Следејќи ги ваквите медиумски известувања, некој може да добие погрешен впечаток дека речиси без исклучок токму големите компании се постојана мета на кибер криминалците. Ова е многу погрешно. Вистина е дека колку е поголема компанијата/институцијата/организацијата, односно колку е поголема нејзината изложеност, толку станува и повеќе посакувана цел на криминалците, но ова важи само за дел од нив. Имено, огромен дел од т.н. хакерски напади се случуваат кон средните и мали претпријатија! Овој тренд е растечки во светски рамки, и тоа поради низа причини. На пример, хакерите очекуваат (и за жал често се во право) дека помалите компании ги немаат ресурсите, ниту свесноста за вредноста на нивните податоци, па не преземаат речиси никакви мерки истите да ги заштита. Друга причина е што, бидејќи големите корпорации имаат цели тимови посветени на превенција и заштита од кибер-инциденти, потребно е навистина огромно техничко знаење, и речиси секогаш – работа во тим, со цел успешно да се пробие системот на таква организација, додека пак, малите и средни претпријатија вообичаено немаат ни посветен ИКТ кадар во своите редови, а да не зборуваме за ИКТ кадар задолжен за безбедноста!
Сепак, не е се така црно. Иако е точно дека одбрана од голем, добро организиран напад речиси е невозможна, особено кога зборуваме за мали и средни претпријатија, организации и институции, ова не значи дека треба веднаш да се откажеме. На крајот на денот, дури и организирањето на таков голем кибер напад подразбира ресурси и на криминалците – а тие поверојатно е дека ќе ги потрошат истите обидувајќи се да дојдат до поголема финансиска корист. Значи, во најголемиот број случаи, за малите и средни претпријатија доволно е да преземат неколку едноставни (и релативно евтини) чекори, со цел значително да ја зголемат својата отпорност од напади, барем кога станува збор за по „секојдневните“ криминалци, кои често работат сами.
Во продолжение следуваат три кратки работи, или постулати, кои, доколку вашата компанија соодветно ги адресира, ќе има значително поголемо ниво на кибер безбедност, доволно да одврати и превенира голем број напади однадвор.
Тренинг на вработените
Најважната работа на почеток – човечкиот фактор. Вработените во компанијата се вообичаено најслабата алка кога станува збор за кибер безбедноста на една компанија, и ова важи за речиси сите видови и големини на компании и организации – колку повеќе луѓе има во тимот, толку е поголем ризикот од истекување на податоци, или надворешен напад односно пробивање. Она што големи компании, како банките на пример, многу добро го прават е тоа што се грижат за нивоата на познавање на безбедноста на податоците и уредите кај своите вработените.
Корпорациите трошат огромни суми пари за тренинг на сите свои вработени. Се разбира, не сите го добиваат истиот тренинг, ниту пак има потреба од тоа. Во зависност од нивото на изложеност и познавање на секој поединец, добра тренинг програма ќе осигура дека сите се соодветно запознаени со основните (и понапредните) теми од кибер-безбедноста и интегритетот на податоци. Покрај ова, преку редовен тренинг за превенција од социјален инженеринг (вообичаено еднаш годишно, секако во зависност од компанијата) се осигуруваме дека нашите вработените секогаш се во тек со најновите информации кои мора да ги знаат и од оваа сфера, со што ја осигуруваме иднината на компанијата.
Очекувано е дека малите и средни претпријатија не можат да си дозволат да посветат толку време само за тренинг за кибер-безбедност, но со малку креативност и енергија на менаџментот, можат да се дизајнираат мини-тренинзи во рамки на други активности на компанијата, или пак да се отвори посебен канал за комуникација каде ќе се разговара за теми од кибер-безбедноста. Ова ќе помогне да се покрене свесноста на сите вработените (вклучително и на менаџментот) за важноста од заштита и превенција од кибер напади, како и можните последици за сите во компанијата.
Друг начин на кој може редовно да се работи на „тренинг“ на вработените, е да се има редовен состанок или размена на информации посветена на безбедноста. Ова исто така може да инкорпорира со другите слични тренинг-програми, како на пример за прва помош, безбедност при работа, и други. Промовирањето на добри практики, како сајбер хигиена, кај секој вработен, драстично ќе ја подобри резилиентноста на целата компанија. Редовното разменување на кредибилни информации, особено од проверени извори и соодветни на индустријата во која функционира вашата компанија, ќе помогне навремено да се согледаат трендовите во кибер-нападите во компании слични на вашата, што ќе ви даде време да се подготвите.
Безбедност на податоци – интегритет и резервни копии
Безбедноста на податоците со кои секојдневно оперира вашата компанија се од витално значење. Без нив, едноставно, работата целосно ќе застане. Податоците како банкарските сметки, лозинките за пристап до доверливи документи, контакт информации на вашите клиенти, партнери, и слично – се податоци кои имаат огромна вредност, и ова го знаат и злонамерните актери. Тогаш, со цел обезбедување на иднина на компанијата, мораме да се грижиме овие податоци, кои често се податоци за нас, но и за нашите клиенти, уживаат соодветно ниво на заштита.
Еден од поедноставните начини како можете да го постигнеме ова е редовно да правиме резерви копии од нашите податоци. Со ова, дури и да дојде до инцидент, секогаш ќе имаме можност да ги вратиме старите податоци и нашиот бизнис да продолжи да функционира, без притоа да потрошиме големи суми пари за откуп (кој и онака не ги гарантира податоци во целост).
Покрај правењето редовни резервни копии на податоци, уште една добра практика е осигурување дека секој член на тимот има соодветен пристап до податоците кои нему/неа и се потребни за работата. На пример, определувањето нивоа на овластен пристап до почувствителните податоци само до одредени личности, наместо до целата компанија, ќе го намали „прозорецот“ за можни пробивања (хакирање) од надвор. Исто така, обезбедување на повеќефакторска автентикација на сите вработените, и редовно менување на лозинките (вклучително и на алармниот систем и влезната врата!) ќе допринесе до драстично поголема безбедност на просториите и корисничките сметки – и ќе обезбеди поголем интегритет на податоците. Доколку одредени вработени (на пр. менаџментот) има потреба од редовно приклучување на несигурни мрежи надвор од работното место, на пример, при патување, вреди да се размисли и за задолжително користење на ВПМ на нивните уреди.
Мораме да бидеме многу внимателни на податоците со кои секојдневно работиме, и без кои не би можеле да функционираме. Доволно е еден неовластен пристап за да се сруши целата нашата операција, и дури и со враќање на дел од изгубените податоци, она што никогаш нема да се врати се нашата (само)доверба во системите, и нашата репутација кај клиентите со кои сме соработувале.
Политики за кибер безбедност
Крунисување на целиот труд, енергија и финансии вложени во подготовката на вашата компанија од кибер закани најсоодветно би било преку воспоставување на т.н. политики за кибер-безбедност. Со ажурирани, имплементирани и мониторирани политики безбедноста на целата компанија ќе биде на солидно ниво – далеку подобро од поголемиот број останати мали и средни претпријатија.
Добрите политики ќе гарантираат, меѓу другото, дека доколку дојде до инцидент, целата постапка пред, за време на, и по инцидентот ќе биде забележана и достапна за проучување во иднина. Ова не се разликува многу од останатите инциденти на работните места, како на пример, пожар, поплава, кражба и слично. Кај сите случаи, потребно е темелно анализирање на причините поради кои инцидентот се случил, како се одвивал (текот), и како завршил. Само со редовно следење на метрики, и во контекст на кибер-безбедноста, можеме да се сме сигурни дека нашите политики функционираат и не заштитуваат, и соодветно да ги модифицираме оние кои не го прават тоа.
Пример за релативно едноставна политика која значително ќе помогне во покревањето на кибер-безбедноста на една компанија е т.н. политика на „чисто биро“ или чиста работна површина. Накратко, оваа политика има за цел да воспостави ред во контекст на што може, смее, а што не смее да се затекне на бирото на секој вработен во одреден момент. Меѓу другото, во ваква политика може да се вметне и правило за не запишување на лозинките за пристап на компјутерите на ливче, кое потоа се залепува на работ од тастатурата или мониторот. Исто така, во фиоките од бироата, не смеат да се затекнат клучеви од други канцеларии, или помошни простории. Дополнително, во ваква политика добро е да се содржи и правило за не оставање на преносни мемории (USB стикови итн.) на видни места, каде лесно и брзо би можеле да бидат украдени.
Друга корисна политика е политиката за редовна промена на лозинки на корисничките сметки за сите вработените. Вообичаено, корисничките сметки за е-пошта се први на листата за редовно менување лозинки, но не смееме да ги заборавиме и останатите: на пр. официјалните компаниски профили на социјалните медиуми, лозинките на службените лаптопи и телефони, итн. Во ваква политика, може да постои правило и за промена на WiFi лозинката во канцелариските простории, на одреден интервал, со цел да се спречи неовластен пристап до интернет мрежата која ја користат сите вработените. Покрај тоа, релативно лесно може да се отвори и т.н. гостинска мрежа, која ќе биде наменета исклучиво за повремени посетители во просториите на компанијата, и на овој начин нема да има потреба од споделување на лозинката со секој заинтересиран.
Постојат мноштво политики за кибер безбедност, кои, доколку се редовно ажурирани, успешно имплементирани (што значи, сите вработените се свесни за нивната важност и редовно ги практикуваат), и мониторирани, односно, се следат соодветните метрики за нивниот перформанс, можат значително да ја подобрат кибер безбедноста на една компанија, организација или институција. Сепак, и политиките за кибер безбедност, слично како и политиките за безбедност на работното место, заштита на личните податоци, и било кои други, можат да функционираат единствено ако сите се согласни дека тие се важни, потребни, и ќе се почитуваат. Што не враќа повторно на чекор 1, односно, човечкиот фактор во кибер безбедноста.
Техничката заштита од хакерски напади навистина може многу да не заштити – но таа често знае да биде скапа и неодржлива за помали бизниси. Дополнително, и надворешна техничка заштита не може да гарантира 100% безбедност, а секоја која се обидува тоа да ви го „продаде“ – не ја говори вистината. Без соодветна промена на компаниската култура за важноста на податоците, и редовни, релевантни информации, како и јасни, ефикасни и холистички политики за кибер-безбедност, единствено е прашање е на време кога ќе ве „изненади“ следниот кибер инцидент.
Илустрација во позадина: Photo by Artem from Adobe Stock / Adobe Stock license