Skoči na vsebino

Izognite se najslabšemu scenariju

Na odzivnem centru SI-CERT v luči naraščanja števila varnostnih incidentov ponovno pozivamo podjetja in organizacije, naj poskrbijo za usposabljanje zaposlenih o informacijski varnosti. V ta namen smo pripravili akcijo ozaveščanja »Izognite se najslabšemu scenariju!«, s katero nagovarjamo predvsem vodstvo in IT kader. Izpostavljamo dejstvo, da ima vsako delovno mesto šibke točke, ki jih izkoriščajo spletni napadalci. Podjetja lahko usmerijo svoje zaposlene na brezplačni spletni tečaj o informacijski varnosti Varni v pisarni, ki smo ga zasnovali.

Nobeno podjetje ni premajhno za spletne kriminalce

Še vedno je pogosto prepričanje, da manjša podjetja niso zanimiva za spletne napadalce, kar pa ne drži. Zaradi omejenih finančnih in kadrovskih virov so vlaganja v informacijska varnost velikokrat pomanjkljiva, zato so manjša podjetja lažja tarča. Tudi v večjih podjetjih in organizacijah, kjer je stopnja zavedanja o kibernetski varnosti mnogo višja, težavo še vedno predstavlja nezadostno izobraževanje zaposlenih. Vlaganje zgolj v programsko in omrežno opremo ne reši vseh težav, saj gre v večini primerov za tehnično nezahtevne napade, ki temeljijo na družbenem inženiringu. Ker zaposleni nimajo ustreznih znanj in veščin, da bi prepoznali nevarnost, so napadalci pogosto uspešni. Tako smo v 2021 na SI-CERT skupno obravnavali 3177 incidentov, med katerimi so phishing napadi predstavljali tretjino vseh primerov. Čeprav gre za eno najstarejših vrst spletnih napadov, ki so tehnično zelo enostavni, so še vedno uspešni, saj jih zaposleni enostavno ne prepoznajo. 

Na SI-CERT smo v 2021 skupno obravnavali 3177 incidentov, med katerimi so phishing napadi predstavljali tretjino vseh primerov

Še ena nevarnost, ki se prav tako širi prek elektronske pošte zaposlenih, so priponke z zlonamerno kodo. Samo pomislite, na koliko priponk pri svojem delu kliknete v samo enem dnevu? Na prvi pogled povsem nenevarna priponka lahko skriva trojanskega konja, specializiranega za krajo gesel in digitalnih potrdil, ali izsiljevalski virus, ki podjetju povzroči ogromno škodo. Posledice vdora so za organizacijo izredno negativne, ne le v finančnem smislu, ampak lahko povzročijo tudi izgubo ugleda in zaupanja.

Napad z izsiljevalskim virusom
Napad z izsiljevalskim virusom lahko ohromi podjetje

Različna delovna mesta imajo različne šibke točke

Opažamo, da se v zadnjih letih dogajajo intenzivne spremembe in podjetja vedno več vlagajo v opremo in zunanje varnostne preglede, potrebno pa je pomisliti tudi na zaposlene. Ti so pogosto  spregledani, nimajo možnosti izobraževanj ali pa so ta neprilagojena njihovemu nivoju znanja.

V sklopu akcije ozaveščanja »Izognite se najslabšemu scenariju!« predstavljamo štiri videe, ki nagovarjajo različne skupine zaposlenih in njihove šibke točke.

Računovodje imajo dostop do financ in spletne banke, zato so najpogosteje tarča vrivanja v poslovno komunikacijo (Business Email Compromise).

Za predvajanje videa je potrebno sprejeti YouTube-ove piškotke. Z namestitvijo boste dostopali do storitve YouTube, ki jo zagotavlja in nadzoruje zunanji ponudnik.

Pravilnik o zasebnosti ponudnika storitve

Praktično vsi zaposleni, ki imajo dostop do elektronske pošte, so lahko vstopna točka za napade z zlonamerno kodo.

Za predvajanje videa je potrebno sprejeti YouTube-ove piškotke. Z namestitvijo boste dostopali do storitve YouTube, ki jo zagotavlja in nadzoruje zunanji ponudnik.

Pravilnik o zasebnosti ponudnika storitve

Zaposleni v marketingu vsakodnevno veliko komunicirajo z zunanjimi partnerji in tudi upravljajo kanale na družbenih omrežjih, ki prinašajo dodatno tveganje.

Za predvajanje videa je potrebno sprejeti YouTube-ove piškotke. Z namestitvijo boste dostopali do storitve YouTube, ki jo zagotavlja in nadzoruje zunanji ponudnik.

Pravilnik o zasebnosti ponudnika storitve

Vodstvo in zaposleni v IT oddelku pa imajo možnost, da s svojim proaktivnim delovanjem in vlaganjem v izobraževanje pomembno zmanjšajo tveganja.  

Za predvajanje videa je potrebno sprejeti YouTube-ove piškotke. Z namestitvijo boste dostopali do storitve YouTube, ki jo zagotavlja in nadzoruje zunanji ponudnik.

Pravilnik o zasebnosti ponudnika storitve

Vsak video predstavi konkretno situacijo, v kateri se lahko znajde zaposleni, ko je pred odločitvijo, ali bo kliknil prav ali narobe. Odločitev je odvisna izključno od znanja in ozaveščenosti zaposlenih.

Za vse organizacije, kjer zaradi pomanjkanja virov ni sistematičnega pristopa k izobraževanju zaposlenih, smo na SI-CERT zasnovali brezplačni spletni tečaj Varni v pisarni.  Spletni tečaj na zelo enostaven, razumljiv in vizualno privlačen način zaposlenim predstavi osnove informacijske varnosti. Tečaj  poteka kadarkoli na zahtevo, traja vsega 30 minut in je prilagojen različnim delovnim mestom v organizaciji.

Postanite ambasadorji kibervarnosti

Slab mesec nas loči od kampanje Evropski mesec kibervarnosti, ki bo tudi letos povezala vse članice EU. Kampanjo organizira Agencija Evropske unije za kibernetsko varnost ENISA, ki poziva vse organizacije, naj se pridružijo in postanejo ambasadorji kibervarnosti.

Na portalu cybersecuritymonth.eu lahko podjetja registrirajo dogodek, s katerim bodo nagovorila svoje zaposlene in širila zavedanje o informacijski varnosti. Lahko organizirajo spletni seminar za zaposlene, delijo gradiva, pripravijo kviz … nabor možnosti je širok in prepuščen organizacijam.

Na voljo bodo tudi že pripravljena gradiva v slovenskem jeziku, npr. plakati, infografike in smernice na temo zaščite pred izsiljevalskimi virusi in phishing krajo podatkov. Gradiva bo pripravila agencija ENISA in bodo na voljo v vseh evropskih jezikih.    

Jubilejni logotip ob 10. obletnici kampanje Evropski mesec kibervarnosti

Preberite tudi

Konferenca o ozaveščanju o kibernetski varnosti

Agencija EU za kibernetsko varnost ENISA v partnerstvu s SI-CERT organizira prvo mednarodno konferenco o ozaveščanju o kibernetski varnosti. Dogodek bo potekal 27. novembra 2024, v Klubu Cankarjevega doma, s …
Več

Statistika SI-CERT za prvo polovico leta 2024

Za trend prve polovice 2024 smo izbrali ciljanje na mobilne naprave, najbolj očitno gre za lažna SMS sporočila (smishing) v imenu bank in dostavnih služb. Na te se usmerjajo tudi vedno bolj napredni trojanci za krajo podatkov za dostop do mobilnih denarnic.
Več

CrowdStrike izpad in posledice v Sloveniji

Ob pospešeni digitalizaciji različnih vidikov družbe postajamo vedno bolj odvisni od informacijskih sistemov. Kako odporni so le-ti na izpade?
Več