Kibernetički napad u 2022. doživjelo je 71 milijun osoba
Procjenjuje se da je prošle godine preko 71 milijuna ljudi doživjelo kibernetički napad, a prosjek štete po pojedincu je više od 4.000 €.
Digitalna transformacija donijela je brojne izazove po pitanju sigurnosti. Naime, intenzivnom digitalizacijom poslovanja kompanije su veliki dio procesa i podataka prebacili u digitalni oblik što je pak otvorilo pitanje sigurnosti i potrebe zaštite od kibernetičkih napada.
Koliko su problem kibernetičke sigurnosti prepoznale europske kompanije, pokazalo je istraživanje Eurostata koje tvrdi da je u 2022. godini čak 92 posto poduzeća u Europskoj uniji s 10 ili više zaposlenih i samozaposlenih osoba koristilo barem jednu mjeru kako bi osiguralo cjelovitost, dostupnost i povjerljivost podataka i ICT sustava.
Samo jedna mjera zasigurno ne može smanjiti izloženost kibernetičkim napadima pa velik dio tvrtki već danas kombinira više njih. Prema Eurostatovim podacima, hrvatske tvrtke nalaz se u ‘gornjem domu’ EU prema mjerama, praksama i postupcima za ICT sigurnost.
Ali u globalu hrvatske tvrtke ne štite svoje resurse od kibernetičkog kriminala u dovoljnoj mjeri, iako naravno postoji nekoliko svijetlih primjera.
Nedavna događanja koja su izazvala prekide u poslovanju nekoliko velikih domaćih tvrtki, te curenja njihovih podataka, ne samo da govore tome u prilog, nego čine ovu tvrdnju očitom.
Čak 43 malih tvrtki doživi kibernetički napad
Kod malih kompanija je stanje poslovično loše i prema globalnim statistikama, pa je izvjesno slično stanje i kod nas. Recimo, 43% kibernetičkih napada usmjereno je na mala poduzeća, a samo njih 14% je u stanju zaštititi se.
U Hrvatskoj su, kao i svugdje u svijetu najveći izazovi nedostatak stručnog kadra i nedovoljna svjesnost o rizicima koje predstavljaju kibernetički napadi, pa se za većinu tvrtki zaštita svodi na kupovinu jednog ili više uniformiranih sigurnosnih rješenja koje ni pojedinačno ni ukupno ne pristaju potrebama koje određena tvrtka ima.
Takva rješenja ne samo da ne pružaju kompletnu zaštitu, nego stvaraju lažan osjećaj sigurnosti, a mogu i potpuno promašiti zaštitu od najvećih rizika koje pojedina kompanija ima.
Uz to, čest problem su nepostojanje dediciranih timova i planova za testiranja i odzive u slučaju kibernetičkog napada, te kontinuirane revizije rizika i mjera koje ih uklanjaju.
Informacijska sigurnost
Bez kvalitetne i redovite procjene rizika teško je opravdati bilo kakvo ulaganje u kibernetičku sigurnost, pa kad govorimo o postavljanju funkcionalne informacijske sigurnosti u nekoj kompaniji, kvalitetno snimanje rizika, njihovo jasno komuniciranje prema upravama, te strateško opredjeljenje za zaštitu kontinuiteta poslovanja uvijek trebaju biti prvi koraci.
Kažemo da se svaki euro uložen u informacijsku sigurnost vraća 10 puta, ali samo ako znamo točno u što i zašto ulažemo. Ulaganje u sustave zaštite treba biti opravdano vrijednošću imovine koju štitimo i pružiti prihvatljivo umanjenje ili eliminaciju rizika koji joj prijete, a ne dobrim recenzijama nekog rješenja ili njegovoj cijeni.
Kod postavljanja sigurnosnih sustava i mjera, svakako se treba voditi najboljim praksama, ali puno je važnije pitati se: „Što točno nama treba da eliminiramo rizike.“
Kod uvođenja sustava zaštite ne smije se zanemariti ni činjenica da uvođenje dodatnih sustava, zbog podizanja ukupne kompleksnosti i uključivanja trećih strana u održavanje, samo po sebi otvara dodatne rizike.
Kibernetički napad uzrokuje štetu
Kad govorim o informacijskoj sigurnosti uvijek naglašavam jednu jako važnu stvar, a to je EDUKACIJA kao temelj svake strategije zaštite od kibernetičkih napada.
Čak 98% kibernetičkih napada uključuju ili se u cijelosti oslanjaju na neki od oblika socijalnog inženjeringa, pa je edukacija o metodama kojima se napadači služe imperativ u podizanju svijesti, ranom prepoznavanju i izvještavanju o prijetnjama.
Procjenjuje se da je prošle godine preko 71 milijuna ljudi postalo žrtvom nekog od takvih oblika napada, stvarajući prosječnu štetu i troškove oporavka od preko 4.000 € za fizičku osobu, dok se prosječni trošak oporavka od napada za pravne subjekte mjeri u milijunima eura.
Edukacija treba biti sveobuhvatna i uključivati sve djelatnike. Od agenta na telefonu, do članova uprave, a ne smijemo zaobići ni stručnjake za informacijsku tehnologiju, kao ni stručnjake za kibernetičku sigurnost.
ELEKTRONIČKI RAČUNI kao kompanija usmjerena na digitalizaciju poslovanja i pružanju rješenja koja tu digitalizaciju pojednostavnjuju i populariziraju, odvaja znatne sistemske i ljudske resurse za rano otkrivanje pokušaja i zaštitu od kibernetičkih napada, te ima postavljene planove i procese za odziv na te pokušaje, kao i planove za brzi oporavak usluge čak i u slučaju „najgoreg scenarija“.
Te planove i procese kontinuirano revidiramo, a sustave kontinuirano unaprjeđujemo, ne samo radi zaštite vlastitog kontinuiteta poslovanja, nego i zaštitu kontinuiteta poslovnih procesa naših korisnika.
Nositelji smo certifikata ISO27001 za upravljanje informacijskom sigurnosti, te smo od HNB-a certificirani kao ustanova za platni promet, za što je bilo nužno dokazati da smo usklađeni s najvišim standardima informacijske sigurnosti u industriji.
Autor: Neven Stanivuk, CISO – ELEKTRONIČKI RAČUNI d.o.o.