7 načina da uništite posao jednim klikom

2024 Autor: Malcolm Clapton | [email protected]. Zadnja promjena: 2024-01-15 16:44

Jedan zlonamjerni e-mail i naivan zaposlenik mogu koštati vašu tvrtku novca ili reputacije. Zajedno s Microsoftom, reći ćemo vam o kojim pravilima kibernetičke higijene trebate razgovarati sa svojim timom.

Pronađite još više savjeta kako se zaštititi od digitalnih prijetnji.

Svaki dan se pojavljuju nove vrste cyber prijetnji. Može se činiti da hakeri i prevaranti samo traže divove tržišta. Ali to nije slučaj. 63% svih napada usmjereno je na male tvrtke, a 60% malih poduzeća ugasilo se nakon cyber napada. Štoviše, žrtve napada nisu nužno startupi iz Silicijske doline. Ured glavnog tužitelja Ruske Federacije zabilježio je 180.153 kibernetičkih zločina u prvih šest mjeseci 2019. A to je 70% više nego 2018. godine.

Čak i ako imate cijeli IT odjel i na svim računalima su instalirani antivirusi, to nije dovoljno za pouzdanu zaštitu. Osim toga, uvijek postoji ljudski faktor: pogrešni postupci zaposlenika mogu dovesti do digitalne katastrofe. Stoga je važno sa svojim timom razgovarati o cyber prijetnjama i objasniti im kako se zaštititi. Prikupili smo sedam situacija u kojima indiskrecija jedne osobe može skupo koštati vašu tvrtku.

1. Klikom na zlonamjernu vezu

Situacija: na mail zaposlenika šalje se e-mail, koji izgleda kao obična pošta od poznatog primatelja. Pismo sadrži gumb koji vodi na stranicu koja ne izaziva sumnju u osobi. Zaposlenik slijedi poveznicu i preusmjerava se na mjesto prijevare.

Opisani mehanizam je takozvani phishing napad. Microsoftovo istraživanje kaže da je ovo jedna od najčešćih prijevarnih shema. U 2018. broj takvih napada porastao je za 350%. Phishing je opasan jer uključuje elemente društvenog inženjeringa: napadači šalju e-poštu e-poštom u ime tvrtke ili osobe kojoj žrtva sigurno vjeruje.

Prijevarne sheme postaju sve složenije: napadi se odvijaju u nekoliko faza, a e-poruke se šalju s različitih IP adresa. E-poruka za krađu identiteta može se čak i prikriti kao poruka od izvršnog direktora tvrtke.

Da vas ne bi uhvatili, potrebno je promišljeno pročitati sva slova, uočiti neslaganja u jednom slovu ili simbolu u adresi, a u slučaju bilo kakve sumnje - kontaktirati pošiljatelja prije nego nešto poduzmete.

2. Preuzimanje zaražene datoteke

Situacija: zaposleniku je za rad potreban novi softver. Odluči preuzeti program u javnoj domeni i završi na web mjestu gdje se zlonamjerni softver pretvara da je koristan softver.

Virusi na Internetu često su prerušeni u radni softver. To se zove lažiranje - krivotvorenje svrhe programa kako bi se naštetilo korisniku. Čim zaposlenik otvori preuzetu datoteku, njegovo računalo pada u zonu rizika. Štoviše, neke stranice automatski preuzimaju zlonamjerni kod na vaše računalo - čak i bez da pokušate nešto preuzeti. Ti se napadi nazivaju preuzimanjima iz pogona.

Daljnje posljedice ovise o vrsti virusa. Prije je prevladavao Ransomware: blokirao je računalo i tražio otkupninu od korisnika kako bi se vratio u normalan rad. Sada je druga opcija češća – napadači koriste tuđa računala za rudarenje kriptovaluta. Istodobno se drugi procesi usporavaju, a performanse sustava smanjuju. Osim toga, imajući pristup računalu, prevaranti mogu dobiti povjerljive podatke u bilo kojem trenutku.

Artyom Sinitsyn, direktor programa informacijske sigurnosti u srednjoj i istočnoj Europi, Microsoft.

Zaposlenici tvrtke trebaju biti svjesni da se radni softver ne može preuzeti s interneta. Osobe koje objavljuju programe na webu ne snose nikakvu odgovornost za sigurnost vaših podataka i uređaja.

Jedno od prvih pravila kibernetičke sigurnosti je korištenje licenciranog softvera. Na primjer, pruža sva rješenja koja su vam potrebna za vaše poslovanje, dok jamči potpunu zaštitu vaših podataka.

Ne samo da je siguran, već je i prikladan: uz Microsoft 365 možete koristiti sve Office aplikacije, sinkronizirati Outlook e-poštu s kalendarom i čuvati sve svoje važne informacije u oblaku OneDrive od 1 TB.

3. Prijenos datoteka preko nezaštićenih kanala

Situacija: zaposlenik treba s kolegom podijeliti izvješće o radu s povjerljivim informacijama. Kako bi bio brži, on učitava datoteku na društvene mreže.

Kada zaposlenicima nije ugodno koristiti korporativne razgovore ili drugi uredski softver, traže rješenja. Ne zato da bi namjerno naudili, nego jednostavno zato što je tako lakše. Ovaj problem je toliko čest da postoji čak i poseban izraz za njega - shadow IT. Tako opisuju situaciju kada zaposlenici kreiraju svoje informacijske sustave suprotne onima koje propisuje IT politika tvrtke.

Očito je da prijenos povjerljivih informacija i datoteka putem društvenih mreža ili kanala bez enkripcije nosi visok rizik od curenja podataka. Objasnite zaposlenicima zašto je važno pridržavati se protokola koje kontrolira IT odjel kako u slučaju problema zaposlenici ne bi bili osobno odgovorni za gubitak informacija.

Artyom Sinitsyn, direktor programa informacijske sigurnosti u srednjoj i istočnoj Europi, Microsoft.

4. Zastarjeli softver i nedostatak ažuriranja

Situacija: zaposlenik dobiva obavijest o izlasku nove verzije softvera, ali cijelo vrijeme odgađa ažuriranje sustava i radi na starom, jer "nema vremena" i "puno posla".

Nove verzije softvera nisu samo ispravci grešaka i prekrasna sučelja. To je i prilagodba sustava nastalim prijetnjama, kao i preklapanje kanala curenja informacija. Flexera izvještava da je moguće smanjiti ranjivost sustava za 86% jednostavnim instaliranjem najnovijih softverskih ažuriranja.

Cyber kriminalci redovito pronalaze sofisticiranije načine hakiranja u tuđe sustave. Primjerice, 2020. umjetna inteligencija se koristi za cyber napade, a broj hakiranja pohrane u oblaku raste. Nemoguće je osigurati zaštitu od rizika koji nije postojao kada je program izašao. Stoga je jedina prilika za poboljšanje sigurnosti stalno raditi s najnovijom verzijom.

Slična je situacija i s nelicenciranim softverom. Takvom softveru možda nedostaje važan dio funkcija i nitko nije odgovoran za njegov ispravan rad. Mnogo je lakše platiti licencirani i podržani softver nego riskirati kritične korporativne informacije i ugroziti rad cijele tvrtke.

5. Korištenje javnih Wi-Fi mreža za posao

Situacija: zaposlenik radi s laptopom u kafiću ili aerodromu. Povezuje se na javnu mrežu.

Ako vaši zaposlenici rade na daljinu, informirajte ih o opasnostima javnog Wi-Fi-ja. Sama mreža može biti lažna, putem koje prevaranti kradu podatke s računala prilikom pokušaja povezivanja. Ali čak i ako je mreža stvarna, mogu se pojaviti drugi problemi.

Andrey Beshkov Voditelj poslovnog razvoja u Softlineu.

Kao rezultat takvog napada, važne informacije, prijave i lozinke mogu biti ukradene. Prevaranti mogu početi slati poruke u vaše ime i kompromitirati vašu tvrtku. Povežite se samo s pouzdanim mrežama i nemojte raditi s povjerljivim podacima putem javnog Wi-Fi-ja.

6. Kopiranje važnih informacija javnim službama

Situacija: zaposlenik dobije pismo od stranog kolege. Da bi sve točno razumio, kopira pismo prevoditelju u pregledniku. Pismo sadrži povjerljive podatke.

Velike tvrtke razvijaju vlastite korporativne uređivače teksta i prevoditelje i upućuju zaposlenike da koriste samo njih. Razlog je jednostavan: javne internetske usluge imaju svoja pravila za pohranu i obradu informacija. Oni nisu odgovorni za privatnost vaših podataka i mogu ih prenijeti trećim stranama.

Ne biste trebali prenositi važne dokumente ili fragmente korporativne korespondencije na javne resurse. To se također odnosi na usluge za testiranje pismenosti. Već postoje slučajevi curenja informacija putem ovih resursa. Nije potrebno izrađivati vlastiti softver, dovoljno je instalirati pouzdane programe na radna računala i objasniti zaposlenicima zašto je važno koristiti samo njih.

7. Ignoriranje višefaktorske provjere autentičnosti

Situacija: sustav traži od zaposlenika da poveže lozinku s uređajem i otiskom prsta. Zaposlenik preskače ovaj korak i koristi samo lozinku.

Ako vaši zaposlenici ne spremaju lozinke na naljepnicu zalijepljenu na monitor, to je sjajno. Ali ne dovoljno da se ukloni rizik od gubitka. Paketi "lozinka - prijava" nisu dovoljni za pouzdanu zaštitu, pogotovo ako se koristi slaba ili nedovoljno duga lozinka. Prema Microsoftu, ako jedan račun padne u ruke kibernetičkih kriminalaca, tada im je u 30% slučajeva potrebno desetak pokušaja da pogode lozinku za druge ljudske račune.

Koristite višefaktorsku autentifikaciju, koja dodaje druge provjere u par prijava/lozinka. Na primjer, otisak prsta, Face ID ili dodatni uređaj koji potvrđuje prijavu. Višefaktorska autentifikacija štiti od 99% napada usmjerenih na krađu podataka ili korištenje vašeg uređaja za rudarenje.

Artyom Sinitsyn, direktor programa informacijske sigurnosti u srednjoj i istočnoj Europi, Microsoft.

Da biste zaštitili svoje poslovanje od modernih cyber napada, uključujući krađu identiteta, hakiranje računa i zarazu e-poštom, trebate odabrati pouzdane usluge suradnje. Tehnologije i mehanizmi za učinkovitu zaštitu moraju biti integrirani u proizvod od početka kako bi se koristio što je praktičnije moguće, bez potrebe za kompromisima u pitanjima digitalne sigurnosti.

To je razlog zašto Microsoft 365 uključuje niz inteligentnih sigurnosnih značajki. Na primjer, zaštita računa i postupaka prijave od kompromisa s ugrađenim modelom procjene rizika, višefaktorskom provjerom autentičnosti za koju ne morate kupiti dodatne licence ili provjerom autentičnosti bez lozinke. Usluga pruža dinamičku kontrolu pristupa s procjenom rizika i uzimajući u obzir širok raspon uvjeta. Microsoft 365 također sadrži ugrađenu automatizaciju i analizu podataka, a također vam omogućuje kontrolu uređaja i zaštitu podataka od curenja.