ZADNJIH nekoliko godina svjedočimo strelovitom razvoju tehnologije, a usporedno raste i stopa cyber kriminala. Povodi sve češćih napada su razvoj tržišta kriptovaluta i porast rada na daljinu. Od početka pandemije do danas stopa cyber kriminala se povećala za čak 600%, a to bi do 2025. moglo koštati svijet oko 10,5 bilijuna dolara godišnje.
Napadi svakih 11 sekundi, posljedice nisu samo financijske
Prema procjenama, hakerski napadi koji su uključivali povredu podataka su u 2021. koštali čak 4,24 milijuna dolara, a u svijetu su se događali svakih 11 sekundi. Najčešća vrsta napada bio je tzv. ransomware - zlonamjerni softver koji dolazi do osjetljivih podataka ili blokira pristup sustavu, a potom od žrtve traži otkupninu. Uz curenje osobnih podataka i financijsku štetu, cyber napadi mogu ugroziti okoliš, ali i zdravlje i sigurnost ljudi.
Lani je u Americi zamalo spriječena jedna takva katastrofa. U gradu Oldsmaru u Floridi haker je na daljinu provalio u sustav vodovoda i pokušao zatrovati vodu. Povećao je razinu natrijevog hidroksida, što može dovesti do iritacije kože i očiju te probavnih smetnji. Srećom, jedan radnik je primijetio promjenu i spriječio trovanje oko 15 tisuća ljudi.
Sličan napad se u svibnju 2021. dogodio i jednom naftovodu u SAD-u. Tvrtka Colonial Pipeline, koja je odgovorna za polovicu opskrbe naftom na istočnoj obali SAD-a, napadnuta je ransomwareom i morala je zaustaviti poslovanje na šest dana. To je dovelo do nestašice goriva i povećanja cijena, a u konačnici su morali platiti otkupninu od 75 bitcoina, što je tada iznosilo oko 4,4 milijuna dolara.
Kako se ransomware probije u sustav?
Najčešći način na koji se hakeri probiju u sustav je putem phishinga. To je vrsta napada koji uključuje interakciju čovjeka, a naziv potječe od engleske riječi fishing (pecati) jer se korisnika nastoji „upecati“ da otkrije povjerljive podatke.
Ljudi najčešće putem e-maila, SMS-a ili društvenih mreža prime zlonamjernu poruku koja oponaša povjerljivi izvor poput banke, telekom operatera, organizatora nagradne igre i sl. Često to bude u obliku zahtjeva da se verificira račun na društvenim mrežama ili na nekom drugom online servisu. Kad otvore poruku, nastoji ih se uvjeriti da kliknu na poveznicu i ostave podatke poput lozinki ili podataka o kreditnim karticama.
Više od 80% cyber incidenata odvije se ovim putem, pa je jasno da je najranjiviji element u cyber sigurnosti čovjek, koji postaje žrtva iz neznanja ili nepažljivosti. Zato je informiranje ljudi ključ prevencije cyber napada.
Igor Klak iz tvrtke Asseco SEE (ASEE), koja je lider na tržištu jugoistočne Europe u cyber sigurnosti i proizvodnji softverskih rješenja za financijske institucije i javna i komunalna poduzeća, kaže da je internet postao najveće „igralište“ na kojem se odvijaju pravi ratovi između policajaca i lopova. „U takvom okruženju moramo reagirati koliko možemo. Pojedinci se moraju educirati i pratiti vijesti upozorenja da sami ne postanu žrtve“, upozorava.
Na meti su sve više velike tvrtke, ali i mala i srednja poduzeća
Sve češće mete napada su i tvrtke. Prema izvještaju Accenturea za 2021., tvrtke su prosječno imale 270 napada, 31% više nego 2020. Najviše su ugrožene tvrtke uključene u svakodnevni život ljudi - banke, financijske institucije, zdravstvene ustanove, velike korporacije i obrazovne ustanove. No sve češće mete su i mala i srednja poduzeća koja često nemaju dovoljne sigurnosne mjere kako bi se obranile.
Igor Klak smatra da je to važno promijeniti: „Tvrtke moraju adaptirati načine razmišljanja i procese novim uvjetima 'nesigurnog' internetskog poslovanja i ovisnosti o internetu općenito te shodno tome unaprjeđivati tehnološke mjere zaštite.“
S njim se slaže i kolega iz tvrtke ASEE Luka Babić, koji ističe da u velikim tvrtkama treba provoditi akcije i edukacije developera koje će doprinijeti boljoj kvaliteti i sigurnosti programskih rješenja. „Sigurnost programskih rješenja nije 'dodatak' već treba biti temelj programskih rješenja na kojem developeri rade“, naglašava Babić.
Cyber sigurnost donosi nove prilike za karijeru
Sve važnija disciplina je informatička sigurnost ili cyber sigurnost, koja se bavi obranom uređaja, mreža, podataka i programa od zlonamjernih napada. U svijetu nedostaje čak 72 milijuna stručnjaka za cyber sigurnost, pa je ovo itekako perspektivno područje za razvoj karijere.
U kompaniji ASEE okupili su tim od 2700 zaposlenika u 21 zemlji, a ASEE Hrvatska zapošljava preko 200 djelatnika. Kažu da im je cilj pozicionirati jugoistočnu Europu kao vodeću europsku regiju u primjeni digitalnih financijskih usluga, a u toj misiji konstantno zapošljavaju vrhunske IT stručnjake. Neke od trenutno otvorenih pozicija su frontend developer, sistem inženjer, Java developer i iOS developer, a ostale prilike i otvorene pozicije možete pretražiti ovdje.
Luka Babić iz tvrtke ASEE smatra da je perspektiva cyber-securityja, kao grane IT-a kojoj je cilj zaštita krajnjih korisnika zanimljiva, no kaže da cyber-security više nije rezerviran isključivo za manji broj stručnjaka u IT industriji. „U današnje vrijeme, developeri bi trebali postati svjesniji sigurnosnog aspekta prilikom razvoja softvera te što kao sudionici u tom procesu mogu napraviti“, naglašava.
Što čine velike kompanije kako bi se zaštitile od napada?
Uz sigurna softverska rješenja kao temelj, postoje još neke akcije koje kompanije provode kako bi se zaštitile od cyber napada. Prva i glavna linija obrane je vatrozid (eng. firewall) - alat koji prepoznaje i blokira neovlašteni pristup mreži. Pomaže otkriti hakere, viruse i ostale zlonamjerne aktivnosti na internetu i određuje koji promet smije ući na uređaje. Uz ovo, tvrtke koriste i virtualne privatne mreže (VPN) za pružanje sigurnog udaljenog pristupa i slanje i primanje osjetljivih podataka.
Tu su i antivirusni i antišpijunski softveri, a obavezan protokol je višefaktorska autentifikacija. To znači da kod logiranja u sustave treba više koraka kojima se treba potvrditi identitet osobe, a ne samo korisničko ime i lozinka. Dodatna metoda provjere autentičnosti može biti kod koji vam stiže na e-mail ili SMS-om, ili biometrijska provjera kao što je otisak prsta ili skeniranje lica.
Kako se svi trebamo štititi? Ovo su savjeti cyber stručnjaka
U današnje vrijeme važno je stalno pratiti novosti iz cyber security industrije, a cyber stručnjaci preporučuju i nekoliko osnovnih koraka kojima možemo spriječiti da postanemo žrtve hakerskih napada:
1. Pazite što preuzimate s interneta. Izbjegavajte preuzimati datoteke iz neprovjerenih izvora kako biste smanjili šansu da u vaš sustav unesete zlonamjerni softver.
2. Koristite duže lozinke. Lozinka ne mora biti kompleksna i teško pamtljiva, već je važnije da je dugačka. To može biti neka rečenica koju će vam biti lako zapamtiti, stihovi pjesme ili sl. Lozinke je potrebno redovito mijenjati te ih ne biste trebali zapisivati niti dijeliti s drugima.
3. Redovito ažurirajte softver na vašim uređajima. Ako već niste, uključite automatska ažuriranja sustava za svoj uređaj i provjerite koristi li vaš web-preglednik automatska ažuriranja. Provideri konstantno poboljšavaju sigurnost svog softvera, pa redovito ažuriranje operativnog sustava i aplikacija čini naše uređaje manje osjetljivima na napade.
4. Budite oprezni da ne postanete žrtva phishinga. Budite vrlo sumnjičavi prema e-mailovima i porukama i dobro promislite prije nego negdje upišete svoje korisničke podatke ili podatke s kartice. Uvijek provjerite domenu i razmislite treba li doista upisivati taj podatak (primjerice, banka vas nikada neće tražiti da upisujete PIN i sl.).
5. Pazite koje informacije o sebi dijelite na društvenim mrežama. Provjerite vaš opis na Facebooku i obrišite informacije poput kućne adrese, telefonskog broja ili bilo koje druge informacije koju hakeri mogu iskoristiti.
6. Redovito radite sigurnosne kopije podataka. Stručnjaci za cyber sigurnost preporučuju pravilo sigurnosne kopije 3-2-1. Svoje podatke čuvajte u tri kopije. Dvije kopije čuvajte na dvije fizičke lokacije (na dva različita uređaja), a jednu čuvajte na izdvojenoj lokaciji, odnosno na oblaku. Tako ako postanete žrtva zlonamjernog softvera moći ćete vratiti svoje podatke.
7. Izbjegavajte koristiti javni WiFi, osobito ako nemate virtualnu privatnu mrežu (VPN) koja bi šifrirala promet između vašeg uređaja i VPN poslužitelja. Radije koristite svoju mobilnu mrežu, osobito za online plaćanje i slično.
Sadržaj donose Index i Asseco SEE u suradnji i u skladu s najvišim profesionalnim standardima.