Tehno
StoryEditor

Kibernetička sigurnost trebala bi biti opće dobro, ali...

27. Studeni 2022.

Kada zli hakeri napadnu kompaniju i podaci počnu curiti kao iz otvorene slavine, nema druge nego spašavati živu glavu brzom komunikacijom i nadati se što manjoj šteti. Nitko nije siguran, no ima onih koji vjeruju da često treba zašutjeti i ponešto prešutjeti

Nitko nije imun na kibernetičke prijetnje. Koliko god da se branili, svi jednoga dana mogu postati žrtve hakera; a kad podaci jednom počnu curiti kao iz slavine, nema druge nego spašavati živu glavu brzom komunikacijom i nadati se što manjoj šteti. I najveće kompanije poput Googlea, Vodafonea, Microsofta i sličnih, podsjeća direktorica Korporativnih komunikacija tvrtke A1 Hrvatska Dubravka Štefanac Vinovrški, doživjele su neku vrstu kibernetičkih napada u posljednje dvije godine.

Nažalost, riječ je o svakodnevnim prijetnjama na koje svi, i privatno i poslovno, moramo biti spremni. I uistinu, broj slučajeva svake godine raste, a bez obzira na to koliko se radilo na informatičkoj pismenosti i koliko god upozoravali na opasnosti koje vrebaju internetom, i javnost i poduzetnici sve su svjesniji prijetnji koje vrebaju na svakom uglu digitalne sfere, a i hakeri su sve uvježbaniji u pronalasku najnovijih žrtava.

– Moramo biti svjesni da, čim iziđe neko novo rješenje, u redu stoji već nekoliko skupina ili pojedinaca koji traže način kako ga ‘probiti‘ – potvrđuje Štefanac Vinovrški, koja izdvaja socijalni inženjering, recimo phishing, kao jednu od trenutačno najvećih prijetnji u svijetu.

Suočavanje sa stvarnošću

Kako navodi, većina njih oslanja se na ljudsku pogrešku, najčešće zaposlenike, i njihovu neopreznost ili lošu informiranost.

– Upravo se zato fokusiramo na edukaciju i sigurnost i svojih zaposlenika i korisnika – objašnjava direktorica Korporativnih komunikacija toga mobilnog operatora.

No što učiniti kad se dogodi kriza, kako reagirati i kako se najbolje nositi s društvenim inženjeringom i drugim oblicima kibernetičkih prijetnji, pitanja su koja stoje iznad glave svakog poduzetnika.

–​ Transparentno nošenje sa situacijom prvi je i jedini odgovor. Hakerski napad svima se može dogoditi, nitko nije siguran. Čak ni hakeri sa sigurnošću ne mogu tvrditi da nisu hakirani jer je opasnost od hakiranja danas tako velika i, premda neugodna, jedna je od činjenica s kojima se valja naučiti nositi u novodigitaliziranom svijetu – objašnjava Maja Markulin Klarić, direktorica Odjela digitalnih inovacija tvrtke Combis.

Markulin Klarić potvrđuje i da je vrlo važno da se tvrtke što prije nauče nositi s novonastalom stvarnošću jer će tako prije prebroditi takve situacije.

–​ Poveznica je jednostavna: što smo digitaliziraniji, to su i digitalne opasnosti veće. I to se neće promijeniti, pa je stoga i jednostavno rješenje –​ zaključuje Markulin Klarić.

Informacije o doživljenome kibernetičkom napadu najčešće ostaju u uskom krugu ljudi unutar tvrtke, a s javnosti se o tome eventualno govori tek ‘post festum‘

Kad se tvrtka suoči s takvom vrstom napada, potvrđuje Štefanac Vinovrški, treba se voditi onim što je najvažnije u odnosima s javnošću, a to je brza i jasna komunikacija usmjerena na rješenja.

–​ U takvim situacijama nema prostora za paniku i treba imati lice koje javnost može povezati s temom i uvijek biti medijima na raspolaganju. Ako tu nema prave suradnje i jasne komunikacije, lako mogu nastati nedoumice, mogu se iznijeti netočne informacije i stvoriti se negativno okružje za kompaniju i korisnike – objašnjava.

Loša komunikacija u kriznim situacijama noćna je mora svake kompanije, a kad su posrijedi podaci korisnika koji pri napadu, ucjeni ili prijevari mogu izići u javnu digitalnu sferu i tako postati lak plijen gotovo svakomu, dobro i kvalitetno krizno komuniciranje jedini je spas. Međutim, prije no što se informacije puste u javnu sferu, važno je o svemu najprije obavijestiti vlastite djelatnike.

– Oni najbolje znaju koliki se trud i novac svakodnevno ulaže u kontinuiranu edukaciju i zaštitu od napada te koliko radimo radimo na zadovoljstvu svojih korisnika, što javnost često ne može prepoznati. Zato su transparentna komunikacija unutar kompanije i prema korisnicima prvi koraci treba napraviti – objašnjava Štefanac Vinovrški.

Koordinirani slučaj

U pitanjima kibernetičke sigurnosti najvažnija je edukacija zaposlenika, što potvrđuje i stručnjak za odnose s javnošću Krešimir Macan.

– Najvažnije je izgraditi kulturu u tvrtki da se o tim pitanjima educira, razgovara i prati kako bi to mogla biti najbolja prevencija i kad se dogodi potencijalna situacija. Ako se već dogodila, morate moći dobiti što više informacija i dokaza u što kraćem vremenu te je važno uspostaviti povjerenje među ljudima koji tim informacijama raspolažu da bi se mogla pokrenuti daljnja akcija – govori Macan.

Ipak, potvrđuje da takve informacije najčešće ostaju u uskom krugu ljudi u tvrtki, a s javnosti se eventualno govori tek post festum, kad se odluči podijeliti iskustvo.

– Najčešće nema potrebe ići proaktivno u medije jer to u nekim slučajevima može biti i signal prevarantima da su otkriveni pa bi otuđeni novac mogao brže nestati. U slučajevima krađe informacija morate sagledati sve opcije i procijeniti što se želi s navedenim informacijama uraditi, ne brzati s izlaskom u medije – naglašava stručnjak za odnose s javnošću.

Kao primjer kibernetičkog napada Macan navodi slučaj iz 2019. kad je norveška tvrtka Hydro morala zaustaviti svu proizvodnju diljem svijeta i ‘dizati‘ sve iz početka te sve podijeliti s javnošću, zaposlenicima i klijentima, i to na tri načina: aktivno, transparentno i često u koordinaciji s upravom.

– I sve je to morala činiti koristeći se javnim platformama za razmjenu poruka jer je sustav bio kompromitiran – objašnjava Macan.

Odvajanje poslovnoga i privatnoga

Međutim, ne događaju se kibernetički napadi i društveni inženjering samo nekim dalekim tvrtkama u Norveškoj, SAD-u i sličnim zemljama; iskustva s konkretnim slučajevima ima i u Hrvatskoj. Naravno, o takvim se stvarima rijetko govori, ali zato komunikacijski znalci itekako znaju što savjetovati svojim klijentima kad kriza izbije na površinu.

– Prije bilo kakva djelovanja prema uputama ili porukama koje dobijete, bez obzira na to koliko one govorile da upravo to ne smijete napraviti, sve, ali baš sve, uvijek provjerite s nadređenima i kolegama. Naime, ako nije službeno i nije došlo uobičajenim kanalima, vrlo je vjerojatno riječ o potencijalnoj prijevari – upozorava Macan govoreći da to pravilo treba vrijediti i u pokušajima krađe identiteta ili drugim oblicima napada.

Ne smije se ‘klikati‘ na poveznice i prihvaćati komunikaciju koja dolazi iz neprovjerenih izvora te uvijek treba pažljivo pogledati i adrese i sve druge podatke koji se nalaze u poruci.

– Lažne e-poruke često dobro imitiraju originalne i zato pažljivo pročitajte sve detalje o pošiljatelju. U svakom slučaju, komunikaciju o tim pitanjima treba smatrati itekako dobrodošlom i poticati provjere, uz, naravno, ulaganje u barem osnovne alate za zaštitu od virusa i sličnih štetnih alata. I, ako je moguće, poslovnu komunikaciju treba odvajati od privatnih aktivnosti. Ne smijete nasjedati na uplate u kriptovalutama, tomu ćete teško ući u trag – naglašava Macan.

Prvotravanjska šala

Društveni inženjering treba se prihvatiti kao sastavni dio tehnološki naprednoga doba u kojem se nalazimo, što potvrđuje i Markulin Klarić govoreći da jedino preostaje naučiti kako pristupiti, a edukacija treba biti stalna.

Transparentno nošenje sa situacijom prvi je i jedini odgovor. Hakerski napad svima se može dogoditi, čak ni hakeri sa sigurnošću ne mogu tvrditi da nisu hakirani

Direktorica Combisova Odjela digitalnih inovacija tako objašnjava da su za prvotravanjsku šalu ranije ove godine u tvrtki smislili phishing mail koji je išao sa slične, ali pogrešne e-adrese direktora Combisa, s poveznicom i komunikacijom koje su se mogle prepoznati kao sumnjive.

– I što se dogodilo? Dio ljudi ‘kliknuo‘ je na link. Podsjećam, ovdje govorimo o zaposlenicima koji su prošli niz edukacija. Istodobno je važno da shvatimo da smo u procesu učenja i da brzina i površnost, nažalost, nose i cijenu. Možda katkad obratimo pozornost na očigledne simptome, no komunikacijski stil, ili čak i kontekst, zapravo najviše može pomoći u zaštiti od pojedinoga kibernapada, bio to beznačajni stric iz Nigerije koji nam je ostavio bogatstvo ili loyalty newsletter u kojem sam baš ja na dobitku – govori Markulin Klarić, naglašavajući da je važnost ljudske pogreške u kibernetičkom kriminalu golema, stoga su, što se više uči o prijetnjama, to manji izgledi da se ‘poskliznemo‘ u budućnosti.

Krizno upravljanje

No što kad ‘kliknemo‘ na tu poveznicu jer nam se, eto, baš učinila primamljivom? Macan govori da je najvažnije kontaktirati brzo s bankama i drugim financijskim institucijama da bismo zaustavili potencijalne transfere. Najvažnija je brzina reakcija jer tvrtke najčešće brže mogu reagirati od policije i drugih institucija.

– Važno je i ne ignorirati upite banaka, koje također imaju svoje sigurnosne mehanizme upravo zbog velikog broja prijevara i drugih zakonskih obveza pa će sigurno provjeravati prve transakcije prije nego što ih provedu. One su, nažalost, tu uigrane i mnogo brže reagiraju od policije. Treba pratiti trag novca i, naravno, uključiti i policiju čim stignete i pokušati na svakoj postaji blokirati novac –​ objašnjava Macan.

Ipak, takve krize, navodi, najčešće nisu priče za javnost jer iza njih uvijek slijedi i nekakva istraga.

– Ne želite baš da se u javnosti govori o tome kako su vam pokupili novac. S druge strane, bilo je slučajeva u kojima su sami poduzetnici izišli s informacijom u javnost da bi upozorili druge na opasnosti koje prijete. Dakle, ovdje je važnije krizno upravljanje nego krizno komuniciranje – govori Macan.

Kvalitetno krizno komuniciranje temelj je svakog uspješnog svladavanja neugodnih situacija, a dok se o digitalnim prijetnjama rijetko govori, komunikacijski stručnjaci moraju biti spremni na sve, bilo da vam hakeri žele ukrasti podatke bilo da vam ‘saudijski princ‘ želi ostaviti svoje nasljedstvo pa usput pokupi vaše.

29. siječanj 2023 00:25