Što je firma veća i više sarađuje sa svetom, veća su i ulaganja u sajber bezbednost, koju mnogi i dalje vide kao nepotreban trošak, a ne investiciju u budućnost. Niko nema ni vremena ni budžeta za sajber bezbednost, sve dok se ne desi katastrofa. Ako i nemaju budžet, manje firme imaju niz alata dostupnih za analizu rizika i obuku zaposlenih, dok frilenseri, za početak, treba da među svojim hardverima naprave razliku između privatnog i poslovnog.
Tehnički direktor u jednoj firmi iz Kanade Nebojša Horvat Cinger vodi ekipu programera iz Srbije gde je u svojoj firmi zadužen za sajber bezbednost, a njeno stanje u Srbiji ocenjuje na osnovu nedavnih izveštaja o procurelim podacima sa domaćih portala, navodeći da se nedovoljno ulaže u bezbednost.
“Nekad je to softverske prirode: istekli sertifikati na sajtovima, korišćenje zastarele verzije Wordpress-a itd, a nekada ljudska greška usled nedovoljne obuke. Najveći izazovi su nedovoljna obuka zaposlenih, posebno kadra koji se tek nedavno priključio digitalizaciji usluga. Softver se može obezbediti prilično dobro uz dovoljna ulaganja, ali ako neko sa pristupom administrativnog softvera klikne na problematičan link ili otvori zaražen fajl, onda softverske zaštite padaju u vodu”, ocenjuje Horvat Cinger.
Miloš sa foruma Bezbedan Balkan smatra da je verovatno najveći izazov manjak svesti o problemu, kao i drugde po svetu, gde treba izaći iz mentaliteta da je ulaganje u sajber bezbednost čisto nepotreban trošak a ne investicija u budućnost postojanja i poslovanja firme.
“Ovde bi ulogu trebala da igra i država kao i domaći CERT sa konkretnim vodičima za firme za uspostavljanje neke osnovne zaštite. Postoje korisne publikacije na CERT sajtu (www.cert.rs) ali su zastarele i nema konkretno na jednom mestu vodič za neke osnovne korake, kratko i jasno za firme”, smatra Miloš.
Dodaje da veće firme i firme koje podležu regulaciji kao što su banke imaju daleko bolju spremnost kada je u pitanju sajber bezbednost.
“Ali, i tu se u mnogim slučajevima svodi na štikliranje zahteva da bi se zadovoljio neki šablon posle čega se zaboravlja da neko treba da prati, razume i reaguje na uspostavljene kontrole i sisteme zaštite”, dodaje on.
S tim u vezi, veće firme ulažu više jer su svesnije i moraju to da čine zbog zakonske regulacije.
“Naše firme koje posluju sa EU će zbog njihovih regulacija kad-tad dobiti zahtev od EU partnera i dobavljača da popune formular objašnjavajući firmin stav o sajber bezbednosti i, na primer, kakve kontrole pristupa sistemima i podacima imaju uspostavljene u firmi. Neke domaće firme ostanu potpuno zbunjene kada im stigne tako nešto i ubrzo saznaju da ni nemaju ono što se traži od njih, i onda panično kreću u uspostavljanje nečega čisto reda radi, što na kraju ne bude korisno jer se opet svede na štikliranje zahteva bez daljeg praćenja”, dodaje Miloš.
Prema njegovoj oceni, najčešće ulaganje naših firmi je licenca za antivirus, što u današnje vreme nije dovoljno za zaštitu jer reaguje samo na deo pretnji, dok neke druge potpuno ignoriše.
“Uskoro stiže i zakon o informacionoj bezbednosti pa će firme imati dodatne obaveze vezane za sajber bezbednost, nadam se da će novi zakon doneti i veću svest, ali to će se desiti samo ako se i sprovodi kako treba od strane relevantnih institucija”, ocenio je on.
A, šta da čine “male” kompanije, koje nemaju dovoljno sredstava za ove namene? Ako će da potroše novac na jednu stvar, viđenje je Horvat Cingera, to bi trebalo biti redovna edukacija zaposlenih kako da prepoznaju pretnje i kako da reaguju na njih.
“Tu je potrebno i redovno obnavljati znanje jer se pretnje često menjaju i pojavljuju nove. Na primer, od prošle godine su u povećanom trendu linkovi koji se predstavljaju kao "captcha" formular gde korisnik treba da dokaže da je ljudsko biće, ali umesto biranja sličica ili upisivanja teksta daje uputstvo da se kopira i pejstuje neki sadržaj na sam računar posle čega dolazi do kompromitacije računara i podataka na njemu”, navodi on.
Dodaje da kompanije mogu pronaći na internetu besplatne preporuke za uspostavljanje bezbednosnih osnova, priručnike kao i šablone bezbednosne politike za firme.
“Sve te resurse mogu iskoristiti za neki papirološki osnov i za upoznavanje zaposlenih sa bezbednosnim pravilima firme, ali za tehničke stvari treba finansijsko ulaganja u kadar i sisteme zaštite, za to manje firme mogu koristiti nekog provajdera upravljanih usluga bezbednosti”, kaže Horvat Cinger.
Miloš sa foruma Bezbedan Balkan navodi da niko nema vremena ni budžeta za sajber bezbednost dok se ne desi katastrofa.
“Predložio bih im da urade interno vežbu gde će zapisati 2-3 loše situacije koje mogu da im se dese u slučaju sajber napada, na primer: nedostupnost platforme nedelju dana, curenje velike količine privatnih i poslovnih podataka, zaključavanje podataka i ucena od strane hakera. Kada imaju taj spisak mogu staviti neku ‘cenu’ na te događaje. I onda da odrede mali procenat te cene na ulaganje u bezbednost da se te situacije spreče. U najmanju ruku, da provere da li im sistemi za backup funkcionišu, i da ih testiraju pa da makar ne mogu biti ucenjeni za podatke”, predlaže Miloš.
A koliko su ovakvi scenariji realni? Horvat Cinger navodi da je srpsko tržište bilo manje privlačno zbog jezičke barijere koja je otežavala “phishing” napade, ali sa napretkom veštačke inteligencije i jezičkih modela poput ChatGPT napadači mnogo lakše kroje masovne poruke za napade.
“I sami smo svedoci sve učestalijih ‘scam’ poruka na WhatsApp-u gde se ljudima uzimaju velike količine novca preko prevara, u mnogome koristeći se ChatGPT-jem i sličnim modelima. Slični napadi se sada dešavaju učestalije i na preduzeća u vidu generisanih mejlova”, upozorava Horvat Cinger.
Po ovom pitanju, Miloš navodi da treba izdvojiti ciljane od nasumičnih oportunističkih napada.
“Nasumični ne biraju žrtvu, žrtve mogu biti kako firme tako i fizička lica, to je na primer kliktanje na fišing mejlove ili druge maliciozne sadržaje po internetu. Videli smo mnoge takve napade čak na srpskom jeziku radi boljeg prolaza, to su na primer one poštanske prevare gde piše da je stigao neki paket i treba doplatiti a u stvari kradu novac sa platnih kartica. Firmama takođe dosta stižu mejlovi ponuda i plaćanja koje ako otvore mogu napraviti veliki problem na računarksoj mreži firme, na žalost često stiže od kompromitovanih naloga njihovih poslovnih partnera, te im to daje dodatni legitimitet”, kaže Miloš.
Protiv takvih napada je mnogo lakše odbraniti se, navodi on, naročito edukacijom zaposlenih o prepoznavanju takvih prevara i adekvatnih reakcija na njih.
“Što se tiče ciljanih napada, imamo primere velikih državnih firmi kao što su EPS i PSG Banatski Dvor koje su pretrpele ransomware napade prethodnih godina a imali su barem na papiru sve neophodne kontrole i zaštite. Od toga je daleko teže odbraniti se, naročito ako se sajber bezbednost svodi na štikliranje zahteva bez naknadnog praćenja”, navodi Miloš.
Gde su u celoj priči frilenseri i kako oni da se zaštite? Horvat Cinger u tom smislu upozorava da je sve više i prevara u vidu lažnih intervjua za freelancere.
“Freelanceri moraju biti obazrivi kad je u pitanju bilo kakva potreba da se neki novac pošalje firmi u toku onboardinga (kao, za pokriće radne opreme) jer tu se znaju provući prevare. Što se tiče freelancerskog rada, ‘zeleniji’ freelanceri mahom rade zadatak samo u okviru onog što je klijent tražio, što retko uključuje detaljno obezbeđivanje platforme. Preporučio bih im da se i sami obuče na temu tehnika bezbednosti platforma na kojima rade, i da smatraju to nezaobilaznim delom svog krajnjeg proizvoda klijentu - jer će u slučaju uspešnog napada na klijentovu platformu i oni potencijalno doći na loš glas”, upozorava Horvat Cinger.
Miloš smatra da su frilenseri u većem riziku ako koriste isti računar za posao i za lične potrebe jer su time izloženiji malicioznim sadržajem na internetu.
“Savetovao bih, ako je ikako moguće, razdvajanje ličnog i poslovnog računara, kao i potpuno izbegavanje piratskog softvera na računaru i sumnjivih ‘besplatnih’ IPTV servisa za gledanje tv kanala, piratskih filmova i serija”, savet je Miloša.
Sledeći je još praktičniji i radikalniji - ne dozvoliti deci da koriste taj računar za igrice.
“Veoma čest vektor napada su deca koja, na primer, prate tutorijale na youtube-u za softver koji im navodno pomaže da varaju u igricama, u 99 odsto slučajeva je taj softver maliciozan i instalacijom istog dolazi do krađe podataka sa računara”, upozorava Miloš.