Marko pali službeni laptop. Ponedjeljak je, nije ni 9 sati, no već se nakupilo dvadesetak mailova. Skoro pa automatski, otvara jedan po jedan, obraćajući posebnu pažnju samo na one koji su došli od šefa. U tom nizu našao se i jedan od nepoznatog pošiljatelja. Ništa neobično, takvi često dolaze, ipak radi kao voditelj prodajnog sektora u maloj farmaceutskoj tvrtki. Bez previše pozornosti, otvara ga te preuzima privitak u prilogu naslovljen “Upit za suradnjom”. Pokreće dokument, no u njemu nema ništa bitno, stoga nastavlja dalje sa skrolanjem kroz pretinac.
Nekoliko sati kasnije blokiran je cijeli sustav firme. Potom stiže mail u kojemu haker navodi da kontrolira njihov cjelokupni sistem te traži otkupninu u zamjenu za ukradene podatke. Tek tada Marko postaje svjestan sadržaja maila i virusa koji će njegovu tvrtku koštati više desetaka tisuća kuna.
Ransomware
Ova vrsta cyber napada zove se ucjenjivački softver (ransomware) i procjenjuje se da će samo u ovoj godini na ovakve vrste online prijevara biti globalno potrošeno više od 6 trilijuna dolara. Hrvatska pritom nije iznimka, iako mnogi misle da se napadi ovakve vrste događaju samo u inozemstvu i filmovima. Situacija opisana na početku teksta je primjer kako inače izgleda scenarij ransomwarea. Pritom je važno naglasiti kako su Marko i tvrtka u kojoj radi fiktivni, no tijek prijevare temeljen je na iskustvima brojnih hrvatskih firmi koje su bile žrtve cyber napada. Objasnio nam je to Saša Jušić, član Uprave i stariji konzultant za informacijsku sigurnost u Infigo IS, firmi specijaliziranoj za zaštitu podataka.
CYBER KRIMINALCI OBOŽAVAJU BLAGDANE. NAUČITE SE ZAŠTITITI!
- Kriminalne aktivnosti kao što su prijevare, krađe i ucjene oduvijek su predstavljale prijetnju za tvrtke različitih profila i veličina, a moderno doba samo je dalo kriminalcima novi poligon za operiranje. Pojavom digitalizacije stvari su se dodatno zakomplicirale, danas gotovo da i nema tvrtke čije poslovanje ne ovisi o informacijskim i komunikacijskim tehnologijama, a kriminalcima to itekako odgovara – navodi Jušić.
Prema podacima nacionalnog Computer Emergency Response Teama (CERT), lani se u Hrvatskoj dogodilo čak 1123 računalno-sigurnosnih incidenata, što je porast od 65 posto u odnosu na 2019. godinu. U tu brojku ulaze napadi na fizičke, kao i pravne osobe, s time da sve češće imamo priliku u medijima čitati o online prijevarama kod poduzetnika. Primjerice, ranije ove godine jedna zagrebačka tvrtka izgubila je nešto više od pet milijuna kuna kada su hakeri presreli njihovu komunikaciju sa stranim poslovnim partnerom te uplatu novca preusmjerili na svoj račun.
Niska razina zaštite
Žrtva napada pritom ne mora nužno biti neko veliko poduzeće. Zebra Systems predstavio je u kolovozu Acronisovo Izvješće o kibernetičkim prijetnjama u kojemu je objašnjeno kako su, promatrajući trendove tijekom prvih šest mjeseci ove godine, mala i srednje velika poduzeća posebno ugrožena. Izvješće otkriva kako je tijekom prve polovice 2021. čak četiri od pet organizacija iskusilo napad na sustav kibernetičke sigurnosti. U istom je razdoblju prosječna ransomware otkupnina porasla za 33 posto, odnosno, na više od 100.000 dolara. Nadalje, prema istraživanju Accenturea, čak 43 posto cyber napada usmjereno je upravo na male kompanije, dok je samo njih 14 posto spremno od istih se i zaštititi.
- Nažalost, velik broj tvrtki nije svjestan ovog rizika te se često nespremne suočavaju s kibernetičkim napadima koji im ozbiljno ugrožavaju poslovanje, čak do te mjere da gotovo u potpunosti ostanu paralizirane. Kod nas često vlada mišljenje da manje zemlje kao što je Hrvatska nisu zanimljive cyber kriminalcima, što nikako nije točno. Velik broj tvrtki u Hrvatskoj svakodnevno se suočava s različitim pokušajima kibernetičkih napada od kojih su neki neuspješni, no neki nažalost iznimno uspješni u korist napadača – ističe Jušić.
Kako se radi o globalnim prijetnjama, trendovi kibernetičkih napada u Hrvatskoj slični su kao i u ostatku svijeta. Najčešći je ranije spomenuti ransomware – vrsta kibernetičkog napada gdje napadač korisniku onemogućuje pristup kritičnim poslovnim podacima te traži plaćanje otkupnine za njihov povrat.
Sljedeći je kompromitacija poslovne komunikacije (Business Email Compromise BEC), odnosno narušavanje sustava elektroničke pošte gdje se nanosi šteta organizaciji, najčešće u obliku financijske prevare. Lažnim predstavljanjem ili neovlaštenom modifikacijom poruka elektroničke pošte napadač nastoji zavarati žrtvu napada te je navesti na provođenje lažiranih transakcija u korist napadača.
CYBER KRIMINALCI OBOŽAVAJU BLAGDANE. NAUČITE SE ZAŠTITITI!
Treća najčešća vrsta online napada je phishing. To je vrsta prevare u kojoj napadač lažiranjem poruka elektroničke pošte žrtvu napada navodi na otkrivanje osobnih podataka kao što su korisnička imena i lozinke.
- Za veliki broj (uspješnih) napada javnost ne sazna – tvrtke, ako nisu primorane zakonom, takve stvari ne objavljuju jer se boje reputacijske štete. Iz istog razloga ne objavljuju kad im netko provali u fizički prostor, no "obični" i kibernetički kriminal je nešto što se ne može izbjeći. Često se kaže da nije pitanje hoće li tvrtka biti žrtva kibernetičkog napada nego kada – kaže Jušić, no dodaje da su, srećom, tvrtke ipak počele izdvajati sve veća sredstva za zaštitu i obranu od kibernetičkih napada. Tu svakako prednjače one veće koje posluju u reguliranim industrijama, no trend je prisutan i u kod kompanija u drugim sektorima.
Kako se zaštititi
Upravo zato je bitno da tvrtka uvede dodatne mjere kibernetičke sigurnosti. Brojni poduzetnici se, primjerice, okrenu firmama koje su specijalizirane za zaštitu od cyber napad. Ipak, postoje i neki osnovni oblici zaštite koje je moguće primijeniti.
Prvo i najvažnije - vjerodostojnost poslovne korespondencije treba stalno provjeravati. Ljudi koji su u tvrtkama zaduženi za plaćanja ili ljudi u knjigovodstvenim servisima koje su tvrtke angažirale da za njih obavljaju taj dio poslovanja, moraju prije nego što izvrše uplatu putem telefona ili video konferencijskog poziva uvijek provjeriti vjerodostojnost i istinitost takve poruke.
Nadalje, odredite osobe koje će biti jedinstvene kontakt točke za rad s tvrtkama kojima redovito plaćate usluge i proizvode. Pošaljite poruku e-pošte tvrtki kojoj trebate platiti račun (na kontakt podatke iz prethodnih poruka e-pošte, a ne iz ove koja izgleda sumnjivo). Navedite u toj poruci naziv banke i posljednje četiri znamenke računa na koji trebate uplatili traženi iznos, kao dodatnu mjeru sigurnosne provjere. Ima još pokazatelja, no u svakoj takvoj poruci uvijek ima i nešto što vam je "na prvu" sumnjivo, što vam odmah izaziva nelagodu, aktivira instinkte i izaziva oprez.
Konačno, uvedite obavezan postupak za provjeru vjerodostojnosti zahtjeva za plaćanjem. To može biti pravilo za svaku transakciju ili bar za isplate iznad određenog iznosa. Ako treba, zatražite i sastanak s odgovornom osobom iz tvrtke kojoj ste dužni. Ukoliko ustanovite da je riječ o prijevari, čak i kad sami niste žrtva, morate o tome odmah obavijestiti policiju, ali i stručnjake za kibernetičku sigurnost. Pobrinite se i da svi zaposlenici budu obaviješteni o ovoj vrsti prijevare i upućeni u to kako ih izbjeći.
CYBER KRIMINALCI OBOŽAVAJU BLAGDANE. NAUČITE SE ZAŠTITITI!
Sponzorirani sadržaj nastao u suradnji Native Ad Studija Hanza Medije i Hrvatske udruge banaka.
Za sudjelovanje u komentarima je potrebna prijava, odnosno registracija ako još nemaš korisnički profil....