CBBiH aktivno radi na unaprijeđenju digitalnih tehnologija i podizanju svjesnosti vezano za rizike

Centralna banka Bosne i Hercegovine (CBBiH) aktivno radi na promociji i unaprijeđenju digitalnih tehnologija ali i podizanju svjesnosti vezano za rizike s kojima se finansijski sektor, ali i krajnji korisnici susreću u radu s digitalnim tehnologijama. 

U ovakvim naporima, posebna pažnja se polaže na podizanje svijesti uposlenika vezano za sigurnost. S obzirom na to da je svaki uposlenik bilo koje organizacije prva linija odbrane, ali i potencijalno najslabija karika kada je u pitanju zaštita od cyber napada, krajem prošle godine je za službenike CBBiH održana edukacija na kojoj je službenicima prezentiran rizik od napada tehnikama socijalnog inžinjeringa. Cijeneći nedavno objavljene tekstove u javnim glasilima, CBBiH ima potrebu neke od dijelova edukacije podijeliti s javnosti. 

Informaciona sigurnost je postala jedan od najbrže rastućih rizika u poslovanju finansijskih institucija. Svjetski stručnjaci više ne pitaju da li se napad na nekog može desiti, nego je pitanje samo kada. Ozbiljnost cyber rizika veoma dobro ilustrira izvještaj osiguravajuće kuće Lloyd's, u kojem se navodi da svjetske kompanije zbog cyber napada godišnje gube 400 milijardi dolara. 
Primjerice, procjenjuje se da je američki trgovinski lanac T.J. Maxx u 2007. godini zbog cyber napada izgubio preko 1.7 milijardi dolara. Da situacija postaje ozbiljnija pokazuju i izvještaji o napadima koji su se širom svijeta desili u 2018. godini, a koji navode da je: 
•    Facebook u septembru 2018. godine objavio podatak da je imao kompromitaciju podataka 50 miliona klijenata; 
•    kompanija Uber u istom mjesecu postigla nagodbu da plati $148 miliona zbog „data breach“ koji se desio 2016. godine i u kojem su ukradeni podaci 57 miliona klijenata;
•    u augustu 2018. godine tinejdžer je hakirao svjetski poznatu kompaniju Apple i ukrao 90 GB podataka;
•    samo u prvoj polovini 2018. godine kompromitovano je 4,5 milijardi slogova.
Iako je cyber rizik prepoznat kao najbrže rastući rizik, zapanjujuća je činjenica koju prezentiraju vodeći autoriteti, a to je da je 95% uspješnih napada rezultat nedostatka osnovne „higijene“ provođenja mjera informacione sigurnosti. U izvještaju kompanije Symantec se navodi da je tzv. „spear phishing“ (jedna od tehnika socijalnog inžinjeringa, u kojoj napadač koristi email kao sredstvo komunikacije i predstavlja se kao poznat ili pouzdan pošiljatelj kako bi se ciljani pojedinci potaknuli na otkrivanje povjerljivih informacija ili napravili akciju koja će omogućiti instalaciju malicioznog koda) broj jedan vektor napada koji koristi 71% organizovanih grupa u 2017. godini. Iz navedenog se lako može zaključiti da je ljudska greška najveći potencijalni faktor koji omogućava provedbu uspješnih napada. 

Socijalni inženjering je tehnika manipulacije ljudima u svrhu otkrivanja povjerljivih informacija ili pristupa resursima do kojih manipulator sam ne može doći. Manipulator korisnika prevarom „navuče“ da otkrije povjerljivu informaciju ili za njega obavi neku radnju. Ovo je tehnika koja se koristi decenijama i koja ne zahtijeva visok nivo ekspertize. Osnova tehnike jeste iskoristiti neku od ljudskih slabosti (ili vrlina) kako bi se došlo do željenog cilja. Navedene slabosti/vrline najčešće uključuju ljudsku želju da pomognu drugim ljudima, olako prihvatanje informacija kao vjerodostojnih a da se pri tome iste ne provjere, povjerenje koje je većina ljudi sprema drugom dati unaprijed i radoznalost i neznanje.

Svaka od navedenih slabosti/vrlina na određeni način olakšava napadaču provedbu napada. Obično korisnici nisu ni svjesni koliko lako napadači dolaze do informacija koje im omogućavaju da uspostave prvi kontakt sa žrtvom. Na primjer, koliko korisnika uopšte razmišlja o tome kakve informacije objavljuje putem socijalnih mreža. Veliki broj njih će objaviti informacije o tome gdje rade, ko su im članovi porodice, koji su im hobiji, područja interesovanja, tehnologije s kojim rade i slično. Napadaču je dovoljno da istraži javno objavljene informacije i da kontaktira osobu s upitom u kojem od nje traži da uradi nešto što je vezano za pitanja koja je interesuju. Veliki će broj primalaca e-mail poruka, odmah po prijemu e-maila od nekoga ko im na prvi pogled izgleda kao vjerodostojan ili koji sadrži nešto što probudi interes primaoca poruke, kliknuti na link koji vodi na neku adresu, pokušati otvoriti prilog e-mail poruke ili se prijaviti da „dobije nagradu“. Upravo to je dovoljno da napadač dobije ono što je želio i da nastavi s napadom. 

Omogućavanje instalacije malicioznog koda na mreži institucije zahtijeva svega nekoliko sekundi. Svjetska iskustva govore da je za identifikaciju prisustva malicioznog koda potrebno od 4 do 12 mjeseci i to obično nakon što šteta nastane. Tada je, međutim, već kasno. 

Na prezentaciji je prezentirano više slučajeva „phishinga“, način provedbe istih i na šta je potrebno obratiti pažnju. Kao kratka ilustracija mogu poslužiti naredne tri slike, na kojima su prezentirane najbitnije stvari na koje treba obratiti pažnju i o kojim treba razmisliti prije nego se uradi sljedeći korak.  

Posljedice napada mogu biti ogromne:
•    Svi podaci na računaru ili više njih mogu biti trajno izgubljeni;
•    Može doći do zastoja u radu cijelog ili dijela informacionog sistema organizacije, jer je osoba koja je možda nesvjesno napravila akciju, ugrozila sebe ali i potencijalno omogućila da se zaraze i drugi računari u organizaciji;
•    Organizacija može trpjeti finansijske posljedice, o čemu govore i naslovi iz novina koje smo spomenuli na početku ovog teksta.
U CBBiH se vjeruje da sve organizacije ulažu napore da se zaštite od cyber napada. Međutim, nekada ni savremeni alati ne mogu pravovremeno identifikovati svaku malicioznu akciju. U uvodnom dijelu je navedeno da je 95% uspješnih napada posljedica neprovođenja osnovne „higijene“ informacione sigurnosti, te da 71% organizovanih kriminalnih grupa koristi „spear phishing“ kao najčešću tehniku provedbe napada. Cijeneći navedeno, lako se može utvrditi da je jedan od stubova uspješne odbrane svjesnost i savjesnost svih službenika o potencijalnim rizicima i da odbrana banke od ovakvih tipova napada zavisi od svakog službenika. 
Osnovno pitanje koje se postavlja jeste šta uposlenici mogu i trebaju uraditi da bi se organizacija zaštitila od ovakvih tipova napada. Ranije prezentirane slike pokazuju koji su to elementi na koje uposlenik treba da obrati pažnju. Prilikom prijema poruke službenik treba da razmisli o tri ključna pitanja i to: 
•    Da li je ova poruka relevantna za mene i moj rad?
•    Da li sam očekivao ovu/ovakvu poruku?
•    Da li je poruka zaista došla od osobe kojom se predstavlja? Da li je došla s adrese koja se razlikuje od one na koju sam navikao? 
Svim korisnicima računara, nezavisno da li se radi o uposlenicima koji obavljaju svoj posao ili nekom korisniku koji radi na svom računaru, se za svaki potencijalno sumnjiv e-mail preporučuje da urade sljedeće: 
•    Provjerite identitet osobe s kojom komunicirate i budite oprezni u davanju bilo kakvih podataka;
•    Ne otvarajte nepoznate linkove već radije sami upišite provjerenu adresu (npr. zaprimite e-mail od „vaše banke“, a link vodi na nešto neočekivano);
•    Nikada ne dajte lične podatke putem telefona ili e-maila ukoliko niste vi inicirali kontakt i ukoliko niste sigurni u identitet osobe s kojom komunicirate.
•    Oprezno učestvujte u anketama i dobro provjerite s kim imate kontakt prije nego što otkrijete osjetljive podatke.
•    Ukoliko vas neko u poruci požuruje na reakciju (npr. brzu kupnju radi ostvarenja popusta), budite skeptični i nikada ne popustite pritisku već pažljivo razmotrite svoju reakciju i provjerite identitet/legitimnost pošiljatelja e-maila ili web stranice.
•    Ne otvarajte CD, DVD i USB stikove ukoliko niste 100% sigurni šta sadržavaju!
•    Svoj username i password nemojte pisati na papirićima, lijepiti po monitoru, čuvati u ladicama stola.
Ukoliko ste uposlenik unutar organizacije, eventualne sumnje da se desilo nešto neuobičajeno prijavite svojim nadležnim službama, a oni će najbolje znati kako da vam daju savjet za dalje postupanje. I na kraju, bitno je zapamtiti da sigurnost informacionog sistema ne zavisi samo od vaših „informatičara“ nego od svakog korisnika računara. 

PR CBBiH