Domaća javnost i dalje bruji o nedavno objavljenoj vesti da je Narodna banka Srbije bila žrtva sajber incidenta poznatijeg kao “fake president”, u kojem je zatraženo da se na lažni račun jedne strane firme uplati suma u iznosu od 175.500 eura. Nakon nekoliko dana od izvršenja transakcije, službenici Banke primetili su prevaru – račun na koji je novac uplaćen je zapravo nepostojeći, a i-mejl sa kojeg je poslat zahtev takođe nije validan.
Dok se i dalje sa neizvesnošću čekaju vesti o eventualnom povraćaju uplaćenih sredstava, domaći stručnjaci smatraju da je napad ove vrste mogao biti predupređen. “Sajber incidenti ove vrste postali su sve učestaliji ne samo u svetu nego i kod nas. Iako postoje bezbednosni protokoli koji mogu zaštititi poverljive podatke i informacije, činjenica je da sistem može biti kompromitovan u svakom trenutku. Pogrešno je misliti da će najnovije bezbednosno rešenje ili tehnologija osigurati 100% zaštitu, naročito ukoliko ne postoji svest o sajber rizicima i bezbednosti”, smatra Miroslav Radenković, stručnjak za informacione tehnologije i bezbednost i vlasnik agencije Code Interactive iz Beograda.
Analizirajući ovaj incident stiče se uvid u nekoliko stvari. Prvo, sajber napad koji je zadesio NBS predstavlja posebnu vrstu “pecanja” poznatu i kao “business email compromise” (BEC; ranije poznat kao man-in-the-email napad). Suština napada jeste kompromitovanje podataka i krađa identiteta, lozinki, podataka o kreditnim karticama i poslovnih tajni. Indirektno, cilj je doći i do odgovarajuće sume novca, kao što je slučaj sa Narodnom bankom Srbije. Sajber napad primenjen na NBS je osmišljen je sa ciljem da se prvo presretne elektronska komunikacija žrtve. Zatim se šalju instrukcije o promeni broja računa na koji je potrebno izvršiti uplatu. Pošto napadači često koriste identitet koji kod žrtve ne izaziva sumnju, to im omogućava da prođu nezapaženo jedan izvesni vremenski period (Narodnoj banci je trebalo više od nedelju dana da uoči prevaru!).
Radenković posebno ističe činjenicu da je na meti ovog napada bio određen broj pojedinaca, a ne institucija: “Sajber napadi ove vrste su retko kada usmereni na organizaciju u celosti. Obično se targetira manja grupa pojedinaca do čijih se podataka dolazi putem društvenih mreža, zvaničnih portala, najnovijih vesti, i-mejlova, chat-ova i slično. Integracija napadača u okruženje žrtve doprinosi tome da napad deluje što uverljivije – zašto bismo pomislili da smo na meti napada ukoliko dobijamo podatke sa poznate i-mejl adrese ili obavljamo komunikaciju preko standardnih kanala? Koriste se scenariji koji odslikavaju svakodnevne ili uobičajene zahteve, jer se zna da će žrtva nehotice pristupiti izvršenju zahteva na koje je navikla. Ukoliko je žrtvin mailbox već kompromitovan, napadačima je znatno jednostavnije da izvrše ovakvu vrstu napada jer ne postoji bezbednosna prepreka za uspešno izvršenje napada.”
Na pitanje na kome leži odgovornost za ovaj propust, Radenković odgovara: “Nepotpuna edukacija zaposlenih na temu sajber rizika i odgovornog ponašanja na Internetu, kao i propusti u internim procedurama i/ili uspostavljenim polisama mogu biti ključni razlozi zbog kojih dolazi do ovakvih katastrofalnih posledica. Nijedan bezbednosni protokol vas ne može u potpunosti zaštititi ukoliko sistematski i kontinuirano ne radite na podizanju svesti zaposlenih o vrstama sajber napada, rizičnim ponašanjima, procedurama i najčešćim scenarijima sajber incidenata. Rešenja postoje, ali vam ne mogu pomoći ukoliko ne postoji svest o tome da ste odgovorni i kao pojedinac i kao institucija.”
Kako sprečiti ovakve vrste “pecanja” putem i-mejla? Putem dvostrukog faktora identifikacije, koji se obično dogovara prilikom inicijalnog kontakta sa dobavljačima, digitalnim potpisom u i-mejlu, proverom putem telefonske poruke ili poziva ili uspostavljanjem procedura koje podrazumevaju proveru tačnosti podataka dobavljača unutar organizacije od strane najmanje dva zaposlena. “Poželjno je da se ovakvi bezbednosni protokoli ustanove u svakoj organizaciji, jer je to jedan od načina da se smanji mogućnost sajber incidenata koji sa sobom vuku ne samo materijalnu štetu, već i niz drugih okolnosti koje utiču na žrtvinu reputaciju i odnos prema klijentima”, preporučuje Radenković.
Kako ići u korak sa digitalnom transformacijom poslovanja i zaštiti svoje poslovanje od ovakvih i drugih sajber rizika, možete pogledati u posebnom tekstu.