Denník N

Kybernetické útoky vo firmách. Viete čo vám hrozí?

zdroj: Profimedia
zdroj: Profimedia

Kybernetických útokov stále pribúda. Ako sa im vyhnúť a čo hrozí firmám, ak zanedbajú ochranu?

Žijeme v dobe, kedy technologický vývoj prináša čoraz sofistikovanejšie kybernetické útoky a odolávať ich hrozbám si vyžaduje čoraz väčšie úsilie. O tom, ako fungujú takéto útoky zamerané na firmy, kde robia podnikatelia najčastejšie chyby a ako sa im dá čeliť, sme sa porozprávali s Jozefom Úrodom, manažérom bezpečnostných rizík v Tatra banke.

Akú pozornosť venujú kybernetickej bezpečnosti podnikatelia na Slovensku?

Slovenské firmy sa čoraz viac venujú témam kybernetickej a informačnej bezpečnosti. Zakúpenie bezpečnostného softvéru do firmy však nestačí. Cieľom každej inštitúcie je chrániť si to, čo je pre nich najcennejšie. Môžu to byť firemné dáta, dáta klientov, ale taktiež kontakty, výrobné procesy, unikátne receptúry vo výrobe a v neposlednom rade majetok či peniaze firmy. Je preto nesmierne dôležité nepodceňovať kybernetické hrozby a prijímať vo firme primerané technické, organizačné, ale aj personálne bezpečnostné opatrenia.

Aké existujú najčastejšie útoky a hrozby, s ktorými sa podnikatelia, ako klienti banky, dnes stretávajú?

Najčastejšími typmi sú útoky využívajúce prvky sociálneho inžinierstva – rovnako, ako aj pri bežných klientoch bánk. To znamená, že útočník sa nesnaží útočiť na firmu ako takú s cieľom prelomiť jej bezpečnostné firemné systémy, ale snaží sa svoju obeť oklamať. Využíva na to rôzne kanály a spôsoby. Veľmi častým príkladom podvodov sú phishingové útoky, kedy  útočníci oslovujú svoje obete prostredníctvom emailov alebo  iných komunikačných kanálov. V poslednom období narastajú aj prípady tzv. vishingu, čo je spôsob získavania citlivých bankových údajov cez telefón.

Na čom sú tieto útoky postavené? 

Celý princíp podvodu je postavený na klamstve.  Útočník podhadzuje falošnú návnadu s cieľom oklamať  svoju obeť a získať tak prihlasovacie údaje k elektronickému bankovníctvu či čísla platobných kariet. Častokrát je takýto útok spojený s emóciou naliehavosti, strachu a nátlaku. Ak sa to útočníkovi podarí, získa tak pomyselný kľúč od domu, v tomto prípade od firmy, aby do nej mohol vojsť. A tu je už otázka na samotného majiteľa firmy, ako veľmi si svoj kľúč bude chrániť, či ho odovzdá útočníkovi dobrovoľne alebo nie. Je predpoklad, že podnikatelia majú na svojich firemných účtoch väčšie sumy finančných prostriedkov, a preto sú pre útočníka lákavým cieľom.

Ako to môže konkrétne vyzerať v praxi?

V prípade útoku cez vishing to môže byť napríklad situácia, kedy útočníci volajú priamo podnikateľom a vydávajú sa za kriminálnu políciu. Častokrát  pritom využívajú metódu spoofingu, čiže menia svoju identitu. Znamená to, že na displeji telefónu sa zobrazí napríklad verejne známe číslo banky alebo polície. V skutočnosti však ide o podhodené číslo a vy ani netušíte, že za týmto známym číslom sa skrýva útočník. Volajúci vám oznámi, že váš bankový účet bol napadnutý a že je nutné, aby ste finančné prostriedky okamžite presmerovali na iný bezpečnejší účet. Aby útočník zvýšil svoju dôveryhodnosť, mnohokrát presmeruje hovor na spolupáchateľa, ktorý sa tvári ako zamestnanec call centra banky. V takom prípade už obeť prestane mať pochybnosti, či koná správne a poskytnutím všetkých citlivých údajov k účtu umožní presun prostriedkov priamo na účet páchateľa.

Ako majú zamestnanci a majitelia firiem v takýchto prípadoch postupovať?

V prvom rade, nenechať sa splašiť emóciou vyvolanou  naliehavosťou a tlakom volajúceho útočníka. Podstatné je nespanikáriť a položiť si otázku, či by firmu v prípade takejto hrozby polícia kontaktovala telefonicky a požadovala od nej citlivé informácie a úkony. Pravdepodobne nie. Dôležité  je zachovať pokoj a uvedomiť si, o akých informáciách sa s neznámym človekom po telefóne bavíte a aký to môže mať na firmu potenciálny dopad. Ten môže byť niekedy až katastrofálny.

Vzdelávaniu zamestnancov o hrozbách takýchto a podobných útokov sa asi najviac venujú väčšie firmy. Čo však stredné a menšie firmy?

Dnes je to nevyhnutné v každej firme bez rozdielu na veľkosť. Mnoho firiem však zvyšovaniu bezpečnostného povedomia svojich zamestnancov nevenuje dostatočnú pozornosť. Útočníci využívajú slabiny nedostatočne vzdelaných zamestnancov, ktorí nevedia správne reagovať. Cez nich potom veľmi ľahko infiltrujú do firmy škodlivý softvér alebo nejakým iným spôsobom ohrozia aktíva firmy, ktoré sú pre podnikateľa nesmierne cenné. Práve preto je dôležité, aby firma zabezpečila vzdelávanie zamestnancov v tejto oblasti. Vhodnou formou sú  pravidelné školenia, pútavé online testy ako aj ďalšie aktivity podporujúce  zvyšovanie  bezpečnostného povedomia vo firme.

Ako sa môže firma na takýto útok  pripraviť a čo má robiť, ak k útoku dôjde?

Veľmi dôležité je udržiavať zakúpený bezpečnostný systém v aktuálnom stave. Rovnako tak je dôležité už spomínané pravidelné vzdelávanie zamestnancov. Ak sa však útok napriek tomu podarí úspešne zrealizovať, je potrebné, aby mala firma vopred vypracovaný havarijný plán, podľa ktorého bude postupovať. Dobre pripravený plán a schéma na reakciu v prípade neštandardných situácií by mali byť súčasťou každej zdravej spoločnosti s dobre nastavenou bezpečnostnou politikou.

Pre prípad, ak by nastala situácia, ktorej už firma nedokáže čeliť sama, je na mieste osloviť tím externých špecialistov, ktorí sa témam kybernetickej bezpečnosti venujú profesionálne. Ideálne, ak si firma túto možnosť vopred zazmluvní.

Ani Tatra banke nie je téma digitálnych hrozieb ľahostajná. Na jeseň tohto roku sme spustili novú komunikačnú a zároveň vzdelávaciu kampaň pre našich klientov, s názvom #predigitalnubezpecnost, ktorej cieľom je zvýšiť povedomie klientov o digitálnych hrozbách a útokoch.

Ďakujeme za rozhovor.

 #predigitalnubezpecnost (tatrabanka.sk)

Máte pripomienku alebo ste našli chybu? Prosíme, napíšte na pripomienky@dennikn.sk.

Dnes na dennike.sk

Ekonomika, Slovensko

Teraz najčítanejšie