Stručnjaci upozoravaju da se mnogo tvrtki odluči na ulaganje u kibernetičku sigurnost tek nakon što iskusi hakerski napad. Usprkos tomu što se shvaća da je takvih napada sve više, prevladava uvjerenje da su samo velike tvrtke interesantne hakerima, što je toliko pogrešno koliko i opasno. Kibernetička sigurnost nije trošak, nego ulaganje
Nedavno je u hrvatsku javnost dospjela vijest o nizu kibernetičkih napada na navodno čak dvadesetak odvjetničkih društava u Hrvatskoj, što je Lideru potvrđeno i iz Hrvatske odvjetničke komore, i to uz upozorenje o porastu kibernetičkog kriminala u svim sferama društva, pa tako i odvjetništva. Posljednji je to od mnogo primjera phishing-napada, vrste socijalnog inženjeringa u kojem hakeri u prijevarnim e-porukama navode ljude da kliknu na poveznicu u njima i zatim se na njihovo računalo instalira zlonamjerni softver (engl. ransomware) s pomoću kojega hakeri mogu ukrasti i zaključati podatke te nakon toga i ucjenjivati vlasnike podataka za novčanu naknadu.
Broj kibernetičkih prijetnji i napada drastično raste posljednjih godina, kaže i konzultant za kibernetičku sigurnost u Schneider Electricu SEE Marko Gulan, uz napomenu da napadači ne biraju žrtve, nego su usmjereni na svoj cilj. Isto tako, napominje Gulan, ‘veličina poduzeća u očima napadača većinom ne znači ništa‘. Dakle, i u slučaju odvjetničkih društava koja raspolažu osjetljivim i tajnim podacima o sudskim procesima, ali i u svim drugim slučajevima hakerskih napada, osobito manjih tvrtki, važno je shvatiti da se oni mogu dogoditi bilo komu, stoga je danas više nego ikada važno osigurati poslovne podatke.
Ranjivost malih tvrtki
Jedan od najboljih načina na koje se tvrtke, posebno male i srednje, mogu osigurati od takvih napada, slažu se stručnjaci, jest da sigurnosno kopiraju podatke. Phishing je najčešća vrsta napada na male tvrtke i napadači ucjenom pokušavaju doći do novca, kaže glavni tehnološki direktor u tvrtki Infigo Bojan Ždrnja.
– Budući da male tvrtke zapravo rijetko imaju puno javno dostupnih servisa, phishing je tu često glavni vidljivi vektor napada. Kod ransomware-napada iznimno je važno osigurati da postoje ispravne sigurnosne kopije (backup) jer je to jedini način da se minimizira šteta od takvih napada – dodaje Ždrnja.
Za napade na male tvrtke napadačima je najlakše primjenjivati tehnike socijalnog inženjeringa, dodaje i viši menadžer za kibernetičku sigurnost u PwC-u Igor Hitrec.
– Napadači ciljaju manje tvrtke zato što one imaju ograničena znanja i manje razvijenu svijest o informacijskoj i kibernetičkoj sigurnosti, a i rijetko si mogu priuštiti moderne alate za zaštitu od kibernetičkih napada te nemaju zaposleno stručno osoblje koje će se brinuti o zaštiti od takvih rizika – objašnjava Hitrec.
Osim phishinga, prijetnje mogu doći i iz naizgled bezazlenih situacija. Na primjer, kako kaže viši konzultant za kibernetičku sigurnost u Combisu Augustin Anić, u posljednje vrijeme sve više svjedoče kompromitacijama poslovnih računala korištenjem USB prijenosnih medija koje zaposlenici prije toga upotrebljavaju u privatne svrhe.
– Svakako u poslovna računala ne bismo trebali uključivati USB prijenosne medije kojima se inače koristimo u privatne svrhe, na primjer za prijenos dokumenta u kopirnici – upozorava Anić.
To naglašava i Gulan, koji kaže da kibernetičke prijetnje ne dolaze isključivo internetom.
– Phishing e-mail, notifikacije na društvenim mrežama, lažni pozivi na pitcheve, zaraženi USB ključevi, telefonski pozivi ‘banke‘… Sve su to prijetnje koje bi male tvrtke trebale biti kadre prepoznati kao ugroze za svoje poslovanje. Male tvrtke obično ne ulažu u naprednija rješenja, nego svoje poslovanje temelje na opremi namijenjenoj kućnim korisnicima zbog cjenovne dostupnosti. Najčešći su vektor napada na male tvrtke njezini zaposlenici koji nenamjerno prouzroče štetu. Male tvrtke isto tako obično nemaju strogo definirane procese i procedure, pa je i to jedan od razloga zbog kojih su ranjive na negativna kibernetička djelovanja – opisuje Gulan.
Platiti nakon napada ili ne?
Ako se i dogodi proboj, upravo zbog navedenih razloga treba spriječiti nove pogreške i ne srljati, kaže Gulan.
– Zaposlenici na prvu žele sakriti da su pretrpjeli napad pa je najčešći džoker ‘zovi dijete prijatelja ili prijateljice koje ima odličan iz informatike‘. Taj pristup posve je pogrešan. Prvi korak trebao bi biti poziv IT odjelu, bilo internom bilo vanjskoj tvrtki za održavanje – napominje Gulan.
Dakle, prvi je korak ograničiti djelovanje napadača uz pomoć stručnjaka za kibernetičku sigurnost, osobe s iskustvom, jer, kaže Ždrnja, ako se to ne napravi ispravno, napadač može shvatiti da je otkriven i dalje promijeniti tijek napada. Anić to, primjerice, opisuje kao da napadaču ne želimo ‘upaliti svjetlo u sobi u kojoj se nalazi‘, ali zašto mu ne bismo potajice ‘zaključali vrata od sobe u kojoj su nam vrijedni predmeti‘? Hitrec pak dodaje da tvrtke kibernetičke napade svakako trebaju prijaviti policiji.
U slučaju ransomwarea, kad su podaci kriptirani, a ključ za njihovo dekriptiranje posjeduje samo napadač, napadači u zamjenu za ukradene podatke traže novac, najčešće u kriptovalutama, što manje tvrtke, ograničene proračunima, može nagnati na dvojbu: izgubiti poveći novčani iznos i dobiti podatke natrag ili ne platiti i izgubiti sve podatke? Nijedan stručnjak ne bi savjetovao plaćanje otkupnine. Dva su razloga za to. Prvo, plaćanjem otkupnine tvrtke podupiru kriminalno djelovanje i motiviraju napadače za daljnje proboje jer im se šalje poruka da, ako je tvrtka platila jednom, platit će i drugi put, nerijetko veći iznos. Drugo, plaćanje otkupnine ne jamči da će tvrtka dobiti svoje podatke natrag i da neće ponovno biti napadnuta.
Zato je ključno imati ažuriranu sigurnosnu kopiju podataka i štititi je, ali ako arhiva ne postoji, jedine su preostale mogućnosti ponovno podizanje cjelokupnog informatičkog sustava ili plaćanje otkupnine, objašnjava Anić.
– To je već sfera poslovne odluke vodećega kadra kompanija iako je sigurnosna preporuka izbjegavanje komunikacije i plaćanje otkupnine napadačima – dodaje Anić, a Gulan smatra da novac koji tvrtke odluče uplatiti kao otkupninu treba biti onaj koji su ionako spremne izgubiti.
Ždrnja je i sâm svjedočio mnogim slučajevima kad tvrtke nisu imale drugu opciju doli platiti otkupninu jer nisu imale sigurnosne kopije.
– Zato bih još jednom istaknuo koliko je važno imati ispravnu sigurnosnu kopiju koja nije spojena na računalnu mrežu, jer bilo je slučajeva i da napadači enkriptiraju sigurnosne kopije – kaže Ždrnja.
Ulaganje, a ne trošak
Pitanje kibernetičke sigurnosti za male i srednje tvrtke također je pitanje raspolaganja financijskim resursima, koji su u takvim biznisima ograničeni. Pa ipak, upita li se bilo kojeg znalca, takav crno-bijeli pogled – platiti zaštitu od kibernetičkih napada ili ne – nikako nije poželjan. Troškovi zaštite kompanija od hakerskog napada u svakom su slučaju mnogo manji od onih koji nastaju u slučaju napada, ističe to business development manager za regiju Adria u konzultantskoj kući Horváth Robert Ćuzela-Piljac.
– Hakerski napadi mogu izazvati nemjerljivu štetu kompanijama. U slučaju krađe podataka kompanije se izlažu reputacijskoj šteti i golemim kaznama zbog krađe privatnih podataka. Također, napadi mogu izazvati prekid poslovanja, a troškovi ponovnog pokretanja proizvodnje iznimno su visoki. Sve to potvrđuje da je nužno hitno provesti mjere koje će kompanije zaštititi, a zatim ih kontinuirano prilagođavati novim prijetnjama – smatra Ćuzela-Piljac.
Gulan pak ističe da ne postoji magičan broj koja će pokazati koliko je dovoljno da bi tvrtka bila sigurna, no neka globalna istraživanja govore o ulaganju od oko dva posto IT proračuna u sigurnost, pa čak i do petnaest posto.
– Međutim, ulaganje u ljude, koji su najjača i najslabija karika svake organizacije, tvrtkama treba biti imperativ, pa čak i ako ulože u najkvalitetnije tehnološko rješenje – kaže Gulan, koji smatra da ulaganje novca u sigurnost tvrtkama ne bi trebao biti trošak, nego investicija u dugoročno stabilno poslovanje.
Cijeli tekst o cyber sigurnosti pročitajte u tiskanom ili digitalnom izdanju poslovnog tjednika Lider.