Nobeno podjetje ni premajhno za spletne kriminalce

Kot izpostavljajo na SI-CERT, je še vedno pogosto prepričanje, da manjša podjetja niso zanimiva za spletne napadalce, kar pa ne drži. Zaradi omejenih finančnih in kadrovskih virov so vlaganja v informacijska varnost velikokrat pomanjkljiva, zato so manjša podjetja lažja tarča. Tudi v večjih podjetjih in organizacijah, kjer je stopnja zavedanja o kibernetski varnosti mnogo višja, težavo še vedno predstavlja nezadostno izobraževanje zaposlenih. Vlaganje zgolj v programsko in omrežno opremo ne reši vseh težav, saj gre v večini primerov za tehnično nezahtevne napade, ki temeljijo na družbenem inženiringu. Ker zaposleni nimajo ustreznih znanj in veščin, da bi prepoznali nevarnost, so napadalci pogosto uspešni. Tako so v 2021 na SI-CERT skupno obravnavali 3177 incidentov, med katerimi so phishing napadi predstavljali tretjino vseh primerov. Čeprav gre za eno najstarejših vrst spletnih napadov, ki so tehnično zelo enostavni, so še vedno uspešni, saj jih zaposleni enostavno ne prepoznajo.

Še ena nevarnost, ki se prav tako širi prek elektronske pošte zaposlenih, so priponke z zlonamerno kodo. Samo pomislite, na koliko priponk pri svojem delu kliknete v samo enem dnevu? Na prvi pogled povsem nenevarna priponka lahko skriva trojanskega konja, specializiranega za krajo gesel in digitalnih potrdil, ali izsiljevalski virus, ki podjetju povzroči ogromno škodo. Posledice vdora so za organizacijo izredno negativne, ne le v finančnem smislu, ampak lahko povzročijo tudi izgubo ugleda in zaupanja.

Različna delovna mesta imajo različne šibke točke

V SI-CERT opažajo, da se v zadnjih letih dogajajo intenzivne spremembe in podjetja vedno več vlagajo v opremo in zunanje varnostne preglede, potrebno pa je pomisliti tudi na zaposlene. Ti so pogosto spregledani, nimajo možnosti izobraževanj ali pa so ta neprilagojena njihovemu nivoju znanja.

V sklopu akcije ozaveščanja »Izognite se najslabšemu scenariju!« predstavljajo štiri videe, ki nagovarjajo različne skupine zaposlenih in njihove šibke točke.

Računovodje imajo dostop do financ in spletne banke, zato so najpogosteje tarča vrivanja v poslovno komunikacijo (Business Email Compromise). Praktično vsi zaposleni, ki imajo dostop do elektronske pošte, so lahko vstopna točka za napade z zlonamerno kodo. Zaposleni v marketingu vsakodnevno veliko komunicirajo z zunanjimi partnerji in tudi upravljajo kanale na družbenih omrežjih, ki prinašajo dodatno tveganje. Vodstvo in zaposleni v IT oddelku pa imajo možnost, da s svojim proaktivnim delovanjem in vlaganjem v izobraževanje pomembno zmanjšajo tveganja.

Vsak video predstavi konkretno situacijo, v kateri se lahko znajde zaposleni, ko je pred odločitvijo, ali bo kliknil prav ali narobe. Odločitev je odvisna izključno od znanja in ozaveščenosti zaposlenih.

Za vse organizacije, kjer zaradi pomanjkanja virov ni sistematičnega pristopa k izobraževanje zaposlenih, so na SI-CERT zasnovali brezplačni spletni tečaj Varni v pisarni. Spletni tečaj na zelo enostaven, razumljiv in vizualno privlačen način zaposlenim predstavi osnove informacijske varnosti. Tečaj poteka kadarkoli na zahtevo, traja vsega 30 minut in je prilagojen različnim delovnim mestom v organizaciji.

Postanite ambasadorji kibervarnosti

Slab mesec nas loči od kampanje Evropski mesec kibervarnosti, ki bo tudi letos povezala vse članice EU. Kampanjo organizira Agencija Evropske unije za kibernetsko varnost ENISA, ki poziva vse organizacije, naj se pridružijo in postanejo ambasadorji kibervarnosti. Na portalu cybersecuritymonth.eu lahko podjetja registrirajo dogodek, s katerim bodo nagovorila svoje zaposlene in širila zavedanje o informacijski varnosti. Lahko organizirajo spletni seminar za zaposlene, delijo gradiva, pripravijo kviz … nabor možnosti je širok in prepuščen organizacijam. Na voljo bodo tudi že pripravljena gradiva v slovenskem jeziku, npr. plakati, infografike in smernice na temo zaščite pred izsiljevalskimi virusi in phishing krajo podatkov.