Posljedice cyber napada na korporativni i javni sektor mogu biti itekako ozbiljne. Od gubitka osjetljivih podataka, financijskih izdataka, oštećenja ugleda i gubitka povjerenja klijenata, investitora i šire javnosti, prekida u poslovanju, do pravnih posljedica, koje uključuju kaznene i civilne tužbe zbog kršenja propisa o zaštiti podataka ili neispunjavanja sigurnosnih standarda.

Stoga je iznimno važno da organizacije u Europi i diljem svijeta poduzmu adekvatne mjere kako bi se zaštitile od cyber prijetnji i izgradile otpornost, složili su se panelisti stručnog skupa o kibernetičkoj sigurnosti Defend Tech&Insur u organizaciji Poslovnog dnevnika s posebnim naglaskom na NIS2 Direktivu i Uredbu (EU) 2022/2554 o digitalnoj operativnoj otpornosti za financijski sektor (Dora).

Nužnost ‘zero turista’
Što sve uključuje ulaganje u sigurnosne tehnologije, jesu li zaposlenici dovoljno educirani o cyber sigurnosti, jesmo li usvojili najbolje prakse u upravljanju rizicima i odgovoru na incidente raspravili su predestavnici tehnoloških kompanija i osiguravatelja – Dražen Bzik, voditelj ICT proizvoda, platformi i rješenja iz A1, zatim Andrej Krvavica, voditelj poslovnog razvoja i korporativnog brokinga iz Marsh McLennana Hrvatska, Jelena Marojević Skorupan, voditeljica ključnih kupaca iz Setcora te Goran Živković, voditelj tima za zaštitu od kibernetičkih napada iz Combisa.

U zaštiti od mrežne krađe identiteta (phisinga) tehnologija nam može pomoći, a pritom je najvažnija edukacija, smatra Bzik.

“Educiranje djelatnika i korisnika pomaže razlučiti je li riječ o pravim ili lažnim mrežnim stranicama i što mogu poduzeti kako bi se od zaštitili od kibernetičkih napada. Oni koji mobitele više koriste u poslovne svrhe, kao i mlađi, posebno su izloženi prijetnjama”, rekao je pa podijelio koje industrije najviše padaju na prevare. “Medicinari i retail koji se možda toliko i ne bave informatikom čine pet posto, a najpodložnija je financijska i IT industrija”, rekao je.

Phishing mailovi koji postižu i do 70 posto klikabilnosti igraju na emocije zaposlenika koji u njima vide osobne pogodnosti i žele se dokazati nadređenima zbog čega je nužan pristup nulte stope povjerenja (zero trust), dodala je Marojević Skorupan.

“To je sigurnosna pretpostavka da unutar i izvan mreže neke organizacije nema pouzdanih entiteta, da se sva komunikacija, transakcije i zahtjevi za pristupom moraju autorizirati kao da su došli izvan mreže. Dakle, ne vjeruj nikome i ničemu. Provjeravaj apsolutno sve.

Nijedan pristup nije pouzdan, dok se ne dokaže suprotno. Rješenja u IT domeni funkcioniraju na temelju zero-trust pristupa, a napravljena su tako da korisnik ne vidi što se događa ‘ispod haube’, na njemu je da samo da potvrdi multifaktorsku autentifikaciju. Mislim da su kompanije itekako osvijestile, ponukane NIS2 Direktivom i Dorom, da moraju stalno i proaktivno donositi nove sigurnosne strategije”, naglasila je Marojević Skorupan napomenuvši je da je važno da zaposlenici ne koriste poslovni mobitel u privatne svrhe.

Cyber rizik nije samo tehnološki već odavno i sistemski, rekao je Krvavica. “Svaka organizacija sa cyber rizikom susreće se redovno, što utječe na cjelokupno njezino poslovanje. Izloženost tom riziku povećava se digitalizacijom, kao i radom na daljinu. Prilikom sklapanja osiguranja, najprije će se provjeriti imate li sve sigurnosne standarde sukladno veličini organizacije.

Ako su sigurnosni standardi klijenta razmjerni veličini organizacije, dobit će osiguranje koje će mu pomoći u troškovima samo onda kada su sve sigurnosne mjere tvrtke zakazale zbog čega je došlo do štete. No, svaka šteta ne mora biti katastrofalna. Ona može podrazumijevati samo troškove održavanja.

Kaže se da je cyber osiguranje požarno osiguranje 21. stoljeća, no govori se i o tome da će ono postati neosigurljiv rizik jer se počinje kositi s osnovnim pravilima osiguranja. Izvjesno je da će svatko u nekom trenutku imati cyber napad. Incidenti i odštete sve su veće, a fond i volumen osiguranika postaje manji”, istaknuo je Krvavica.

Pripreme za loš scenarij
Živković je objasnio kako se upravlja sigurnošću opskrbnog lanca. “Tvrtka se treba pripremiti scenarij koji je loš, ali moguć, zaštititi se od partnera ugovornim obvezama, a prije toga ga evaluirati. Ohrabrujuće zvuči brojka da će samo 20 posto zaposlenika kliknuti na generički maliciozan mail, no čim jedan zaposlenik klikne na njega, otvorili ste vrata napadačima. Kad ste im otvorili prva vrata, stvar se drastično komplicira.

Kad je riječ o targetiranju pojedinačnog zaposlenika u kompaniji, što je dodatno olakšano umjetnom inteligencijom, broj prevarenih zaposlenika zbog personaliziranih prevara raste i na više od 90 posto”, objasnio je Živković pa kazao kako je nabolja prevencija stati, razmisliti i odgoditi odgovor na sat vremena, ukoliko nam se učini da riječ o sumljivom upitu.

Nakon pandemije, cyber osiguranje više ne pokriva pokriva sve štete, već samo one kritične, kazali su stručnjaci. “Naravno, treba ulagati u tehnologiju, softver i edukaciju ljudi, no mora postojati krajnja zaštita ukoliko sve ode u krivom smjeru. Cyber incident nekoj tvrtki mogao bi prouzročiti ogromne financijske troškove. Proboj i curenje osobnih podataka iz firme rezultira ogoromnim regulatornim kaznama za kršenje GDPR-a, a trošak uplaćene police ne može se mjeriti s gubicima koji nastanu nakon cyber incidenta”, zaključio je Krvavica.