Mala in srednja podjetja (MSP) so na področju kibernetske varnosti v specifičnem in nezavidljivem položaju, vendar se je treba zavedati, da so prav tako žrtev kibernetskih napadov kot večja podjetja. Velikokrat ne vlagajo v informacijsko in kibernetsko varnost, ko se zgodi hekerski napad na organizacijo, pa je lahko zelo boleče.
Drugače od večjih podjetij večina MSP nima zaposlenih strokovnjakov s področja kibernetske varnosti, ampak to funkcijo opravljajo kar zunanji ali notranji vzdrževalci IKT-opreme, vsak IT-strokovnjak se po svojih najboljših močeh trudi, da bi obvaroval podjetje pred hekerskimi napadi. Toda področje kibernetske varnosti in rešitev zanjo je tako široko, da se je priporočljivo obrniti na strokovnjake, ki so združeni v Sekciji za kibernetsko varnost na Gospodarski zbornici Slovenije.
MSP: Mi nismo zanimivi za napadalce
Žal se v praksi še vedno srečujemo z miselnostjo, da manjša in srednja podjetja niso zanimiva za hekerske napade. Strokovnjaki vedno opozarjamo, da je predmet hekerskega napada vsaka elektronska naprava, ki je povezana v internet, ne glede na njeno lastništvo. Večina MSP ima svojo spletno stran, ki je najverjetneje dosegljiva iz kateregakoli dela sveta. Če ta ni redno vzdrževana in uporabljene tehnologije niso posodobljene, lahko pride do vdora na spletno stran. Napadalci takšne strani velikokrat uporabijo za izvedbo nadaljnjih zlonamernih napadov ali krajo baze podatkov.
Zelo pogosta vstopna točka hekerjev so tudi elektronska sporočila. Ni podjetja, ki ne bi prejemalo neželene elektronske pošte. To lahko označimo za manj nevarno, primer pa so tako imenovane nigerijske prevare, ki jih večina uporabnikov k sreči že prepozna. Vse več pa je napadov prek elektronske pošte, ki lahko podjetjem povzroči veliko škode. Primer so napadi z ribarjenjem, katerih namen sta kraja uporabniških imen in gesel ali vrivanje v poslovno komunikacijo.
Posebno previdni moramo biti pri elektronski pošti, ki vsebuje priponke, saj so te lahko zlonamerne. Če uporabnik v notranjem omrežju zažene takšno priponko in je varnostni mehanizmi ne zaznajo, lahko pride do okužbe z izsiljevanjem (ransomware). V podjetju se zaklenejo oziroma šifrirajo vsi podatki, do katerih ima zlonamerna koda dostop, in lahko povsem onemogočijo poslovanje podjetja. Napadalci za odklepanje oziroma dešifriranje podatkov zahtevajo plačilo v kriptovaluti, zneski pa so vse prej kot majhni. Gre za poslovni model, ko napadalcev vaši podatki morda res ne zanimajo, se pa zavedajo, da ste zanje pripravljeni plačati, da se znova vzpostavi normalno poslovanje.
Kako se zavarovati
Za zavarovanje poslovanja lahko podjetje veliko naredi že samo. Svetuje se redno posodabljanje programske opreme – od operacijskega sistema, brskalnikov do vseh drugih aplikacij, nameščenih v okolju podjetja. Uporabljajo naj se močna gesla, ki imajo več kot osem znakov, pri čemer naj geslo vsebuje tako male kot velike črke, posebne znake in številke. Veliko organizacij ima vklopljeno politiko varnih gesel, pri čemer opažamo uporabo gesel, kot so Zima2022!, Pomlad2023!, Poletje2023! … Naj zato opozorim, da se odsvetuje uporaba besed iz slovarja, imen hišnih ljubljenčkov ter številk rojstnih datumov in obletnic. Ko govorimo o geslih, ne pozabimo tudi na dvofaktorsko avtentikacijo.
Izobraževanje zaposlenih je odločilno
Več kot 80 odstotkov kibernetskih napadov se zgodi zaradi človeške napake. Zato je pomembno, da vsakega zaposlenega izobrazimo glede najnovejših prevar, ki se dogajajo na internetu. Napadalci vse bolj uspešno izvajajo napade s tehnikami socialnega inženiringa, zato je treba zaposlene naučiti, kako spletne prevare prepoznati. Tako kot smo se naučili cestnoprometnih predpisov, tako je prav, da se naučimo varne uporabe elektronskih naprav in brskanja po spletu.
Vloga etičnih hekerjev
Vloga etičnih hekerjev je odločilna pri zagotavljanju kibernetske varnosti podjetja. Če se želijo podjetja prepričati, ali so varna pred hekerskimi napadi, je edina možnost, da najamejo etičnega hekerja. Ta izvede varnostni pregled oziroma penetracijski test IKT-okolja podjetja po natančno vnaprej določenih pravilih. Pred izvedbo pregleda se etični heker z naročnikom dogovori o samem poteku izvedbe, o obsegu in dovoljenih metodologijah dela.
Vnaprej je treba podpisati ustrezne pogodbe in dovoljenje za izvedbo, vse ugotovitve pregleda pa so označene s strogo zaupnostjo ter dosegljive strogo omejenemu krogu ljudi. Gre za obetaven poklic, saj etičnih hekerjev v svetovnem merilu močno primanjkuje. Menim, da mora biti oseba, ki izvaja etično hekanje, najprej sama etična, šele nato lahko opravlja ta poklic.
