Svjedoci smo svakodnevnih hakerskih napada na hrvatske tvrtke i institucije. Govori se o upadu i pristupu velikoj količini podataka, zaustavljanju poslovanja, velikim financijskim, ali i reputacijskim štetama.
Pogrešno je misliti da su na meti isključivo velike tvrtke, a da su male nezanimljive i samim time sigurne. Osim toga, dovoljno je da jedan od djelatnika nepažnjom otvori mail koji sadrži virus i da zaustavi kompletno poslovanje na dan-dva ili čak duže.
Neke od najvećih prijetnji svakodnevnom poslovanju:
- DDoS – botnet napadi
- Malware napadi (različiti zlonamjerni programi)
- Ransomware napadi
- Phishing napadi
- SPAM – neželjena elektronička pošta
- Cyber napadi s ciljem ometanja poslovanja, krađe podataka i intelektualnog vlasništva
- Industrijska špijunaža
- Prirodne nepogode
- Ljudske pogreške i/ili zlonamjerno kršenje ugovornih odnosa
Prvi korak bi svakako bio prevencija i zaštita kako uopće ne bi došlo do upada.
Kako se zaštiti od hakerskog napada
Prije svega potrebno je dobro analizirati kompletnu organizaciju i prepoznati sve potencijalne rizike.
Na temelju potencijalnih rizika potrebno je:
- Provoditi sigurnosnu politiku
- Uspostaviti mjere tehničke zaštite
- Staviti fokus na kibernetičku sigurnost poslovanja
- Provoditi redovite edukacije i trajno osvještavanje
- Identificirati ključne resurse te prijetnje, ranjivosti i rizike
- Provoditi redovita testiranja informacijske sigurnosti
- Sanirati svaku detektiranu ranjivost
Tehničke kontrole i mjere zaštite
Mjere koje se postavljaju na opremu/sredstva i prostorije koji se koriste unutar poslovnog prostora i služe za redovito obavljanje poslovanja.
Neke od mjera tehničke zaštite su:
- Postavljanje lozinki i prava pristupa podacima, programima i opremi. Njima mogu pristupati samo ovlašteni zaposlenici s poslovnom opremom, dok neovlaštenim zaposlenicima i privatnoj opremi ne bi trebao biti dopušten pristup
- Redovna nadogradnja operativnog sustava i računalnih programa
- Postavljanje antivirusnog programa na uređaje
- Sigurnosne kopije podataka (Backup)
- Postavljanje vatrozida (firewalla)
- Zaštita pristupa mrežnoj infrastrukturi
- Kriptiranje podataka i prijenosnih uređaja tako da se u programima i bazama podataka osobni podaci pseudonimiziraju, a prostor za pohranu na prijenosnim uređajima kriptira
- Zaštita podataka pohranjenih u papirnatom obliku
- Fizička zaštita od nedozvoljenog pristupa
- Zaštita Internet usmjerivača (eng. Internet Router) od neovlaštenog pristupa
- Zaštita pristupa podacima s udaljenih lokacija od neovlaštenog pristupa
- Pristup opremi i programima putem kartica s čipom
Organizacijske mjere zaštite
Organizacijske mjere zaštite čini dokumentirano uređenje unutar poslovnog subjekta tako da se internim aktima uredi područje zaštite osobnih podataka koji se obrađuju.
Neke od organizacijskih mjera zaštite su:
- Pravilnik o informacijskoj sigurnosti (zaštita podataka od neovlaštenog pristupa)
- Pravilnici kojima se uređuje obrada osobnih podataka (pravilnik o zaštiti osobnih podataka)
- Ugovorne klauzule unutar ugovora o radu (ovlaštenja pojedinog zaposlenika)
- Izjava o povjerljivosti (zaposlenik ili vanjski suradnik)
- DPA i NDA ugovor (sporazum o obradi podataka, ugovor o čuvanju povjerljivih podataka)
“Ljudski faktor je najvažniji u postupku provođenja informacijske sigurnosti i zaštite podataka i ako kod svih zaposlenika nije postignuta svijest o važnosti informacijske sigurnosti i odgovornosti svakog pojedinca o zaštiti podataka sve ostale preporuke i propisane mjere zaštite neće imati puno značaja.” *
Što svaki zaposlenik, kao pojedinac može učiniti?
- Imati sigurnosne postavke na svojim službenim uređajima, ali i privatnim uređajima koje koristim u Imati poslovne svrhe.
- Zaključati svoje računalo prije napuštanja radnog mjesta.
- Opremu, informacije ili softver, bez obzira u kojem obliku ili na kojem mediju, koji se iznose i/ili nalaze izvan organizacije, propisno čuvati i imati cijelo vrijeme pod kontrolom.
- Koristiti složene lozinke sukladno internim politikama.
- Dijeliti informacije o povjerljivim i osobnim podacima samo ovlaštenim osobama, sukladno internoj politici tvrtke.
- Ne komunicirati s pošiljateljima e-poruka s nepoznatih, sumnjivih ili neprovjerenih e-adresa.
- Prijaviti nadređenom e-poruke sumnjivog sadržaja.
- Ne posjećivati sumnjive internetske stranice i ne učitavati neprovjerene i nepotrebne sadržaje s interneta.
- Svjesno djelovati kao dio cjeline u kojoj svojim ponašanjem doprinosim sigurnosti tvrtke.
- Voditi računa o povjerljivosti, cjelovitosti i dostupnosti informacija.
- Na desktopu računala (slično kao na radnom stolu) ne ostavljati bez nadzora dokumente/fileove/otvorene aplikacije i sl. s osobnim podacima koje su lako dostupne i/ili ostavljene bez nadzora.
- Osjetljivu dokumentaciju uništavati na odgovarajući način – rezačem papira i/ili na drugi način koji će spriječiti otkrivanje povjerljivih i osobnih podataka.
- Svu važnu dokumentaciju staviti pod ključ i/ili predati nadležnoj odgovornoj osobi koja će isto učiniti.
- Prilikom prestanka ugovora o radu vratiti sve zadužene informacijske resurse (opremu, softver, ili informacije u elektroničkom ili papirnatom obliku), nadređenom voditelju odjela.
- Koristiti informacijski sustav isključivo za namjenu za koju imam ovlaštenje, sukladno pravu pristupa.
- Prema potrebi i sukladno Politici klasifikacije informacija, klasificirati podatke prema tajnosti.
- Dojaviti usmeno i/ili pismeno odgovornoj osobi svaku nesukladnost te bilo koju slabost sustava, incident ili događaj koji bi upućivao na moguću povredu osobnih podataka.
Što učiniti u slučaju hakerskog napada?
U slučaju da se dogodi bilo koji od vrste napada trebalo bi postupiti prema protokolu koji bi tvrtka trebala imati u slučaju da je provela sve gore preventivne mjere.
No i unatoč tome, napad je moguć, ali lakše ga je prepoznati, zaustaviti i samim time umanjiti potencijalnu štetu.
Prvi korak bi bio svakako kontaktirati odgovornu osobu i isključiti sva računala, servere i sve mrežne veze u tvrtki i obratiti se stručnjacima. Bitno je djelovati odmah kako bi šteta bila što manja.
Upravo zato je važna osviještenost svakog pojedinca jer dovoljan je i jedan mail s naoko poznatom domenom i jedan zaposlenik koji će ga otvoriti.
I za kraj…ako se već brinemo da nam netko ne ulazi neovlašteno u tvrtku pa postavljamo kamere, zaštitare na ulazu i kartice za ulaz, štitimo se vatrodojavnim sustavom i činimo sve da sačuvamo svoju fizičku imovinu, pobrinimo se i za onu virtualnu kao što su podaci, informacije, poslovne ideje i tajne…
Za više informacija i savjeta potražite nas na sales@boost.hr
*Izvor: Agencija za zaštitu osobnih podataka