Premalo novca, manjak stručnosti, ali ponajviše ljudski činitelj, za male tvrtke najčešći su izvori prijetnje od kibernetičkih napada. Međutim, i takvim se zaprekama može doskočiti i smanjiti izloženost hakerskoj navali. Tvrtke koje misle da nisu dovoljno velike da bi izazvale ciljanu pozornost internetskih razbojnika mogle bi se iznenaditi ako se ipak nađu u takvim okolnostima.
Voditelj Katedre za kibernetičku sigurnost na Visokom učilištu Algebra Zlatan Morić potvrđuje da su male tvrtke posebno ranjive na kibernapade zbog ograničenih resursa i stručnosti u kibernetičkojh sigurnosti. Neke od najranjivijih točaka uključuju zaporke koje se mogu lako pogoditi i koje zaposlenici često upotrebljavaju na više sustava, što može prouzročiti krađu identiteta i podataka.
– Učestali su i phishing-napadi u obliku e-pošte ili poruke poslane drugim komunikacijskim kanalima koja izgleda kao da dolazi iz pouzdana izvora i čiji je cilj prevariti žrtvu da otkrije svoje osobne podatke ili da klikne na poveznice sa zlonamjernim softverom. Male tvrtke često nemaju novca za kupnju najnovijih izdanja softvera, što može izazvati ranjivost i sigurnosne propuste. Nemaju često ni odvojen IT odjel, nego je održavanje povjereno nekom od zaposlenika koji inače obavlja drugu funkciju u tvrtki. Rješenje su stoga edukacija zaposlenika, korištenje jakih zaporki koje se trebaju redovito mijenjati, redovito nadograđivanje operacijskih sustava i aplikacija, antivirusna rješenja, dvofaktorska autentifikacija, redovite sigurnosne kopije, virtualne privatne mreže (VPN) kad se pristupa podacima iz nesigurnih mreža te kontrola pristupa podacima. Za provjeru sigurnosti sustava najbolje je angažirati vanjske stručnjake da naprave penetracijska testiranja. Manje dobro rješenje, ali cjenovno prihvatljivije, jest upotreba aplikacija za automatizirano skeniranje sustava i upozoravanje na propuste. Važno je također imati plan oporavka u slučaju kibernetičkog napada koji bi trebao uključivati redovitu izradu sigurnosnih kopija podataka, plan za povratak u rad te informacije o tome kako će tvrtka komunicirati s klijentima i dionicima u slučaju napada – iznosi Morić.
Stalno održavanje
I konzultant za informacijsku sigurnost u A1 Hrvatska Damir Bujan se slaže da bi male i srednje tvrtke trebale osigurati da su njihovi zaposlenici upoznati s osnovnim pojmovima kibernetičke sigurnosti kao što su upotreba složenih lozinki i izbjegavanje otvaranja sumnjivih privitaka elektroničke pošte i neprovjerenih internetskih stranica. Sljedeći je korak, dodaje, primjena softverskih i hardverskih sigurnosnih rješenja poput vatrozida (firewall) i programa za otkrivanje zlonamjernog softvera (antimalware), koje treba stalno održavati najnovijim zakrpama i ažuriranjima.
– Treba redovito sigurnosno kopirati svoje podatke i redovito testirati radi li kreirana sigurnosna kopija (restore). Naposljetku bi se trebalo razmotriti partnerstvo s pružateljem IT usluga kako bi IT sustavi malih i srednjih tvrtki bili sigurni te imali pristup najnovijoj tehnologiji i stručnom znanju. Jedna od najčešćih ranjivosti jest ljudska pogreška jer zaposlenici mogu nehotice kliknuti na zlonamjerne stranice, otvoriti maliciozne privitke ili pak podijeliti osjetljive podatke tvrtke s neovlaštenim pojedincima. Druga je najčešća ranjivost zastarjeli softver ili hardver zato što kiberkriminalci često iskorištavaju poznate ranjivosti u starijim sustavima. Osim toga, mala i srednja poduzeća možda neće imati sustave zaštite protiv kibernetičkih napada poput vatrozida, programe protiv zlonamjernog softvera (antivirus, antimalware) ili pak sustava za otkrivanje upada u računalnu mrežu. Možda neće imati ni ljude za brzo otkrivanje kibernetičkog napada i odgovor na njega, što bi napadačima moglo omogućiti pristup osjetljivim podacima ili sustavima tijekom duljeg razdoblja – upozorava Bujan.
Dobrodošlo simuliranje
Savjetuje redovito testiranje ranjivosti IT sustava. Ono se može provesti interno ili angažiranjem stručnjaka za kibernetičku sigurnost iz specijaliziranih tvrtki. Potrebno je i simuliranje kibernetičkog napada, koje može biti automatsko (softver) ili uz pomoć zaposlenika specijalizirane tvrtke, kaže Bujan, a treba nadzirati i pristup IT sustavima te upotrebljavati višefaktorske autentifikacije (2FA) u prijavi na kritične IT sustave.
– Redovitu obuku zaposlenika za kibernetičku sigurnost treba provoditi barem jednom u šest mjeseci. Softver i hardver moraju se nadograditi najnovijim sigurnosnim zakrpama i ažuriranjima. Tvrtke bi trebale imati uspostavljen plan odgovora na incidente u kojem se navode postupci za odgovor na kibernetički napad, uključujući komunikaciju s dionicima, zakonodavnim tijelima i medijima, odnosno javnošću. Mala i srednja poduzeća mogu svoje potrebe za IT sigurnošću povjeriti tvrtkama kojima je to primarna djelatnost, sigurnosno kopirati svoje podatke i testirati njihov povrat. Jedna od definicija rizika jest ‘rizik = utjecaj x vjerojatnost‘. Smanjimo li vjerojatnost kibernetičkog napada, uvelike ćemo smanjiti i rizik od napada, jer danas više nije pitanje hoće li neka tvrtka biti napadnuta, već kada – jasan je Bujan.
Razine sigurnosti
Koji su to točno poslovni sustavi, poslovni podaci ili resursi ključni za organizaciju i kakva bi šteta mogla nastati ako dođu u neovlaštene ruke? Tek kad odgovorimo na ta pitanja, možemo početi analizirati što treba napraviti kako bismo zaštitili svoje najvrjednije resurse, poslovne sustave i podatke, tvrdi stručnjak za razvoj proizvoda za poslovne korisnike u Hrvatskom Telekomu Marko Sardelić.
– Različite su razine sigurnosti, od osnovnih poput fizičke sigurnosti da neovlaštene osobe ne mogu pristupiti hardveru, dakle računalima, diskovima za pohranu podataka, serverima, pametnim telefonima i poslovnim aplikacijama, do postavljanja lozinki na poslovne aplikacije i računala. Slijedi korištenje antivirusne zaštite, vatrozida, zaštita e-pošte, dodatne autentifikacije u pristupanju poslovnim podacima izvan interne mreže, enkripcija podataka i definiranje dodatnih pravila pristupa osjetljivim podatcima. Za održavanje kontinuiteta poslovanja preporuka je sigurnosno kopiranje podataka te plan zaustavljanja, sprječavanja i oporavka od hakerskih napada. Štetu u ovom slučaju ne trebamo gledati samo s financijske strane, iako ona može biti znatna, već i šire jer se onemogućavanjem poslovanja utječe i na korisnike usluga napadnute tvrtke. Krađa osobnih podataka, onemogućavanje funkcioniranja zdravstvenih ustanova ili komunalnih usluga može biti takav primjer. Kako bi se osvijestilo kolika je razina i kvaliteta sigurnosti doista postavljena u tvrtki, najbolje je zatražiti pomoć stručnjaka – vjeruje Sardelić.
Redovito ažuriranje
Kod svih kompanija, pa tako i onih malih čiji se zaposlenici koriste samo računalima i nekim od servisa u oblaku, osnovni je pristup zaštiti od napada na njihovim računalima, odnosno radnim stanicama, ističe sistemski inženjer za sigurnosne tehnologije u Combisu Pero Kristić. Važno je stoga, prema njegovu mišljenju, imati komercijalna i napredna, nikako besplatna, antivirusna rješenja uz koja dolaze dobri alati, odnosno threat intelligence, koji može otkriti većinu naprednih sigurnosnih prijetnji.
– Tu su i servisi pružatelja usluga kojima se koriste male kompanije, a kod kojih one moraju paziti na postavljanje lozinki prema najboljoj praksi, onemogućavanje i brisanje računa bivših zaposlenika. Za one kompanije koje imaju IT infrastrukturu osnova su zaštite vatrozidi, sigurnosna rješenja za zaštitu prometa e-pošte i antivirusna rješenje na serverima na kojima su poslovni servisi. U oba slučaja preporuka je i korištenje rješenja za zaštitu internetske komunikacije korisnika. Međutim, mi ljudi najranjivija smo točka. Najčešći je početak napada i dalje komunikacija e-poštom s pomoću phishing-kampanja. Također se često događaju propusti poput defaulta lozinke i korištenja aplikacija poznatih ranjivosti u konfiguracijama javno dostupnih servisa. Treba, naravno, redovito ažurirati sve sustave, dakle servise, servere, radne stanice, sigurnosna rješenja, no ako servis nije moguće ažurirati, npr. zbog utjecaja na poslovne procese, važno je pokušati naći zaobilazno rješenje – upozorava Kristić.
‘Neće nas…‘
Kao najbolja rješenja za zaštitu izdvaja zaštitnu platformuEPP (endpoint protection platform), EDR (endpoint detection & response), Xgen, vatrozide, mail gateway-rješenje za zaštitu prometa e-pošte i web proxy-rješenje za zaštitu internetskog prometa te nastavlja da postoje i UTM (unified threat management) rješenja s mnogo komponenata zaštite za male i srednje tvrtke.
– Uobičajeno razmišljanje ‘neće nas, mi smo mali‘ više ne vrijedi jer danas žrtva kibernetičkog napada postaje svatko tko napadaču pruži i najmanje izglede da to iskoristi. Za male tvrtke vrijedi da, ako zadovolje minimum u sigurnosnim postavkama IT okružja, to može često biti dovoljno da odbiju napadača od daljnjih aktivnosti. Naime, male su tvrtke rijetko, gotovo nikada, meta ciljanih napada – zaključuje Kristić.