Crnoj Gori, kao i državama u regionu, nedostaje svijest o korporativnoj bezbjednosti i kulturi, pa ne čudi što su sve češći incidenti, zloupotrebe i sajber napadi koji ozbiljno ugrožavaju imovinu, poslovanje, brend i imidž kompanija.
I dok se u razvijenim zapadnim zemljama velika pažnja posvećuje korporativnoj bezbjednosti, na prostoru Jugoistočne Evrope poslodavci se uglavnom bave otkrivanju unutrašnjih prijetnji koje dolaze od zaposlenih u kompaniji.
Konsultant za korporativnu bezbjednost, Mladen Raonić, “Vijestima” je kazao da u regionu trenutno postoji veoma mali broj kompanija za koje se može reći da imaju visok kvalitet korporativne bezbjednosti, koja je tvorevina zapadne poslovne kulture, te da se u taj segmet vrlo malo ulaže.
Direktori kompanija danas se, kako kaže, radije odlučuju da novac usmjere na projekte koji će odmah biti vidljivi u organizaciji, a jedan od najvećih rizika u ovom domenu jeste neshvatanje bezbjednosti kako za imidž kompanije, tako i za profit i ljude koji u njoj rade.
Loše reklame
Raonić je rekao da je vodeća prijetnja u svim kompanijama danas rizik od sajber napada i da su mnoge postale meta:
“Činjenica je da je sajber prostor priznat kao legitimno bojno polje (takozvani peti borbeni prostor uz: kopno, vazduh, more i svemir) u strateškim dokumentima većine svjetskih država...
Zaposleni koji ne mogu da uhvate priključak sa četvrtom tehnološkom revolucijom u velikoj meri i predstavljaju rizik za moderno poslovanje jer je preko njih moguće ostvariti prikupljanje informacija koje indirektno ili direktno mogu štetiti interesima kompanije za koju rade. S toga korporativna bezbjednost ima za cilj da u okviru organizacije obučava, edukuje i promoviše bezbjednosne procedure i standarde svim zaposlenim kako bi se pripremio jedinstveni odgovor na prijetnje kojih je sve više u sajber prostoru”.
Značajna karakteristika korporativne bezbjednosti, koja dobija sve veći značaj, je Security Marketing, pa svaka loša reklama u vezi sa imidžom preduzeća može da nanese štetu poslovanju.
“Najbolji primjer koji se može prikazati je u domenu turizma i predstavlja slučaj Hotela group Marriott International. Njihovi hoteli su do sada pretrpjeli više terorističkih napada (Islamabad 2008. i Jakarta 2009. godine) sa mnogo ljudskih žrtava.
Danas kada na Googleu pretražujete Marriott hotel, uvijek vam izađe predlog Marriott bombing. To je loš marketing koji će uvijek pratiti taj hotelski lanac i davati prednost konkurenciji”, tvrdi Raonić.
“Pripadamo ekonomski trusnom regionu u kojem su zemlje već duži niz godina u tranzitnom periodu i gdje su bezbjednosne strukture do nedavno bile primarno usmjerene ka očuvanju državne strukture i ideologije. Samim tim već u osnovi imamo ‘problem’ shvatanja pojma korporativne bezbednosti jer zaštita korporacije zahtijeva pre svega poslovni pristup rizicima i prijetnjama i očekuje određena specifične tehnike upravljanja koje se nisu mogle naslediti iz krutih bezbjednosnih standarda koji su decenijama vladali na ovom podneblju”
Na pitanje šta treba da urade kompanije koje hoće bolju zaštitu poslovanja, Raonić je odgovorio da je uvođenje korporativne bezbjednosti strateška odluka, a ne samo primanje u radni odnos nekog penzionisanog pripadnika bezbjednosnih službi, koji će biti rukovodilac službe fizičkog obezbjeđenja.
“Postoji veliki broj slučajeva da firma uporno traži menadžera bezbjednosti i više puta obnavlja oglas za to radno mjesto, ali poslije par mjeseci menadžer ih napušta ili dobija otkaz. Na pitanje u čemu je problem, vlasnik odgovara da ne može da nađe ‘pravog čovjeka’, ali ni sam ne zna da objasni šta je djelokrug njegovog rada niti ima predstavu da njegov menadžment tim nema ne prepoznaje značaj te funkcije”.
Informacije se traže i u smeću
Raonić tvrdi da socijalni inženjering ili “umjetnost obmane” predstavlja vrlo moćan i perfidan sistem napada kojima se može nanijeti ozbiljna šteta kompaniji ili pojedincu.
“Primeri socijalnog inženjeringa iz svakodnevnog života su različite vrste lažnih predstavljanja, propagandne poruke koje vas uvlače u neku nagradnu igru ili vas obavještavaju da ste dobili nagradu i ‘tjeraju’ da upišete lične podatke radi slanja iste”.
Raonić tvrdi da u kompanijama moraju postojati pravila kako bi se zaštitili od ovakve vrste napada koji su drugi po brojnosti u samom vrhu sajber napada.
“U tom procesu najbitnija stavka jeste kontinuirana edukacija zaposlenih na svim hijerarhijskim nivoima jer bez obzira na stepen tehnološkog razvoja koji je donio i mnogo bolju zaštitu povjerljivih informacija ‘čovjek’ je uvijek najslabija i najosetljivija karika u lancu zaštite”.
Čest je slučaj, tvrdi, da neko u kompaniji dobije mejl sa naloga pretpostavljenog ili nadređene osobe gdje se od iste traži da proslijedi određene informacije ili izvrši uplatu na neku izmišljenu fakturu.
“Lažni autoritet se postiže ili prostim ‘hakovanjem’ e-maila nadređene osobe ili pravljenjem paralelnog naloga na nekoj platformi koja omogućava da primalac e dobije kao pošiljaoca puno ime svog direktora čime se pokušava dovesti u zabludu. Ukoliko ‘napadač’ uspije uvjeriti ‘žrtvu’ da je on taj za koga se predstavlja, 90 odsto posla je već obavljeno i dalje namjere će biti lako sprovedene”.
Iako je korporativna “špijunaža” danas najrasprostranjenija na internetu, Raonić tvrdi da nijesu rijetki ni napadi putem telefona, uz korišćenje govornih vještina, pa ni rane metode kao što su pretraživanje otpada organizacije gdje se mogu naći mnogi materijali iz kojih je moguće izvući veliki broj informacija o kompaniji koja se napada.
Ne nasjedajte na “izuzetne ponude” za kupovinu
Da bi se zaštitili od napada, kompjuteri moraju da imaju instalirane antivirus programe i firewall, što je relativno lako izvesti jer postoji mnogo besplatnih rješenja. Treba koristiti e-mail klijente koji imaju spam filtere i automatski blokiraju sumnjivu poštu.
Raonić preporučuje da se koristi posebna i jaka lozinka, za svaki nalog, što građani obično ne rade jer ne mogu da zapamte veliki broj različitih šifri.
Svaka ozbiljnija kompanija, tvrdi, treba da ima standardizovani izgled mail adrese, a najčešće je to ime.prezime@nazivfirme.me.
“Ukoliko primite email od nekoga ko se predstavlja kao predstavnik vaše banke ili saradničke agencije, a u samoj mail adresi se ne nalazi naziv banke ili ime firme, vjerovatno se radi o prevari”.
Raonić zaključuje da se prilikom kupovine obrati pažnja na sajt na koji vodi link koji je stigao putem mejla, jer je veliki broj prevara vezan za elektronsku trgovinu.
“Često se u svrhe napada koristi trik izuzetne ponude. Cilj te ponude jeste da vas ‘natjera’ da što prije kliknete na link ili popunite određenu formu sa ličnim podacima. Na to ne treba da nasjedate”.
Bonus video:
