Postani član
EU VOLITVE SBC PRI VAS Energetika Festival podjetništva SBC Podcast

Vdor v sistem se zgodi vsakih 39 sekund

Izbrani nasveti

24. November 2021

Vdor v sistem se zgodi vsakih 39 sekund

Vdor v sistem se zgodi vsakih 39 sekund

Napadi hekerjev na podjetja se iz leta v leto krepijo, samo lani se je število incidentov po svetu povečalo že več desetkrat. Kibernetski incident se zgodi vsakih 39 sekund. 90 % napadov hekerji usmerjajo v mala in srednja podjetja. Škoda ob napadih je velika, nekateri podatki nepovratno izgubljeni. 

Ocena za Slovenijo: prijavljen je le vsak deseti napad.

Nasvet strokovnjakov: informatike in vlaganja v kibernetsko varnost ne jemljite kot nepotreben strošek. Pripravite oceno pripravljenosti na kibernetski napad. Testirajte odpornost vaše zaščite. Krepite ozaveščenost zaposlenih. Povežite se z dobrimi strokovanjaki. 

Industrijska okolja in industrijska infrastruktura (operativna tehnologija) postajajo vse bolj privlačne tarče za hekerje. Lani je bila 2000 % rast števila incidentov. V svetu se vsakih 39 sekund zgodi vdor v sistem, letno je kompromitiranih več kot 30 % vseh računalnikov. Strošek kibernetskega kriminala dosega 6 tisoč milijard ameriških dolarjev, pravi Dalibor Vuković, produktni vodja pri Telekomu Slovenije, certificiran etični heker in specialist za kibernetsko varnost z več mednarodno priznanimi certifikati.

Prijavljen le vsak deseti napad

Lani je bilo v Sloveniji skoraj 2800 prijav kibernetskih napadov (prijave zbira SI-CERT, nacionalni odzivni center za kibernetsko varnost), skoraj šestkrat več kot leta 2010. “Dejansko jih je vsaj desetkrat več, kajti podjetja preprosto ne prijavljajo napadov; gre za strah pred poslovno in siceršnjo sramoto,” pravi Dalibor Vuković. Napadi izkoriščajo najbolj ranljive točke: šibka gesla, privilegije nadpovprečnega uporabnika (lastnik, direktor), nešifrirane podatke v omrežju, varnostne napake v programski opremi. Napadalci se radi poslužujejo tudi tehnike SQL injection

Kaj je SQL injection? Z umestitvijo zlonamerne kode v baze podatkov hekerji pretentajo zaščito in obidejo varnostne nastavitve. Na ta način vam lahko uničijo baze podatkov. 

Kibernetska varnost sodi v strategijo podjetja

V prihodnje bo naslednja velika tarča internet stvari, v katerega je bilo leta 2019 vključenih skoraj 36 milijard naprav po svetu. Leta 2024 jih bo vključenih 83 milijard, poudarja Rajko Novak iz podjetja Smart Com, člana SBC — Kluba slovenskih podjetnikov, kjer deluje več kot 60 strokovnjakov za kibernetsko varnost, zanesljivost IT omrežij in podatkovnih centrov.

Kibernetska varnost mora postati temelj strategije poslovanja slehernega podjetja. Podjetja si namreč kraje/odtekanja podatkov in/ali denarja, zaustavitve sistemov - in s tem povezane izgube ugleda v javnosti - danes ne morejo privoščiti, poudarja Novak. Veriga je močna toliko, kot je trden njen najšibkejši člen. Navadno je to človek.

Kako se zaščititi?

Vlaganje v informatiko in varnostne rešitve je za mnoge še vedno nepotreben strošek. Na vseh ravneh podjetja, od zgoraj navzdol, je pomembno spreminjati zavest, da gre za vitalno področje, ki sodi na najvišjo strateško raven podjetja. Podjetje mora zato:

  1. Preprečevati možnosti napada oziroma okužbe.
  2. Skrajšati čas zaznave in čas zajezitve.
  3. Ukrepati, ko se zgodi napad oziroma okužba (nevarnosti; izguba in kraja podatkov, kraja intelektualne lastnine). 
  4. Od trenutka zaznave podjetje potrebuje svetovanje in učinkovit odziv ter merjenje poslovne škode.
  5. V fazi zajezitve se sprožijo pravni postopki, kazenski in civilni.
Strokovnjaki priporočajo

1. Pripravite oceno kibernetske varnosti, določitev ukrepov in prioritet za dvig ravni kibernetske varnosti. 
2. Izvedite sistemski varnostni pregled, po možnosti z vdornim (penetracijskim) testom. Uveljavite lahko kibernetski vavčer, ki omogoča 60 % sofinanciranja stroškov izvedbe za mikro, mala in srednje velika podjetja. 
3. Krepite ozaveščenost zaposlenih in zunanjih sodelavcev o pomenu kibernetske varnosti.
4. Izbirajte in sodelujte z zaupanja vrednimi partnerji.

"Sodobna kibernetska zaščita je večslojna, od stalno fizične do reakcijske in tudi povsem preventivne," poudarja Dalibor Vuković.

Izsiljujejo vas za 10 tisoč evrov

"Povprečno oškodovanje pri spletnem nakupovanju v lažnih trgovinah je 1.400 evrov. Izsiljevalski virusi pričakujejo okoli 10.000 evrov odškodnine. Pri kriptovalutah so izgube zaradi goljufij v povprečju 20.000 evrov. Pri vrivanju v poslovno komunikacijo (BEC) so povprečna oškodovanja okoli 19.000 tisoč evrov," je podatke SI-CERT-a povzela Nika Prhaj iz Zavarovalnice Triglav

Mala in srednja podjetja so lahke tarče, vanje je usmerjeno več kot 50 % napadov. Ugotovitve kažejo, da 1 % izgube ugleda vodi v 3 % upad padca prodaje, pravi Nika Prhaj. Pri Zavarovalnici Triglav podjetjem pomagajo z zavarovanjem kibernetske zaščite. Zavarovani sta lastna škoda in škoda tretjih, vključena je tudi asistenca.

1 % izgube ugleda vodi v 3 % padca prodaje

Zavarovanje zajema kritje naslednjih stroškov: 

  • Odzivanje na incident (stroški strokovnjaka ...),
  • ponovna vzpostavitev sistema,
  • obratovalni zastoj,
  • kibernetsko izsiljevanje in kibernetski kriminal.
  • Škoda tretjih zajema odgovornost za: kršitve zaupnosti in zasebnosti ter omrežno varnost.

Kakšne so premije pri zavarovanju kibernetske zaščite? Za malo ali srednje podjetje, ki se, na primer, ukvarja s trgovinsko dejavnostjo, bi za zavarovalno vsoto 100.000 evrov premija znašala približno 700 evrov. Za zavarovalno vsoto 250.000 evrov bi bila premija približno 1.100.
Premija se sicer določa individualno, za vsako podjetje posebej. Odvisna je od dejavnosti, prometa, števila zaposlenih, vrste podatkov in nekaterih drugih dejavnikov,pojasnjujejo pri Zavarovalnici Triglav.  

Kaj tvegate z neprimerno kibernetsko zaščito? 

Posledice varnostnih incidentov so lahko različne:
- kraja pomembnih informacij in podatkov,
- popolna ali delna prekinitev poslovanja,
- neposredni stroški (izpad prihodkov,
- morebitno plačilo odkupnine napadalcu, povrnitev v prejšnje stanje),
- posredni stroški (izguba poslovnih partnerjev, zmanjšan ugled in podobno).
Skrajna posledica varnostnega incidenta je lahko propad podjetja.

Študija iz leta 2020 (Ponemon Cost of Data Breach Study) kot poblematične navaja naslednje dejavnike: 
- čas do odkritja kraje podatkov (povprečno 200 dni), 
- čas, potreben za odziv na incident (povprečno 56 dni), 
- strošek kraje podatkov (povprečno 3,9 milijona dolarjev)

V Sloveniji so bile škode do zdaj povzročene v višini od nekaj 100 tisoč do nekaj milijonov evrov, pravi Rajko Novak. 

Nasvet je bil predstavljen na dogodku za člane SBC Kibernetska varnost: Kako izbrati pravega strokovnjaka?, ki je 18. novembra potekal v SBC Loungeu.

Izpostavljene novice

Video posnetki

E-novice

Naročite se na ključne informacije in praktične nasvete.

Zahtevano
Zahtevano