Kibernetski kriminal je resna nadloga in nevarnost. Že pred desetletjem je namreč postal bolj profitabilen kot trgovina z drogami. Finančno motivirani kibernetski napadalci so izjemno motivirani, tudi spretni. Niso pa vsemogočni, kot se jim včasih pripisuje. Še več, raziskave ugotavljajo, da jim zaposleni v podjetjih večinoma sami na stežaj odprejo vrata do podatkov, aplikacij, sistemov, omrežja … Ker jih pretentajo s tehnikami socialnega inženiringa in dodelanimi e-poštnimi prevarami.
Podjetja bi to moralo zelo skrbeti
Prav zaposleni vede ali nevede kibernetske napadalce vse pogosteje spuščajo v IKT-okolje podjetja, včasih jim celo zaupajo svoja uporabniška imena in gesla.
Čeprav je zgornji stavek povsem logičen, v praksi to počno le redka podjetja. In težko je razumeti zakaj. Medtem ko za požarne zidove, protivirusne in protismetne programe ter druge še bistveno bolj napredne varnostne rešitve brez pomislekov plačajo na tisoče, celo sto tisoče evrov, po neverjetnem naključju pozabijo na izobraževanje zaposlenih. A bi se to bistveno bolje odrezalo pri zoperstavljanju kibernetskim grožnjam in napadalcem.
Če ste zgolj zamahnili z roko in si mislite, to se vam/vašemu podjetju ne more zgoditi, pomislite še enkrat. Slovenski odzivni center za kibernetske incidente (SI-CERT) poroča, da ni dneva, ko ne bi prejeli prijave o vsaj enem večjem incidentu. Povprečna škoda, ko gre za podjetja, pa se meri že v petmestnih številkah in iz leta v leto narašča. Res je, nismo Amerika, tam je povprečna škoda ob varnostnem incidentu že višja od milijona dolarjev, a se tudi ne smemo slepiti, da smo zaradi majhnosti države nezanimivi za kibernetske kriminalce. Ti niso izbirčni, zanimajo jih podatki in denar, zato smo v njihovih očeh vsi zanimive tarče.
Okrepite najšibkejši člen kibernetske varnosti
Kako se ubraniti? Ali za zaščito skrbi vaš oddelek IT? Imate najsodobnejše sisteme in varnostne rešitve? Naj vam zaupamo, da kljub temu niste 100-odstotono varni. Pa ne le zaradi tega, ker 100-odstotne varnosti ne bi bilo, temveč zato, ker obrambo krepite tam, kjer je že sicer močna, najšibkejši člen pa ostaja šibak.
Zato velja vlagati v ljudi. In to ne le v zaposlene v oddelku IT, temveč prav vse zaposlene, ki imajo opravka s podatki in aplikacijami.
Z omenjenim usposabljanjem postavite človeški požarni zid, predvsem pa zaposlene iz šibkih členov spremenite v adute na področju kibernetske varnosti.
»Naložba v praktično izobraževanje in varnostno opolnomočenje zaposlenih ima zelo nenavadno lastnost. Zagotovo se vam bo povrnila v nekaj sto ali celo tisočkratni vrednosti, le da tega ne boste niti občutili, saj se vam zaradi varnostnega obnašanja zaposlenih incidenti, kraje in zlorabe podatkov ter odtekanje podatkov in denarja, sploh ne bodo pripetili,« pravi Žiga Humar, varnostni inženir leta 2023.
Prav Humar je za podjetje Our Space Appliances zasnoval program usposabljanj za dvig kibernetske varnosti s poudarkom na vsakdanji praksi. Poleg teorije predavatelji udeležencem predstavijo tudi primere iz resničnega življenja ter razložijo, kako pravilno ukrepati ob zaznavi kibernetskih groženj.
Preventiva je boljša od kurative
Podjetja so se v zadnjem desetletju naučila, da je preventiva vendarle cenejša od kurative. Toda naslednja »lekcija« je toliko bolj pomembna, a v praksi pogosto spregledana. Ko gre za informacijsko in kibernetsko varnost, je treba poleg varnostnih tehnologij »implementirati« tudi znanje zaposlenih. Tehnologija ni vsemogočna. Treba je vlagati tudi v znanje zaposlenih, saj so ti najšibkejši člen varnostne verige v kibernetskem oziroma digitalnem prostoru. Poleg tega tovrstna izobraževanja stanejo manj kot napredna varnostna oprema ...
»Na vratih imate lahko tri ključavnice in pet zapahov, a vam to prav nič ne pomaga, če vam zaposleni napadalca spusti naprej. Pretentani zaposleni to storijo povsem nehote, celo menijo, da dobronamerno, če se jim napadalec predstavi kot vzdrževalec IT-okolja ipd. Nekateri z napadalcem povsem nekritično delijo tudi svoja uporabniška imena in gesla, kar je recept za katastrofo,« meni Humar.
In kakšna znanja osvojijo udeleženci usposabljanj in delavnic. Takole pojasnjujejo v podjetju Our Space Appliances: »Posamezna delavnica traja tri šolske ure in obsega pregled vrst napadov in tehnik z lažnim predstavljanjem ter socialnim inženiringom. Udeleženci se spoznajo tudi s škodljivimi kodami in naučijo prepoznati znake nevarnosti ter ukrepi za zajezitev nenamernega odtekanja informacij. Poleg splošnih varnostnih napotkov in smernic je poudarek delavnice še na varovanju naprav ter rabi gesel za varno brskanje po spletu.«
