Na odzivnem centru SI-CERT v luči naraščanja števila varnostnih incidentov ponovno pozivamo podjetja in organizacije, naj poskrbijo za usposabljanje zaposlenih o informacijski varnosti. V ta namen smo pripravili akcijo ozaveščanja »Izognite se najslabšemu scenariju!«, s katero nagovarjamo predvsem vodstvo in IT kader. Izpostavljamo dejstvo, da ima vsako delovno mesto šibke točke, ki jih izkoriščajo spletni napadalci. Podjetja lahko usmerijo svoje zaposlene na brezplačni spletni tečaj o informacijski varnosti Varni v pisarni, ki smo ga zasnovali.
Nobeno podjetje ni premajhno za spletne kriminalce
Še vedno je pogosto prepričanje, da manjša podjetja niso zanimiva za spletne napadalce, kar pa ne drži. Zaradi omejenih finančnih in kadrovskih virov so vlaganja v informacijska varnost velikokrat pomanjkljiva, zato so manjša podjetja lažja tarča. Tudi v večjih podjetjih in organizacijah, kjer je stopnja zavedanja o kibernetski varnosti mnogo višja, težavo še vedno predstavlja nezadostno izobraževanje zaposlenih. Vlaganje zgolj v programsko in omrežno opremo ne reši vseh težav, saj gre v večini primerov za tehnično nezahtevne napade, ki temeljijo na družbenem inženiringu. Ker zaposleni nimajo ustreznih znanj in veščin, da bi prepoznali nevarnost, so napadalci pogosto uspešni. Tako smo v 2021 na SI-CERT skupno obravnavali 3177 incidentov, med katerimi so phishing napadi predstavljali tretjino vseh primerov. Čeprav gre za eno najstarejših vrst spletnih napadov, ki so tehnično zelo enostavni, so še vedno uspešni, saj jih zaposleni enostavno ne prepoznajo.
Še ena nevarnost, ki se prav tako širi prek elektronske pošte zaposlenih, so priponke z zlonamerno kodo. Samo pomislite, na koliko priponk pri svojem delu kliknete v samo enem dnevu? Na prvi pogled povsem nenevarna priponka lahko skriva trojanskega konja, specializiranega za krajo gesel in digitalnih potrdil, ali izsiljevalski virus, ki podjetju povzroči ogromno škodo. Posledice vdora so za organizacijo izredno negativne, ne le v finančnem smislu, ampak lahko povzročijo tudi izgubo ugleda in zaupanja.
Različna delovna mesta imajo različne šibke točke
Opažamo, da se v zadnjih letih dogajajo intenzivne spremembe in podjetja vedno več vlagajo v opremo in zunanje varnostne preglede, potrebno pa je pomisliti tudi na zaposlene. Ti so pogosto spregledani, nimajo možnosti izobraževanj ali pa so ta neprilagojena njihovemu nivoju znanja.
V sklopu akcije ozaveščanja »Izognite se najslabšemu scenariju!« predstavljamo štiri videe, ki nagovarjajo različne skupine zaposlenih in njihove šibke točke.
Računovodje imajo dostop do financ in spletne banke, zato so najpogosteje tarča vrivanja v poslovno komunikacijo (Business Email Compromise).
Praktično vsi zaposleni, ki imajo dostop do elektronske pošte, so lahko vstopna točka za napade z zlonamerno kodo.
Zaposleni v marketingu vsakodnevno veliko komunicirajo z zunanjimi partnerji in tudi upravljajo kanale na družbenih omrežjih, ki prinašajo dodatno tveganje.
Vodstvo in zaposleni v IT oddelku pa imajo možnost, da s svojim proaktivnim delovanjem in vlaganjem v izobraževanje pomembno zmanjšajo tveganja.
Vsak video predstavi konkretno situacijo, v kateri se lahko znajde zaposleni, ko je pred odločitvijo, ali bo kliknil prav ali narobe. Odločitev je odvisna izključno od znanja in ozaveščenosti zaposlenih.
Za vse organizacije, kjer zaradi pomanjkanja virov ni sistematičnega pristopa k izobraževanju zaposlenih, smo na SI-CERT zasnovali brezplačni spletni tečaj Varni v pisarni. Spletni tečaj na zelo enostaven, razumljiv in vizualno privlačen način zaposlenim predstavi osnove informacijske varnosti. Tečaj poteka kadarkoli na zahtevo, traja vsega 30 minut in je prilagojen različnim delovnim mestom v organizaciji.
Postanite ambasadorji kibervarnosti
Slab mesec nas loči od kampanje Evropski mesec kibervarnosti, ki bo tudi letos povezala vse članice EU. Kampanjo organizira Agencija Evropske unije za kibernetsko varnost ENISA, ki poziva vse organizacije, naj se pridružijo in postanejo ambasadorji kibervarnosti.
Na portalu cybersecuritymonth.eu lahko podjetja registrirajo dogodek, s katerim bodo nagovorila svoje zaposlene in širila zavedanje o informacijski varnosti. Lahko organizirajo spletni seminar za zaposlene, delijo gradiva, pripravijo kviz … nabor možnosti je širok in prepuščen organizacijam.
Na voljo bodo tudi že pripravljena gradiva v slovenskem jeziku, npr. plakati, infografike in smernice na temo zaščite pred izsiljevalskimi virusi in phishing krajo podatkov. Gradiva bo pripravila agencija ENISA in bodo na voljo v vseh evropskih jezikih.
