Sodobno poslovanje je digitalno oziroma elektronsko poslovanje. E-pošta, poslovno-informacijski sistemi, digitalna komunikacija in izmenjava datotek so stalnica v sodobnih poslovnih okoljih. Toda na digitalno krajino podjetij prežijo tudi številne kibernetske nevarnosti, od virusov in drugih škodljivih kod, do hekerskih napadov in vseprisotnih prevar. Število t. i. varnostnih incidentov v podjetjih se zato iz leta v leto povečuje. Nacionalni odzivni center za kibernetsko varnost SI-CERT vsako leto objavi Poročilo o kibernetski varnosti. V lanskem letu je tako SI-CERT zabeležil 4.123 kibernetskih incidentov, kar predstavlja 30-odstotni porast glede na leto poprej. Ponovno prednjačijo napadi s prevarami, kjer je opazen zasuk k pametnim telefonom, saj so SMS-sporočila in aplikacije za sporočanje postali nova vstopna točka za napadalce.
»V največ primerih je bil vektor napada še vedno elektronska pošta, velik skok pa je v porastu prevar, ki vključujejo SMS-sporočila in/ali aplikacije za hipno sporočanje,« so zapisali na spletni strani SI-CERT, kjer so lani obravnavali 1.432 varnostnih incidentov v kategoriji prevar, leta 2021 pa 950, kar kaže na izjemno rast tovrstnih napadov – ne le v Sloveniji temveč tudi v svetu.
Cilj napadalcev so finančni podatkiNapadalci napadajo vse povprek – ne le podjetja, temveč tudi fizične osebe. Njihov ključni motiv je pridobitev finančne koristi oziroma, še pred tem, finančnih podatkov za dostop do spletne ali mobilne banke ali celo podatkov plačilne kartice. Lansko drugo polovico leta je zaznamovala poplava napadov na komitente različnih slovenskih bank, katerih cilj je bil pridobiti avtentikacijske podatke za aktiviranje mobilne denarnice. Napadi so potekali po elektronski pošti in sporočilih SMS, tudi v imenu Finančne uprave Republike Slovenije pod krinko vračila davka. Prevarantske spletne strani so zahtevale vpis telefonske številke, davčne številke, enkratne kode iz sporočila SMS ter številke PIN bančne kartice. S temi podatki so lahko napadalci v imenu žrtve na svojem telefonu aktivirali mobilno denarnico ter prek nje opravljali različne spletne nakupe. Poleg bančnih prevar so na uporabnike prežale tudi prevare s skrito naročnino, lažne spletne trgovine ipd. Povprečna škoda žrtve prevare – pretežno gre za zlorabe kreditnih kartic – je lani po podatkih SI-CERT znašala 3.400 evrov, pri čemer je najvišje oškodovanje fizične osebe, primer izsiljevanja z lažnimi grožnjami o pregonu, doseglo 400 tisočakov! Še višji zneski škod pa se vrtijo v poslovnem svetu, kjer prevare dosegajo tudi milijonske zneske. |
Napadi na podjetja ne pojenjajo
Ko gre za kibernetske napade na podjetja, so na udaru predvsem mala in srednje velika podjetja, ki imajo v povprečju šibkejšo kibernetsko zaščito. Nanje so v preteklem letu prežali predvsem trojanski konji, specializirani za krajo podatkov (shranjena gesla, poverilnice VPN, kriptodenarnice itd.). Na SI-CERT so lani obravnavali 278 primerov trojanskih konjev, katerih cilj je kraja podatkov. Ti se najpogosteje širijo v obliki priponk elektronske pošte s sporočili, ki želijo naslovnika prepričati, da nanjo klikne in s tem nevede v računalnik namesti zlonamerno kodo. Slednje postaja vse bolj pereča težava, saj naslovniki vse težje ločijo med legitimno in prevarantsko e-pošto.
»Lažna sporočila, tudi s pomočjo orodij umetne inteligence, postajajo čedalje prepričljivejša, z različnimi tehnikami pa tudi preslepijo filtre poštnih strežnikov. Taka lažna sporočila navadno predstavljajo prvi korak pri nepooblaščenem dostopu do omrežja podjetja skozi okužbo računalnika enega od zaposlenih,« so nam zaupali v SI-CERT in dodali: »Posledica odprtja škodljive priponke je lahko tudi okužba z izsiljevalskim virusom, pri čemer so podjetja bolj izpostavljena kot posamezniki. Po podatkih SI-CERT je v preteklem letu bil v 78 % vseh obravnavanih incidentih z izsiljevalskimi virusi tarča napada poslovni subjekt.«
Direktorske in računovodske prevare
Na podjetja so uperjene različne spletne in e-poštne prevare. Vrivanje v poslovno komunikacijo je enostavna, a izredno škodljiva oblika kibernetskega napada, ki cilja na podjetja. Z vdorom v poštni predal napadalci spremljajo komunikacijo v podjetju in ob pošiljanju/potrjevanju računov – npr. med računovodjo in direktorjem – v njej zamenjajo podatek o bančnem računu in tako preusmerijo nakazilo denarja. Zneski oškodovanja so praviloma zelo visoki. Najvišji zabeleženi znesek preusmerjenega nakazila je lani znašal kar tri milijone evrov! Na srečo je bil prenos denarja zaradi nadzornih mehanizmov bank in Urada RS za preprečevanje pranja denarja pravočasno zaustavljen.
Niso pa imela vsa slovenska podjetja te sreče. Prevare z avansnimi plačili, znane tudi kot nigerijske prevare, so lani v povprečju oškodovana podjetja stala 58.000 evrov na incident, medtem ko je povprečna škoda ob uspešno izvedeni prevari, kjer se je napadalec lažno predstavljal kot tehnična pomoč družbe Microsoft, znašala 19 tisočakov.
Škoda se ne meri le v denarju, trpi tudi ugled
Škode, ki jih katerikoli kibernetski varnostni incident lahko povzroči podjetju, so raznolike: od neposrednih finančnih stroškov zaradi izsiljevanja do škode na komunikacijsko-informacijskem sistemu, izgube podatkov in možnosti glob, pa tudi stroškov, ki jih prinaša prekinjeno ali celo onemogočeno poslovanje. A to še ni vse, saj je treba prišteti še posredne škode, ki prav tako niso nizke. Največja posredna škoda, ki jo podjetje lahko utrpi kot posledico kibernetskega napada, je upad ugleda in zaupanja pri strankah in poslovnih partnerjih. Raziskave ugotavljajo, da 1-odstoten padec ugleda lahko povzroči 3-odstoten padec prodaje podjetja. Drži, izgubljenega ugleda podjetju zavarovanje kibernetske zaščite ne more povrniti, lahko pa mu s hitrim in strokovnim odzivom na incident pomaga zajeziti škodo.
Zavarovanje kibernetske zaščite je zelo priporočljivo
Kaj lahko storijo podjetja? Poleg krepitve varnostnih mehanizmov in stalnega izobraževanja zaposlenih imajo še tretjo možnost – samostojno zavarovanje kibernetske zaščite. Tega med domačimi zavarovalnicami med drugimi nudi Zavarovalnica Triglav. Preverili smo, kaj vključuje in bili prijetno presenečeni. Zavarovanje kibernetske zaščite poleg asistenčne pomoči obsega štiri osnovna kritja, in sicer odziv na incident, stroške ponovne vzpostavitve sistema, odgovornost za kršitev zaupnosti in zasebnosti in odgovornost za omrežno varnost. K temu pa je mogoče priključiti še tri dodatna kritja: obratovalni zastoj, kibernetsko izsiljevanje in kibernetski kriminal. Zavarovanje kibernetske zaščite v primeru obratovalnega zastoja krije tudi izgubo kosmatega dobička ter upravičeno nastalih dodatnih stroškov za preprečevanje ali zmanjšanje izpada prihodkov v veljavnega zavarovanja. V okviru kritja odgovornosti za kršitve zaupnosti in zasebnosti pa zavarovalnica poravna morebitne stroške, ki bi nastali kot posledica odškodninskih zahtevkov tretjih oseb ali zaposlenih zaradi kršitve varstva podatkov.
Zavarovanje kibernetske zaščite za podjetja je torej zelo priporočljivo. Strokovnjaki za kibernetsko varnost namreč ugotavljajo, da se v praksi mnogokrat primeri, da ob nastanku kibernetskega varnostnega incidenta v podjetju nastopi panika. Zaposleni takrat ne upoštevajo protokola odzivanja, če ga podjetje sploh ima. Nenadzorovana dejanja pa utegnejo povzročiti še več škode od samega kibernetskega incidenta. Odzivni čas je ob kibernetskem incidentu ključnega pomena. Prav zato je zavarovanje kibernetske zaščite z asistenco pri Zavarovalnici Triglav vredno (digitalnega) zlata.