Kada razmislimo o odgovoru na pitanje koliko nam vrijedi sigurnost poslovanja i naših podataka, gotovo uvijek na kraju dođemo do čovjeka kao najvrednijeg i najrizičnijeg dijela svakog sustava.
Izuzetno je važno uložiti u tehnički dio i tehnologiju u poslovnom sustavu, odnosno imati implementirane vatrozide, kontrole pristupa, kvalitetnu zaštitu elektroničke pošte i sličnih stavki, ali ako, primjerice, dođe ta sporna e-pošta do nas i na kraju kliknemo ili unesemo svoje podatke negdje gdje ne treba, sva ta zaštita „pada u vodu“.
Kada govorimo o zaštiti od sve većeg broja cyber napada, većina tvrtki i organizacija uvijek veći naglasak i svoje povjerenje usmjerava prema tehničkom aspektu svog poslovanja nego što se obraća pozornost na zaposlenike i korisnike tih sustava. Možda je još veći problem u tome što se u tom kontekstu na zaposlenike i korisnike gleda kao na rizik, a ne kao na vrijednosti koji čine taj sustav cjelovitim.
Stopostotna zaštita ne postoji, ali zato postoji mogućnost umanjenja tog rizika na najnižu moguću razinu. Također, moramo biti svjesni da, kako bismo se obranili od svih prijetnji, moramo prvo saznati koje sve prijetnje postoje.
Postoji učinkovit i manje učinkovit način edukacije zaposlenika i osvještavanja u pogledu sigurnosti korištenja tehnologija u poslovnom okruženju. Manje učinkovit način je educiranje zaposlenika na godišnjoj razini, odnosno jednom godišnje gdje ćete okupiti zaposlenike kako biste im prikazali neku PowerPoint prezentaciju te bi oni vrlo vjerojatno pasivno „odradili“ takvu aktivnost. Kada je to učinjeno na učinkovit način, edukacija je prilagođena svakoj vrsti djelatnosti ili odjelu unutar tvrtke jer nemaju svi jednak pristup podacima – primjerice, upravljački dio tvrtke (direktori, voditelji i slično) ili odjel marketinga. Sumarno te edukacije mogu izgledati vrlo slično, ali poanta je u tome da je sadržaj edukacije s naglaskom na određene pojedinosti izrađen za svaki odjel zasebno. Važno je naglasiti da napredak tehnologije, osim poboljšanja poslovnog i privatnog života, također omogućava kriminalcima da koriste naprednije i sofisticiranije tehnike napada.
Prema većini istraživanja veliki postotak od ukupnog dijela uspješnih prijevara dolazi putem e-pošte, odnosno otpada na phishing.
Phishing se grubo dijeli na nekoliko svojih podvrsta, a koje ćemo ukratko proći u nastavku.
Phishing
Možda ste čuli za riječ phishing jer je to na tragu izraza „fishing“, odnosno u prijevodu pecanja. I to je baš to – stići će vam nekakva e-pošta koja će sadržavati nešto vama zanimljivo i kliknut ćete na tu poveznicu (link) ili otvoriti privitak te e-poruke. Phishing e-pošte se često šalju u velikim količinama, jer su usmjerene na mase i možda će netko kliknuti na tu „zločestu“ poveznicu. To su najčešće bankarski izvodi, potvrde o dostavi pošiljke, izvještaj o prometnom prekršaju i slične prijevare. Krajnji cilj je da korisnik učini što su kriminalci naumili u toj nesretnoj e-poruci – otvaranje privitka kako biste zarazili svoje računalo malwareom ili upisali svoje podatke za prijavu i predali ih u ruke kriminalaca.
Spear-phishing
Ova vrsta „pecanja“ je nešto naprednija (od eng. spearfishing – pecanje kopljem), odnosno radi se o tome da je usmjerena prema nešto užoj publici. Za razliku od prethodno navedenog phishinga gdje krajnji korisnik može primiti zloćudnu e-poštu od banke, iako nije povezan s navedenom bankom iz te e-poruke, spear-phishing cilja na manju grupu primatelja ili jednog zaposlenika te navedena e-poruka sadržava nešto poznato žrtvi. Kako bi ovakva vrsta napada bila uspješno pripremljena i izvršena, kriminalcima trebaju naučiti ponešto o meti, odnosno o potencijalnoj žrtvi napada. Potrebno je izraditi navedenu e-poruku na uvjerljiv i točan način kako bi žrtvi bilo gotovo neprimjetno da je upravo predala svoje podatke ili možda čak otvorila taj privitak koji potencijalno može sadržavati na primjer cryptolocker (maliciozni program koji kriptira sve podatke). Možda najvažnija činjenica jest ta da napadačima nije veliki problem saznati pojedinosti o žrtvi zbog lakog pristupa svim javno dostupnim informacijama na Internetu te je upravo stoga potrebna kontinuirana edukacija i osvještavanje o svim potencijalnim prijetnjama.
CEO Fraud
CEO Fraud ili prijevara direktora je vrsta napada koja je upravo to – vrlo sofisticirani i ciljani napad na upravljačku strukturu neke tvrtke ili organizacije putem e-pošte. Takvi su napadi iznimno popularni te ako uspiju, često dolazi do velike financijske štete jer upravljačka struktura često ima pristup svim informacijama i podacima o poslovanju tvrtke. Jedan od tipičnih primjera takvog napada je lažno predstavljanje direktora drugim zaposlenicima (primjerice računovodstvu) gdje on traži da se izvrši nekakva uplata prema nekomu i on to traži sa svoje e-adrese (email spoof). Imao sam prilike vidjeti takve napade uživo i moram reći da ako žrtva ne obraća pozornost ili je možda samo smetena u tom trenutku, vrlo lako dođe do neželjenih posljedica.
Društveni inženjering (Social Engineering)
Prethodno navedene prijevare putem e-pošte izrađene su uz pomoć tehnika društvenog inženjeringa. Društveni inženjering sačinjava niz tehnika pomoću kojih pojedinac (napadač), iskorištavanjem ljudskih pogrešaka i slabosti utječe na drugog pojedinca (žrtvu) kako bi ga naveo da učini nešto što nije u njegovom interesu ili ukratko – jedan vid hakiranja čovjeka.
Često je puno lakše i elegantnije hakirati čovjeka nego informatički sustav.
Edukacija o potencijalnim prijetnjama jedini je pravi način obrane od navedenih napada na vašu tvrtku. Stoga je i cilj seminara ‘Cyber Security Awareness – Informacijska sigurnost kroz poslovno okruženje’ kvalitetno educiranje kako bi se podigla svijest o različitim prijetnjama te kako bi se nepoželjne situacije prevenirale. Prijavite se na seminar te smanjite pojavnost IT incidenata i svedite ranjivost sustava na najmanju moguću razinu.