U današnjem je užurbanom društvu računalni kriminal napredovao do faze kad svakog tjedna u medijima možete očekivati vijesti o napadima na velike kompanije. A te vrste napada tek su u zamahu. Mogli biste se kao mala firma zabrinuti za te velike korporacije, ali se istovremeno osjećati i zahvalnima što je vaša organizacija dovoljno mala da vjerojatno nećete biti metom takvih zlonamjernih aktivnosti.

I tu biste pogriješili.

Da, tim računalnim kriminalcima, koji su fokusirani na dinamiku napadanja „velik rizik = velika nagrada“ i ciljaju na velike korporacije, možda doista niste zanimljivi. Ali to nije jedina vrsta napada s kojom se tvrtka može suočiti. Svjedoci smo sve većeg broja operacija velikog dosega i malog rizika gdje su pojedinačne „nagrade“ za napadače možda relativno male, ali kad se zlonamjerne djelatnosti prošire po širokoj mreži poduzeća, tada se takva djelatnost isplati. To je lagan posao za napadače, ali noćna mora za male tvrtke. Svi mislimo da se to neće dogoditi nama sve dok se ne dogodi.

Svaki dan smišljaju se nove prevare, ali trenutačno su aktualne dvije vrste pristupa u takvoj situaciji, pa se vrijedi s njima upoznati.

Ne uljuljajte se u lažnu sigurnost

Prvi pristup podrazumijeva da je tvrtki poslana poruka e-pošte ili fizičko pismo od dobavljača u kojemu je navedeno da imaju novi bankovni račun i traže da vaša tvrtka ažurira svoje sustave unosom novog računa. Rezultat je da male tvrtke slijede ono što smatraju valjanim uputama i na kraju uplate napadaču ono što su trebali uplatiti dobavljaču. I to ne staje samo na tome: kad shvati da je prevarena i da je novac otišao na krivi račun, tvrtka je i dalje dužna pravom dobavljaču...

Kod drugog pristupa napadač dobiva pristup sustavima male firme i promijeni njihove podatke o bankovnom računu u vlastiti račun. To znači da će svi klijenti koji dobiju i plate fakture ne znajući uplaćivati novce izravno računalnom kriminalcu. I klijent i tvrtka ostat će bez sredstava, a klijent vjerojatno neće dobiti ono što je (krivo) platio.

Takve se vrste napada vrlo lako izvode i teško slijede, ali to ne znači da ne možete učiniti ništa da se zaštitite. Zapravo možete učiniti puno toga. Ključno je da se ne uljuljate u lažnu sigurnost i da koristite robusne sigurnosne protokole da biste zaštitili svoje podatke.

1. Zapamtite da svaki uređaj povezan s internetom predstavlja potencijalni rizik. Pobrinite se da koristite višerazinsku provjeru autentičnosti (multi-factor authentication) za sve dijelove tvrtke koji su povezani s podacima te šalju i primaju informacije.
2. Pazite da dobro poznajete i razumijete svoje poslovne procese, poput načina fakturiranja, da biste znali odakle napad može doći. Budite svjesni i sljedećega: što je vaš sustav fakturiranja neformalniji, to je računalnom kriminalcu lakše pristupiti mu i promijeniti podatke.
3. Ne bojte se postavljati temeljita pitanja svakome tko zatraži da s njim podijelite neke podatke, primjerice ako se netko predstavlja kao da je iz odjela za prevare vaše banke. Dvaput provjeravajte sve brojeve računa. Nazovite povratno dobavljače i klijente na telefonski broj za koji ste sigurni da je valjan i provjerite jesu li doista tražili zahtijevano.
4. Nemojte misliti da se takvo nešto vama ne može dogoditi. Budite oprezni i upoznajte tim s rizicima.
5. Planirajte što ćete napraviti u slučaju najgoreg scenarija kako biste znali točno koje ćete korake poduzeti ako dođe do sigurnosnog proboja.