Autor: Miroslava Gaćeša, direktorka u Sektoru za upravljanje rizicima, Deloitte Srbija
Kada je Lazarus Group, severnokorejska hakerska grupa pod kontrolom države, ukrala 625 miliona dolara digitalnih tokena početkom 2022. godine od Ronin network, to je bio najveći sajber napad u istoriji decentralizovanih finansija (DeFi) i druga najveća kripto krađa svih vremena. Kako su hakeri našli put do Ronin mreže? Jednostavno. Preko lažnih oglasa za posao na LinkedIn-u. Naime, jedan kandidat je prijavljujući se na lažne atraktivne poslove, jednim klikom na pdf. dokument inicirao lanac infekcija koji je otvorio vrata hakerima za napad.
Prema rečima bivšeg eksperta iz Američke agencije za nacionalnu bezbednost iznetih u „Fraud Magazine“, oko 7.000 zaposlenih hakera sa punim radnim vremenom radi za Vladu Severne Koreje. Ovi i slični primeri pokazuju da smo predmet napada hiljada hakera širom sveta 24/7. Digitalne prevare nisu jedan pokušaj jednog hakera, nego konstantna serija pokušaja velike grupe ljudi sve dok ne nađu prolaz za napad. Kompanije ulažu velike napore u sisteme odbrane od ovakvih napada. Zašto? Zato što su štete milionske i nesagledive.
Prevare u digitalnim transakcijama
Kroz NextGeneration EU fondove, putem instrumenata oporavka privreda EU RRF (Recovery and Resilience Facility) u zemlje EU će se uliti oko 800 milijardi evra. Najveći deo tih sredstava otići će u sfere digitalne agende i održivog zelenog poslovanja. Zato EU sa pravom insistira na uvođenju robustnog sistema protiv prevara, kako bi se osiguralo da korisnici takvih sredstava kao i oni koji odlučuju o raspodeli tih sredstava imaju mehanizme zaštite i preventive da novac poreskih obveznika ne bude plen prevaranata. S obzirom na to da je Srbija na putu ka EU, svakako će biti obveznik sprovođenja ovakvih mera.
Sistem zaštite od digitalnih prevara, kao i svaki sistem zaštite, da bi bio efikasan, ne treba da bude samo slovo na papiru već mnogo više od toga. Efikasan sistem protiv prevara podrazumeva sistem politika, procedura, matrica kontrolnih aktivnosti, instaliranih alata i programa i tim eksperata spremnih da trče maraton i odolevaju napadima hakera. Takav sistem treba da pruži prevenciju, obezbedi rano otkrivanje, korektivne mere i kasnije procesuiranje slučajeva.
Tehnološka i analitička sredstva tzv. alati koji se koriste u borbi protiv prevara omogućavaju lakšu identifikaciju potencijalnih slučajeva prevare, bržu analizu podataka u vezi sa konkretnim prevarama, upravljanje slučajevima koji zahtevaju pažnju, pripremu dokumentacije o svim preduzetim radnjama i generisanje periodičnih izveštaja. Sistemi praćenja i uzbunjivanja naročito treba da budu implementirani kod svih kompanija i organizacija koje se bave digitalnim plaćanjima i kripto valutama.
Hakeri mogu skoro sve!
Lazarus Group je našla rupu u Ronin protokolu koja je hakerima omogućila upotrebu kompromitovanih privatnih ključeva (kodova/šifara) putem kojih su neovlašćeno povlačili kripto valute. Pored ovog najvećeg primera, svedoci smo svakodnevnih neautorizovanih pristupa podacima i krađa ličnih ili poverljivih podataka. Sajber napadi su uzroci neplaniranih prekida usluga i/ili funkcija na neprihvatljivo dug period. Maliciozni softveri mogu da dovedu do potpunog onemogućavanja pristupa podacima. Napadi hakera mogu da prouzrokuju štete hardvera i softvera do te mere da oni postanu neupotrebljivi. Namerne izmene podataka koje dovode do loših informacija i grešaka u sadržaju su takođe vrlo česte.
Da bismo se odupreli sajber rizicima, moramo da podignemo svest o:
*bezbednosnim merama korišćenja sigurnih sajtova
*dvofaktornim autentifikacijama
*deljenju minimuma ličnih podataka
*upotrebi sigurnih aplikacija
*korišćenju sertifikovanih procesora plaćanja
*testiranih antivirusnih softvera
*redovnoj promeni kredencijalnih podataka, kao i o redovnom ažuriranju sistema mrežne bezbednosti
*i najvažnije: da budemo u toku sa najnovijim trendovima u prevarama digitalnog plaćanja.
Ukoliko koristimo kripto valute, potrebno je da dizajniramo procese i modele upravljanja za slučajeve korišćenja blokčejna; izvršimo testiranje kontrolnog okvira za blokčejn i digitalna sredstva i procenimo pouzdanost blokčejna uz pomoć napredne tehnologije revizije bloka. Pored navedenog, treba da obezbedimo uvid u predložena, postojeća i nova pravila i gledišta koja su izdala regulatorna tela relevantna za kompanije koje koriste blokčejn digitalna sredstva kao i da porocenimo postojeće računovodstvene politike kompanije, interne kontrole, resurse, okvire za izveštavanje i tehnologiju. Pored KYC (Know you client) treba da implementiramo i adekvatan KYT (Know your transaction) sistem i vršimo proaktivan monitoring transakcija, njihovog porekla i daljeg kretanja.
Da bismo bili sigurni u svoje sisteme uspostavljenih kontrola, poželjno je da periodično angažujemo nezavisna lica sa ciljem provera da li na efikasan način upravljamo finansijama i tokovima novca, bezbednošću podataka i sistemima koji utiču na usluge od poverenja.
Samo sa efikasno uspostavljenim sistemima zaštite čiju efikasnost redovno testiraju nezavisni stručnjaci, možemo da održavamo kondiciju za maraton odbrane od visokoobučenih hakera.