Istraživanje kompanije Kasperski, koja se više od četvrt vijeka bavi IT bezbjednošću, pokazalo je da od 700 nasumično odabranih firmi, svaka treća se pominje na dark vebu u vezi sa trgovinom podacima. Na ovom crnom tržištu prodaju se poslovne informacije koje su hakeri pribavili upadima u sisteme preduzeća, a cijene tih podataka zavise od prihoda kompanije koja je bila meta napada, odnosno od koristi koja se može ostvariti upotrebom tih podataka. Pošto kriminalci ne vjeruju jedni drugima, i poslovne transakcije van zakona imaju svoju „regulativu“ na dark vebu. Ali stručnjaci ne preporučuju firmama da se upuštaju u takve aranžmane, pokušavajući da same ili preko posrednika otkupe svoje podatke na crnom tržištu.

Prošle godine svakog dana dešavalo se oko 2.200 sajber napada, što je više od 800.000 napada godišnje, objavio je Security Magazine. Kriminalci su najviše napadali kompanije, kako bi pribavili važne poslovne informacije i tako iznudili novac od oštećenih firmi ili da bi pokradene podatke prodali drugim hakerima.

Ova „vruća roba“ ne može baš da se oglašava na bilbordima i televiziji, ali postoji jedno mjesto gdje se poslovnim informacijama trguje daleko od očiju javnosti. U pitanju je dark veb, dio interneta kojem većina korisnika svjetske mreže ne pristupa, ali koji je prošle godine bilježio 2,5 miliona posjeta dnevno.

Dark veb čini manji dio „nevidljive mreže“ (deep web), odnosno onog dijela interneta koji nije indeksiran na poznatim pretraživačima kao što je Gugl. Može mu se pristupiti samo pomoću specijalnih pretraživača poput TOR-a, za šta je potrebno nešto više informatičkog znanja nego za obično guglanje.

Upravo zbog svoje slabije vidljivosti, dark veb je riznica sadržaja koji nisu prijemčivi većini korisnika interneta, ali i onih koji su zabranjeni zakonom. To, naravno, ne znači da se na njemu okupljaju samo kriminalci, dark veb koriste i novinari, uzbunjivači, obavještajci i građani koji ne žele da prate samo „dozvoljene“ sadržaje.

Ipak, neka istraživanja pokazuju da više od polovine njegovih korisnika čine pripadnici ekstremističkih grupa, trgovci drogom, kao i hakeri koji na njemu prodaju podatke preduzeća, poput lozinki, brojeva ličnih dokumenata ili informacija o pristupu kompanijskoj infrastrukturi. Ove podatke kupuju drugi sajber kriminalci da bi pomoću njih vršili različite vrste napada u koje spadaju i obmane drugih korisnika interneta, industrijska špijunaža ili sabotaža nečijeg poslovanja i, naravno, krađa novca.

I nezakonito tržište ima svoje zakone

Pošto kriminalci ne vjeruju jedni drugima i u međusobnim poslovima niko se ne oslanja na poštenje druge strane, i transakcije van zakona imaju svoju „regulativu“.

Prema navodima kompanije Kasperski, koja se više od četvrt vijeka bavi IT bezbjednošću, učesnici u poslovnim transakcijama na dark vebu se obavezuju da će poštovati specijalne „ugovorne aranžmane“. Oni kroz ovakve dogovore prihvataju da koriste usluge posrednika, žiranata i onih koji vrše arbitražu, a čiji zadatak je da kontrolišu da li će sve ugovorne strane ispuniti svoje obaveze.

Ukoliko neka od strana to ipak ne učini, arbitri nastupaju u svojstvu suda. Njihove odluke i kazne zatim primjenjuju administratori sajtova na kojima su ugovori sklopljeni. Kazne podrazumijevaju blokiranje, banovanje i etiketiranje prevaranta, kako bi ostali članovi hakerske zajednice, ako slučajno pomisle na saradnju s kažnjenikom, unaprijed znali s kim imaju posla.

Pošto trgovina kompanijskim podacima raste iz godine u godinu, neki forumi na dark vebu su automatizovali cijeli postupak za sprovođenje „ugovornih aranžmana“, pa sada mašine prate da li i koliko sve strane poštuju sklopljene dogovore.

Čiji podaci se najčešće prodaju i koliko vrijede?

Pored načina na koji se reguliše nezakonito tržište, kompanija Kasperski je dvije godine istraživala i kako i koliko se na njemu trguje poslovnim informacijama. Tokom pomenutog perioda pratila je objave na forumima i blogovima na dark vebu, kao i na skrivenim kanalima na Telegramu, odnosno na najpopularnijim mjestima na kojima se odvija zaštićena komunikacija. Krajem 2023. objavila je rezultate istrage koji su pokazali da se svaka treća kompanija, odnosno 233 od ukupno 700 koliko ih je bilo na nasumično sačinjenoj listi, pominje na dark vebu u vezi sa trgovinom podacima. To znači da je neko najvjerovatnije već upao u sistem kompanije, došao u posjed određenih poslovnih podataka i odlučio da ih ponudi na ovom crnom tržištu.

Prodavci su najčešće nudili kompromitovane naloge, interne baze podataka, različite dokumente i podatke o pristupu digitalnoj infrastrukturi preduzeća. Svoje ponude su oglašavali na više mjesta, a dešavalo se i da rascepkaju grupe podataka po zemljama u kojima oštećene kompanije imaju svoje poslovnice i da ih prodaju u dijelovima. Zato podatak da je Kasperski za dvije godine istrage otkrio 40.000 ponuda za prodaju podataka treba uzeti sa rezervom, jer je moguće da su u pitanju ponavljani oglasi.

Kasperski je sproveo slično istraživanje 2022. godine, s ciljem da otkrije koje kompanije su najčešće žrtve prodaje podataka i koliko njihovi podaci zapravo vrijede. Analiza je obuhvatila 200 objava u kojima su nuđeni pristupni podaci sistemima preduzeća. Prosječne cijene ovih podataka kretale su se između 2.000 i 4.000 dolara za pristup sistemima velikih kompanija, što je relativno jeftino u poređenju sa štetom koju mogu da izazovu hakeri koji ih posjeduju.

Naime, oni se najčešće koriste u ransomware napadima kojima se žrtvi blokira pristup sopstvenim podacima sve dok ne plati za njihov otkup. Budući da su ovi napadi sve češće usmjereni na velike korporacije, prihodi kriminalaca koji ih vrše mogu dostići i do 40 miliona dolara godišnje. To znači da se za relativno malo uloženog novca u kupovinu podataka na dark vebu može ostvariti ogromna zarada, doduše ilegalna, koju nije lako „oprati“.

Međutim, nisu svi kompanijski podaci ovako jeftini. Cijena pokradenih podataka zavisi od prihoda preduzeća koje je bilo meta napada, odnosno od koristi koja se može ostvariti upotrebom tih podataka. Kasperski navodi primjer da su podaci o kompaniji sa prihodom od 465 miliona dolara nuđeni na crnom tržištu i za 50.000 dolara.

Osim što se bave malo poznatim detaljima o tome kako funkcioniše prodaja poslovnih informacija na crnom tržištu, ova istraživanja upozoravaju da nijedna firma nije bezbjedna od „curenja“ podataka. Međutim, ovakvih istraživanja nema mnogo zato što nije nimalo jednostavno ispratiti kako se odvijaju transakcije na „mračnoj strani interneta“.

Problem je u tome što osobe koje na dark vebu prodaju poslovne informacije ne nude imena firmi od kojih su ih ukrali, već daju samo njihove opise – koliko je velika kompanija, iz koje je zemlje, u kom sektoru privrede posluje, koliki je njen godišnji prihod i slično. Kriminalci izbjegavaju da pominju imena kompanija kako one ne bi saznale da su pretrpjele neovlašćen upad, ako to već same nisu otkrile.

Da li se isplati otkupiti informacije na dark vebu?

Slučajevi kada hakeri koriste pokradene podatke da bi iznudili novac od oštećenih preduzeća sve su učestaliji u svijetu, uključujući i Srbiju. Međutim, stručnjaci za sajber bezbjednost upozoravaju da plaćanje otkupa sajber kriminalcima za vraćanje pokradenih podataka, uključujući i pokušaje da se oni otkupe direktno sa dark veba, nije dobra ideja za firme, iz više razloga.

Pre svega, preduzeće koje pristane da plati otkup svojih podataka automatski uvećava njihovu vrijednost na crnom tržištu i stavlja sebi „metu na leđa“ i za druge hakerske napade u budućnosti. Postoji opasnost i da firma prilikom povraćaja svojih podataka uz njih dobije i neželjeni „poklončić“, na primjer maliciozni kod koji sajber kriminalcima omogućuje da i nadalje pristupaju podacima kompanije koju su već oštetili.

Nekada se dešava da taj „poklončić“ sadrži i nelegalno stečene podatke o drugim firmama, najčešće o konkurenciji. Ukoliko konkurentska kompanija utvrdi da njen rival posjeduje njene podatke, može da ga optuži za više krivičnih djela za koja su u većem dijelu svijeta propisane visoke kazne.

Varijanta da se ukradeni podaci otkupe preko posrednika takođe nije dobro rješenje, jer onda firma rizikuje da posrednik dođe u posjed tih informacija. Povrh svega, treba imati u vidu da uprkos pomenutoj samoregulaciji na dark vebu, postoji opasnost da haker uzme novac za otkup podataka ali da ih ne vrati oštećenoj kompaniji, ili ako to i učini, te informacije „usput“ proda još nekome.

Nije isključena ni mogućnost da se preduzeće „navuče“ na lažnu prijetnju. „Pojedinci prikupljaju javno dostupne podatke o zaposlenima koje neke kompanije objavljuju na svojim društvenim mrežama, zatim ih sistematizuju i podnose kao ’dokaz’ da su neovlašćeno upali u sistem te firme. Oni lažno tvrde da imaju još podataka o toj kompaniji i tako izvlače novac od svih koji su zainteresovani za te informacije“, pojasnila je Julija Novikova, rukovodilac Službe za digitalni otisak u kompaniji Kasperski na međunarodnoj konferenciji eSecurity, održanoj u oktobru u Beogradu.

Zato u onlajn svijetu, kao i u stvarnom, važi pravilo da je bolje spriječiti nego liječiti. Mada ni u životu ni u poslu ništa nije sto posto sigurno, do najboljeg rješenja dolazi onaj ko je spreman da za njim traga i da uloži u njegovu primjenu.

Marija Dukić

Biznis Top 2023/24 u izdanju časopisa Biznis i finansije, novembar 2024.