Zakaj podjetja zavestno ne vlagajo v kibernetsko varnost?

Janez Novak pa še naprej posluje s prepričanjem, da kibernetski nepridipravi ne bodo uporabljali dragocenih virov in časa za napad njegovega podjetja. Zakaj le, če pa obstajajo veliko bolj dobičkonosne tarče. Utopično razmišljanje lahko vodi v izgubo dragocenih podatkov, dolgotrajne tožbe, izgubo ugleda, strank in partnerjev in v skrajnem primeru v kolaps podjetja.

Pred dvajsetimi leti je bilo tovrstno prepričanje manj škodljivo za dobrobit podjetja. Internet in digitalizacija sta bila šele v povojih. Številna podjetja so izkoristila razvoj nove IKT tehnologije in prehod na digitalne rešitve. Beležila so enormno rast in v kratkem času so iz garažnega podjetja zrasla v majhno ali srednje veliko podjetje (MSP), morda tudi v korporacijo. Hiša kart pa se lahko kadarkoli sesuje, še posebej, če temelji na jalovih kibernetskih temeljih.

Digitalno inovacijsko stičišče (DIH) Slovenije je organizacija, ki podjetjem pomaga in svetuje na poti digitalizacije, kar vključuje tudi osveščanje o kibernetski varnosti in kako lahko preprečijo nesrečne posledice. Z njihovo pomočjo smo sestavili prispevek, kako kibernetski napadalci izkoriščajo ranljivosti programskih vmesnikov (API), kot na primer neustrezna razčlenitev dostopov, neustrezna pooblastila in podobno. V njihovi brošuri pa so se dotaknili še primere dobre prakse, katere človeške ranljivosti izkoriščajo napadalci in še več.

Zakaj MSP-ji odlašajo z vlaganjem v varnost?

»Yahoo poražen. Ukradenih 500 milijonov uporabniških profilov.«

»Facebook napad ogrozil podatke 533 milijonov uporabnikov.«

To so naslovnice, ki jih nihče ne želi videti – ne lastniki, ne uporabniki. A se dogajajo, v zadnjih letih vse pogosteje. Skupno jim je, da se na prvi strani medijev pojavijo le največja imena. Nikoli pa se ne izpostavi zgodbe MSP-jev, ki so tarča več kot polovice kibernetskih napadov. Njihova zgodba ni senzacionalna, kar je povod, da ravno najbolj ogrožena podjetja poslujejo v zmotnem prepričanju, da so varni.

Končne točke tako ostajajo neposodobljene, uporabniki uporabljajo zastarele različice programov, v katerih se lahko skrivajo ranljivosti ali odprta vrata za napadalce, poštni strežniki nimajo angela varuha, ni vzpostavljenih protokolov ob napadu ali ogroženih podatkih, varnostne kopije se izvajajo poredko … Dovolj je že ena tovrstna ranljivost za uspešen napad, če jih je pa na kupu več takih, je skrajni čas za ukrepanje.  

Kako lahko mala in srednje velika podjetja odpravijo svoje kibernetske pomanjkljivosti?

Če podjetje že dalj časa ni vrglo oko na svojo kibernetsko infrastrukturo, je potrebno narediti analizo vseh vhodnih in izhodnih točk v podjetju. Podjetja, ki nimajo sredstev, da to storijo z lastnim kadrom, se lahko preko DIH Slovenije povežejo s specializiranimi podjetji in celoten projekt prepustijo strokovnjakom. DIH Slovenije nudi tudi vavčer za kibernetsko varnost, ki omogoča sofinanciranje malim in srednje velikim podjetjem izvedbo varnostnega pregleda in penetracijskega testiranja.

Kar pa lahko storijo takoj, je začetek usposabljanja zaposlenih o pomenu kibernetski varnosti, o dobrih praksah, skritih pasteh, kako prepoznati phishing napade, kako varno dostopati do poslovnega omrežja na daljavo in podobno. Še pred tem lahko zaposleni opravijo samoocenitev digitalnih kompetenc z orodjem, ki ga je razvilo DIH Slovenije. Tudi na področju usposabljanja DIH Slovenije zagotavlja možnost koriščenja vavčerjev za dvig digitalnih kompetenc zaposlenih.

Neprebojna zaščita ne obstaja. Tudi če v nekem trenutku zakrpate vse luknje, bodo nepridipravi našli drugo pot do vaših podatkov. Kar lahko storite je, da naredite vse, kar je v vaši moči, da napadalcem otežite delo, jih na ta način morda tudi odvrnete od napada, vzpostavite vse preventivne ukrepe in zmanjšate posledice morebitnega uspešnega napada.

Začnite pri zaposlenih, ki so prva in zadnja obramba linija, nato pa uredite še preostalo kibernetsko infrastrukturo.

Na vsakem koraku vam je lahko v pomoč Digitalno inovacijsko stičišče Slovenije s svetovanjem, usmeritvijo in povezovanjem z drugimi podjetji. Če potrebujete njihovo pomoč, obiščite www.dihslovenia.si.

CYBER Night – noč, ki pripada kibernetskim talentom

CYBER Night je vsakoletni dogodek, ki preizkuša mlade talente in veterane kibernetske varnosti. Podpira ga DIH Slovenije, organizacija pa poteka pod okriljem organizacije Društva OWASP Slovenija in Sekcije za kibernetsko varnost.

»Kibernetsko varnost je potrebno vpeljati že v osnovne šole, ozaveščanje in izobraževanje pa je naša kolektivna odgovornost,« je bilo slišati na konferenci CYBER Day.

13. oktobra je 150 dijakov, študentov, učiteljev, profesorjev in strokovnjakov moralo unovčiti vso svoje znanje, da bi izkoristili ranljivosti v sistemu in se dokopali do »zastavice« (tekmovanje Capture the Flag) oziroma dragocenih podatkov. Mladi in stari so reševali različne varnostne izzive, si medtem izmenjali znanje in izkušnje ter usvojili nova znanja kriptografije, obratnega inženirstva in še več. Pred začetkom tekmovanja je bilo nekaj spodbudnih in izobraževalnih besed namenjenih začetnikom, ki se šele spoznavajo s svetom kibernetske varnosti.

Pestro dogajanje in spodbudno število sodelujočih je dober znak za IT sektor, ki se spopada s pomanjkanjem talentov.

Naslovna slika: Image By vecstock