Kibernetska varnost 2019
Poročilo
Vsako leto SI-CERT izda poročilo o kibernetski za prejšnje leto, tudi tokrat ni bilo nič drugače. Za leto 2019 so izpostavili in opazili veliki porast t.i. phishing incidentov, sami pa lahko dodamo, da smo opazili, da jih je bilo ogromno povezanih s Covid-19.
Še vedno pa so največje tarče pri nas podjetja.
Celotno Poročilo o kibernetski varnosti 2019 si lahko ogledate TUKAJ, mi pa smo vam pripravili krajši povzetek.
Kdo je (so) SI-CERT in s čim se ukvarja?
Slovenian Computer Emergency Response Team ali SI-CERT je nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij.
SI-CERT deluje že od leta 1995 (jeseni 2015 je minilo 20 let od prve prijave incidenta na SI-Cert) in sicer pod okriljem javnega zavoda Arnes.
SI-CERT koordinira razreševanje incidentov, izdaja opozorila o okužbah, grožnjah na elektronskih omrežjih ter izvaja nacionalni program za ozaveščanje in izobraževanje imenovan Varni na internetu.V primeru vdora ali druge omrežne zlorabe lahko prijavite incident na cert@cert.si ali izpolnite spletni obrazec na strani www.varninainternetu.si.
Dejavnosti SI-CERT
- Obravnavajo prijave varnostnih incidentov (vdori, okužbe, goljufije, zlorabe…)
- Opozarjajo na aktualne grožnje (zaradi izjemnega znanja, izkušenj… lahko ocenijo katerim tveganjem so/bodo izpostavljeni uporabniki računalniškega omrežja pri nas)
- Ozaveščajo in izobražujejo (delijo svoje znanje na različnih srečanjih, v šolah, univerzah, predavanjih, združenjih…)
- Analizirajo škodljivo kodo (analiza kode jim pove/poda pomembne podatke, ki jim pomagajo pri reševanju incidenta)
- Obravnavajo ranljivosti (z obveščanjem ponudnikov in proizvajalcev različne opreme skušajo čimprej odpraviti ranljivosti in s tem zmanjšati posledice do katerih bi lahko prišlo)
Kakšen incident lahko prijavite SI-CERT?
- Okužba računalnika (če ste prejeli izsiljevalski virus, bančnega trojanca, ste v ciljanem napadu)
- Vdor v strežnik (razobličenje, zloraba podatkovnih baz, namestitev prikritih orodij)
- Sumljiva elektronska pošta (phishing sporočila, ponudbe o hitrih zaslužkih, lažne ponudbe o hitrih kreditih)
- Napad onemogočanja (targetiran napad na storitev ali spletno aplikacijo z namenom da se jo onemogoči)
- Spletna goljufija (lažne spletne trgovine, lažni krediti, nigerijske prevare, ljubezenske prevare, loterijske prevare, prevare pri prodaji preko spletnih posrednikov)
- Kraja omrežne identitete in gesel (zloraba preko phishing-a ali okužbe računalnika)
- Ranljive ali izpostavljene storitve (vmesnik za upravljanje spletnih storitev, upravljanje naprav ali industrijskih procesov, spletnih kamer…, ranljiva omrežna infrastruktura, ki omogoča napade onemogočanja)
Incidenti v številkah
Leta 2018 je bilo skupaj obravnavanih 2431 incidentov (Poročilo o kibernetski varnosti 2018), v letu 2019 pa je skupna številka znašala 2753.
Vrste incidentov, ki so se pojavljale v letu 2019
- Neprimerna vsebina: 67 primerov (nezaželena sporočila, žaljiva vsebina, nasilna vsebina)
- Zbiranje informacij: 40 primerov (skeniranje, prestrezanje komunikacije, družbeni inženiring)
Najbolj znana prevara družbenega inžiniringa, je direktorska prevara. Ciljna skupina te prevare so računovodstva. Največ škode s takšno prevaro utrpijo manjša podjetja, ki nimajo standardiziranih postopkov preverjanja.
Vendar pa se opaža pozitiven trend ozaveščanja uporabnikov o prevarah, saj je število direktorskih prevar, v primerjavi z letom 2018, upadlo. Leta 2018 jih je bilo 163, 2019 pa so jih zabeležili 84.
Vdor v poslovno komunikacijo (Business Email Compromise) smo v Sloveniji prvič zaznali leta 2016 in je vse od takrat izredno priljubljena prevara. Največkrat napadalci izkoristijo vdor za pošiljanje lažnih sporočil partnerjem podjetja z namenom plačila neplačanih faktur.
- Zlonamerna koda: 304 primerov (virus, Trojanski konj, vohunska programska oprema, boti in botneti, nadzorni strežnik, izsiljevalski virus, RAT)
Zlonamerna koda se še vedno najpogosteje širi preko elektronske pošte. Sporočila so vedno bolj sofisticirana in pravopisno dodelana. Najpogosteje njihova vsebina straši prejemnika – izvržbe, računi…in ga tako premami, da klikne na priponko, ki vsebuje zlonamerno kodo.
- Poskusi vdora: 51 primerov (izkoriščanje znane ranljivosti, brutforce)
- Vdori: 45 primerov (zloraba privilegiranega uporabniškega računa, uporaba neprivilegiranega uporabniškega računa, napad na aplikacijo)
- Razpoložljivost: 40 primerov (napad onemogočanja, porazdeljeni napad onemogočanja, sabotaža, izpad delovanja naprav ali omrežja)
- Varnost inform. virov: 24 primerov (nepooblaščen dostop do podatkov, nepooblaščeno spreminjanje podatkov, odtekanje informacij)
- Goljufije: 1840 primerov
- Ranljivosti: 50 primerov (odgovorno razkrivanje, razkritje ranljivosti, ranljivi sistemi in naprave)
- Drugo: 260 primerov (drugo, novinarsko vprašanje)
- Test: 3 primeri (namenjeno preizkusom)
Finančna oškodovanja v letu 2019
Povprečno oškodovanje z vrivanjem v poslovno komunikacijo
65.000 EUR
Največje posamično oškodovanje z vrivanjem v poslovno komunikacijo
200.000 EUR
Največje oškodovanje v direktorski prevari
35.000 EUR
Povprečno oškodovanje pri spletnem nakupovanju
520 EUR
Oškodovanje pri nakupu stroja
16.200 EUR
Največja znana škoda pri kraji kriptovalut
60.000 EUR
Največja znana ocenjena škoda pri napadu izsiljevalskega virusa
2.400.000 EUR
Dogodki v letu 2019
Izpostavlja se nekaj najbolj pogostih dogodkov v posameznem mesecu.
- Januar: Več kot 70 prijav lažnega izsiljevanja.
- Februar: Ljubezenska prevara. Goljufom je dosedaj preko nje uspelo pridobiti 62.000 EUR.
- Marec: 8 primerov odgovornega razkrivanja ranljivosti.
Kaj je odgovorno razkrivanje ranljivosti? Gre za ravnanje, predvidevanje, da oseba, ki odkrije ranljivost, to sporoči skrbniku sistema programske opreme.
Soočanje lahko poteka direktno ali preko koordinatorja, v tem primeru mesto koordinatorja prevzame SI-CERT (s tem prijavitelju omogoči anonimnost).
- Maj: Windows Remote Desktop ranljivost. V Sloveniji je okoli 3500 izpostavljenih strežnikov.
- Junij: Okoli 60 Exim poštnih strežnikov v Sloveniji vsebuje kritično ranljivost.
- Julij: Ddos napad na državni organ.
- Avgust: Lekarne Ljubljana prejmejo izsiljevalski virus Ryuk, ki jim povzroči več kot 2 milijona škode.
Delovna postaja Lekarne Ljubljana, 6. avgusta utrpi okužbo z izsiljevalskim virusom Ryuk. Lekarnam sicer uspe povrtniti prvotno stanje iz varnostnih kopij, vendar je zaradi okužbe prišlo do več dnevnega izpada delovanja.
Ryuk
gre za izsiljevalski virus, ki cilja na izključno velike organizacije, koorporacije, ki uporabljajo javni Microsoft Windows kibernetski sistem. Virus zakodira podaktke, ki so za uprabnika nedostopni, dokler ne plača za njihov odklep – navadno v kriptovaluti.
Med ciljanje koorporacije, ki so dobile napad, so tudi Los Angeles Times, Sopra Steria, bolnišnice po Združenem kraljestvu in Nemčiji, šole po Ameriki, javn sektorji (javni sektor Lake City, na Floridi je junija 2019 plačal 460.000 dolarjev, da so odklenili podatke, saj niso imeli varnostne zaščite in kopij.
- September: Tarče napada z zlonamerno kodo so banke.
- Oktober: 459 prejetih prijav incidentov.
- November: Trojanec Emotet se začne širiti sam. Emot je v uporabi že od leta 2014.
- December: Leto se zaključi z največjim številom odbelanih incidetov do zdaj.