Nije izazov pridobiti razumijevanje IT-ovaca, već onih koji raspolažu proračunom. Kad osoba koja treba staviti ‘potpis‘ ne prihvaća argumentaciju struke, ona svjesno ili nesvjesno, s ciljem uštede, znatno povećava rizik od financijskog udara
Na spomen otmica i otkupnina mnogima je vjerojatno prva asocijacija holivudski akcijski film u kojem zgodni i karizmatični junak na snagu i intelekt dobije zlikovce te tako spasi svijet, svoju obitelj, damu nevolji… Međutim, otmice, u ovom slučaju novca i/ili podataka, postale su realna prijetnja, dio svakodnevice modernih kompanija i sustava. Tako se, primjerice, jedna zagrebačka tvrtka srednje veličine suočila s napadom perfidnog hakera koji je od nje tražio čak 120 tisuća eura otkupnine u zamjenu za ukradene vrijedne podatke. ICT kompanija Setcor koja je u tom slučaju angažirana da preuzme ‘detektivsku‘ ulogu ustanovila je da je napadač u sustavu bio prisutan više od šest mjeseci prije nego je krenuo u konkretan napad. U tom razdoblju ne samo da je vrebao idealan trenutak za juriš, već je prikupljao podatke, a zatim na temelju raspoloživih informacija odredio ‘najbolju‘ otkupnu cijenu za koju je procijenio da će je napadnuta strana prihvatiti i platiti. Setcorov sigurnosni tim je u pregovorima cijenu uspio prepoloviti, a iako su u tom slučaju podaci vraćeni, plaćanje nije uvijek garancija da će napadač poštovati svoj dio dogovora.
– Tu trošak za napadnutu stranu nije gotov jer je morala platiti i pozamašnu kaznu AZOP-u te u konačnici implementirati rješenja koja štite od napada takve vrste. Kao što vidite iz tog slučaja, daleko najskuplja opcija je ne brinuti se o sigurnosti svojih sustava – rekao je Setcorov direktor prodaje Krešimir Jurić te dodao da je takvih primjera na tisuće, a u spomenutom ih je impresioniralo vrijeme koje je napadač proveo u sustavu, potpuno neopažen.
Jače od trgovine drogom
I doista, napadači, odnosno hakeri postali su sve sofisticiraniji, a u tome im pomaže i AI tehnologija s pomoću koje poboljšavaju vještine napada. Prema procjenama Cybersecurity Venturesa, globalni trošak kibernetičkoga kriminala u idućih će pet godina rasti godišnjom stopom od 15 posto. Usporedbe radi, 2015. ta je vrsta kriminala kompanije stajala tri bilijuna dolara, a već će se iduće godine taj iznos povećati na 10,5 bilijuna. O kolikoj je šteti riječ svjedoči podatak da je taj trošak veći od štete koju izazovu prirodne katastrofe, a profitabilniji od globalne trgovine drogom. Pritom ne postoje institucije ili tvrtke koje su sigurnije od drugih – zbog digitalizacije ranjivi su svi, a osim direktne financijske štete, koja može uključivati npr. trošak rješavanja incidenta, gubitak produktivnosti, pravne troškove, troškove usklađenosti, obuke i prevencije, postoji i izravna, neprocjenjiva reputacijska šteta te eventualni gubitak intelektualnog vlasništva, što ima dugoročne negativne posljedice na konkurentnost kompanije. U tom smislu, prijetnja nisu samo napadači, kibernetički kriminalci, već i vlasnici tvrtki koji nisu svjesni opasnosti. Kako kaže Jurić, u prodajnom procesu često čuju rečenicu: ‘Ma tko će nas, pa mi nismo nikome zanimljivi.‘
– To je potpuno pogrešno, jer već sad postoji priličan broj konkretnih slučajeva, ako već zanemarujemo komunikaciju struke, koji opovrgavaju takvo razmišljanje – upozorio je Jurić.
Skupe predrasude
Na domaćem tržištu opasnost se različito percipira u većim i manjim tvrtkama. Kod velikih se vodi briga o rizicima te u skladu s tim ulaže u IT i to ne vide kao trošak već kao ulaganje u razvoj i zaštitu poslovanja.
– Kod manjih tvrtki, nažalost, još uvijek prevladava svijest da ulaganje u IT nije nužnost, primjenjuju se itekako zastarjeli tradicionalni modeli poslovanja te u segmentu sigurnosti prevladava ona lažna – kad je oprema ‘pod njegovim nogama‘, tu je najsigurnija, te stajalište da su mali, pa zato i nezanimljivi. Setcor svojom konstantnom prisutnošću na tržištu ulaže napore u edukaciju i razumijevanje te savjetuje kako spriječiti nepoželjne posljedice. Vrlo često kod manjih korisnika ne uspijevamo prvotno zadobiti povjerenje, ali isto tako onda vrlo često budemo pozvani kada treba ‘gasiti vatru‘ – istaknuo je Jurić, koji pomake ipak vidi, jer digitalna transformacija sa sobom donosi i određenu dozu primoranosti.
Također, kod domaćih je kompanija cijena vrlo često glavni i jedini faktor za donošenje bilo kakvih odluka i to ne samo u IT-u, već i u drugim sektorima. Tako, primjerice, u Setcoru nije izazov pridobiti razumijevanje struke, već onih koji raspolažu proračunom.
– Često se sa strukom definira potreba, predloži i ponudi adekvatno rješenje, ali osoba koja treba staviti ‘potpis‘ ne prihvaća argumentaciju struke, odbija prijedlog u potpunosti ili se okreće alternativnim rješenjima koja ne zadovoljavaju potrebu te svjesno ili nesvjesno znatno povećava faktor rizika s ciljem uštede. Onda se dogodi nepoželjna situacija koja bi bila spriječena implementacijom rješenja, što uvijek dovodi do neočekivanog i ozbiljnog financijskog udara. A to je najskuplja opcija – poentirao je Jurić.
Ljudska pogreška: Napada se preko najslabije karike
Prema podacima University of North Georgia, čak se 95 posto kibernetičkih napada realizira zbog banalne, ljudske pogreške. Hakeri se uspijevaju uvući u sustav pomoću najslabije karike u kompaniji, a to gotovo nikad nisu zaposlenici u IT odjelima. Taj je podatak potvrdio i direktor prodaje u Setcoru Krešimir Jurić te kao najbolji primjer izdvojio phishing-kampanje koje provode za svoje korisnike.
– Postotak djelatnika koji bez razmišljanja otvore takav mail je poražavajući. Mislim da nismo imali slučaj da je taj postotak bio manji od 50 posto. Korisnicima stalno govorimo da sustavi zaštite uvelike pomažu i smanjuju rizik, ali da bi cijela priča bila zaokružena iznimno je važno provesti internu edukaciju zaposlenika, tj. provoditi je kontinuirano. Treba utvrditi svijest da briga o sigurnosti nije jednokratna akcija već kontinuirani proces i za to uglavnom nisu dovoljni interni resursi, već za taj proces treba angažirati vanjske stručnjake – istaknuo je Jurić.
Sadržaj kreiran u suradnji s ICT kompanijom Setcor