Kreiranje korisničkog računa, slažete se sa našim pravnim napomenama i pravilima privatnosti.

ILI

[TheChamp-Login]

Kreiranje korisničkog računa, slažete se sa našim pravnim napomenama i pravilima privatnosti.

ILI

[TheChamp-Login]

Pratite nas:

Zaposlenik kao prva i zadnja linija obrane od cyber kriminala

Zaposlenik kao prva i zadnja linija obrane od cyber kriminala

Kada razmislimo o odgovoru na pitanje koliko nam vrijedi sigurnost poslovanja i naših podataka, gotovo uvijek na kraju dođemo do čovjeka kao najvrednijeg i najrizičnijeg dijela svakog sustava.
Izuzetno je važno uložiti u tehnički dio i tehnologiju u poslovnom sustavu, odnosno imati implementirane vatrozide, kontrole pristupa, kvalitetnu zaštitu elektroničke pošte i sličnih stavki, ali ako, primjerice, dođe ta sporna e-pošta do nas i na kraju kliknemo ili unesemo svoje podatke negdje gdje ne treba, sva ta zaštita „pada u vodu“.

Kada govorimo o zaštiti od sve većeg broja cyber napada, većina tvrtki i organizacija uvijek veći naglasak i svoje povjerenje usmjerava prema tehničkom aspektu svog poslovanja nego što se obraća pozornost na zaposlenike i korisnike tih sustava. Možda je još veći problem u tome što se u tom kontekstu na zaposlenike i korisnike gleda kao na rizik, a ne kao na vrijednosti koji čine taj sustav cjelovitim.

Stopostotna zaštita ne postoji, ali zato postoji mogućnost umanjenja tog rizika na najnižu moguću razinu. Također, moramo biti svjesni da, kako bismo se obranili od svih prijetnji, moramo prvo saznati koje sve prijetnje postoje.

Prema većini istraživanja veliki postotak od ukupnog dijela uspješnih prijevara dolazi putem e-pošte, odnosno otpada na phishing.

Postoji učinkovit i manje učinkovit način edukacije zaposlenika i osvještavanja u pogledu sigurnosti korištenja tehnologija u poslovnom okruženju. Manje učinkovit način je educiranje zaposlenika na godišnjoj razini, odnosno jednom godišnje gdje ćete okupiti zaposlenike kako biste im prikazali neku PowerPoint prezentaciju te bi oni vrlo vjerojatno pasivno „odradili“ takvu aktivnost. Kada je to učinjeno na učinkovit način, edukacija je prilagođena svakoj vrsti djelatnosti ili odjelu unutar tvrtke jer nemaju svi jednak pristup podacima – primjerice, upravljački dio tvrtke (direktori, voditelji i slično) ili odjel marketinga. Sumarno te edukacije mogu izgledati vrlo slično, ali poanta je u tome da je sadržaj edukacije s naglaskom na određene pojedinosti izrađen za svaki odjel zasebno. Važno je naglasiti da napredak tehnologije, osim poboljšanja poslovnog i privatnog života, također omogućava kriminalcima da koriste naprednije i sofisticiranije tehnike napada.

Phishing se grubo dijeli na nekoliko svojih podvrsta, a koje ćemo ukratko proći u nastavku.

Phishing

Možda ste čuli za riječ phishing jer je to na tragu izraza „fishing“, odnosno u prijevodu pecanja. I to je baš to – stići će vam nekakva e-pošta koja će sadržavati nešto vama zanimljivo i kliknut ćete na tu poveznicu (link) ili otvoriti privitak te e-poruke. Phishing e-pošte se često šalju u velikim količinama, jer su usmjerene na mase i možda će netko kliknuti na tu „zločestu“ poveznicu. To su najčešće bankarski izvodi, potvrde o dostavi pošiljke, izvještaj o prometnom prekršaju i slične prijevare. Krajnji cilj je da korisnik učini što su kriminalci naumili u toj nesretnoj e-poruci – otvaranje privitka kako biste zarazili svoje računalo malwareom ili upisali svoje podatke za prijavu i predali ih u ruke kriminalaca.

Spear-phishing

Ova vrsta „pecanja“ je nešto naprednija (od eng. spearfishing – pecanje kopljem), odnosno radi se o tome da je usmjerena prema nešto užoj publici. Za razliku od prethodno navedenog phishinga gdje krajnji korisnik može primiti zloćudnu e-poštu od banke, iako nije povezan s navedenom bankom iz te e-poruke, spear-phishing cilja na manju grupu primatelja ili jednog zaposlenika te navedena e-poruka sadržava nešto poznato žrtvi. Kako bi ovakva vrsta napada bila uspješno pripremljena i izvršena, kriminalcima trebaju naučiti ponešto o meti, odnosno o potencijalnoj žrtvi napada. Potrebno je izraditi navedenu e-poruku na uvjerljiv i točan način kako bi žrtvi bilo gotovo neprimjetno da je upravo predala svoje podatke ili možda čak otvorila taj privitak koji potencijalno može sadržavati na primjer cryptolocker (maliciozni program koji kriptira sve podatke). Možda najvažnija činjenica jest ta da napadačima nije veliki problem saznati pojedinosti o žrtvi zbog lakog pristupa svim javno dostupnim informacijama na Internetu te je upravo stoga potrebna kontinuirana edukacija i osvještavanje o svim potencijalnim prijetnjama.

CEO Fraud

CEO Fraud ili prijevara direktora je vrsta napada koja je upravo to – vrlo sofisticirani i ciljani napad na upravljačku strukturu neke tvrtke ili organizacije putem e-pošte. Takvi su napadi iznimno popularni te ako uspiju, često dolazi do velike financijske štete jer upravljačka struktura često ima pristup svim informacijama i podacima o poslovanju tvrtke. Jedan od tipičnih primjera takvog napada je lažno predstavljanje direktora drugim zaposlenicima (primjerice računovodstvu) gdje on traži da se izvrši nekakva uplata prema nekomu i on to traži sa svoje e-adrese (email spoof). Imao sam prilike vidjeti takve napade uživo i moram reći da ako žrtva ne obraća pozornost ili je možda samo smetena u tom trenutku, vrlo lako dođe do neželjenih posljedica.

Društveni inženjering (Social Engineering)

Prethodno navedene prijevare putem e-pošte izrađene su uz pomoć tehnika društvenog inženjeringa. Društveni inženjering sačinjava niz tehnika pomoću kojih pojedinac (napadač), iskorištavanjem ljudskih pogrešaka i slabosti utječe na drugog pojedinca (žrtvu) kako bi ga naveo da učini nešto što nije u njegovom interesu ili ukratko – jedan vid hakiranja čovjeka.

Često je puno lakše i elegantnije hakirati čovjeka nego informatički sustav.

Edukacija  o potencijalnim prijetnjama jedini je pravi način obrane od navedenih napada na vašu tvrtku. Stoga je i cilj seminara ‘Cyber Security Awareness – Informacijska sigurnost kroz poslovno okruženje’ kvalitetno educiranje kako bi se podigla svijest o različitim prijetnjama te kako bi se nepoželjne situacije prevenirale. Prijavite se na seminar te smanjite pojavnost IT incidenata i svedite ranjivost sustava na najmanju moguću razinu.

Povezani članci

  • Ovu prijavu možete u svako doba povući, na kraju svakog Newslettera. Daljnje informacije možete pronaći u našim Pravilima Privatnosti.

Ukoliko želite bez ograničenja čitati i preuzimati naše edukativne materijale registrirajte se. Za preuzimanje odabranog sadržaja, možete unijeti i e-mail adresu, na koju ćemo vam proslijediti poveznicu.

  • Više informacija kako skupljamo, obrađujemo i štitimo Vaše osobne podatke dostupne u našim Pravilima Privatnosti.
x

Ova stranica koristi kolačiće za pružanje boljeg korisničkog iskustva i funkcionalnosti. Cookie postavke
mogu se kontrolirati i konfigurirati u vašem web pregledniku, a više o tome možete pročitati ovdje.

Slažem se Ne Slažem se