Kibernetička sigurnost u praksi

Kibernetička sigurnost u praksi

Znate li što su NIS2 i DORA direktive? U IT krugovima, posljednjih godinu dana, ove direktive postale su potpuni hype. Gotovo da nema konferencije na kojoj nisu jedna od glavnih tema. No, u razgovoru s barem 40-ak poduzetnika u posljednja tri mjeseca, zaključio sam da izvan našeg IT kruga gotovo nitko za njih nije ni čuo.

Nama je, naravno, to izuzetno zanimljivo jer konačno imamo zakon, direktive i smjernice kojima možemo poslovodstvima tvrtki objasniti što za svaku tvrtku znači njihov informacijski sustav, što znači osiguravanje tog najbitnijeg i najvrjednijeg resursa bilo kojeg poslovanja — neovisno o tome ima li tvrtka 3 ili 300 zaposlenika.

IT sigurnost je odgovornost svih nas

Nije bitno jeste li vlasnik, ključna osoba u tvrtki ili zaposlenik — odgovornost svih nas je zaštititi najvrjedniju imovinu koju tvrtka posjeduje, a to je informacija!

Osobno nisam osoba od javnih istupa, pisanja po društvenim mrežama, a još manje komentiranja, ali nakon 20+ godina iskustva u IT-u, nebrojeno odrađenih prodajnih sastanaka, preko 300 digitalno transformiranih biznisa iz svih djelatnosti, osjećam potrebu podijeliti svoje iskustvo.

Kroz rad sam doslovno gledao poduzetnike kako, bez pretjerivanja, plaču dok nas pozivaju da ih spasimo nakon havarije u kojoj su izgubili sve: dijeljene dokumente, privatne datoteke, baze podataka poslovnih aplikacija, pa čak i .pst datoteke sa svojim mailovima.

Bez ikakve dileme mogu reći da i danas 80% biznisa iz sektora tvrtki s 1 do 30 zaposlenih vrlo slabo ili nikako ne upravlja najbitnijim dijelom svog poslovanja — IT-em.

Zašto IT nije samo “trošak”?

IT je danas svima kramp i lopata s kojom obavljamo svakodnevni rad, ali većini je to i dalje neplanirani trošak, nešto što se „samo od sebe događa“, nešto što se uopće sustavno ne vodi, niti se o tome razmišlja, a kamoli planira.

Najčešće izjave koje čujemo su:

“Pa ovako funkcioniramo već 10 godina i nikada nam se ništa dogodilo.”

“Mi smo mali… tko će nas napasti… kome smo mi zanimljivi.”

“Pa ova računala nas služe već 7 godina.”

“Naravno da imamo backup (Kolega ga napravi svakih par mjeseci).”

“Originalne licence su skupe.”

Ključna pitanja za vaše poslovanje

Moja pitanja za vas su sljedeća:

– Jeste li ikada izračunali koliko iznosi financijski gubitak jednog dana u kojem vaš informacijski sustav nije dostupan i gdje niti jedan zaposlenik ne može odraditi niti jedan zadatak (Bruto trošak plaće svakog djelatnika + svi ostali dodaci po djelatniku + svi ostali troškovi poslovanja / brojem radnih dana u mjesecu, ostali nemjerljivi gubitci poput propuštenih prilika (primjer iz prakse…takva situacija se dogodila baš na zadnji dan prijave tendera od 0,5 mil EUR na koju se ta tvrtka radi nedostupnosti IT sustava nije prijavila), narušenih odnosa s dobavljačima/kupcima, poremećajima u lancima opskrbe itd

– Upravljate li u svojoj kompaniji sa svim rizicima?  Ako i ne upravljate, jeste li ih bar sve detektirali? Mi smo osobno prije x godina u jednom trenu saznali da sve tvrtke moraju imati zaštitu na radu, i da su kazne velike…čim smo saznali angažirali smo tvrtku koja se time bavi i „riješili“ taj rizik.

– Jeste li svjesni koji rizik predstavlja IT sustav koji je sporadično vođen (postoji neki kolega u firmi koji se „kuži“ u računala, kada imamo potrebu pozovemo Đuru, Peru ili Štefa koji nam dođe popraviti trenutačni problem…)

– Jeste li sigurni da je sve i jedna informacija koju posjedujete u tvrtki sigurna i nepovrediva i to u realnom vremenu

– Ima li vaša tvrtka podatke pohranjene i na udaljenoj lokaciji, izvan fizičkih granica tvrtke? Potresi, požari i poplave nisu rijetkost.

– Imate li „Disaster recovery plan“ ili u prijevodu… Znate li što učiniti i koliko vam vremena treba da nastavite poslovanje nakon IT havarije?

– Koliko su vaši podaci sigurni od neovlaštenog pristupa i interno i eksterno? Jeste li na nekom javnoj natječaju ili nekoliko njih za redom izgubili posao od konkurenta, i to za manje od 1% ukupne ponuđene cijene?  Imate li bežičnu mrežu u uredu na kojoj su dostupni i svi ostali uređaji (pisači, računala, dijeljeni direktoriji)? Kada ste zadnji puta promijenili lozinku od elektroničke pošte?  Imate li uopće lozinku za ulaz u računalo? Zaključavate li računalo kada se maknete s radnog mjesta? Koristite li dvostruku autentifikaciju?

– Jesu li vaši zaposlenici dovoljno obučeni da mogu prepoznati elektroničku poruku koja je stigla od lažnog pošiljatelja?

– Biste li prepoznali razliku između, primjerice, „procudo.hr“ i „procubo.hr“?

– Ovakvih pitanja ima još bezbroj…

Zašto je ovo važno?

Ovaj članak napisao sam u želji da pomognem, osvijestim i educiram prenoseći vlastito iskustvo. Mi kao tvrtka pozivani smo u pomoć u bezbroj situacija u kojima su se ljudi nakon gubitka svih podataka hvatali za glavu, snalazili na način da su od dobavljača, kupaca, partnera, kućnih računala i prastarih backupova pokušali rekonstruirati svoje poslovanje i nekako nastaviti dalje.

Kibernetički napadi nisu nešto što se događa tu i tamo, nekome drugome. Moderni napadi su sofisticirani i ciljani. Današnji napadi nisu virusi od prije 10 godina gdje se na računalu promijeni pozadina na desktopu. Kibernetički napadi događaju se svakodnevno u cijelom svijetu, pa tako i u Hrvatskoj. 

Kibernetički napadi su svakim danim sve sofisticiraniji, i u najčešće dolaze putem elektroničke pošte na potpuno gramatički ispravnom hrvatskom jeziku. Cilj napada je oduzimanje svih informacijskih resursa i zaustavljanje poslovanje tvrtke, s ciljem novčane ucijene u zamjenu za dekripcijski ključ, s kojim možete otključati vaše zaključane podatke.

Naše iskustvo pokazuje da od 100% tvrtki koje plate otkupninu, njih samo 40% dobije dekripcijski ključ. Plaćanjem se samo potiče takve organizacije da napadaju još jače, a i materijalno ih se osnažuje. To su organizacije uglavnom iz Azije i naše vlasti su apsolutno i totalno nemoćne u borbi protiv toga.

NIS2 nije trošak, već prilika!

Da se vratim na temu…ne gledajte na NIS2 kao na još jedan propis i namet poduzetnicima, već na priliku koja će vas natjerati da svoje poslovanje podignete na višu razinu, da ga zaštite i da ostavite izuzetno malu mogućnost da bilo kakav vanjski utjecaj može utjecat na budućnost poslovanja, vas, vaše obitelji, vaših zaposlenika i njihovih obitelji, kupaca, dobavljača i partnera. Ako vi zaštite sebe, zaštitit ćete i ostale povezane sustave s kojima ste svakodnevno u interakciji.

IT kao trošak tvrtke danas uz moderne alate više nije skup, i tvrtka od 3 zaposlenika može imati identičnu sigurnost, mobilnost, učinkovitost kao i tvrtka od 50 zaposlenika.

Osigurajte svoje poslovanje dok ne bude prekasno!

Bruno Bardić 

Procudo d.o.o.

Skip to content