Dobre plati informacijske tehnologije, ki se je v času pandemije koronavirusa izkazala za nepogrešljivo, žal spremljajo tudi številne nevarnosti.

Z rastjo uporabe interneta in različnih digitalnih orodij so se povečale tudi možnosti za kibernetske napade, ki jih spletni goljufi s pridom izkoriščajo.

Najšibkejši člen v varnostni verigi je posameznik

Danes lahko žrtev spletnih napadalcev postane prav vsak posameznik ali podjetje, ne glede na velikost ali lokacijo. Na portalu Varni na internetu sicer opozarjajo, da so v zadnjem času priljubljena tarča napadov predvsem mala in srednja podjetja, ki pogosto nimajo vzpostavljenih zadostnih varnostnih mehanizmov.

Vendar pa v večini primerov ne gre za tehnično zahtevne napade, ki bi se jih dalo preprečiti s požarnimi zidovi in antivirusnimi programi. Večina novodobnih vdorov v informacijski sistem targetira končnega uporabnika, saj je ta postal najšibkejši člen v celotni varnostni verigi. Spletni nepridipravi iz prosto dostopnih virov ugotovijo elektronske naslove vašega podjetja in vašim zaposlenim pošiljajo zlonamerna elektronska sporočila.

Gre za obliko t.i. socialnega inženiringa: tehnike hekerskega napada, pri kateri napadalec s pomočjo manipulacije prelisiči uporabnika, da izvede določeno aktivnost, s tem pa pridobi dostop do internih podatkov vašega podjetja. Z le nekaj nepremišljenimi kliki lahko torej ogrozite ne le svojih, ampak tudi podatke vaših strank.

Da se trenutek nepazljivosti lahko pripeti vsakomur, dokazujejo tudi rezultati testnega 'phishing' napada, ki smo ga izvedli pred zborom članov ZRS v septembru 2021. V testni skupini med člani ZRS, ki so privolili v simulacijo napada, je kar 67 odstotkov uporabnikov kliknilo na lažne povezave v nezaželenem e-sporočilu, 41 odstotkov uporabnikov pa je vneslo podatke na lažno spletno stran.

Rezultate nam je na zboru članov ZRS predstavil Boštjan Špehonja, višji svetovalec informacijske varnosti pri podjetju PRO.Astec d.o.o, ki je izvedlo preizkus. Njegovo predavanje Varnostni pregled in odkrivanje kibernetske ranljivosti računovodskega servisa si lahko člani ogledajo na zaprtih straneh ZRS.


Ponudba članom ZRS za izvedbo varnostnega pregleda in odkrivanja ranljivosti

Pri Zbornici računovodskih servisov primere takšnih in drugačnih spletnih prevar zaznavamo tudi med našimi člani, zato že več let ozaveščamo o pomenu informacijske varnosti z različnimi izobraževanji in predavanji. Za učinkovito obrambo pred napadi s tehniko socialnega inženiringa je ključno, da so vaši zaposleni ustrezno izobraženi in da se znajo nanje primerno odzvati.

Ker se ljudje največ naučimo iz izkušenj, smo s podjetjem PRO.Astec ekskluzivno za člane ZRS izvedli storitev socialnega inženiringa – izvedbo nadzorovanega poskusa napada na informacijske sisteme in uporabnike naročnika z namenom odkrivanja ranljivosti, preden bi jih lahko izkoristili »pravi« hekerji.

Potek izvedbe storitev

Storitev je bila sestavljena iz različnih modulov. Za izvedbo nadzorovanega poskusa napada je podjetje PRO Astec d.o.o. ustvarilo novo navidezno digitalno identiteto, nato pa nenapovedano izvedlo simulacijo napada s pošiljanjem navidezno zlonamerne elektronske pošte ali telefonskimi klici vaših zaposlenih. Na koncu so prejeli poročilo o 'uspešnosti' napada, odločili pa so se lahko tudi za dodatno izobraževanje o varni uporabi interneta in načinih, kako prepoznati vse večje število spletnih prevar. Pridobili so poglobljene informacije o ravni ogroženosti podjetja pred takšnimi tehnikami kibernetskega napada, pa tudi priporočila, kako se pred njimi zaščititi.

Od testne skupine med člani ZRS (ki so dali privolitev pred izvedbo storitve socialnega inženiringa), jih je 67 % kliknilo na lažne povezave v nezaželenem e-sporočilu. Nato pa jih je 41 % vneslo podatke na lažno spletno stran. Po akciji socialnega inženiringa, so se odstotki izboljšali za več kot polovico.

Redno izobraževanje in informiranje na področju informacijske varnosti je nujno tudi za računovodske servise, česar se zavedamo tudi pri ZRS.

PR: GZS