SBC Podjetnik - september 2019: Kako se pripraviti? Na inšpekcijo. Na hekerje.
SBC Podjetnik je revija SBC - Kluba slovenskih podjetnikov, namenjena najboljšim slovenskim malim in srednjim podjetjem in ključnim posameznikom ter ustanovam v državi, ki bi vsak na svojem področju morali skrbeti za čim bolj podjetno in podjetniško Slovenijo.
SBC Podjetnik je revija SBC - Kluba slovenskih podjetnikov, namenjena najboljšim slovenskim malim in srednjim podjetjem in ključnim posameznikom ter ustanovam v državi, ki bi vsak na svojem področju morali skrbeti za čim bolj podjetno in podjetniško Slovenijo.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
52<br />
<strong>SBC</strong> | Kibernetska ozaveščenost | September <strong>2019</strong><br />
<strong>Kako</strong> varni ste pred<br />
hekerji, lahko pokaže<br />
zelo preprost test<br />
Hekerjem delo zelo olajša<br />
dejstvo, da <strong>se</strong> zaposleni<br />
v podjetjih med sabo ne<br />
pogovarjajo o kibernetski<br />
varnosti.<br />
Avtor: Jan Tomše<br />
1Ključne informacije in novice ne smejo ostati<br />
pri posameznikih.<br />
Podjetja naj bodo proaktivna, ko gre za spremljanje<br />
novic v zvezi s kibernetskim področjem.<br />
Obiskujejo naj dogodke ter spremljajo<br />
točke, kot sta SI-CERT (<strong>Na</strong>cionalni odzivni<br />
center za kibernetsko varnost) in urad informacijskega<br />
pooblaščenca, kjer so objavljene<br />
koristne informacije.<br />
Gre za preprost način za krepitev zavedanja,<br />
na podlagi izkušenj opaža mag. Miloš<br />
Pešič, mednarodni izvedenec za kibernetsko<br />
varnost v britanski multinacionalki ED&F Man<br />
z več kot 7000 zaposlenimi, ki za kibernetsko<br />
varnost na leto namenja nad 3,5 milijona<br />
funtov.<br />
Po be<strong>se</strong>dah izrednega profesorja dr.<br />
Denisa Čalete z Instituta za korporativne varnostne<br />
študije, ICS-Ljubljana, in predavatelja<br />
na Gea College – Fakulteti za podjetništvo,<br />
izkušnje kažejo, da ključne informacije in<br />
znanja, povezani z informacijsko varnostjo,<br />
prepogosto ostajajo pri posameznikih, namesto<br />
da bi krožile. Kot pravi, v večini primerov<br />
ni zadostnega pretoka informacij med procesi<br />
in oddelki – informatiko, kadri, vodstvom in<br />
drugimi zaposlenimi.<br />
2Test, ki pokaže, kako lahke tarče so vaši<br />
zaposleni.<br />
Eden od načinov pridobivanja koristnih informacij<br />
o tem, kako dobro zaposleni poznajo<br />
kibernetska tveganja, je tako imenovani<br />
»phishing« test, ki ga ob pomoči strokovnjakov<br />
načrtno izvede vodstvo podjetja. Tako dobi<br />
povratne informacije, na podlagi katerih lahko<br />
sprejme ustrezne ukrepe za krepitev ozaveščenosti<br />
v podjetju, poudarja Peter Ceferin,<br />
tehnični direktor v podjetju Smart Com.<br />
<strong>Kako</strong> je videti »phishing« test<br />
Gre za simulacijo napada (angl. phishing), katere<br />
cilj je pretentati uporabnika, da izda podatke za<br />
dostop do elektronske pošte ali spletne aplikacije<br />
prek lažnega portala. <strong>Na</strong>pad poteka tako, da<br />
naslovnik prejme prošnjo, naj <strong>se</strong> na primer zaradi<br />
težav z elektronsko pošto ponovno prijavi prek<br />
vmesnika in preveri, ali njegov dostop deluje. Gre<br />
<strong>se</strong>veda za prevaro, ki pa je zelo prepričljiva in ji<br />
na<strong>se</strong>de precej uporabnikov. Po nekaterih podatkih<br />
med 25 in 30 odstotkov uporabnikov na<strong>se</strong>de že<br />
slabše pripravljenim »phishing« testom. Tovrstni<br />
napadi so ena od bolj priljubljenih zvijač <strong>hekerje</strong>v,<br />
saj gre za precej učinkovito tehniko, ki jo je mogoče<br />
s pridom uporabiti tudi pri uporabnikih mobilnih<br />
telefonov.<br />
3Poznavanje kibernetskih tveganj je <strong>se</strong>stavni<br />
del podjetništva.<br />
Popolna odsotnost usposabljanja in izobraževanja<br />
zaposlenih pomeni nizko varnostno<br />
kulturo, kar je poglaviten vzrok, da prav<br />
zaposleni postanejo največji vir tveganja za<br />
varnost informacijskih sistemov in korporativno<br />
varnost nasploh, opozarja dr. Čaleta in kot<br />
primere našteva:<br />
<br />
uporabo službenih računalnikov v<br />
za<strong>se</strong>bne namene,<br />
<br />
uporabo družbenih omrežij,<br />
<br />
neposodobljeno programsko opremo,<br />
kar vodi v tveganja, da zaposleni postanejo<br />
žrtve socialnega inženiringa (manipulacij, ki<br />
izkoriščajo človeške napake), v nenamerno<br />
nalaganje virusov in podobno.<br />
Vodstvo podjetja mora biti prvo, ki razume<br />
zahteve varnostnega okolja, biti mora usposobljeno<br />
in z ravnanjem v podjetju uveljavljati<br />
potrebne spremembe, ki lahko prine<strong>se</strong>jo<br />
ustrezne rezultate na področju varnosti. Del<br />
podjetniškega znanja je danes tudi znanje o<br />
kibernetskih tveganjih, kar prav tako prispeva<br />
k dvigovanju zavedanja pomena tveganj v<br />
podjetjih.