SBC Akademija

7. SBC Akademija: Kdo so lažni direktorji, ki pišejo računovodjem?


12. 09. 2019 08:00

Kibernetski napadi se od tehničnih ranljivosti v zadnjem času vedno bolj selijo k izkoriščanju človeških ranljivosti, med katerimi so naivnost, koristoljubje in strah. Posebej priljubljena tarča so zaradi omejenih resursov, ki jih pogosto namenjajo za kibernetsko varnost, mala in srednja podjetja. Podjetja lahko za kibernetsko varnost največ naredijo tako, da se krepi zavedanje pri direktorjih in upravah, koristno pa je tudi, da med zaposlenimi vzpostavijo dobro pretočnost informacij o pomenu kibernetske zaščite. To so nekateri glavni poudarki 7. SBC Akademije z naslovom »Hekerji napadajo podjetnike. Zavarujte se, da ne boste tarča!«, ki jo je danes, 12. septembra, na Mednarodnem obrtnem sejmu v Celju organiziral SBC – Klub slovenskih podjetnikov.

V ozadju kibernetskih tveganj sta dve ključni tehniki, ki ogrožata kibernetsko varnost: tehnične napade, ki izrabljajo tehnične ranljivosti sistemov, in goljufije, ki izkoriščajo človeški dejavnik in so v precejšnjem porastu, je pojasnil Tadej Hren, namestnik vodje Nacionalnega odzivnega centra za omrežne incidente SI-CERT. Pri goljufijah gre za tehnike socialnega inženiringa, ki izkoriščajo človeške napake, kar pomeni, da v tem primeru ne pomaga niti najboljša zaščita.

Hren je kot primer navedel tako imenovano direktorsko prevaro, kjer se napadalci osredotočijo na podjetje, zberejo podatke o podjetju, nato pa v imenu direktorja (ki to ni) pošljejo prepričljivo elektronsko sporočilo na računovodstvo, ki ga pogosto uspejo zavesti k nakazilu denarja na račun v tujino. Spomnimo, na porast tovrstnih napadov je pred dnevi opozorila tudi policija, ki je prejela prijave incidentov na območju Ljubljane, Maribora, Kranja in Nove Gorice, škoda naj bi presegala 300 tisoč evrov.

Hekerji pretkano izkoriščajo najbolj osnovne človeške lastnosti

Direktorske prevare spadajo v kategorijo tako imenovanega socialnega inženiringa, ki izkorišča človeške lastnosti: koristoljubje, naivnost, strah in nevednost. Hekerji to izkoriščajo, da ljudi prepričajo v dejanja, ki naj bi jim na primer prinesla mamljive ponudbe ali pa se ne zavedajo, kam bodo vodila, sta izpostavila strokovnjaka iz podjetja Smart Com, Matjaž Katarinčič, vodja področja kibernetska varnost v podjetju, in certificiran etični heker Boris Krajnc. Kot primer socialnega inženiringa sta navedla tudi e-poštno sporočilo, ki ga prejmejo uporabniki, v katerem pošiljatelj navaja, da je bil naslovnik posnet pri početju, ki bi ga lahko spravilo v zadrego, z zahtevo za nakazilo denarja v določenem roku, sicer bo njegov posnetek poslan na naslove ljudi, ki ga poznajo. Še en primer socialnega inženiringa je tako imenovani phishing, pri katerem se hekerji uspejo dokopati do poštnega strežnika in nato določen čas spremljajo vedenje žrtve na spletu. Zatem ji skušajo podtakniti svoj tekoči račun za nakazilo denarja, je opozoril Boris Krajnc.

Zavedati se je treba, da 100 % zaščite pred napadi ni, so poudarili vsi trije strokovnjaki Hren, Katarinčič in Krajnc. Je pa mogoče tveganja človeškega dejavnika občutno zmanjšati predvsem z ravnanjem z gesli, ki naj ne bodo naivna in preprosta, temveč naj vsebujejo male in velike črke, številke in simbole, ter z uporabo dvonivojske avtentikacije (2FA), ki poleg uporabniškega imena in gesla zahteva tudi potrditev uporabnika na mobilnem telefonu. »In ozaveščanje uporabnikov, to je ključno, saj človeški dejavnik še vedno predstavlja največje tveganje,« je poudaril Boris Krajnc.

Preprost recept za krepitev zavedanja: informacije naj čimbolj krožijo

Med ukrepi za zmanjševanje tehničnih ranljivosti je Matjaž Katarinčič izpostavil naslednje ustrezno zaščito delovnih postaj in elektronske pošte, prav tako interaktivnih internetnih vsebin, pa tudi aplikacijo rešitev, ki omogočajo hitro zaznavanje dogajanja v sistemih. Med sistemi, ki so najbolj izpostavljeni hekerjem, so tisti, ki nimajo varnostnih popravkov ter odprti servisi za dostop preko spleta in pozabljene nastavitve iz časov testiranja sistemov ter tako imenovane »zero day« ranljivosti, ki izkoriščajo čas, potreben za nadgradnjo sistema in odpravo ugotovljenih ranljivosti, je opozoril Katarinčič.

Mag. Miloš Pešič, mednarodni ekspert za kibernetsko varnost v britanski multinacionalki ED&F Man, je poudaril pomen spremljanja dogajanja in novic, povezanih s kibernetsko varnostjo. »Podjetja naj bodo proaktivna, obiskujejo naj dogodke, spremljajo novice in mnenja na točkah, kot sta SI-CERT in informacijski pooblaščenec, in na ta način gradijo svojo ozaveščenost,« je dejal Pešič in poudaril pomen deljenja informacij in komunikacije v podjetju. »O informacijsko-komunikacijski varnosti naj se v podjetjih čimveč pogovarjajo, saj s tem že prispevajo k dvigovanju ozaveščenosti na področju kibernetske varnosti. Pomemben je tudi pravilno odmerjen dostop oseb do komunikacijskih kanalov, predvsem to, kakšen dostop kdo ima glede na položaj in odgovornosti.

Podjetje ima veliko težavo, če se vodilni ne zavedajo pomena varnosti

Na okrogli mizi Kako preprečiti milijonsko škodo ali zaustavitev sistema zaradi sodobnih kibernetskih groženj, ki jo je povezoval izvršni direktor SBC – Kluba slovenskih podjetnikov Goran Novković, so sodelujoči razpravljali o nevarnostih digitalizacije in vidikih ozaveščanja zaposlenih.

Zdravka Zalar, direktorica podjetja SmartIS in članica SBC- Kluba slovenskih podjetnikov, je izpostavila pomen izobraževanja in ozaveščanja potrebuje velik poudarek. Predvsem od vrha navzdol. »Če se vodilni v podjetju zavedajo, da obstajajo kibernetska tveganja, potem je vse zaman. Pomislite, kaj se lahko zgodi, če podjetja izgubijo podatke, če ne vedo, koliko časa ne bodo mogla delati in kako bo to vplivalo na njihov ugled.«

Peter Filip Jakopič, direktor službe za zavarovanje premoženja in premoženjskih interesov pri Zavarovalnici Triglav, opaža, da po zavarovanjih povprašujejo predvsem podjetja, ki so bila tarča kibernetskih napadov. »Več kot bo napadov, več bo pri podjetjih povpraševanja po zavarovanjih. Je pa kultura vlaganja zahtevkov pri nas šele v razvoju in to razmišljanje šele postopno vstopa v naš prostor.« je ob tem poudaril tudi, da se pri nas, razen redkih izjem, na izobraževalnih ustanovah sistemskemu pomenu informacijske varnosti za podjetnike ne posveča dovolj pozornosti.

Je zaželeno, da je podjetju glavna oseba, ki je zadolžena za informacijsko varnost, nekdo, ki ne prihaja iz IT stroke? Ni nujno niti ni zaželeno, je prepričan Metod Platiše, produktni vodja za kibernetsko varnost na Telekomu Slovenije. »Nadzor nad procesi, ki zajemajo tudi operativne IT zadeve, mora biti poverjen nekomu, ki lahko prihaja izven IT okolja. Lahko je nekdo iz vodstva, ki ima smisel in motiv početi to.

Peter Ceferin, tehnični direktor v podjetju Smart Com, ki je član SBC – Kluba slovenskih podjetnikov, je razložil pomen tako imenovanega phishing testa v podjetju, ki je lahko ponudi zelo uporabne informacije. »S phishing testom dobi podjetnik sliko, do kakšne mere se zaposleni v podjetju zavedajo kibernetskih tveganj. Vodstvo prejme povratno informacijo, na podlagi katere se lahko odloči, kako mora krepiti ozaveščenost o varnosti v podjetju.«


Kontakt

Radi bi ostali v stiku.
Izberite najbolj priročen način kontakta in
odgovorimo vam v najkrajšem možnem času.

info@sbc.si

Sponzorji SBC Akademije

Generalni

Srebrni sponzorji

Ostali sponzorji

NASTAVITVE ZASEBNOSTI

Spletno mesto uporablja piškotke. Osnovni so nujni za delovanje, dodatni pa vam omogočajo boljšo uporabniško izkušnjo in dostop do kakovostne vsebine. Preberite več o piškotkih.

Nujni piškotki so potrebni za ustrezno delovanje spletnega mesta. Nastavijo se samodejno ob vaši interakciji s tem spletnim mestom. Analitični piškotki so namenjeni zbiranju podatkov o uporabi spletnega mesta za izboljšanje uporabniške izkušnje in zmogljivosti.