Kako zaščititi poslovne podatke podjetja pri delu na daljavo?

Si predstavljate, da se v vašem poslovnem življenju čez noč vse obrne na glavo? Da ostanete brez dostopa do pomembnih datotek ali brez denarja na računih podjetja? Vaš strah je povsem upravičen, saj je lahko tarča spletnih kriminalcev prav vsakdo izmed nas. Naj le omenimo primer, ko je storilec preko lažnega elektronskega sporočila, namenjenega zaposlenim, prejel dostop do poslovnega sistema več slovenskih podjetij, vključno z njihovimi bančnimi računi, in odtujil velike vsote denarja. Ne preostane nam torej drugega, kot da se poskušamo kar najbolje zaščititi pred podobnimi napadi.

In kaj na tem mestu predstavlja dejstvo, da vse več zaposlenih delno ali v celoti dela od doma? Vsekakor dodatno obilico varnostnih groženj. Nepridipravi namreč situacijo izrabljajo predvsem z razpošiljanjem sporočil z zlonamernimi priponkami, ki bi naj vsebovale pomembne informacije o koronavirusni bolezni, in vdori v infrastrukturo organizacij, ki jih olajšuje delo preko oddaljenega dostopa.

Vse več škode zaradi kibernetskih napadov

Poročilo o kibernetski varnosti (vir: SI-CERT) razkriva, da je bilo v letu 2019 v Sloveniji zabeleženih 2733 incidentov, kar je 12 odstotkov več kot v letu 2018. Če se ozremo nekoliko bolj v preteklost, lahko ugotovimo, da je bilo leta 2009 takšnih incidentov le 325 oziroma 12 odstotkov od lanskih 2733. Glede na to, da spletni kriminalci s pridom izkoriščajo stanje, ki ga je povzročil koronavirus COVID-19, pa gre pričakovati, da bodo številke za leto 2020 še bistveno višje.

Kako prispevati k boljši zaščiti poslovnega sistema?

Napadene organizacije se največkrat soočajo s tako imenovanimi izsiljevalski virusi. Pri tem se napadalci v prvi vrsti usmerjajo na omrežja podjetij in javnih ustanov, ki niso dobro zaščitena. V letu 2018 se je z varnostnimi incidenti soočilo 14 % podjetij (vir: SURS), lahek plen pa so zlasti manjša podjetja, ki običajno nimajo znanja in sredstev za ustrezno varovanje. Najpogosteje uporabljeno vstopno točko predstavljajo slabo zaščiteni oddaljeni dostopi, kar je še posebej zaskrbljujoče zaradi povečanega obsega dela od doma. Kriminalci s prenosom virusa na strežnike podjetij zašifrirajo datoteke, do katerih ni mogoče dostopati, ob tem pa zahtevajo vrtoglave odkupnine.

Ob skrbi za preprečevanje vdora v sisteme podjetja se nikakor ne sme pozabiti na to, da se ključne podatke shrani na drugih virih, ki bodo v primeru katastrofe ostali nedotaknjeni. To prav tako velja za dragocene podatke, ki jih shranjujemo v okviru poslovnega programa PANTHEON.

Izobraženi zaposleni so ključ do uspeha na področju varnosti

Skrb za informacijsko varnost se začne in konča pri zaposlenih. Ti morajo imeti na svojem računalniku nameščen protivirusni program in uporabljati močna gesla, ki jih ne delijo z drugimi ter jih večkrat tudi zamenjajo. Hkrati je nevarno povezovanje na javne točke WiFi, klikanje na nepoznane povezave in prenašanje datotek sumljivega izvora.

Ko govorimo o napadih, usmerjenih na posameznike, je vse bolj priljubljen “phishing” – spletna prevara, pri kateri goljuf želi pridobiti občutljive podatke spletnih uporabnikov. Ta praviloma poteka tako, da nas skuša storilec z elektronskim sporočilom zvabiti na lažno stran, pod pretvezo, da se moramo zaradi preverjanja podatkov ali dodatnih ugodnosti prijaviti in preveriti podatke. Če na tej lažni strani vpišemo geslo za dostop, se le-to posreduje storilcu. Preko posameznikovih računov lahko goljufi prav tako dostopajo do poslovne komunikacije in posledično vdirajo v poslovna okolja.

Zgodb, ki govorijo o tovrstnih prevarah, je zunaj in znotraj naših meja ogromno. Učijo nas, da ni dovolj, da poskrbimo za varnost v infrastrukturi organizacij, pač pa moramo o njej nujno poučiti tudi zaposlene. Ne pozabimo – ob tem, ko ti do poslovnih programov, kot je PANTHEON, in ostalih delov informacijske infrastrukture podjetja dostopajo na daljavo, se tveganje za vdore le še poveča.

Kako torej vzpostaviti zaščito, ki bo poslovanje obranila pred kriminalci?

Na vrhu prioritetnega seznama je gotovo izvedba celovitega varnostnega pregleda, ki je namenjen odkrivanju morebitnih groženj in ranljivosti informacijskih sistemov ter z njimi povezanih tveganj za varnost informacij. Celovit varnostni pregled je najučinkovitejši način preverjanja dejanske stopnje varnosti, saj se uporabljajo enake metode, tehnike in orodja, kot jih v praksi uporabljajo tudi hekerji.

Za podjetja, ki so že izvedla določene ukrepe in želijo preveriti njihovo učinkovitost, so primerni zlasti penetracijski testi, umerjeni na tiste varnostne pomanjkljivosti, ki napadalcu omogočijo doseči cilje na čim bolj enostaven način.

Pozabiti ne smemo niti na določanje varnostnih protokolov znotraj podjetja in v oblaku, kot so politika gesel, požarne pregrade in dvostopenjsko preverjanje prijave. Ker je varnost informacijskega sistema odvisna od njegovega najšibkejšega člena, pa gre veliko pozornosti nameniti zaposlenim, ki jih je nujno potrebno izobraziti o varnosti v poslovnem okolju.

 

Se sprašujete, kako se zaščititi pred kibernetskimi napadi oziroma kako izboljšati varnost vašega podjetja? Obrnite se na strokovnjake Skupine stroka.si in z veseljem vam bodo pomagali. Pokličite jih na 02 88 79 780, pišite na ccc@stroka.si ali obiščite njihovo spletno stran www.stroka.si.