Piše: Anja Leskovar, Foto: Miran Juršič
Kako ogrožena so slovenska podjetja v globalnem kontekstu kibernetskega kriminala?
Smo na radarju storilcev različnih profilov, nismo izjema. Na internetu majhnost načeloma ne pomeni, da nas ne bodo opazili, a so nekatere posebnosti. Napadi z izsiljevalskimi virusi so denimo v Sloveniji manj pogosti, ker povprečno slovensko podjetje nima toliko sredstev kot ameriško ali francosko. Storilci iščejo bogate tarče, ki jih lahko izsiljujejo, da za podatke plačajo višjo odkupnino. Se pa tudi pri nas mesečno zgodi okoli tri do pet takih primerov.
Kakšne vrste napadi najpogosteje doletijo slovenska podjetja?
Trenutno je najpogostejši napad na VPN-omrežja podjetja (navidezna zasebna omrežja, op. a.), pogosto prek prenosnika zunanjega izvajalca. Tega okužijo, s tem ukradejo gesla za VPN-omrežja in si omogočijo oddaljeni dostop do naprave. Tako nepooblaščeno pridejo v digitalno okolje podjetja in se razgledajo. Veliko podjetij ima še vedno zelo enostavno izdelana omrežja; nimajo vmesnih požarnih zidov ali segmentacije notranjega omrežja, zato ima napadalec lažje delo. Pogost incident je tudi vrivanje v poslovno komunikacijo. Napadalci vdrejo v poštni predal komercialista, ki stranki pošlje ponudbo za nakup, nato v na videz enakem mailu sporočijo nov bančni račun, ki ga tudi zelo kreativno pojasnijo, denar za nakup pa gre potem na račun napadalcev namesto na račun podjetja. Lani smo zaradi takšnega vdora zaznali največje oškodovanje, odkar na SI-CERT-u spremljamo tovrstne incidente, to je za 170.000 evrov.
Kaj pa je cilj vdora v VPN-omrežje?
Zašifrirati podatke, jih ukrasti in ugotoviti, koliko so vredni. Če podjetje nima varnostnih kopij, s katerimi bi obnovilo sistem, je pot do odkupnine odprta. Varnostne kopije so zato ključne, in to ne v oblaku, ampak na lokalnem strežniku v lasti podjetja ali na tretji lokaciji. Je pa posledica vsakega napada finančna škoda zaradi kraje sredstev ali poslovna škoda zaradi izpada dohodka. Leta 2018 je bila denimo z izsiljevalskim virusom napadena Lekarna Ljubljana; zaradi neposlovanja je bila ocenjena škoda blizu dva milijona evrov.
Ključno je, da delujemo preventivno.
Absolutno. Treba je določiti postopke, s katerimi bomo zamejili posledice, predvideti, kaj se bo zgodilo, kdo bo komuniciral s kom ipd. Komunikacija mora biti odprta in iskrena, situacije ne smemo olepševati. Tako nas potem napadalci ne morejo izsiljevati s tem, da bodo javno objavili, kaj se dogaja. Treba pa je imeti vnaprej pripravljene scenarije, kako se ustrezno odzvati, in tudi vaditi njihovo izvajanje, podobno kot imamo požarne vaje. Napad vedno preseneti, ampak če je jasno, kako ukrepati, je škoda lahko bistveno manjša.
Valovi phishing napadov, pri katerih napadalci postavijo lažno spletno stran banke, se pogosto začnejo v petek zvečer, ker ob koncu tedna banke ne delajo.
Kdaj se v Sloveniji zgodi največ napadov?
Valovi phishing napadov, pri katerih napadalci postavijo lažno spletno stran banke, se pogosto začnejo v petek zvečer, ker ob koncu tedna banke ne delajo. Tudi pri napadih na podjetja storilci neredko izkoriščajo vikende, saj tako pridobijo čas, v katerem lahko nemoteno opravijo svoje in za seboj potem tudi počistijo. Več časa ko preteče, manj sledi ostane za njimi, zahtevnejše delo imamo in težje rešimo probleme.
Kaj pa je skupno napadenim podjetjem?
Razlogi, da so napadena, so različni, dejstvo pa je, da so bolj ranljiva mala in srednja podjetja. Velika podjetja lažje prepričajo vodstva, da je kibernetska varnost pomembna, imajo zaposlene strokovnjake, ki se ukvarjajo z njo, in informirane direktorje, morda so tudi zavezana k zakonodajnim smernicam, kot to velja za finančni in energetski sektor. Mala in srednja podjetja pa si takšne ekipe ne morejo privoščiti, opazili smo celo, da je pogosto problem tudi kultura poslovanja. Spletne strani, omrežje podjetja in varnost namreč neredko zasnujejo ljudje, ki niso usposobljeni za kibernetsko varnost, so pa poceni in jih vodstvo ali zaposleni poznajo. Velikokrat se dela preveč po domače.
Torej ni pravila, da če si manjši, te ne bo nihče napadel?
Nikakor, spomnim se primera incidenta v avtomehanični delavnici. Nobeno podjetje ni premajhno za napad. Ker smo zaznali ta manko pri malih in srednjih podjetjih, smo oblikovali tečaj Varni v pisarni. To je brezplačen tečaj, na katerem zaposlenim prikažemo najpogostejša tveganja, da jih lažje prepoznajo in se naučijo, kako se jim izogniti. Imamo tudi tečaj za IT-specialiste. To je del osnovne higiene kibernetske varnosti podjetja.
Kaj pa so še osnove higiene kibernetske varnosti?
Zmanjšanje tveganja, ki ne zahteva izjemnih vložkov: večfaktorska avtentikacija, ločitev internih omrežij od zunanjih, ustvarjanje varnostnih kopij in redno preverjanje, ali lahko iz njih restavriramo podatke. Moramo se tudi izobraziti, saj smo zato bolj pozorni na nenavadno dogajanje in ukrepamo takoj, ko ga zaznamo. Smiselno je tudi najeti zunanjega izvajalca, ki bo pomagal vzpostaviti varnost. Najmanj, kar lahko podjetja storijo, saj to nič ne stane, pa je, da zaposlene prijavijo na tečaj, IT-jevci pa naj se naročijo na SI-CERT-ov novičnik. Ne sme pa biti to končna rešitev, s kibernetsko varnostjo se je treba vedno ukvarjati. Številna podjetja so že postala zavezana Zakonu o informacijski varnosti in bodo morala zadostiti določilom, denimo temu, da morajo imeti ažurne dnevniške zapise (loge) dogajanja. Ti so ključni, da lahko po incidentu ugotovimo, kaj se je zgodilo.
Leta 2018 je bila z izsiljevalskim virusom napadena Lekarna Ljubljana; zaradi neposlovanja je bila ocenjena škoda blizu dva milijona evrov
Na katerem področju podjetja v Sloveniji najbolj podcenjujejo kibernetsko varnost?
Delno pri kulturi poslovanja, ko se dela po domače, hkrati pa laike neka osnovna informacijska pismenost hitro zavede v občutek, da imajo dovolj znanja, kar še zdaleč ne drži. Informacijska tehnologija je res kompleksna, zato so nujni strokovnjaki, ki vedo, kako vzpostaviti varnost – podobno kot potrebujete električarja za napeljevanje elektrike. In treba se je tudi zavedati, da ima celo oprema, ki naj bi skrbela za kibernetsko varnost, svoje pomanjkljivosti, ranljivosti.
Kaj pravijo številke: koliko kibernetski napadi letno stanejo slovensko gospodarstvo?
Te ocene nimamo, imamo pa podatke slovenske policije, ki vodi evidenco skupaj s prijavami posameznikov. V letu 2025 je ugotovila, da je bila v različnih spletnih goljufijah in drugih incidentih prijavljena škoda v višini 40 milijonov evrov, kar je za 30 odstotkov več kot v letu 2024. Po ocenah policije je spletni kriminal zdaj največji segment v okviru gospodarskih kriminalnih dejanj in ne kaže, da bo kmalu začel upadati. Treba je vedeti, da se tega ne lotevajo mozoljasti najstniki, če se izrazim slikovito, ampak organizirane kriminalne združbe, ki imajo razvite dovršene metode dela. Dva raziskovalca sta se pod krinko infiltrirala v kitajsko združbo, ki organizira napade. Dobila sta mentorja, ki ju je učil, kako to početi, dali so jima začetni paket orodij, naučili so ju, kako zakriti sledi. Ponekod pa ljudi celo zvabijo na odročne lokacije z obljubo, da bodo delali v klicnem centru. Ko pridejo, jih ugrabijo, zaprejo in jim določijo dnevno kvoto goljufij. Prav zato tega kriminala ne moremo kar ugasniti, interneta ne moremo očistiti, saj je postal prevelik in preveč kompleksen.
Kaj podjetja praviloma storijo v prvih 24 urah po kibernetskem napadu in kaj bi morala narediti?
Ko se zgodi incident, mu vedno sledi kaos, tudi v podjetjih, ki imajo načrte za odzivanje. Ponekod delajo napako, da nato dolgo razmišljajo, kaj bi storili. Odziv pa mora biti hiter, da lahko zamejimo posledice. Dlje kot čakamo, več dokazov in indikatorjev, ki kažejo, kaj se je zgodilo, izgine. Dnevniški zapisi dogajanja, tudi če jih imamo, se sčasoma izbrišejo, storilci lahko počistijo za seboj. Nujno se je hitro odzvati in prijaviti napad.
SI-CERT ni inšpekcijski organ, nikogar ne oštevamo, na nikogar ne kažemo s prstom, ne iščemo krivcev v podjetju, lahko pa pomagamo ugotoviti, kaj se je zgodilo, in svetujemo naslednje korake. Razumemo, da morajo podjetja opravljati svojo funkcijo na trgu in imajo včasih omejene možnosti za investicije v varnost. Zato res poskušamo pomagati, kolikor lahko – z informacijami, izobraževanjem, nasveti. Je pa pogosto problem, da za kibernetsko varnost številnih podjetij skrbijo zunanji izvajalci. Kaj pa, ko se incident zgodi? Bo isti zunanji izvajalec preiskoval incident in potencialno ugotovil, da je prišlo do oškodovanja zaradi njegove napake? Bo to povedal vodstvu? Zato je rešitev, da ima podjetje nekoga, ki postavi sistem, incidente pa preiskuje kdo, ki je neodvisen.
Koliko časa potem potrebujejo slovenska podjetja, da se postavijo nazaj na noge?
Težko govorim o tem, kako hitro si finančno opomorejo, medtem ko lahko poslovanje ponovno vzpostavijo v nekaj urah ali dneh, v kritičnih primerih, kot je bil napad na Univerzo v Mariboru, pa lahko traja tudi več tednov. Tukaj je šlo za izsiljevalski virus, napadalci so grozili, da bodo uničili podatke. Situacijo so na mariborski univerzi lahko rešili, ker so imeli varnostno kopijo na tretji lokaciji, na Arnesu. To je bilo ključno in prav to imam v mislih, ko govorim o varnostnih ukrepih v kompleksnih sistemih, kot je recimo veliko podjetje ali univerza. Treba se je vprašati, kateri sistemi so kritični, in določiti, kje bomo začeli vzpostavljati varnost. Nujno je opraviti triažo kibernetske varnosti.
Treba se je vprašati, kateri sistemi so kritični, in določiti, kje bomo začeli vzpostavljati varnost. Nujno je opraviti triažo kibernetske varnosti.
Kaj bi torej svetovali direktorju srednje velikega podjetja: katere stvari naj uredi takoj, če noče tvegati kibernetskega napada?
Poskrbi naj, da bo imel dobrega strokovnjaka za informacijske tehnologije, ki se bo lahko izobrazil na področju kibernetske varnosti, potem pa naj ga posluša. To je ključno: če imate človeka, ki ve, kaj dela in kaj bi moral delati, ga poslušajte! Če vam nekdo pove, da je neko napravo treba zamenjati, ker je njena življenjska doba potekla in zato požarni zid ne deluje več, je treba nemudoma ukrepati, ne čakati. Dokler tega ne boste uredili, so vrata za »vlomilce« na široko odprta. Vodstvo mora razumeti posledice in zaupati svojim zaposlenim (ali zunanjim) strokovnjakom. V podjetju pač morate imeti nekoga, ki bo lahko ocenil, ali ste naredili vse, kar lahko storite za kibernetsko varnost. Ne gre se zanašati na rešitve na ključ.
Koliko slovenskih podjetij bi danes zdržalo in preživelo kibernetski napad?
Če sodim po preiskovanih incidentih, bi večina največjih podjetij napad preživela in njihovo poslovanje ne bi bilo bistveno okrnjeno. Sploh v kritični infrastrukturi so reči dobro urejene. HSE, denimo, lahko upravlja svoje omrežje brez interneta in ima zaposlene ljudi, ki o tem neprestano razmišljajo in nenehno bedijo nad varnostjo. Za mala in srednja podjetja težko ocenim, ker so primeri zelo različni; nekatera bi se verjetno dobro znašla, nekatera pa bi bila lahko močno prizadeta.