Tvrtke koje misle da nisu dovoljno velike da bi izazvale ciljanu pozornost internetskih razbojnika mogle bi se iznenaditi. Mali poduzetnici posebno su ranjivi na kibernapade zbog ograničenih resursa i stručnosti u kibernetičkoj sigurnosti
Premalo novca, manje stručnosti, ali ponajviše ljudski činitelj, za male tvrtke najčešći su izvori prijetnje od kibernetičkih napada. Međutim, i takvim se zaprekama može preskočiti i smanjiti izloženost hakerskoj navali. Tvrtke koje misle da nisu dovoljno velike da bi izazvale ciljanu pozornost internetskih razbojnika mogle bi se iznenaditi ako se ipak nađu u takvim okolnostima.
Voditelj Katedre za kibernetičku sigurnost na Visokom učilištu Algebra Zlatan Morić potvrđuje da su male tvrtke posebno ranjive na kibernapade zbog ograničenih resursa i stručnosti u kibernetičkoj sigurnosti. Neki od najranjivijih točaka uključuju zaporke koje se mogu lako pogoditi i koje zaposlenici često upotrebljavaju na više sustava, što može uzrokovati kraj identiteta i podataka.
– Učestali su i phishing-napadi u obliku e-pošte ili poruke poslane drugim komunikacijskim kanalima koja izgleda kao da dolazi iz pouzdanih izvora i čiji je cilj prevariti žrtvu da otkrije svoje osobne podatke ili da klikne na poveznice sa zlonamjernim softverom. Male tvrtke često nemaju novca za kupnju najnovijih izdanja softvera, što može izazvati ranjivost i sigurnosne propuste. Nemaju često ni odvojeni IT odjel, nego je održavanje povjereno nekom od zaposlenika koji inače obavlja drugu funkciju u tvrtkama. Rješenja su stoga edukacija zaposlenika, jakih zaporki koje se trebaju redovito mijenjati, redovito nadograđivanje operacijskih sustava i aplikacija, antivirusna rješenja, dvofaktorska autentifikacija, redovite sigurnosne kopije, virtualne privatne mreže (VPN) kad se pristupi podacima iz nesigurnih mreža te kontrola pristupa podacima. Za provjeru sigurnosti sustava najbolje je angažirati vanjske stručnjake za naprave penetracijskog testiranja. Manje dobro rješenje, ali cjenovno prihvatljivije, jest upotreba aplikacije za automatizirano skeniranje sustava i upozoravanje na propuste. Važno je također imati plan oporavka u slučaju kibernetičkog napada koji bi trebao uključiti redovitu izradu sigurnosnih kopija podataka, plan za povratak u rad te informacije o tome kako će tvrtka komunicirati s klijentima i dionicima u slučaju napada – iznosi Morić.
Stalno održavanje
I konzultant za informacijsku sigurnost u A1 Hrvatska Damir Bujan se slaže da bi male i srednje tvrtke trebale osigurati da se njihovi zaposlenici upoznaju s osnovnim pojmovima kibernetičke sigurnosti kao što su upotreba složenih lozinki i izbjegavanje otvaranja sumnjivih privitaka elektroničke pošte i neprovjerenih internetskih stranica. Sljedeći je korak, dodaje, primjena softverskih i hardverskih sigurnosnih rješenja poput vatrozida (vatrozid) i program za otkrivanje zlonamjernog softvera (antimalware), koje treba stalno održavati s najnovijim zakrpama i ažuriranjima.
Poželjno je imati komercijalna i napredna, nikako besplatna, antivirusna rješenja uz koja dolaze dobri alati, takozvani Threat Intelligence, koji može otkriti većinu naprednih sigurnosnih prijetnji
– Treba redovito sigurnosno kopirati svoje podatke i redovito testirati radi kreirane sigurnosne kopije (vratiti). Naposljetku bi se trebalo razmotriti partnerstvo s pružateljem IT usluga kako bi IT sustavi malih i srednjih tvrtki bili sigurni da imaju pristup najnovijoj tehnologiji i stručnom znanju. Jedna od najčešćih ranjivosti jest ljudska pogreška jer zaposlenici mogu nehotice kliknuti na zlonamjerne stranice, otvoriti zlonamjerne privitke ili pak podijeliti osjetljive podatke tvrtke s neovlaštenim pojedincima. Druga je najveća ranjivost zastarjela softver ili hardver zato što kiberkriminalci često iskorištavaju poznate ranjivosti u starijim sustavima. Osim toga, mala i srednja poduzeća možda neće imati sustave zaštite od kibernetičkih napada poput vatrozida, programe protiv zlonamjernog softvera (antivirus, antimalware) ili pak sustava za otkrivanje upada u računalnu mrežu. Možda neće imati ljudi za brzo otkrivanje kibernetičkog napada i odgovor na njega, što bi napadačima moglo omogućiti pristup osjetljivim podacima ili sustavima tijekom dugog razdoblja – upozorava Bujan.
Dobrodošlo simuliranje
Savjetuje redovito testiranje ranjivosti IT sustava. Ono se može provesti interno ili angažiranjem stručnjaka za kibernetičku sigurnost iz specijaliziranih tvrtki. Potrebno je i simuliranje kibernetičkog napada, koje može biti automatski (softver) ili uz pomoć zaposlenika specijalizirane tvrtke, kaže Bujan, a treba nadzirati i pristupiti IT sustavima te koristiti višefaktorske autentifikacije (2FA) u prijavi na kritične IT sustave.
– Redovitu obuku zaposlenika za kibernetičku sigurnost treba provoditi barem jednom u šest mjeseci. Softver i hardver moraju se nadgraditi najnovijim sigurnosnim zakrpama i ažuriranjima. Tvrtke bi trebale imati uspostavljen plan odgovora na incidente u kojem se navode postupci za odgovor na kibernetički napad, uključujući komunikaciju s dionicima, zakonodavnim tijelima i medijima, odnosno javnošću. Mala i srednja poduzeća mogu svoje potrebe za IT sigurnošću povjeriti tvrtkama kojima je to primarna djelatnost, sigurno kopirati svoje podatke i testirati njihov povrat. Jedna od definicija rizika jest ‘rizik=utjecaj x vjerojatnost’. Smanjimo li vjerojatnost kibernetičkog napada, uvelike ćemo smanjiti i rizik od napada, jer danas više nije pitanje hoće li neka tvrtka biti napadnuta, već kada – jasan je Bujan.
Razine sigurnosti
Koji su to točno poslovni sustavi, poslovni podaci ili resursi ključni za organizaciju i kakva bi se šteta mogla nastati ako dođu u neovlaštene ruke? Tek kad odgovorimo na ta pitanja, možemo početi analizirati što treba napraviti kako bismo zaštitili svoje najvažnije resurse, poslovne sustave i podatke, tvrdi stručnjak za razvoj proizvoda za poslovne korisnike u Hrvatskom Telekomu. Marko Sardelić.
– Različite su razine sigurnosti, od osnovnih poput fizičke sigurnosti da neovlaštene osobe ne mogu pristupiti hardveru, dakle računalima, diskovima za pohranu podataka, serverima, pametnim telefonima i poslovnim aplikacijama, do postavljanja lozinki na poslovne aplikacije i računala. Slijedi korištenje antivirusne zaštite, vatrozida, zaštite e-pošte, dodatne autentifikacije u pristupanju poslovnim podacima izvan interne mreže, enkripcija podataka i definiranje dodatnih pravila pristupa osjetljivim podacima. Za održavanje kontinuiteta poslovanja preporuka je sigurno kopiranje podataka te plan zaustavljanja, snimanja i oporavka od hakerskih napada. Štetu u ovom slučaju ne trebamo gledati samo s financijske strane, iako ona može biti znatna, već i šire jer se onemogućavanjem poslovanja utječe i na korisnike usluga napadnute tvrtke. Krađa osobnih podataka, onemogućavanje funkcioniranja zdravstvenih ustanova ili komunalnih usluga može biti takav primjer. Kako bi se osvijestilo kolika je razina i sigurnost kvalitete doista postavljena u tvrtkama, najbolje je zatražiti pomoć stručnjaka – vjeruje Sardelić.
Redovito ažuriranje
Kod svih kompanija, pa tako i onih malih čiji se zaposlenici koriste samo računalima i nekim od servisa u oblaku, osnovni je pristup zaštiti od napada na njihovim računalima, odnosno radnim stanicama, ističe sistemski inženjer za sigurnosne tehnologije u Combisu. Pero Kristić. Važno je stoga, prema njegovom mišljenju, imati komercijalna i napredna, nikako besplatna, antivirusna rješenja uz koja dolaze dobri alati, odnosno obavještajni podaci o prijetnjamakoji može otkriti većinu naprednih sigurnosnih prijetnji.
– Tu su i usluge pružatelja usluga koje koriste male tvrtke, gdje moraju paziti na postavljanje lozinki prema najboljoj praksi, onemogućavanju i brisanju računa bivših zaposlenika. Za one tvrtke koje imaju IT infrastrukturu, vatrozide, sigurnosna rješenja za zaštitu e-mail prometa i antivirusno rješenje na serverima na kojima se nalaze poslovni servisi temelj su zaštite. U oba slučaja preporučuje se korištenje rješenja za zaštitu internetske komunikacije korisnika. Ipak, mi ljudi smo najranjivija točka. Najčešći početak napada još uvijek je komunikacija e-poštom sa phishing-kampanja. Također se često događaj propusti poput zadano lozinke i korištenja aplikacija poznatih ranjivosti u konfiguracijama javno dostupnih servisa. Treba, naravno, redovito ažurirati sve sustave, dakle servise, servere, radne stanice, sigurnosna rješenja, no ako servis
Više o temiIzvor: Leadermedia.hr