Odpiranje vrat (in denarnice) neznancem

Verjeli ali ne, analize kažejo, da je kar 9 od 10 varnostnih incidentov posledica človeške napake ali malomarnosti. Včasih celo pretirane radovednosti in naivnosti. Človek je pač najšibkejši člen varnostne enačbe. Podjetja bi to moralo zelo skrbeti, saj prav zaposleni kibernetske napadalce spustijo do podatkov, aplikacij, sistemov in omrežja podjetja, ko jim nevede zaupajo svoja uporabniška imena in gesla ali na svojih sistemih poženejo zlonamerno programsko opremo.

Proti tehnikam socialnega inženiringa, s katerimi so napadalci običajno bolj uspešni kot s pošiljanjem računalniških virusov in druge zlonamerne programske opreme, se zelo učinkovito lahko borite z izobraževanjem in usposabljanjem zaposlenih.

Čeprav je zgornji stavek povsem logičen, v praksi takšnih usposabljanj zaposleni niso pogosto deležni. In težko je razumeti, zakaj. Medtem ko za požarne zidove, protivirusne in protismetne rešitve ter druge še bistveno bolj napredne varnostne rešitve podjetja plačajo na tisoče, celo sto tisoče evrov, pa po neverjetnem naključju pozabljajo na izobraževanje zaposlenih. S tem bi dosegli še višjo stopnjo zaščite proti kibernetskim grožnjam in napadalcem za relativno nizko investicijo.

Če ste samo zamahnili z roko in si mislite, da se to vam/vašemu podjetju ne more zgoditi, pomislite še enkrat. Slovenski odzivni center za kibernetske incidente (SI-CERT) poroča, da ni dneva, ko ne bi prejeli prijave o vsaj enem večjem incidentu. Povprečna škoda, ko gre za podjetja, pa se meri že v petmestnih številkah in iz leta v leto narašča. Res je, nismo Amerika, tam je povprečna škoda ob varnostnem incidentu že višja od milijona dolarjev, a se tudi ne smemo slepiti, da smo na račun majhnosti države nezanimivi kibernetskim kriminalcem. Ti niso izbirčni, svoje mreže mečejo zelo široko in prav vsak se lahko ujame. Zanimajo jih podatki in denar, zato smo v njihovih očeh vsi zanimive tarče.

Najboljša naložba v svetu kibernetske varnosti

Kaj lahko storite vi/vaše podjetje? Opravite usposabljanje za dvig ozaveščenosti o kibernetski varnosti. Izvedba usposabljanja za dvig ozaveščenosti o kibernetski varnosti je temeljni ukrep, ki nudi najboljše razmerje med naložbo in učinkom. Z omenjenim usposabljanjem okoli svoje organizacije postavite t. i. človeški požarni zid, predvsem pa zaposlene iz šibkih členov spremenite v adute na področju kibernetske varnosti.

»Naložba v praktično izobraževanje in varnostno opolnomočenje zaposlenih ima zelo nenavadno lastnost. Povrnila se vam bo v nekaj sto ali celo tisočkratni vrednosti, le da tega ne boste niti občutili, saj se vam zaradi ozaveščenega obnašanja zaposlenih, incidenti, kraje in zlorabe podatkov ter odtekanje podatkov in denarja, sploh ne bodo pripetili. Ponavljam, usposabljanje za dvig kibernetske varnosti je vsekakor najbolj učinkovita naložba in hkrati znižuje verjetnost, da se bo podjetju pripetilo najhujše v digitalni krajini,« svoje mnenje pove Žiga Humar, varnostni inženir leta 2023 in nosilec mednarodno priznanega certifikata CISSP.

Prav Humar je za podjetje Our Space Appliances zasnoval program usposabljanj za dvig kibernetske varnosti s poudarkom na vsakdanji praksi. Poleg predaje zanimive teorije predavatelji udeležencem predstavijo tudi primere z resničnega življenja ter razložijo, kako pravilno ukrepati ob zaznavi kibernetskih groženj.

Obramba je cenejša od posledic napada

Podjetja so se v zadnjem desetletju naučila, da je preventiva cenejša od kurative. Toda težava je v tem, da na področju informacijske varnosti še vedno vlagajo predvsem v škatle in programsko opremo, torej tehnologijo. Ta ni vsemogočna. Treba je vlagati tudi v znanje zaposlenih, saj so ti najšibkejši člen varnostne verige v kibernetskem oziroma digitalnem prostoru. Poleg tega tovrstna izobraževanja stanejo manj kot napredne varnostne rešitve …

»Na vratih imate lahko 3 ključavnice in 5 zapahov, a vam to nič ne pomaga, če zaposleni napadalca spusti naprej. Pretentani zaposleni to storijo povsem nehote, celo menijo, da dobronamerno, če se jim napadalec predstavi kot vzdrževalec IT-okolja ipd. Nekateri z napadalcem povsem nekritično delijo tudi svoja uporabniška imena in gesla, kar je recept za katastrofo,« meni Humar.

Zanimalo nas je, kakšna znanja usvojijo udeleženci usposabljanj in delavnic. Takole so nam pojasnili v podjetju Our Space Appliances: »Posamezna delavnica traja tri šolske ure in obsega pregled vrst napadov in tehnik z lažnim predstavljanjem ter socialnim inženiringom. Udeleženci se spoznajo tudi z zlonamerno programsko opremo in naučijo prepoznati znake nevarnosti ter z ukrepi za zajezitev nenamernega odtekanja informacij. Poleg splošnih varnostnih napotkov in smernic je poudarek delavnice še na varovanju naprav ter rabi gesel za varno brskanje po spletu.«

Obiščite spletno stran www.ourspace.si in sebe in svoje sodelavce prijavite na usposabljanje za dvig ozaveščenosti o kibernetski varnosti. (P.R.)