Zašto bi se vlasnik poduzeća trebao uopće brinuti oko kibernetičke sigurnosti?

Najjednostavnije rečeno - sve češće tvrtke s naših područja postaju žrtvama napada, što im uzrokuje ogromne financijske i reputacijske gubitke. Gubitke od kojih se mnogi nikad ne uspiju oporaviti.

Bili veliki ili mali - pod rizikom ste da izgubite sve. Apsolutni iznos je tu nebitan, bitan je postotak. Ako izgubite 100 % onoga što imate, ostajete na nuli, bez obzira radilo se o tisućama, milijunima ili milijardama.

Kako izgledaju kibernetički napadi?

Kada biste zamislili jedan primjer kibernetičkog napada, kako bi to izgledalo?

Tipičan odgovor glasi: Čovjek u hudici iz nekog podruma na "hakira" sustave i krade podatke ili novac velikoj korporaciji.

Prekriženi prikaz stereotipičnog hakera

Međutim, istina je sasvim drugačija. "Haker" ne radi svoje aktivnosti ručno, već se to odrađuje automatiziranim procesima, a žrtve najčešće više nisu velike kompanije, već mala i srednja poduzeća.

Nažalost, mnogi vlasnici, direktori, voditelji malih i srednjih poduzeća žive u zabludi da su "premali" da bi ikome bili zanimljivi.
 

Upravo ta pretpostavka vas čini najranjivijima.

 

Statistika koju ne možete ignorirati

• 90 % malih i srednjih poduzeća imalo bi ozbiljan negativan utjecaj na poslovanje unutar tjedan dana od kibernetičkog incidenta, a čak 57 % njih je navelo da bi zbog takvog incidenta bankrotirali ili prestali s radom. Izvor - ENISA: "SMEs Cybersecurity"


Phishing i phishing URL su najčešći oblik kibernetičkog napada s čak 636 zabilježenih incidenata u Hrvatskoj prošle godine. Nacionalni CERT je u 2024. godini obradio ukupno 1113 kibernetičkih incidenata. Izvor - CERT: "Godišnji izvještaj rada Nacionalnog CERT-a za 2024. godinu"


• Mala i srednja poduzeća su ciljana gotovo 4 puta više od velikih organizacija. Sve više organizacija postaje "taocima" s 37 %-tnim rastom ransomware napada. Ako ste ranjivi, oni će doći. Od ukupno 22,052 istraženih sigurnosnih incidenata u 139 zemalja svijeta čak 12,195 je imalo potvrđen proboj, odnosno neovlašten ulaz u sustav. Izvor - Verizon Business: "2025 Data Breach Investigations Report"


• Samo 9 % organizacija u Europi je spremno braniti se protiv kibernetičkih prijetnji. Izvor - Cisco: "Cisco Cybersecurity Readiness Index March 2023 Europe Edition"

 

Zašto ste idealna meta?

Postoji nekoliko ključnih razloga zašto su kibernetički kriminalci posebno "zagrizli" za male i srednje tvrtke - a to je zato što tvrtke te veličine češće zanemaruju osnove kibernetičke sigurnosti. To ne znači da su se veliki izvukli - baš suprotno, ako ste veliki i niste se pobrinuli oko osnova, imate ozbiljnih razloga za brigu jer je to Vaša konkurencija već uradila.

Slika prikazuje osobu koja radi na računalu bez da je uopće svjesna "mete" koju ima na sebi zbog nedovoljno znanja o kibernetičkoj sigurnosti te zbog sustava koji nije adekvatno postavljen za obranu od kibernetičkih prijetnji.

Ovo su ključni razlozi zbog kojih sve češće stradaju poslovanja:

  • Nedostatak svijesti i edukacije - većina zaposlenika (i rukovoditelja) ne zna prepoznati prijetnje, posebice ako se radi o sofisticiranijim oblicima napada.
  • Zastarjela oprema i software – korištenje nesigurnih sustava povećava rizik. Tako se, primjerice, kod starijih softwarea se redovito pronalaze nove sigurnosne rupe (ako ih ne ažurirate redovito).
  • Nedostatak sigurnosne politike – bez jasnih pravila i uputa, zaposlenici mogu kliknuti i otvoriti zaraženu datoteku bez da su toga uopće svjesni.
  • Slaba lozinka = otvorena vrata – korištenje istih ili jednostavnih lozinki bez autentifikacije drugi je najčešći uzrok kompromitacije. Lozinke poput 12345678, admin, ime ili prezime korisnika te inicijalne lozinke koje dobijete uz uređaj su primjeri slabih lozinki i onih koje se najčešće probija.
  • Nema backupa – kad se incident dogodi, podaci su izgubljeni zauvijek. Mnoge manje organizacije nisu ni svjesne vrijednosti svojih i kupčevih podataka te koliko bi zapravo njihovo poslovanje bilo ugroženo gubitkom tih podataka.

 

"Ali mi nismo zanimljivi nikome" - jeste li sigurni u to?

Slika koja prikazuje neke od najčešćih zabluda koje vlasnici poduzeća imaju oko kibernetičke sigurnosti - izjave poput "mi smo premali", "To se događa samo u Americi", "Mi nemamo važnih podataka" su česte među onima koji nisu svjesni opasnosti. Ovo su neke od najčešćih zabluda u koje vlasnici poduzeća koji su nedovoljno upućeni u svijet kibernetičke sigurnosti vjeruju.

Ovo su iznimno opasna uvjerenja, posebice među manjim organizacijama. Ne postoje nezanimljivi, mali, veliki, važni, nevažni - postoje samo mete. Kibernetički kriminalci neće specifično ciljati Vas, već će koristiti automatizirane alate koji traže ranjivosti bez obzira na veličinu ili industriju. Phishing email kojeg ste danas primili je samo jedan od tisuća i tisuća identičnih primjeraka poslanih drugim tvrtkama u nadi da će netko nasjesti i kliknuti prevarantsku poveznicu i unijeti svoje podatke ili da će preuzeti i otvoriti zaraženu datoteku.

Ako nemate dovoljno dobro zaštićen sustav, ako barem jedan član vašeg tima koristi slabe lozinke ili ne obraća pozornost na prevarantski email kojeg je otvorio, možete se u trenu naći u problemu iz kojeg ćete se vrlo teško izvući.

Odgovorimo sada ukratko na sva pogrešna uvjerenja sa slike iznad:

  • Mi nismo zanimljivi "hakerima" - Imate li bilo kakve podatke koji su vama važni (podaci o klijentima, računi, ugovori... pa na kraju čak i u osobnom životu imate fotografije i Vama neprocjenjiva sjećanja koja nikako ne želite izgubiti)? Ako imate bilo što od navedenog (a sigurni smo da imate) zanimljiva ste meta kibernetičkim kriminalcima koji od vas žele izvući novac.
  • Mi smo premali - ako su svi mete, onda ne postoje veliki ili mali, postoje samo oni koji će nasjesti na prevaru i oni koji neće. Što više meta ciljaju, to će ih više i pogoditi.
  • To se događa samo velikim tvrtkama iz Amerike - možda se u filmovima cilja samo na ogromne korporacije, no puno je toga filmskoga nerealno, pa tako i ovo. Ponovimo - svi su na meti.
  • Mi ne čuvamo nikakve važne podatke - možda nemate neke "top secret" informacije od svjetske važnosti, ali imate podatke koji su Vama iznimno važni. Ako ostanete bez njih sigurno ćete biti u problemu i htjeti ih vratiti kako god znate.
  • Kibernetička sigurnost je skupa i nepotrebna za naš tip poslovanja - Skupa? Da ako gledate pakete koji nisu prilagođeni Vama. Manji sustavi zahtijevaju drugačiji pristup od onih većih - a cijena rješenja je najčešće proporcionalna veličini i složenosti sustava. Nepotrebna? Samo ako nemate apsolutno nikakav doticaj s tehnologijom. Koristite li email ili društvene mreže - već ste izloženi riziku. Rekli smo već da su svi mete.
  • Imamo antivirus, to je dovoljno - ovo najčešće čujemo kada osoba uistinu ima antivirus, ali ne zna niti kakav, ni iz koje godine, niti kako je postavljen. Česta pojava u praksi su zastarjela i neažurirana rješenja, što tvrtku uistinu štiti u jednoj mjeri, ali ne od novih oblika napada i ne od novootkrivenih ranjivosti.
  • Nikad nismo imali problema, ne znam zašto bi ih sad imali - Ako ste dosad izbjegli havariju, ne znači da trebate nastaviti neoprezno dalje kroz digitalni svijet. Šanse su da će se havarija prije ili kasnije dogoditi... a što onda kada se dogodi?

 

Nije li sigurnost posao IT partnera ili odjela?

U jednu ruku da, u drugu ne. IT odjel ili partner je tu da provede operativni dio, da osigura da dogovorena rješenja funkcioniraju onako kako bi trebala i da ponudi savjet za poboljšanje.

Na vlasniku, direktoru ili upravi je odgovornost oko sigurnosti. Uprava je ta koja mora donijeti mjere, politike i u konačnici odluke oko sigurnosti. Uprava donosi norme, procese i pravilnike kojih se svi članovi tima, odnosno svi zaposlenici, moraju pridržavati kako bi se održala adekvatna razina sigurnosti.

Dakle, IT, kao odjeli ili vanjski partner, ne može odlučivati o politikama niti o detaljima koji će se nalaziti u pravilnicima. IT, kao i ostali odjeli unutar tvrtke, mora isključivo provoditi ono što uprava definira.

 

Kako se možemo zaštititi?

Dobra vijest je da niste bespomoćni, niti je za kvalitetnu zaštitu potrebno izdvojiti milijunske iznose. Održavanje IT sustava je iznimno važna stavka kojom se omogućuje efikasnije funkcioniranje IT-a kao i povećanje njegove sigurnosti. Paketi održavanja, poput našeg FixIT-a, sastoje se od usluga i rješenja koja najčešće uključuju:

  • Antivirusna rješenja / EDR
  • Upravljani antispam
  • Upravljanje ranjivostima
  • Osnaživanje lozinki i dodatnu zaštitu računa
  • Kontrolu pristupa korisničkim računima
  • Upravljanje zakrpama
  • Enkripciju i zaštitu podataka
  • On-site i/ili cloud backup

 

Ne morate sve riješiti preko noći, ali dakako preporučujemo da čim prije krenete. Informacijska sigurnost ne dolazi sama od sebe, a trošak prevencije daleko je manji od troška sanacije.

Ako niste sigurni gdje početi – obratite nam se za snimku stanja, kojom ćemo Vam ukazati na trenutačno stanje sigurnosti, kao i čitavog IT sustava te preporučiti poboljšanja.

Torna all'elenco

Altre notizie

Sicurezza

15.01.25

6 sigurnosnih IT rješenja za 2025. koje bi svaka tvrtka trebala imati

Potreba za robusnim sigurnosnim rješenjima u IT-u neprestano raste. Danas Vam zato donosimo 6 rješenja koje bi svaka tvrtka u 2024. trebala imati kako bi mogla poslovati sigurno i bezbrižno.

Leggi di più
Sicurezza

07.10.24

Gubitkom podataka riskirate gubitak čitavog poslovanja. Evo kako to spriječiti!

Vaši podaci su kritičan dio Vašeg poslovanja. Bez njih nema poslovanja. Logično bi onda bilo da ih zaštitite, zar ne? Saznajte kako izbjeći nepotrebne rizike i kako zaštititi svoje poslovanje.

Leggi di più