Kibernetska varnost za podjetja: Pomisli preden klikneš

Pričnimo z definicijo kibernetske varnosti (angl. cyber security), ta obsega skupek zaščitnih ukrepov, ki so sprejeti za zaščito informacijskih sistemov in uporabnikov pred nepooblaščenimi dostopi in napadi. Kibernetska varnost je torej praksa obrambe računalnikov, strežnikov, mobilnih naprav, elektronskih sistemov, omrežij in podatkov pred zlonamernimi napadi.

Oktober je mesec ozaveščanja o kibernetski varnosti (European Cybersecurity Month (ECSM)), kibernetska varnost pa je kritično poslovno vprašanje vsake organizacije in zato si v prispevku preberite nekaj koristnih informacij in nasvetov za učinkovito kibernetsko varnost v vašem podjetju. 

Zakaj je kibernetska varnost pomembna in kaj obsega

Zmanjševanje tveganj kibernetske varnosti s katerimi se sooča organizacija je lahko velik izziv. Posebej to velja danes, ko zaposleni svoje delo opravljajo na daljavo, od doma in imajo odgovorni zaradi tega tudi manj nadzora nad vedenjem zaposlenih in varnostjo naprav. Učinkovit pristop mora zajemati celotno infrastrukturo IT in temeljiti na rednih ocenah tveganja, preverjanju kibernetske ranljivosti. Kibernetski napadi lahko organizacije stanejo milijarde evrov in povzročijo hudo škodo. Organizacije ob kibernetskem napadu izgubijo občutljive podatke, se soočajo z globami, takšen napad pa organizacijo seveda stane tudi ugleda. 

Učinkovito upravljanje kibernetske varnosti mora vedno prihajati s strani vodstva. Robustna kultura kibernetske varnosti, okrepljena z rednim usposabljanjem vseh zaposlenih bo zagotovila, da se vsi deležniki zavedajo, da je kibernetska varnost najprej odgovornost posameznika, ki pri svojem delu izbira varno ravnanje. 

Zmanjševanje tveganj kibernetske varnosti s katerimi se soočajo organizacije je velik izziv, potreben je učinkovit pristop. Vir fotografije; pexels.com

Kontrolni seznam kibernetske varnosti za podjetja

Kibernetsko obrambo v podjetju okrepite s temi varnostnimi ukrepi:

1. Usposabljanje in ozaveščanje zaposlenih 

Zaposleni so najšibkejši člen v IT okolju in njihova ravnanja najbolj vplivajo na varnost sistemov. Zaposlene je nujno potrebno opremiti z znanjem za spopadanje z nevarnostmi s katerimi se soočajo. Usposabljanje oz. izobraževanje o kibernetski varnosti bo zaposlenim pomagalo uporabiti dobre (in varne) prakse v delovnih situacijah, kjer so izpostavljeni varnostnim grožnjam.

2. Varnost spletnih aplikacij 

Se osredotoča na ohranjanje programske opreme in naprav brez groženj. Ranljivost spletnih aplikacij je pogosta točka vdora za spletne kriminalce. V organizaciji se je zato potrebno osredotočiti tudi na varnost spletnih aplikacij.

3. Varnost omrežja 

Je praksa varovanja računalniškega omrežja pred vsiljivci, najsi bodo ciljni napadalci ali oportunistična zlonamerna programska oprema. To dosežete z izvedbo testa penetracije omrežja, ki oceni vaše omrežje glede ranljivosti in varnostnih težav.

4. Varnost podatkov 

Ščiti celovitost in zasebnost podatkov, tako ob hrambi kot med prenosom.

5. Varnost procesov 

Vključuje procese in odločitve za ravnanje in zaščito podatkovnih sredstev. Določa dovoljenja, ki jih imajo uporabniki pri dostopu do omrežja, in postopke, ki določajo, kako in kje se lahko podatki shranijo ali delijo.

6. Zaveza vodstva 

Zaveza vodstva je ključna za kibernetsko odpornost podjetja. Brez tega je težko vzpostaviti ali uveljaviti učinkovite procese. Vodstvo mora biti pripravljeno vlagati v ustrezne vire kibernetske varnosti, kot je usposabljanje in tudi morebitno opremo.

7. Upravljanje gesel 

V podjetju morate izvesti politiko upravljanja gesel, ki zagotavlja smernice za zagotovitev, da bodo zaposleni ustvarili močna gesla in jih zaščitili. Dobra praksa v podjetjih je gotovo program za upravljanje gesel (password management software) - na ta način gesla zaščitite, zaposlenim pa se jih ni potrebno zapomniti saj so shranjena na varnem mestu. Obstaja široka ponudba programov, na spletu poiščite najbolj primernega za vaše podjetje. 

8. Obnova po nesrečah in neprekinjeno poslovanje 

Ta opredeli kako se organizacija odziva na kibernetski napad ali kateri koli drug dogodek, ki povzroči izgubo operacij ali podatkov. Politike obnove po nesrečah naj narekujejo, kako organizacija obnovi svoje delovanje in informacije, da se vrnejo na enako zmogljivost kot pred dogodkom. Neprekinjenost poslovanja je načrt, na katerega se organizacija opira, ko poskuša delovati brez določenih (izgubljenih) virov.

Naj bo varnost na prvem mestu, ne le v oktobru, ampak preko celega leta. Vam in vašim sodelavcem želimo veliko uspešnega in tudi varnega klikanja še naprej.

Vrste groženj kibernetske varnosti

Ribarjenje (Phishing)

Ribarjenje je praksa pošiljanja lažnih e -poštnih sporočil, ki so podobna e -poštnim sporočilom iz uglednih virov. Cilj je ukrasti občutljive podatke, kot so številke kreditnih kartic in podatke za prijavo. To je najpogostejša vrsta kibernetskih napadov. Zaščitite se lahko z izobraževanjem, poznavanjem ali tehnološko rešitvijo, ki filtrira zlonamerna e -poštna sporočila.

Izsiljevalsko programje (Ransomware)

Izsiljevalsko programje je vrsta zlonamerne programske opreme. Namenjen je izsiljevanje denarja z blokiranjem dostopa do datotek ali računalniškega sistema, vse dokler odkupnina ni plačana. Plačilo odkupnine pa ne jamči, da bodo datoteke obnovljene ali sistem obnovljen.

Zlonamerna programska oprema (Malware)

Zlonamerna programska oprema je vrsta programske opreme, namenjena pridobivanju nepooblaščenega dostopa ali poškodbi računalnika (npr. virusi, črvi, trojanski konji, vohunsko programje).

Socialni inženiring (Social engineering)

Socialni inženiring je med prevaranti najpogosteje uporabljena tehnika v primerih zlorabe osebnih podatkov. Gre za tehniko, s katero napadalec od žrtve pridobi zaupne podatke in informacije s pomočjo zlorabe zaupanja. Pridobljene informacije lahko napadalec uporabi za pridobivanje premoženjske koristi, redkeje pa se lahko zgodi, da jih uporabi tudi v druge namene kot so izsiljevanje, grožnje, šikaniranje ali kakršnokoli drugo spravljanje žrtve v slabši in nelagoden položaj. Socialni inženiring je lahko kombiniran s katero koli od zgoraj navedenih groženj, s tem boste nevede kliknili povezave, naložili zlonamerno programsko opremo ali podatke zaupali zlonamernemu viru.

Hitre in učinkovite rešitve za vašo kibernetsko varnost

  1. Posodobite programsko opremo in operacijski sistem: to pomeni, da imate koristi od najnovejših varnostnih popravkov.
  2. Uporabite protivirusno programsko opremo: varnostne rešitve, bodo zaznale in odstranile grožnje. Za najboljšo raven zaščite posodobite svojo programsko opremo.
  3. Uporabite močna gesla in program za upravljanje gesel: prepričajte se, da vaših gesel ni mogoče uganiti in so varno shranjena.
  4. Ne odpirajte prilog e-pošte neznanih pošiljateljev: ti so lahko okuženi z zlonamerno programsko opremo.
  5. Ne kliknite na povezave v e -poštnih sporočilih neznanih pošiljateljev ali neznanih spletnih mest: to je pogost način širjenja zlonamerne programske opreme.
  6. Izogibajte se uporabi nezaščitenih omrežij WiFi na javnih mestih: zaradi nezaščitenih omrežij ste izpostavljeni napadom.

Kibernetska varnost je kritično poslovno vprašanje vsake organizacije, ta je najprej odgovornost posameznika, ki pri svojem delu izbira varno ravnanje. 

Nekaj primerov kibernetskih napadov v 2023

MOVEit, junij 2023 

Množični vdor v orodje za prenos datotek, MOVEit, je do julija 2023 prizadel več kot 200 organizacij in do 17,5 milijona posameznikov. Med prizadetimi so večje javne organizacije ZDA, vključno z Ministrstvom za energijo (Department of Energy), Ministrstvom za kmetijstvo (Department of Agriculture) in Ministrstvom za zdravje in človeške storitve (Department of Health and Human Services). Tarča vdora naj bi bila tudi večina šol po ZDA. Incident izhaja iz varnostne ranljivosti programske opreme MOVEit. Čeprav je MOVEit napako popravil, ko je bila identificirana, so hekerji že pridobili dostop do obsežnih količin občutljivih podatkov. Za vdore je odgovorna skupina za izsiljevanje s podatki Clop, povezana z Rusijo, ki je zagrozila, da bo ukradene informacije objavila na temnem spletu.

T-Mobile, maj in januar 2023 

Maja je bilo objavljeno, da je T-Mobile doživel svoj drugi vdor v podatke v letu 2023, potem ko je hekerski napad razkril številke PIN, polna imena in telefonske številke več kot 800 strank. To je deveti vdor podatkov omenjenega podjetja od leta 2018 in že drugi letos. V začetku januarja 2023 so na T-Mobile odkrili, da je napadalec novembra prejšnjega leta pridobil dostop do njihovih sistemov in ukradel osebne podatke (vključno z imeni, e-poštnimi naslovi in rojstnimi datumi) za več kot 37 milijonov strank. Ko so vdor podatkov prepoznali, so uspeli najti vir in ga v enem dnevu obvladati. T-Mobile navaja, da bodo zaradi tega vdora podatkov nastali izjemno visoki stroški, ki se bodo dodali 350 milijonom dolarjev, katere so v poravnavi plačali strankam, povezanim s prejšnjim vdorom podatkov, ki se je zgodil avgusta 2021. T-Mobile ni izgubil le stotine milijonov dolarjev, ampak je zaradi incidentov izgubil tudi dragoceno zaupanje strank.

Yum! Brands (KFC, Taco Bell, Pizza Hut), april 2023

Yum! Brands, matično podjetje priljubljenih verig hitre prehrane KFC, Taco Bell in Pizza Hut, je aprila 2023 sporočilo, da se je januarja zgodil kibernetski napad. Sprva so menili, da je bil napad usmerjen le na podatke podjetja, vendar so sedaj obveščajo zaposlene katerih osebni podatki bi bili lahko ogroženi. Predstavnik Yum! Brands je v izjavi dejal: "V okviru naše forenzične preiskave smo ugotovili, da so bili med kibernetskim incidentom januarja 2023 razkriti nekateri osebni podatki zaposlenih. Smo v postopku pošiljanja posameznih obvestil in ponujamo brezplačne storitve spremljanja in zaščite. Nimamo pa indikacij, da bi bili prizadeti podatki strank. Napad je privedel po podatkih electric.ai do zaprtja skoraj 300 lokacij podjetja v Veliki Britaniji že januarja in podjetju prinaša visoke stroške ter vpliva na ugled blagovne znamke.

Slovenija 2023

V prvem polletju je zaznan padec števila priglašenih incidentov glede na stanje iz leta 2020. V primerjavi z omenjenim letom je med priglašenimi incidenti manj napadov usmerjenih zoper fizične osebe, ki pa so še vedno najpogostejša tarča napadov. Opazen porast napadov v bančnem sektorju iz zadnjega četrtletja prejšnjega leta se je zmanjšal. Najpogostejši tip napada ostaja spletno ribarjenje (phishing). Med vdori pa je najpogostejša zloraba neprivilegiranega računa.

Ministrstvo za zunanje in evropske zadeve, april 2023

Ministrstvo za zunanje in evropske zadeve (MZEZ) je dne 7. aprila 2023 seznanila javnost da so bili tarča kibernetskega napada. Kot so sporočili, so v prvi fazi izvajali varnostne ukrepe in ocenjevali razsežnosti ter posledice dejavnosti. Delovanje ministrstva pa ni bilo moteno. Podali so pojasnilo, da so dejavnosti odkrili sami v sodelovanju s partnerji. Vzporedno s temeljito preiskavo so sprožili ustrezne ukrepe. Ministrica za zunanje zadeve je dejala, da gre za kibernetski napad iz tretje države, ki očitno traja že dalj časa. Po njenih besedah so bila napadena zunanja ministrstva in diplomatske mreže večine članic Evropske unije. 

Več informacij najdete v dokumentu Urada RS za informacijsko varnost - Polletno poročilo o kibernetskih incidentih in napadih, 2023-1.

Oktober je torej mesec, ko naj bi posamezniki in organizacije s poudarkom pomislili na pomen kibernetske varnosti. European Cybersecurity Month (ECSM) se letos poglobljeno ukvarja s področjem socialnega inženiringa, kjer kibernetski kriminalci uporabljajo prefinjene manipulacijske taktike, da presežejo naše varnostne obrambe. #BodiPametnejšiKotHeker (#BeSmarterThanAHacker) je geslo za leto 2023, ki se nanaša na znanje in orodja, ki jih potrebujemo, da se zaščitimo pred kibernetskimi kriminalci. Naj bo varnost na prvem mestu, ne le v oktobru, ampak preko celega leta. Vam in vašim sodelavcem želimo veliko uspešnega in tudi varnega klikanja še naprej.

--

Več informacij na naslednjih spletnih mestih:

SI-CERT (Slovenian Computer Emergency Response Team)

Slovar kibernetske varnosti

The European Cybersecurity Month (ECSM)

CSIS – Significant Cyber Incidents

Urad RS za informacijsko varnost

Prijavite se na naše novice