Dobro jutro!

Hitre povezave
Moje naročnineNaročila
Novice

Pred hekerji najbolje varuje znanje uporabnikov tehnologije

Z neprevidno elektronsko komunikacijo se lahko izpostavimo prevaram, ki podjetje veliko stanejo.
Neprevidno ravnanje pri uporabi spleta pomeni varnostno tveganje.
FOTO: Dado Ruvić/Reuters
Neprevidno ravnanje pri uporabi spleta pomeni varnostno tveganje. FOTO: Dado Ruvić/Reuters
Miran Varga
4. 10. 2021 | 08:00
23. 2. 2023 | 10:14
7:52

Mala in srednje velika podjetja predstavljajo že skoraj polovico žrtev kibernetskih napadov. V manjših podjetjih je informacijska varnost velikokrat pomanjkljiva in postavljena na stranski tir, zato zaposleni nimajo ustreznih veščin in znanj, ki bi jih zaščitile pred vdori.

Nameščen protivirusni program in vklopljen požarni zid še zdaleč ne rešita vseh težav. Kiberkriminalci so že marsikateremu podjetju nakopali težave s poskusi kraje podatkov in/ali denarja. Preverili smo, katere goljufije in napadi najpogosteje prežijo na slovenska poslovna okolja in podjetnike.



»Pogosto je za uspešen napad nujen zgolj en sam napačen klik enega od zaposlenih. Večina kibernetskih vdorov je posledica človeške napake zaradi pomanjkanja znanja,« poudarja Tadej Hren iz Nacionalnega odzivnega centra za kibernetsko varnost SI-Cert.

Že en sam napačen klik torej lahko pomeni neznansko škodo za podjetje. Na SI-Cert so zato pripravili brezplačni spletni tečaj s področja kibernetske varnosti za zaposlene, ki so ga poimenovali Varni v pisarni. Vložek ni velik, tečaj je prosto dostopen na spletu, zaposleni pa osnovno usposabljanje lahko opravijo že v 30 minutah.

V centru SI-Cert vsako leto beležijo več kibernetskih napadov na podjetja, ki imajo jasen cilj – napadalcem pridobiti finančno korist. Tarča napadalcev so tako velika kot manjša podjetja. A ker je v manjših za informacijsko varnost pogosto slabše poskrbljeno, se to izraža v višjem odstotku uspešnih vdorov.

»Petindvajsetletne izkušnje so nas naučile, da je veliko vdorov mogoče uspešno preprečiti z izobraževanjem. To je tudi botrovalo uresničitvi projekta Varni v pisarni. Verjamemo, da bodo podjetja s pravim znanjem lahko poskrbela za varnost svojih digitalnih okolij, sodelavcev in celotnega podjetja, zato jih vljudno vabimo k obisku tečaja,« je dodal Gorazd Božič, vodja SI-Cert.
 

Hekerji berejo vašo e-pošto


Z dostopom do pošte nepridipravi lahko spremljajo vašo elektronsko komunikacijo s strankami in se v ključnem trenutku prodaje vrinejo v komunikacijo med prodajalcem in kupcem ter izplačevanje denarnih sredstev preusmerijo na svoje račune. Poslano fakturo zadržijo, v njej popravijo podatek o bančnem računu ter tako spremenjeno fakturo pošljejo partnerju. Ko podjetja opazijo nepravilnost, je praviloma že prepozno.

Na nacionalnem odzivnem centru SI-Cert so prejeli več prijav zlorab elektronske komunikacije med slovenskimi podjetji in njihovimi poslovnimi partnerji iz tujine. Ne gre za pravilo, a na udaru so predvsem podjetja, ki poslujejo s tujino v velikih zneskih. Dostop do elektronske pošte napadalci dobijo prek napada phishing ali z okužbo enega od računalnikov z virusom.

Kibernetskim napadom se izpostavimo predvsem z neprevidnim ravnanjem.
FOTO: Amir Cohen/Reuters
Kibernetskim napadom se izpostavimo predvsem z neprevidnim ravnanjem. FOTO: Amir Cohen/Reuters

 

Direktorsko-računovodske prevare


Že vse odkar večina sveta dela na daljavo, so aktualne tako imenovane direktorske oziroma računovodske prevare. Tudi v Sloveniji statistika v zadnjih dveh letih beleži opazen porast elektronskih sporočil, ki merijo na računovodstva podjetij in organizacij. Elektronsko sporočilo je na prvi pogled videti, kot da ga je poslal direktor/-ica oziroma ravnatelj/-ica, v njem pa računovodstvo sprašuje, ali danes lahko plačajo znesek v višini več kot 10.000 evrov.

Čeprav ne gre za novo vrsto goljufije, saj se je pojavila že pred petimi leti, je zadnje čase spet zelo aktualna. Goljufi na spletni strani podjetja pridobijo podatke o imenu in priimku ter elektronskem naslovu direktorja in računovodstva. Nato pošljejo računovodstvu e-pošto z navodili za nakazilo denarja, pri čemer ponaredijo podatke o pošiljatelju, da je e-sporočilo videti, kot da bi ga poslal direktor. Ko gre denar enkrat z računa, se podjetja od njega lahko poslovijo.
 

Nevarni izsiljevalski virusi


V svetu kiberkriminala so že več let na pohodu izsiljevalski virusi, ki zašifrirajo vse uporabniške datoteke, v zameno za šifrirni ključ pa zahtevajo odkupnino v eni od kriptovalut. Kaj storiti, če vas doleti napad z izsiljevalskim virusom? Predvsem držite pesti, da imate neokuženo varnostno kopijo podatkov in boste to lahko obnovili ter nadaljevali poslovanje. Sicer bo treba seči v žep.

»Po informacijah, ki jih imamo na SI-Certu, izsiljevalci za šifrirni ključ lahko zahtevajo tudi več 100.000 evrov, v nekaterih primerih celo zagrozijo z javno objavo internih dokumentov, ki jih ukradejo med napadom,« pravi Tadej Hren.

Vsako nedavadno spremembo in navodilo (domnevno) nadrejenih preverite na neodvisen način, svetuje Tadej Hren. FOTO: SI-CERT
Vsako nedavadno spremembo in navodilo (domnevno) nadrejenih preverite na neodvisen način, svetuje Tadej Hren. FOTO: SI-CERT

 

Kako se ubraniti?


Samo tehnična zaščita ni dovolj. Proti goljufijam in prevaram se je najbolje boriti z ozaveščanjem uporabnikov. »Pri poslovanju velja splošno pravilo: vsako nenavadno spremembo pri plačilih nujno preverite na neki drug, neodvisen način, na primer osebno, prek telefona ali telefaksa. To velja še posebno če poslujete s tujino,« svetuje Hren. Za dodatno varnost se priporoča uporaba digitalnega podpisovanja elektronske pošte. Ta prejemniku zagotavlja tako istovetnost avtorja sporočila kot integriteto sporočil, da vsebina med pošiljanjem ni bila spremenjena.

Nikakor pa ne smemo pozabiti na tehnično plat zaščite. Zadnje mesece so zelo pereče ranljivosti Microsoftovih e-poštnih strežnikov Exchange, ki hekerjem omogočajo podtikanje stranskih vrat in prevzem nadzora nad omrežjem podjetja. To se lahko konča z izsiljevalskim virusom ali pa s kakšno drugo škodo za podjetje. Redno nameščanje popravkov in spremljanje obvestil o tem je nujen del skrbi za varnost podjetja.

INFOGRAFIKA: Delo
INFOGRAFIKA: Delo

 

Varni v pisarni


Osveščanje in izobraževanje sta vsekakor najboljša preventiva in posledično tudi zaščita pred kibernetskimi vdori. Na SI-Cert so zato pripravili brezplačni spletni tečaj s področja kibernetske varnosti za zaposlene, ki so ga poimenovali Varni v pisarni. V tečaju predstavijo najpogostejše nevarnosti, ki prežijo na podjetja ter jasne napotke, kako prevare prepoznati in se pred njimi zaščititi. Vsebino so prilagodili posameznim profilom v podjetju, saj ima vsako delovno mesto šibke točke, ki jih izkoriščajo spletni napadalci. Zaposleni na portalu varnivpisarni.si lahko najdejo module za posamezne oddelke (marketing, računovodstvo, IT) ter osnove, ki bi jih moral poznati vsak. Prikaz temelji na dejanskih primerih zlorab, podprtih z nasveti strokovnjaka, na koncu tečaja pa sledi še povzetek naučenega.

Sorodni članki

Hvala, ker berete Delo že 65 let.

Vsebine, vredne vašega časa, za ceno ene kave na teden.

NAROČITE  

Obstoječi naročnik?Prijavite se

Komentarji

VEČ NOVIC
Predstavitvene vsebine