Od listopada 2024. primjenjivat će se Direktiva o mjerama za visoku zajedničku razinu kibersigurnosti diljem Europske unije, tj. NIS2, za koju se moraju pripremati svi poduzetnici koji rade i žele nastaviti raditi s ključnim pružateljima usluga u čak jedanaest gospodarskih grana, od energije do prehrane. Jedna od ključnih komponenata u usklađivanju jest edukacija zaposlenika, na čemu su se mnogi već opekli
Najbrži je i najučinkovitiji način zaštite od kibernetičkih rizika u kompanijama edukacija zaposlenika. Zaposlenici koji nisu dovoljno dobro educirani da prepoznaju razne pokušaje takvih napada krivi su za čak osamdeset posto uspješnih kibernetičkih napada. I da, naravno da se to uvijek događa nekomu drugomu, a ne vama, ali onda kad se dogodi, kad shvatite da ste i vi i kompanija žrtva iznude neke organizacije koja napadima skuplja financijska sredstva za neki viši cilj, viši barem u njihovim glavama, ili još gore, nekakvih klinaca koji glume hakere iz susjedstva, prekasno je. Djelovati treba odmah, u čemu pomaže jedino edukacija.
Direktorske prijevare
Svakodnevno smo izloženi primitku neželjenih e-poruka u kojima nas se na razne načine pokušava nagovoriti da kliknemo na neku poveznicu, pa katkad u nesmotrenosti i kliknemo i otvorimo mrežnu stranicu ili privitak koji su zapravo povezani sa zlonamjernim sadržajem. Dovoljno je samo jedanput biti nepažljiv ili nesmotren kako bi napadač postigao svoj cilj, objašnjava Marinko Žagar, stručnjak za edukaciju o kibernetičkoj sigurnosti (engl. cyber security training expert) u Span Centru kibernetičke sigurnosti, i kao najbolji primjer iznosi tzv. direktorske prijevare.
– Prije slanja zlonamjernog sadržaja napadač će proučiti do detalja svoju žrtvu i tek nakon toga poslat će neželjenu poruku. Osobi zaduženoj za provedbu plaćanja doći će e-poruka koja po svemu izgleda kao da stiže od direktora ili mendžera zaduženoga za izdavanje naloga za plaćanje s nekoliko tisuća eura da se ne privuče previše pozornosti. Nažalost, mnoga su poduzeća nasjela na tu vrstu prijevare i ostale bez novca koji bi inače bio dovoljan da se provede edukacija koja bi zaposlenike naučila i pripremila za takve prijevare. To je tipičan primjer socijalnog inženjeringa, koji se može spriječiti prije svega kontinuiranom edukacijom zaposlenika, ali i menadžmenta iz područja kibernetičke sigurnosti, zatim prihvaćanjem strožih pravila ponašanja i dodatnim provjerama – ističe Žagar.
Podatkovni znanstvenik i tehnološki poduzetnik Boris Agatić, koji se, između ostalog, bavi kibersigurnosti, potkrepljuje tezu da su zaposlenici najveće usko grlo drugim primjerom, koji je možda i češći. Riječ je o phishing-napadu.
– Zaposlenik može primiti e-poruku koja izgleda kao da dolazi od pouzdane strane poput IT odjela ili bankovne institucije. Ta poruka može tražiti osjetljive informacije ili zaposlenika može uputiti da klikne na zlonamjernu poveznicu. Ako zaposlenik postupi prema uputama u e-poruci, na temelju tog klika na poveznicu napadač, black hat hacker, može dobiti pristup korporacijskoj mreži ili osjetljivim podacima. Taj se napad mogao spriječiti redovitom edukacijom zaposlenika o opasnostima phishinga i poticanjem na dvostruku provjeru sumnjivih e-poruka, domene pošiljatelja i sličnoga – objašnjava Agatić.
Upotreba prijenosnih uređaja
Stručnjak za kibernetičku sigurnost Tino Šokić također smatra da je problem najbolje objasniti primjerom pa je izmislio fiktivan slučaj napada na maloprodajni lanac u kojem nije regulirano korištenje prijenosnih uređaja, ne samo laptopa nego i mobitela i tableta.
– Imamo na primjer Marka koji radi u financijskom odjelu tvrtke koja slovi kao najveći maloprodajni lanac trgovina u zemlji. Zadužen je za obradu financijskih transakcija i ima pristup osjetljivim financijskim podacima tvrtkinih dobavljača i partnera. Unatoč upozorenjima i smjernicama svoje organizacije Marko je donio svoje privatno prijenosno računalo na posao kako bi mogao dovršiti zadatak na kojem je radio kod kuće tijekom vikenda. Nažalost, Markovo privatno računalo nije dovoljno sigurno. Nema ažuriran antivirusni softver i zaporka za njegovu prijavu je slaba, lako se može pogoditi. Naravno, Marko je također svoje privatno računalo upotrebljavao za rad na transakcijama s osjetljivim podacima. Njegov je uređaj ranjiv i izložen zloćudnom virusu, a njegova nesmotrenost omogućava napadaču da neprimjetno uđe u sustav institucije, pristupi osjetljivim informacijama i, u najgorem slučaju, ukrade financijske podatke klijenata – navodi Šokić dodajući da takvi napadi uopće nisu iznimka.
Marko je, naglašava dalje Šokić, trebao biti educiran o sigurnosnoj praksi i politici svoje organizacije, a razumijevanje opasnosti korištenja privatnih uređaja za osjetljive zadatke i upotreba snažnih zaporki mogli su mu pomoći da prepozna rizike. Osim toga, organizacija je trebala imati jasno definirane politike i procedure koje zabranjuju upotrebu osobnih uređaja za rad na osjetljivim zadacima. Također je trebala zahtijevati da se svi uređaji koji pristupaju osjetljivim podacima redovito ažuriraju i da imaju adekvatnu sigurnosnu zaštitu, a uza sve navedeno trebalo je i posebno educirati zaposlenike.
Pravilo, a ne iznimka
Upravo kad smo naučili da ne smijemo otvarati sumnjive e-poruke i da moramo doista imati pametne šifre, stječe se dojam da su napadi sve sofisticiraniji pa smo pitali stručnjake kako se zaštititi i kako zaposlenike educirati u vremenu kad je jedina konstanta opasnost i kreativnost ljudi s one strane zakona. Žagar potvrđuje tezu da su napadi sve sofisticiraniji i da napadači često imaju pristup najnovijim tehnologijama poput AI-ja, a i novac za njihovu primjenu u izradi i napadu zlonamjernih softvera. Jedino je rješenje stalno ulaganje u edukaciju zaposlenika, ali i menadžmenta, koje prema njegovim riječima mora postati pravilo, a ne iznimka.
– Span je prepoznao tu potrebu pa je osnovao Span Centar kibernetičke sigurnosti, u sklopu kojega educiramo polaznike i izvodimo treninge za menadžment na svim razinama: IT zaposlenike i profesionalce u svim područjima. U suradnji s partnerima osiguravamo infrastrukturu na kojoj polaznici edukacija mogu u interaktivnom, bliskom i stvarnom okružju vježbati i pripremati se kako bi spriječili napade. Instalacija antivirusnog softvera već odavno nije dovoljna – objašnjava Žagar.
I Agatić je na tom tragu te napominje da je važno i to da se zaposlenici redovito obavještavaju o novim taktikama kojima se koriste napadači, a zaštita podrazumijeva kombinaciju tehnologije i stalne edukacije zaposlenika i određenih procesa.
S druge strane, Šokić ne smatra da su napadi toliko sofisticiraniji, nego da su jednostavno brži.
– S pomoću umjetne inteligencije i pratećega strojnog učenja moguće je sada razviti i izvršiti napade nevjerojatno brzo. Najbolji je primjer phishing-napad e-porukom. S razlogom na službenim stranicama ChatGPT-ja ne možete izraditi takvu e-poruku iako to ChatGPT može napraviti brzinom svjetlosti. Nema savršenog načina za potpunu sigurnost, ali kombinirajući obuku, korporativne politike, tehničke mjere i praćenje, organizacije mogu znatno smanjiti svoj rizik od kibernetičkih prijetnji. To je dinamičan proces koji zahtijeva stalno učenje i prilagodbu kako bi se ostalo korak ispred napadača – savjetuje Šokić.
Napad nije samo situacija ‘šuti i plati‘ jer ima znatno teže posljedice. Može rezultirati financijskim gubicima, gubitkom povjerenja klijenata ili pravnom odgovornošću, a samo jedan sigurnosni incident može imati ozbiljne poslovne posljedice. Edukacija se zato ne bi trebala tretirati kao luksuz, nego kao nužnost. Postavljanje jakih zaporki, prepoznavanje phishing-napada i osnovna sigurnosna pravila trebali bi biti obvezna edukacija za sve zaposlenike, pogotovo malih i srednjih poduzetnika.
– Svim poduzetnicima savjetovao bih da organiziraju treninge svjesnosti o kibernetičkoj sigurnosti za sve svoje zaposlenike kako bi prije svega postali svjesni rizika kojima su izloženi za vrijeme i nakon radnog vremena. Naime, oprema kojom se koristimo za rad od kuće izložena je kibernetičkim rizicima, zato svi zaposlenici moraju biti svjesni tih rizika. Nakon osvještavanja za pojedine zaposlenike na različitim pozicijama treba provesti napredne edukacije o kibernetičkoj sigurnosti. To je iznimno važno i zbog NIS2, direktive koja će se primjenivati od listopada 2024. Svim poduzetnicima koji rade i žele nastaviti raditi s ključnim pružateljima usluga u čak jedanaest gospodarskih grana, od energije do prehrane, predlažem da se što prije počnu usklađivati s tom direktivom. Jedna je od ključnih komponenata u usklađivanju edukacija zaposlenika, zato je treba planirati i provesti pravodobno. Uz to bih savjetovao i provedbu internih vježbi prepoznavanja phishing-napada specijaliziranim alatima kako bi zaposlenici mogli prepoznati stvarne takve napade te ih prijaviti mjerodavnim tijelima – naglašava Žagar.
Ključno trajanje
Šokić edukacije o kibernetičkoj sigurnosti drži od 2015. Počeci su, kaže, bili zahtjevni. U angažmanu stručnjaka i izboru edukacije zaključio je, dodaje, ključno je trajanje. Njegovi kurikuli traju dva sata ili čak manje od jedan sat za uprave jer su edukacije specifične, odnosno prilagođene radnim mjestima i pozicijama u poduzećima.
– Nitko ne voli da mu se oduzima mnogo vremena, pogotovo u privatnom sektoru, gdje se nedostupnost pojedinog odjela cijeli dan također smatra svojevrsnom vrstom napada na poduzeće. Nažalost, najpredaniji ispadnu oni koji su imali relevantniji kibernetički incident u svom društvu ili organizaciji – ističe Šokić.
Agatić podsjeća na još jedan važan faktor: ako se edukacija provodi na zanimljiv i interaktivan način, sa što više primjera i savjeta, odnosno tips&tricks, veća je vjerojatnost da će zaposlenici biti predani.