Cyber napad – jedan korak prekasno

Kada saznate da je vaša tvrtka napadnuta, to nije početak problema. To je kraj. Ransomware je već unutar vašeg sustava. Podaci su već izvučeni. Pristup vašim ključnim resursima već je prodan na dark webu. A vi to saznate tek kad sustavi prestanu raditi, kad klijenti postave neugodna pitanja, kad regulator pokuca na vrata – ili još gore, iz medija.

I tada kreće klasični scenarij: krizni sastanci, panično traženje rješenja, pokušaj kontrole štete. Angažiraju se vanjski stručnjaci, traže se odgovorni, prebrojavaju se gubici. No, ono što se često zaboravlja jest da je stvarna odluka o tome hoće li vaša tvrtka preživjeti ovaj napad donesena davno prije nego što ste ga uopće primijetili, onda kada niste zeljeli primjetiti.

Ono što također mnogi ne žele priznati jest da je odgovornost isključivo na... Ne na CISO-u. Ne na IT timu. Ne na vanjskim konzultantima. CEO, CFO, COO, član uprave ili vlasnik, donose odluke koje izravno utječu na to hoće li organizacija biti laka meta. Cyber napadi ne uspijevaju zato što su hakeri nezaustavljivo briljantni. Oni uspijevaju zato što su odluke na najvišoj razini upravljanja predvidivo loše.

Jedan od najsigurnijih znakova da ste već hakirani, a da toga još niste svjesni, jest činjenica da nitko na razini uprave ne priča o sigurnosti. Ako sigurnost nije sastavni dio poslovne strategije, ako se o njoj ne raspravlja uz digitalnu transformaciju, inovacije, investicije, ulaganja i optimizaciju poslovanja, onda rizikom ne upravljate – ignorirate ga. Ako su jedine informacije koje primate o sigurnosti one koje dolaze kroz periodične IT izvještaje o implementiranim alatima, a ne stvarne brojke o stvarnim prijetnjama i simulacijama napada, tada nemate realnu sliku o stanju vaše organizacije.

Većina tvrtki vjeruje da kontrolira svoje podatke, no istina je da ih napadači često već imaju. Iako vam se čini da su sustavi pod nadzorom, napredni napadi ne dolaze kroz očigledna vrata. Prosječno vrijeme koje napadači provedu unutar mreže, a da ih nitko ne primijeti, iznosi više od dvjesto dana. Tijekom tog vremena, oni pažljivo mapiraju vašu infrastrukturu, identificiraju ključne resurse, analiziraju financijske tokove i pripremaju teren za trenutak kada će udariti. Kada se napad konačno dogodi, on nije početak problema – on je završni čin operacije koja je možda već mjesecima u tijeku.

Sigurnost je često podcijenjena jer se pogrešno percipira kao tehnički problem. No, napadi ne uspijevaju zbog ranjivosti softvera – oni uspijevaju zbog ranjivosti ljudi i procesa. Ako vaša tvrtka nikada nije provela simulirani i ciljani phishing test s jasnim ciljem (a ne samo zato što to svi rade ili negdje piše), tada ne možete sa sigurnošću reći da znate kako će vaši zaposlenici reagirati na sofisticirane socijalno inženjerske napade. Financijski direktor će kliknuti na hitan zahtjev koji izgleda kao da dolazi od vas. Pravna služba će preuzeti dokument koji sadrži zlonamjerni kod, HR služba će otvoriti CV otvorene molbe za posao. Svi oni su navikli donositi brze odluke pod pritiskom, a upravo je to ono što napadači iskorištavaju. Sigurnost nije tehnička, ona je psihološka.

No, možda i najveća zabluda među rukovoditeljima jest uvjerenje da su regulativa i usklađenost isto što i sigurnost. NIS2, DORA, GDPR i drugi regulatorni okviri donose određenu razinu zaštite, ali compliance nije isto što i sigurnost. Organizacije koje pristupaju kibernetičkoj sigurnosti kao još jednoj birokratskoj check-listi zapravo ne shvaćaju njezinu suštinu. Dokumentirani plan odgovora na incidente koji nikada nije testiran u stvarnim uvjetima nema nikakvu vrijednost. Ako vaš plan ne sadrži jasnu proceduru tko donosi odluke u kriznom trenutku i ako ta osoba nema ovlasti da odluči hoće li platiti otkupninu ako je to jedina opcija da se vrate podaci – onda zapravo nemate plan.

I dok većina organizacija ulaže milijune u interne sigurnosne sustave, rijetko koja posvećuje dovoljno pažnje trećim stranama. Vaš sigurnosni perimetar nisu samo vaši serveri i zaposlenici. To su svi partneri, dobavljači i podizvođači koji imaju pristup vašim sustavima. Ako ne znate tko od njih ima pristup vašim ključnim podacima, kako su njihovi sustavi zaštićeni i jesu li prošli sigurnosne provjere, onda niste osigurali vlastito poslovanje. Napadači često koriste slabosti partnera kako bi došli do vas.

Kada se sve sagleda, pravo pitanje nije hoće li vaša tvrtka biti napadnuta, jer odgovor na to je jasan – hoće. Pravo pitanje je hoćete li preživjeti taj napad. Većina tvrtki neće, jer će prekasno shvatiti da su ignorirali signale koji su cijelo vrijeme bili prisutni.

Oni koji prežive nisu nužno oni koji imaju najbolje sigurnosne alate, već oni koji su donijeli prave odluke na vrijeme. Ako ste se prepoznali u bilo kojem od ovih scenarija, imate dvije opcije. Možete čekati da napad postane vidljiv i tada reagirati – kada je već prekasno. Ili možete prepoznati da je sigurnost poslovna odluka i početi donositi ispravne odluke sada.

U konačnici, ako želite znati jeste li meta, odgovor je jednostavan. Ako ste povezani s internetom, jeste. Pitanje je samo hoćete li to shvatiti prije ili nakon što vaši podaci završe na prodaju.