Petek, 8. 11. 2019, 19.54
5 let, 1 mesec
Slovenski podjetniki si zatiskajo oči: "To nas ne zadeva." Ni res.
V številnih slovenskih mikro, manjših in srednjih podjetjih so prepričani, da niso zanimiva tarča za hekerje, a pravzaprav nič ne bi moglo biti dlje od resnice, opozarjajo slovenski strokovnjaki za informacijsko varnost. Čeprav v javnosti najbolj odmevajo hekerski vdori v velika in svetovno znana podjetja, so zelo priljubljene tarče kiberkriminalcev tudi manjši podjetniki. Ker ti pogosto nimajo ali znanja ali sredstev za ustrezno varovanje svojih podatkov, jih po tovrstnih napadih veliko propade.
"60 odstotkov manjših podjetij, ki so tarče hekerjev, v šestih mesecih po napadu propade oziroma so nezmožna poslovati naprej," je na današnji konferenci o kibernetski varnosti za mikro, mala in srednja podjetja poudaril Metod Platiše iz Telekoma Slovenije.
Čeprav so za hekerje najbolj zanimiva velika podjetja, ki so prepoznavna tudi v svetovnem merilu, se velik delež kibernetskih vdorov, in sicer okrog 43 odstotkov, pripeti tudi manjšim podjetjem. Ta imajo pri nas absolutno prevlado: mikro, manjša in srednje velika podjetja namreč pomenijo 99,8 odstotka vseh podjetij v Sloveniji.
Hekerji, ki napadajo podjetja, v večini primerov tega ne storijo z namenom povzročanja kaosa, temveč jih zanima predvsem to, kako priti do denarja. To dosežejo s šifriranjem podatkov z izsiljevalskimi virusi ali krajo in nadaljnjo prodajo podatkov zainteresiranim strankam, kot so kriminalno podzemlje ali celo poslovni tekmeci podjetja.
Slovenski podjetniki pogosto ne verjamejo, da so zares ogroženi
Čeprav je statistika kibernetskih napadov v Sloveniji v Sloveniji precej pod povprečjem ZDA, Velike Britanije in nekaterih evropskih gospodarskih območij, lani je v Sloveniji varnostni incident namreč doživelo 14 odstotkov podjetij, v ZDA pa skoraj 80, to ne pomeni, da razloga za skrb ni, je opozoril Metod Platiše.
Pogostost hekerskih napadov namreč raste, ker pa vse več podjetij, tudi najmanjših, pri delu uporablja informacijsko tehnologijo, postajajo morebitne tarče kiberkriminalcev.
Kljub temu v številnih manjših slovenskih podjetjih ne verjamejo, da so zares ogroženi, je pojasnil Boštjan Špehonja, strokovnjak za informacijsko varnost iz podjetja Unistar-Pro.Astec.
Da postaneš potencialna "stranka" hekerjev, je dovolj že, da imaš računalnik in povezavo z internetom. Če imaš ob tem še posel, ki hekerjem izdaja, da ali upravljaš občutljive osebne podatke strank ali pa imaš visoke prihodke, je priložnost za hekerje še toliko bolj mamljiva.
Zelo pogost argument slovenskih podjetnikov je, da ne delajo nič takšnega, da bi bili zanimivi za hekerje, oziroma na računalnikih nimajo podatkov, ki bi jih hekerji lahko ukradli ali kako drugače zlorabili.
To je zmotno razmišljanje, opozarja Špehona. Za hekerje je namreč zanimivo vsako podjetje, ki ima računalnik z internetno povezavo, saj ga lahko okužijo z izsiljevalskim virusom in za podatke, ki jih virus zašifrira, nato zahtevajo odkupnino. Takšnih primerov v Sloveniji do zdaj ni bilo malo.
Če podjetje nima podatkov, ki bi bili še posebej privlačni za hekerje, lahko njihova tarča postane tudi z lastno spletno stranjo, na kateri predstavlja svoj izdelek ali storitev. Nemalokrat se je namreč že zgodilo, da so hekerji prevzeli nadzor nad spletno stranjo in jo nato uporabili za lažno predstavljanje (nanjo so postavili lažen bančni obrazec za krajo osebnih podatkov komitentov, na primer).
Ogromen delež kibernetskih napadov na podjetja, tudi slovenska, se sploh ne zgodi z uporabo sofisticirane "hekerske" opreme, temveč zgolj prek e-pošte ali telefonskega klica. Gre za tako imenovani družbeni inženiring, tehniko, s katero napadalec z dobrimi socialnimi veščinami zaposlenega v podjetju prepriča, da mu kar sam preda zaupne podatke ali omogoči dostop do njih oziroma zanj stori kaj drugega. Napadalci se v teh primerih pogosto izdajajo za direktorja podjetja ali pa za poslovnega partnerja, računajo pa na to, da bo oseba na drugi strani telefonske slušalke ali e-poštnega sporočila tehnično manj podkovana oziroma preprosto naivna.
Današnja konferenca Kibernetska varnost za mikro, mala in srednja podjetja je bila na Gospodarski zbornici Slovenije, organizirala pa jo je IKT horizontalna mreža s podporo evropskega projekta CYBER (Interreg Europe), Ministrstva za gospodarski razvoj in tehnologijo Republike Slovenije, DIH Slovenije (Digitalno Inovacijsko Stičišče Slovenije) in Telekoma Slovenije.
Lažen občutek varnosti
Dr. Andrej Rakar, vodja informacijske varnosti na slovenskem institutu za kakovost in meroslovje (SIQ), je medtem opozoril, da osnovni ukrepi, ki jih za varovanje pred kibernetskimi vdori izvajajo številna slovenska podjetja, niso zadostna zaščita.
Poudaril je, da redne posodobitve programske opreme, požarni zidovi, najnovejše naprave po njegovem mnenju podjetjem pogosto dajejo lažen občutek varnosti.
Podjetja varnost svojih podatkov namreč prepogosto zaupajo zunanjim izvajalcem, nimajo pa jasno razdelane strategije za primer kibernetskega incidenta oziroma sploh ne razumejo vseh dejavnikov tveganja.
Kaj lahko za zaščito pred hekerji naredi slovenski podjetnik
Kibernetska varnost ni nekaj, kar plačaš enkrat in si nato lahko brez skrbi, temveč je večplastna in stalno spreminjajoča se problematika, ki zahteva aktivno udeležbo vseh členov organizacijske sheme podjetja, so na današnji konferenci poudarili strokovnjaki.
Na področju kibernetske varnosti je dejavna tudi država. Eden ključnih mejnikov je bilo sprejetje strategije kibernetske varnosti leta 2016, od leta 2018 pa velja tudi zakon o informacijski varnosti, je spomnil v. d. direktorja Uprave RS za informacijsko varnost Uroš Svete. Po besedah državnega sekretarja v kabinetu predsednika vlade Franca Vesela je ena od nalog vlade zagotoviti ustrezno okolje za spodbujanje digitalizacije in inoviranja, kar bo podjetjem omogočilo hitrejši in učinkovitejši razvoj ter s tem boljše rezultate na področju kibernetske varnosti. (STA)
Med ukrepi, ki zagotavljajo višjo raven kibernetske varnosti, so slovenski strokovnjaki navedli jasno razdelano digitalno strategijo, ki med drugim zajema podrobno poznavanje organizacije podjetja, izobraževanje vseh zaposlenih v podjetju o kibernetskih tveganjih, redno preverjanje in preizkušanje varnostnih mehanizmov, finančno zavarovanje za primer poslovne škode ter ustrezen odziv na morebiten varnostni incident.
Po mnenju Gregorja Spagnola iz podjetja SSRD je še posebej pomembno redno preizkušanje učinkovitosti varnostnih mehanizmov. Realnost sodobnih tehnologij je namreč takšna, da je za varnostne pomanjkljivosti ali ranljivosti strojne oziroma programske opreme nemogoče vedeti, dokler jih ne poskusimo "razbiti" oziroma onesposobiti, kot bi to storil heker, je razložil.
Slovenski uporabniki spleta za zaščito svojih najbolj zasebnih podatkov izbirajo katastrofalna gesla
Zanimiv podatek, ki ga je na konferenci delil dr. Andrej Rakar, razkriva deset najpogostejših gesel, ki jih za zaščito svojih podatkov na spletu uporabljajo Slovenci. Sodeč po analizi okrog 90 tisoč slovenskih uporabniških računov, so njihove izbire katastrofalne:
1. slovenija
2. 123456789
3. 12345678
4. ljubezen
5. pikapolonica
6. geslo123
7. ljubljana
8. olimpija
9. barcelona
10. logitech
Kot je razvidno z zgornjega seznama, bi bilo večino gesel razmeroma preprosto uganili. Dve sta namreč napisani na računalniški tipkovnici (12345678 in 12345679) in se tudi sicer pogosto uvrščata na sezname najslabših gesel, dve sta pogosto povezani z navijaško pripadnostjo uporabnika (olimpija in barcelona), eno ima mnogo uporabnikov napisanih v bližini računalnika (logitech je ime priljubljene znamke mišk in tipkovnic), druga gesla so zelo pogosto uporabljane slovenske besede.
Preberite tudi:
1