Podcast #6: Kako varen je vaš telefon?

V podcastu smo se tokrat pogovarjali z Matjažem in Gregom iz podjejta CARBONSEC d.o.o. Matjaž Kosem se že vrsto let ukvarja s problematiko informacijske varnosti v kompleksnejših okoljih. Od leta 2011 svetuje podjetjem pri reševanju izzivov učinkovite obrambe pred kibernetskim kriminalom. Kot direktor podjetja CARBONSEC d.o.o. se poleg vodenja podjetja ukvarja tudi s svetovanje na področju zaznavanja in odpravljanja kibernetskovarnostnih pomanjkljivosti v velikih podjetjih.

Grega Prešeren se od vsega začetka profesionalne kariere primarno ukvarja s testiranjem kibernetske varnosti. V različnih podjetjih je od leta 2010 vodil in izvedel več kot 100 varnostnih pregledov omrežij, IT storitev, spletnih, mobilnih in drugih aplikacij in industrijskih oz. SCADA sistemov. Je nosilec številnih najpomembnejših strokovnih certifikatov s področja informacijske in aplikacijske varnosti. Od leta 2017 deluje kot vodilni etični heker in predavatelj v soustanovljenem podjetju CARBONSEC d.o.o.

[2:48] Grega: Razlike med slabimi in dobrimi hekerji: »Heker« primarno pomeni tehnično zelo podkovanega spreminjevalca sistema. Negativni hekerji sistem izrabijo za lastno okoriščanje, lastniku sistema pa povzročijo škodo. Etični hekerji pa imajo certifikate, njihova glavna vloga je odkrivanje ranljivosti sistema in celovito svetovanje naročnikom pri njeni odpravi. 

[5:34] Pri kibernetskih napadih ne gre le za »medijski pomp«. Matjaž poudarja pomen kibernetske varnosti za izognitev ogromnim škodam, o čemer priča statistika za leto 2020: po podatkih Ponemona je bila povprečna škoda zaradi kibernetskega napada slabe 4 milijone dolarjev; v slovenskem kontekstu se je leta 2019 v Lekarni Ljubljana zgodil kibernetski vdor (škoda: vsaj 2 milijona evrov). 

[8:10] Grega govori: Primeri dodatnih tveganj pri delu od doma:

• šibka zavarovanost domačega brezžičnega omrežja: možni neavtorizirani dostopi do službenih zadev;
• uporaba domače opreme: hitra pojavitev problema uporabe nelicenčne programske opreme – več možnosti okužb s škodljivo programsko kodo;
• statistika: več možnosti uspešnih zlorab hekerjev v času covida, povečanje aktivnosti socialnega inženiringa, »phishinga«;
• uporaba službenega prenosnika doma ne le za službene namene;
• zaradi nujnosti hitre prilagoditve podjetij delu na daljavo omogočanje dostopa do internih podatkov in odpiranje VPN-ov brez posebne politike varovanja. 

[12:28] Matjaž govori o načinu takojšnje zaščite podjetja pred napadi na digitalnih kanalih: dvig varnostne kulture zaposlenih z izobraževanjem za boljše prepoznavanje poskusov vdora (91 % vseh napadov se začne s »spear phishing« mailom). 

[15:10] Grega: Področje napada v oblakih je precej večje glede na krog potencialnih napadalcev. Vendar je treba podrobneje oceniti vsak posamezni primer: razlike v količini truda podjetja za zagotavljanje varnosti, primerjajoč s količino truda ponudnikov oblačnih storitev – slednji zagotavljajo višji nivo varnosti. Bistvene prednosti oblaka: zagotavljanje dostopnosti storitev; redundančni, na več lokacijah. Oblaki se vedno bolj uporabljajo (uporaba identitet v oblaku, zgled: slovenske banke). 

Vaš partner pri obvladovanju kibernetskih tveganj

Brezplačen posvet

[19.24] Matjaž: Močna analogija med fizično in kibernetsko varnostjo, obojestranska povezanost: v primeru slabe fizične varnosti pade tudi digitalna, in obratno. 

[23:20] Starejša kot je tehnologija, bolj je podvržena zlorabam (npr. kloniranje pristopne kartice). Prednost mobilnih aplikacij: fleksibilnost (možnosti podpiranja katere koli programske rešitve in njeno posodabljanje, dodajanje funkcionalnosti); varnejša, če so vsi potrebni ukrepi narejeni, ker ni tako prenosna kot kartica. Slabost: kompleksnost naprave, več možnosti za zlorabe telefona/mobilne aplikacije. 

[27:38] Večina ljudi podcenjuje varnost in se ne zaveda pomembnosti podatkov na telefonih. Varnost na pametnih telefonih je skupek:

• varnosti telefona: nameščanje varnostnih popravkov na mobitelih je zelo smiselno, a veliko ljudi spregleda;
• varnosti aplikacije: ne smemo nameščati aplikacij iz neuradnih virov;
• osveščenosti uporabnika (nastavitve, način zaklepa).
 

[32:25] Matjaž: Naš posel v času epidemije ni trpel, saj je narava našega dela oddaljena, imeli smo bistveno več povpraševanja kot prej.

Grega: Nadpovprečno število potovanj: delali smo na evropskem kritičnem energetskem projektu, ki ni imel omejitev. 

[35.38] Matjaž in Grega: Načrti za leto 2021: stavimo na izobraževanje, s tem bo naša storitev lahko en korak pred hekerji. Približanje in širitev naše ekspertize čim več podjetjem. Pandemija je ovira, saj je komunikacija v živo omejena, učinkovitost izobraževanja na daljavo pa je manj učinkovita.