Pred kibernetskimi napadi ni varen nihče več. V medijih sicer največkrat zasledimo novice o napadih na velika podjetja in javne službe, to pa še ne pomeni, da mala in srednja podjetja niso izpostavljena tej nevarnosti. V resnici so ta podjetja vse pogosteje žrtve spletnih napadalcev, saj so lahke tarče zaradi slabše spletne varnosti, kot jo imajo ponavadi vzpostavljeno velika podjetja ali multinacionalke. Po nekaterih ocenah naj bi bil kiberkriminal na svetovni ravni vreden že krepko čez 600 milijard dolarjev, kar je skrb vzbujajoč podatek. Poleg tega kibernetski napadi mala podjetja bolj prizadenejo kot velika in lahko povzročijo celo propad podjetja, ki je postalo tarča kiberkriminalcev. Podjetniki morajo zato razumeti, da pred spletnimi kriminalci ni varen nihče več ter da so tudi njihova mala in srednja podjetja priljubljena tarča kriminalcev, ne več le velike korporacije. Za podjetnika je torej nujno, da v svojem podjetju vzpostavi ustrezno miselnost med zaposlenimi, da skrbno ravnajo z občutljivimi podatki in se zavedajo nevarnosti, ki jih ogrožajo. Seveda ob ustrezni podpori programske in strojne opreme, ki jo zagotovi vodstvo podjetja. Vodilni globalni svetovalec IBM za varnostne rešitve Etay Maor opozarja, da kibernetski napadalci največkrat izkoristijo najšibkejši člen v kibernetski varnosti podjetja, kar je ponavadi človek.
Človek najpomembnejši člen pri kibernetski varnosti
Napadalci lahko izkoristijo informacijo o odsotnosti direktorja podjetja in pograbijo telefon ali v njegovem imenu z njegovega poštnega naslova oziroma dvojnika pošljejo e-pošto v računovodstvo, naj to nakaže določen znesek na določen račun. Za tem denarjem se nato izgubi vsaka sled, podjetje pa je oškodovano. Zato je človek oziroma kritično razmišljanje tako pomembno. Zaposlenim v računovodstvu bi se tako naročilo direktorja moralo zdeti nenavadno, zato bi ob treznem razmisleku raje še enkrat preverili, ali direktor to res želi, kar bi naredili s preprostim telefonskim klicem direktorju in tako hitro razkrinkali prevaro. Seveda pa mora biti med zaposlenimi vzpostavljena taka miselnost.
Za spletno varnost podjetja tako ni dovolj le tehnologija, ampak tudi ljudje in procesi znotraj podjetja. Pomembno je, da zaposleni ne ignorirajo nadgradenj sistemov, da zamenjajo privzeta gesla oziroma periodično spreminjajo tudi svoja nastavljena gesla, saj se le tako lahko zagotovi večja varnost. Prav tako ne smejo pozabiti na uporabo antivirusnih programov in požarnih zidov, ki škodljivim programom preprečujejo vstop v omrežje podjetja.
Najpogostejši tipi napadov na mala podjetja
Katere vrste napadov so najpogostejše, ko gre za mala in srednja podjetja?
Napredna trajna grožnja je kibernetski napad, ki vključuje niz prikritih in kompleksnih hekerskih procesov, usmerjenih na natančno določeno informacijsko omrežje. Težko je napovedati, kdaj bodo hekerji napadli, saj lahko informacije za pripravo napada zbirajo dalj časa.
Phising oziroma lažno predstavljanje je druga najpogostejša grožnja malim podjetjem. Pri tej prevari kriminalci poskušajo pridobiti dostop do informacijske infrastrukture podjetja s krajo občutljivih podatkov z lažnim predstavljanjem. To lahko storijo s pomočjo lažne e-pošte, lažne spletne strani, telefonskimi klici in podobno, vse z namenom, da od žrtve pridobijo informacije, potrebne za napad.
Tudi Ddos oziroma dosanje se uporablja za napade na strežnike, spletne strani in preostale mrežne tehnologije, ki jih uporabljajo mala podjetja. Napadalci preplavijo tarčo s podatki, sporočili, patchi in prošnjami za povezavo, s čimer povzročijo upočasnitev oziroma kolaps sistema, ki postane neuporaben za stranke.
Nevarnost pomenijo tudi notranji napadi, ki jih izvedejo zaposleni, nekdanji zaposleni, poslovni partnerji, povezane osebe, serviserji in podobno.
Škodljivi programi ali malware so naslednja grožnja za mala podjetja. S tem izrazom označujemo vso programsko opremo, posebej ustvarjeno za to, da pridobi dostop do računalnika ali omrežja z namenom škodovanja ali kraje podatkov brez vedenja uporabnika.
Pri napadih na gesla se največkrat uporabljajo algoritmi, ki preračunavajo različne kombinacije gesel, da bi prodrli v zaščiteno omrežje ali računalnik.
Kot zadnjo zelo razširjeno nevarnost pa omenimo še izsiljevalske programe, ki zaklenejo določene programe uporabnika ali opremo v omrežju, da je uporabnik ne more več uporabljati, če ne plača odkupnine.
Kako se malo podjetje lahko zaščiti pred napadi
Načrt odziva na izsiljevalske viruse – Vsak zaposleni mora natančno vedeti, kako naj ukrepa ob kibernetskem napadu. Varnostni strokovnjaki priporočajo, naj podjetja oblikujejo in objavijo varnostno politiko, v kateri jasno piše, da brez izrecnega dovoljenja vodstva zaposleni ne sme plačati nobenih odkupnin. S tem podjetja preprečijo, da bi prišlo do morebitnega prikrivanja kakšnih varnostnih napak na strani zaposlenih, vodstvo podjetja pa potem ne bi bilo obveščeno, da so napadalci pridobili občutljive podatke.
Izdelava zemljevida podatkov – Podjetje mora vedeti, kakšne podatke upravlja, vključno s tem, kje, kako in zakaj jih hrani in obdeluje. Izvedba podatkovne inventure in priprava ustreznega podatkovnega zemljevida varnostnim strokovnjakom pomaga, da podatke bolje zaščitijo, saj je lažje zaščititi stvari, ki so ustrezno dokumentirane.
Skrb za napajalne sklope – Zanesljiva dobava električne energije in njena rezerva s pomočjo akumulatorjev oziroma generatorjev, če gre kaj narobe, je ključna za varno poslovanje podjetja v informacijski dobi.
Zaščite je treba nadgrajevati – Informatiki v podjetju morajo poskrbeti za čim boljšo zaščito spletnih povezav in strežnikov ter podatkov, ki se po njih prenašajo. Nujni elementi varnosti so večfaktorska avtentikacija in enkripcija ter redna izdelava varnostnih kopij.
Izobraževanja za zaposlene – Kot smo že omenili, je najšibkejši člen pri zagotavljanju kibernetske varnosti podjetja največkrat človek. Izobraževanje zaposlenih je torej ključno za to, da zaposleni razvijejo lastno varnostno higieno in se zavedajo kibernetskih nevarnosti ter storijo vse, kar je v njihovi moči, da preprečijo takšne napade.