Kada CISO-i razmišljaju o rizicima, obično im na pamet padnu cloud platforme, laptopi i data centri. Ali događaji uživo poput konferencija, sajmova, lansiranja proizvoda i sastanaka dioničara donose drugačiju vrstu izloženosti u sajber prostoru. Ovi događaji okupljaju ljude, uređaje i osjetljive informacije na jednom mjestu, često samo na dan ili dva. To ih čini privlačnom metom.
Događaji takođe kombinuju digitalne i fizičke sisteme. Ranljivost u jednom segmentu može dovesti do kompromitacije drugog. Ipak, mnoge organizacije još uvijek tretiraju događaje više kao logistički izazov nego kao sigurnosni problem.
Događaji su magnet za rizike
Napadači traže slabe tačke. A događaji ih često imaju nekoliko:
- Privremene mreže: Mnogi događaji se oslanjaju na javni Wi-Fi ili pristupne tačke koje donesu učesnici. Ove mreže često nisu sigurne.
- Veliki broj putovanja: Zaposleni putuju s laptopima i telefonima koji možda nisu dovoljno zaštićeni. Neki koriste lične hotspotove ili pune uređaje putem USB punjača na javnim mjestima.
- Javni rasporedi: Liste govornika, teme sesija i hashtagovi mogu napadačima dati sve što im treba za uvjerljive phishing kampanje.
- Nova ili neprovjerena tehnologija: Mobilne aplikacije za prijavu, NFC bedževi, QR kodovi i kiosci mogu biti kompromitovani.
Mnogi sigurnosni problemi događaja počinju s fizičkim pristupom. Dobavljač, učesnik, pa čak i neko ko se pretvara da je dio AV tima može se provući u ograničene prostore ili priključiti uređaj u otvoreni port.
Sve češće se koristi tehnologija koja kombinuje fizičku prisutnost s digitalnim pristupom, poput pametnih bedževa koji služe i kao NFC ključevi za prijavu ili interaktivnih ekrana povezanih s backend sistemima. Takve postavke su uobičajene na događajima, ali rijetko se provjeravaju kao unutrašnji sistemi.
Čak i jednostavni promotivni USB stick može predstavljati rizik.
Upravljanje rizikom počinje mnogo prije događaja
Kada se planira cyber sigurnosni događaj uživo, upravljanje rizicima počinje davno prije prve uvodne sesije. Hrvoje Englman, CISO u kompaniji Span, koji je bio uključen u osiguranje događaja Span Cyber Security Arena, pristupio je planiranju kao i bilo kojoj drugoj poslovnoj operaciji.
„Počinješ pitanjem: Šta sve mora da funkcioniše kako bi učesnici imali dobro iskustvo,“ rekao je. „Ili možeš postaviti pitanje s druge strane: Šta sve može poći po zlu?“
Ta dvostruka perspektiva postala je ključna dok je njegov tim pokušavao modernizirati iskustvo učesnika, počevši od programa događaja. Jedan od prijedloga bio je da se zamijene štampani rasporedi aplikacijom s chatbotom koji koristi vještačku inteligenciju za davanje personaliziranih preporuka i ažuriranja u stvarnom vremenu.
„Ideja je bila privlačna jer bi omogućila preporuke na osnovu korisničkih podataka i omogućila dinamičko ažuriranje rasporeda,“ objasnio je Englman.
Ali kompromis su bili podaci. Uvođenje chatbota zahtijevalo bi prikupljanje i pohranu dodatnih ličnih informacija, što bi otvorilo pitanja o sigurnosti i usklađenosti s regulativama.
„Na kraju smo zaključili da je rizik prevelik i vratili se štampanim programima,“ rekao je. Naravno, i ta odluka nosi rizike — štampani raspored se ne može ažurirati, a događaji uživo često se mijenjaju u posljednjem trenutku.
Stabilna infrastruktura kao ključ
Za događaje koji se oslanjaju na praktično učenje i demonstracije uživo, stabilna internetska veza je ključna. To se pokazalo posebno važnim tokom planiranja Capture The Flag takmičenja i Masterclass sesija.
„Na osnovu prethodnog iskustva s drugim konferencijama, znali smo da se ne možemo osloniti na hotelski Wi-Fi ili lične hotspotove,“ rekao je Englman. „Zato smo uspostavili vlastitu redundantnu internet konekciju.“
Rezultat je bio sigurniji i stabilniji događaj koji je uspješno balansirao inovacije i operativni oprez. To je lekcija koja vrijedi i za konferencijske centre i za upravne odbore.
Sigurnost događaja zahtijeva cyber razmišljanje
Mnogi od najvećih rizika ne počinju u konferencijskoj sali, nego online — danima prije nego što iko stigne.
„Najčešći previd jeste maliciozne domena povezana s phishingom, prevarama i lažnim stranicama vezanim za događaj,“ rekao je Abu Qureshi, vođa tima za istraživanje prijetnji u BforeAI. „Napadači vole događaje s velikom pažnjom. Registruju domene koje izgledaju kao zvanične i nude lažne ulaznice, lažne prenose uživo, promocije i QR kodove.“
Ove lažne stranice često promaknu sigurnosnim timovima, naročito kada je više odjela uključeno u planiranje i marketing. U nekim slučajevima, ne prijave se dok ih učesnici ne primijete.
Još jedna ranjiva tačka su treće strane. Događaji uključuju mnogo vanjskih partnera: od medijskih ekipa do registracijskih platformi i štampača bedževa.
„Treće strane su redovno zanemarene,“ rekao je Qureshi. „Ti timovi često imaju slabe cyber navike, a njihova kompromitacija može dovesti do curenja podataka ili pristupa mreži tokom događaja.“
Napadi više nisu manuelni. Mnogi su automatizovani, koriste vještačku inteligenciju i phishing alate kako bi se brzo skalirali.
„Ljudi potcjenjuju koliko je automatizacije uključeno u ove kampanje,“ rekao je. „Vidjeli smo kampanje koje se pokreću danima prije događaja s ciljem krađe lozinki, širenja malvera ili kripto prevara. Ako ne pratite vanjsku prijetnju i ne pripremate se za njen uticaj, imate ograničen uvid.“
Planiranje unaprijed: Šta CISO-i mogu uraditi
„Od CISO-a se sada očekuje holistički pristup koji kombinuje fizičku i cyber sigurnost,“ rekao je Qureshi. „Suočavamo se s konvergencijom ova dva svijeta.“
To znači da CISO-i upravljaju detekcijom bežičnih prijetnji, segmentacijom mreže za događaj i praćenjem sumnjivih pristupnih tačaka. Ali rizici ne prestaju tu.
„Moraju razmišljati o phishingu vezanom za registraciju, lažnim domenama, koordinisanim napadima ako je događaj poznat,“ dodao je.
Događaje treba tretirati kao bilo koji drugi operativni rizik. To znači uključiti sigurnost već u ranim fazama planiranja, a ne samo sedmicu prije početka. Preporuke uključuju:
- Provjera dobavljača: Registracijske aplikacije, mobilne aplikacije, AV servisi – svi treba da prođu sigurnosne provjere kao i bilo koji drugi vanjski dobavljač.
- Segmentacija mreže: Kreirati posebnu mrežu za osoblje. Ne oslanjati se na javni Wi-Fi. Ako se koristi, onda obavezno uz VPN i monitoring alate.
- Primjena zero trust pristupa: Ograničiti pristup prema funkciji. Svaki uređaj treba tretirati kao potencijalno kompromitovan.
- Obuka osoblja: Prije događaja, educirati zaposlenike šta da izbjegavaju – nepoznate USB-ove, sumnjive QR kodove, nepouzdane mreže.
- Praćenje phishing napada: Učesnici mogu primiti lažne poruke prije, tokom ili nakon događaja – to treba nadgledati.
Neke organizacije čak formiraju mini-SOC (Security Operations Center) tokom važnijih događaja. Ako to nije moguće, dovoljno je imati nekoga ko u realnom vremenu prati mrežne aktivnosti i login pokušaje.
Poznati događaji privlače ne samo slučajne napadače već i motivisane hakere koji žele narušiti reputaciju. To povećava odgovornost CISO-a.
„Sve češće CISO mora da se bavi i reputacionim rizicima i prijetnjama dezinformacija,“ rekao je Qureshi. „Posebno kada su meta aktivisti ili finansijski motivisani napadači koji koriste lažne stranice.“
To znači da osiguranje događaja sada uključuje i borbu protiv lažnog predstavljanja, uklanjanje lažnih domena i saradnju s PR i pravnim timovima u realnom vremenu. Za mnoge CISO-e, to je novo područje – ali postaje sve neizbježnije.
Izvor:Help Net Security
