U eri digitalne transformacije, podaci postaju nova valuta – ali što se događa kada vaša organizacija ne shvaća koliko su javno dostupne informacije vrijedne? O ovoj temi je na A1 CyberGuard konferenciji govorio stručnjak za kibernetičku sigurnost Tino Šokić, koji je govorio o raznim podacima koje tvrtke mogu nesvjesno dijeliti, a razni zlonamjerni akteri mogu ih iskoristiti za prikupljanje ključnih informacija ili kompromitiranje sigurnosti.
O tome smo i razgovarali sa Šokićem te nam je na primjeru odgovorio koje su tu stvari koje hakeri mogu počiniti s tim javnim podacima.
- Ne bih išao s najgorim stvarima, ali bih zato dao jedan gotovo tipičan primjer. Pretpostavimo da je netko direktor tvrtke i aktivan je na LinkedInu kao najvećoj poslovnoj mreži na internetu. Na svom profilu redovito objavljuje informacije o nadolazećim projektima, suradnjama, te koristi slabiju lozinku kao što je “LinkedIn2024!” jer misli da je dovoljno sigurna. Također, često objavljuje slike sa svojih poslovnih putovanja i govorništva, dajući detalje o svojim letovima i hotelima. Prvu stvar koju hakeri ili cyber-kriminalci mogu učiniti jest da na temelju informacija s LinkedIna izgrade vjerodostojne e-mail poruke koje izgledaju kao da dolaze od stvarnih poslovnih partnera. Čak mogu biti vrlo specifični o određenoj radnji ili projektu, jer su to naučili od fiktivnog direktora.
Nadalje, spomenuo sam lozinku što bi značilo da bi cyber-kriminalci mogli pokušati provaliti u osobne ili poslovne račune, jer smo jako “dobri” u korištenju istih lozinki i obrazaca za navedeno. Na posljetku, može se ostvariti napad na mrežu tvrtke koristeći informacije o poslovanju tvrtke, poput partnera, suradnika ili softvera koji tvrtka koristi, hakeri mogu ciljati određene slabosti. Na primjer, ako tvrtka koristi određeni softver za suradnju, haker može pokušati iskoristiti ranjivosti tog softvera.
Ovo je samo fiktivan primjer koji je utemeljen na stvarnim događajima - naglašava Šokić.
Često se čuje, osobito od malih firmi, stav 'što će to meni, tko će mene hakirati'... Čega se trebaju bojati te manje kompanije, koje možda nemaju novac za IT odjel?
- To je često mišljenje kod manjih firmi, no nažalost, ono ih čini ranjivijima na kibernetičke napade. Bojati se nikako ne treba, već treba djelovati u okvirima kojima se može djelovati. Na kraju, sve je procjena rizika i koliko će vam se vratiti na investirano (eng. return on investment).
Postoji mnogo pristupačnih rješenja koja mogu smanjiti rizike, poput osnovne zaštite lozinki, redovitih sigurnosnih kopija, korištenja antivirusnog softvera i educiranja zaposlenika o prepoznavanju prijetnji. Ako tvrtka smatra da “nije zanimljiva” hakerima, to može biti upravo ono što ih čini privlačnom metom.
Analogija vam može biti briga o svom automobilu. Imate zakonski što morate, ali zato imate i hrpu stvari koje ne morate te je tu ključ - biti dobar i činiti to što se ne mora, a čini ogromnu razliku protiv ishoda potencijalnih cyber-napada - rekao je.
Kako jednostavno tvrtke mogu zaštititi sebe, odnosno da ne budu žrtva sami sebe i vlastitih informacija?
Učiniti kvalitetnu procjenu rizika koja uključuje primjenu i utvrđivanje stanja svih tehničkih, organizacijskih, ljudskih i fizičkih mjera. A ako se spustimo na nižu, operativnu razinu, tvrtke mogu smanjiti rizik od napada jednostavnim mjerama poput korištenja jakih lozinki i dvofaktorske autentifikacije za sve račune. Redovito ažuriranje softvera i sigurnosnih zakrpa sprječava iskorištavanje poznatih ranjivosti. Izrada sigurnosnih kopija podataka osigurava oporavak u slučaju napada ili gubitka podataka. Edukacija zaposlenika o prepoznavanju phishing e-mailova i socijalnog inženjeringa smanjuje rizik ljudske pogreške. Korištenjem osnovnih sigurnosnih alata, poput vatrozida i antivirusnih programa, tvrtke mogu značajno povećati svoju sigurnost.
Zaključno, uvijek možete guglati i provjeriti gdje možete naučiti kako si pomoći te je to baš o čemu pričam na konferenciji sa svojim predavanjem o prikupljanju, obradi i analizi podataka i otvorenih izvora (eng. Open-source Intelligence).