Pred hekerji najbolje varuje znanje uporabnikov tehnologije

Mala in srednje velika podjetja predstavljajo že skoraj polovico žrtev kibernetskih napadov. V manjših podjetjih je informacijska varnost velikokrat pomanjkljiva in postavljena na stranski tir, zato zaposleni nimajo ustreznih veščin in znanj, ki bi jih zaščitile pred vdori.

Nameščen protivirusni program in vklopljen požarni zid še zdaleč ne rešita vseh težav. Kiberkriminalci so že marsikateremu podjetju nakopali težave s poskusi kraje podatkov in/ali denarja. Preverili smo, katere goljufije in napadi najpogosteje prežijo na slovenska poslovna okolja in podjetnike.

»Pogosto je za uspešen napad nujen zgolj en sam napačen klik enega od zaposlenih. Večina kibernetskih vdorov je posledica človeške napake zaradi pomanjkanja znanja,« poudarja Tadej Hren iz Nacionalnega odzivnega centra za kibernetsko varnost SI-Cert.

Že en sam napačen klik torej lahko pomeni neznansko škodo za podjetje. Na SI-Cert so zato pripravili brezplačni spletni tečaj s področja kibernetske varnosti za zaposlene, ki so ga poimenovali Varni v pisarni. Vložek ni velik, tečaj je prosto dostopen na spletu, zaposleni pa osnovno usposabljanje lahko opravijo že v 30 minutah.

V centru SI-Cert vsako leto beležijo več kibernetskih napadov na podjetja, ki imajo jasen cilj – napadalcem pridobiti finančno korist. Tarča napadalcev so tako velika kot manjša podjetja. A ker je v manjših za informacijsko varnost pogosto slabše poskrbljeno, se to izraža v višjem odstotku uspešnih vdorov.

»Petindvajsetletne izkušnje so nas naučile, da je veliko vdorov mogoče uspešno preprečiti z izobraževanjem. To je tudi botrovalo uresničitvi projekta Varni v pisarni. Verjamemo, da bodo podjetja s pravim znanjem lahko poskrbela za varnost svojih digitalnih okolij, sodelavcev in celotnega podjetja, zato jih vljudno vabimo k obisku tečaja,« je dodal Gorazd Božič, vodja SI-Cert.
 

Hekerji berejo vašo e-pošto

Z dostopom do pošte nepridipravi lahko spremljajo vašo elektronsko komunikacijo s strankami in se v ključnem trenutku prodaje vrinejo v komunikacijo med prodajalcem in kupcem ter izplačevanje denarnih sredstev preusmerijo na svoje račune. Poslano fakturo zadržijo, v njej popravijo podatek o bančnem računu ter tako spremenjeno fakturo pošljejo partnerju. Ko podjetja opazijo nepravilnost, je praviloma že prepozno.

Na nacionalnem odzivnem centru SI-Cert so prejeli več prijav zlorab elektronske komunikacije med slovenskimi podjetji in njihovimi poslovnimi partnerji iz tujine. Ne gre za pravilo, a na udaru so predvsem podjetja, ki poslujejo s tujino v velikih zneskih. Dostop do elektronske pošte napadalci dobijo prek napada phishing ali z okužbo enega od računalnikov z virusom.

 

Direktorsko-računovodske prevare

Že vse odkar večina sveta dela na daljavo, so aktualne tako imenovane direktorske oziroma računovodske prevare. Tudi v Sloveniji statistika v zadnjih dveh letih beleži opazen porast elektronskih sporočil, ki merijo na računovodstva podjetij in organizacij. Elektronsko sporočilo je na prvi pogled videti, kot da ga je poslal direktor/-ica oziroma ravnatelj/-ica, v njem pa računovodstvo sprašuje, ali danes lahko plačajo znesek v višini več kot 10.000 evrov.

Čeprav ne gre za novo vrsto goljufije, saj se je pojavila že pred petimi leti, je zadnje čase spet zelo aktualna. Goljufi na spletni strani podjetja pridobijo podatke o imenu in priimku ter elektronskem naslovu direktorja in računovodstva. Nato pošljejo računovodstvu e-pošto z navodili za nakazilo denarja, pri čemer ponaredijo podatke o pošiljatelju, da je e-sporočilo videti, kot da bi ga poslal direktor. Ko gre denar enkrat z računa, se podjetja od njega lahko poslovijo.
 

Nevarni izsiljevalski virusi

V svetu kiberkriminala so že več let na pohodu izsiljevalski virusi, ki zašifrirajo vse uporabniške datoteke, v zameno za šifrirni ključ pa zahtevajo odkupnino v eni od kriptovalut. Kaj storiti, če vas doleti napad z izsiljevalskim virusom? Predvsem držite pesti, da imate neokuženo varnostno kopijo podatkov in boste to lahko obnovili ter nadaljevali poslovanje. Sicer bo treba seči v žep.

»Po informacijah, ki jih imamo na SI-Certu, izsiljevalci za šifrirni ključ lahko zahtevajo tudi več 100.000 evrov, v nekaterih primerih celo zagrozijo z javno objavo internih dokumentov, ki jih ukradejo med napadom,« pravi Tadej Hren.

 

Kako se ubraniti?

Samo tehnična zaščita ni dovolj. Proti goljufijam in prevaram se je najbolje boriti z ozaveščanjem uporabnikov. »Pri poslovanju velja splošno pravilo: vsako nenavadno spremembo pri plačilih nujno preverite na neki drug, neodvisen način, na primer osebno, prek telefona ali telefaksa. To velja še posebno če poslujete s tujino,« svetuje Hren. Za dodatno varnost se priporoča uporaba digitalnega podpisovanja elektronske pošte. Ta prejemniku zagotavlja tako istovetnost avtorja sporočila kot integriteto sporočil, da vsebina med pošiljanjem ni bila spremenjena.

Nikakor pa ne smemo pozabiti na tehnično plat zaščite. Zadnje mesece so zelo pereče ranljivosti Microsoftovih e-poštnih strežnikov Exchange, ki hekerjem omogočajo podtikanje stranskih vrat in prevzem nadzora nad omrežjem podjetja. To se lahko konča z izsiljevalskim virusom ali pa s kakšno drugo škodo za podjetje. Redno nameščanje popravkov in spremljanje obvestil o tem je nujen del skrbi za varnost podjetja.

 

Varni v pisarni

Osveščanje in izobraževanje sta vsekakor najboljša preventiva in posledično tudi zaščita pred kibernetskimi vdori. Na SI-Cert so zato pripravili brezplačni spletni tečaj s področja kibernetske varnosti za zaposlene, ki so ga poimenovali Varni v pisarni. V tečaju predstavijo najpogostejše nevarnosti, ki prežijo na podjetja ter jasne napotke, kako prevare prepoznati in se pred njimi zaščititi. Vsebino so prilagodili posameznim profilom v podjetju, saj ima vsako delovno mesto šibke točke, ki jih izkoriščajo spletni napadalci. Zaposleni na portalu varnivpisarni.si lahko najdejo module za posamezne oddelke (marketing, računovodstvo, IT) ter osnove, ki bi jih moral poznati vsak. Prikaz temelji na dejanskih primerih zlorab, podprtih z nasveti strokovnjaka, na koncu tečaja pa sledi še povzetek naučenega.