetskih napadov. Njihova vloga v odzivu na incident je identificirati varnostno pomanjkljivost oziroma vstopno točko, prek katere so napadalci prišli v informacijski sistem organizacije oziroma do zaupnih informacij. »Izvedejo tudi pregled celotnega informacijskega sistema ter poskušajo ugotoviti, kako so se napadalci pomikali po informacijskem sistemu in kakšno škodo so povzročili, oziroma identificirati morebitne odtujene podatke in informacije,« je pojasnil Kavčnik.
Več napadov kot zaščite?
V Sloveniji primanjkuje strokovnjakov s področja kibernetske varnosti. »To je tudi eden izmed razlogov, da smo se se odločili področje kibernetske varnosti približati čim večjemu številu posameznikov. Izvajamo različna izobraževanja, predavanja. Z dogodkom HTB meetup pa smo posameznikom dali priložnost pomeriti se v vlogi etičnega hekerja.« Na sedežu podjetja v ljubljanskem BTC se je v četrtek, 28. novembra, tako zbralo deset etičnih hekerjev oziroma hekerskih navdušencev. Svoje veščine so mojstrili prek tako imenovanega izziva Hack the Box. To je spletna platforma, ki ponuja obstoječim in tudi bodočim etičnim hekerjem učenje tehnik izkoriščanja različnih varnostnih pomanjkljivosti, možnost spoznavanja s »hekerskimi orodji«, naj bo prek izzivov ali vodeno prek različnih izobraževalnih modulov znotraj platforme. »Skupaj z njimi se v Sloveniji na osnovi te platforme trudimo približati svet 'etičnega hekanja' tudi posameznikom, ki bi jih morebiti to področje zanimalo,« je dejal Kavčnik. HTB meetup organizirajo v dveh oblikah, tako virtualno kot tudi v prostorih svojih pisarn, na teh dogodkih se lahko posamezniki preizkusijo v reševanju različnih nalog s področja etičnega hekanja samostojno, prav tako so za namige in pomoč ter razlago posameznih izzivov na voljo etični hekerji podjetja Telprom. Vabljeni so prav vsi, tako začetniki kot tudi izkušeni etični hekerji. Cilj je približati delo etičnega hekerja ter obenem graditi skupnost na tem področju in združiti posameznike, ki jih to področje zanima.
Popolnoma varni nismo nikoli
Vsako podjetje, katerega poslovanje sloni na informacijskem sistemu, je dovzetno za kibernetski napad. »Zato priporočamo periodično izvajanje varnostnih pregledov informacijske infrastrukture, aplikacij ter ostalih storitev, procesov in produktov, povezanih z informacijskim sistemom,« je dejal Kavčnik. Informacijski sistem se lahko dnevno spreminja, prav tako pospešena digitalizacija podjetij pripomore k implementaciji različnih elementov informacijskega sistema. »Ko govorimo o kibernetski varnosti ali varnosti na splošno, nikoli ne moremo govoriti o popolni varnosti, vedno govorimo o zmanjševanju potencialnih tveganj in želji po doseganju sprejemljivega tveganja. V pomoč pri identifikaciji teh tveganj pa so etični hekerji, ki izvedejo pregled gradnikov informacijskega sistema.«
