Kako povećati stepen zaštite na internetu i sprečiti gubitak podataka
Proces digitalizacije je već odavno postao normalnost i danas gotovo da nema preduzeća kojem deo ili kompletno poslovanje nije zasnovano na digitalizaciji. Bilo da je u pitanju prosto čuvanje Excel tabela u kojima pratite finansije ili je to nalog na društvenoj mreži na kojoj se zasniva vaše celokupno poslovanje, digitalizacija je postala neizbežna.
Svakako, jedna od najvećih prednosti digitalizacije je činjenica da vam podaci i korisnici mogu biti dostupni uvek i svuda. Isto tako ova činjenica predstavlja i rizik, jer pristup tim podacima, pored vas, može imati i neka druga neželjna strana, ukoliko niste dovoljno pažljivi. Svedoci smo sve češćih sajber napada, gde čak i velikim sistemima bude onemogućen rad po nekoliko nedelja, uprkos velikim budžetima i ulaganjima u IT infrastrukturu.
Koliko smo izloženi?
Kako biste najlakše utvrdili stepen izloženosti ovakvoj vrsti rizika, najbolje postavite sebi neka od sledećih pitanja.
U kojoj meri bi vaše poslovanje bilo ugroženo ukoliko bi vam se desio neki od sledećih scenarija?
- Bespovratni gubitak pristupa vašoj poslovnoj e-mail adresi.
- Permanentni gubitak pristupu vašim profilima na društvenim mrežama.
- Bespovratni gubitak podataka na vašem glavnom firminom računaru, serveru ili kasi.
- Krađa ili havarija vašeg smartphone-a ili laptopa.
- Neovlašćen pristup vašim e-mail adresama ili profilima na društvenim mrežama i njihova zloupotreba u komunikaciji sa vašim klijentima ili pratiocima.
Ukoliko vas je prošla blaga jeza zamišljajući neku od ovih situacija, ovaj članak vam može biti od koristi. Svrha ovog teksta je da vam skrene pažnju na nekoliko jednostavnih koraka koje možete preduzeti kako biste u velikoj meri povećali stepen zaštite i značajno smanjili verovatnoću da vas zadesi ovakav scenario.
Pravilna upotreba lozinki – NaVrhbRdavrbAmrDa
Prvi korak u zaštiti vaših podataka je adekvatna upotreba lozinki.
Pri kreiranju korisničkih naloga na različitim platformama dobićete razne sugestije šta svaka lozinka treba da sadrži. Najčešće ćete dobiti ovakav neki zahtev: da šifra ima barem 8-9 karaktera, sa kombinacijom malih i velikih slova, da sadrži brojeve i specijalne karaktere, kao što su znakovi interpukcije. Ovi su uslovi koji vas u najvećoj meri štite od nasumičnih pokušaja „probijanja“ šifre (brute force napad).
Važno je napomenuti da nisu sve šifre koje ispunjavaju gore navedene karakteristike bezbedne. Na primer šifra Marko1989! se ne smatra bezbednom. Iako ispunjava navedene kriterijume, može se vrlo lako „provaliti“, jer sadrži elemente koje veliki broj ljudi koristi (uobičajeno ime, godina rođenja, znak uzvika). Hakeri danas na rapolaganju imaju daleko moćnije alate od prostog nasumičnog pokušaja pogađanja lozinke.
Zbog toga je važno da vaša lozinka što manje predvidiva. Da ne biste komplikovali sebi život pamćenjem 12 nasumičnih karaktera, vaša lozinka može biti, na primer, kombinacija lokalne izreke i još nekog simbola. Recimo: navrhbrdaDivacBasketigra! Ova šifra se lako pamti gotovo nemoguća za nasumično pogađanje.
Drugi korak je izbegavanje upotrebe identičnih šifara na više različitih mesta.
Iako pamćenje samo jedne šifre značajno pojednostavljuje korišćenje vaših naloga, ovakav pristup vas vrlo lako može skupo koštati. Zamislimo slučaj u kome koristite istu šifru za vaš Gmail nalog, ebanking, Instagram, ali i za pristup lokalnom weshopu za kozmetiku ili pristup nekom forumu. Rizik leži u tome što je dovoljno da samo jedan od ovih sajtova pretrpi sajber napad i da vaša kombinacija korisničkog imena i lozinke „procuri“ i dospe u neželjene ruke, svi vaši nalozi odjednom postaju ugroženi. Čak i ozbiljnije kompanije sa naprednim sistemima zaštite nisu imune na ovakve situacije. Setimo se primera Yahoo-a 2016, gde je preko 500 miliona korisničkih naloga bilo otkriveno. Lokalni webshop je daleko ranjiviji od Google-a, Yahoo-a, Facebook-a ,itd.
Treći korak je periodična promena lozinki.
Potrudite se da u određenom intervalu menjate vaše lozinke. Svetski standardi preporučuju da se lozinke menjanju između 60 i 90 dana. S obzirom da većina nas lozinke ne menja i po nekoliko godina, potrudite se da ih promenite na najvažnijim nalozima barem jednom u 6-12 meseci.
MFA (multifaktorska autentifikacija) – dodatni korak zlata vredan
Ovo je najvažniji korak koji možete primeniti i koji će vam u najvećoj meri smanjiti rizik od krađe naloga i gubitka podataka. Reč je, zapravo, o uvođenju dodatnog koraka, pored lozinke, pri pokušaju da se ulogujete na vaš nalog. To može biti u formi slanja SMS poruke sa kodom, koji je potrebno uneti ili korišćenja aplikacije koja generiše privremene kodove koji se unose pri logovanju (Google ili Microsoft Authenticator, Consent ID, itd.). Kao preduzetnik, vrlo verovatno već koristite ovo rešenje na nekoj od platformi, kao što su ebanking, portal efakture, euprava i slično. Dobra vest je što gotovo svi veći email servisi, društvene mreže i banke nude ovu mogućnost i naša topla preporuka je da već ovog trenutka aktivirate ovaj servis.
Ažuriranje softvera – ima i svojih prednosti
U današnje vreme verovatno nam ne prođe ni dan, a da ne dobijemo obaveštenje da je izašla nova verzija operativnog sistema ili aplikacije koje koristimo svakodnevno. Većina nas odlaže ova ažuriranja, jer nemamo vremena, bojimo se da će nam usporiti uređaj, zauzeti više resursa ili se plašimo da aplikacija ili sistem neće više raditi onako kako smo navikli. Iako možemo diskutovati da li će nam ažuriranje sistema posao učiniti lakšim ili komplikovanijim, ono što jeste činjenica je da će ažuriranje u velikoj meri učiniti vaš operativni sistem ili aplikaciju sigurnijim. Sajber bezbednost je u velikoj meri igra policajca i lopova. Hakeri konstantno pronalaze ranjivosti u sistemima i aplikacijama kako bi ih zloupotrebili. Sa druge strane, proizvođači tih sistema gledaju da ih spreče ili da što pre „zakrpe“ bilo kakve ranjivosti koje otkriju. Zato je važno uvek imati ažuriran softver na uređajima koje koristimo.
Backup, backup, backup! – i opet backup
Svako od nas, bilo kao pojedinac ili firma, poseduje podatke koje čuvamo u digitalnoj formi i čijim gubitkom bismo pretrpeli određenu štetu. Gubitak podataka može nastati usled velikog broja različitih događaja. Neki od njih su: fizičko oštećenje ili kvar samog uređaja na kome se podaci čuvaju (računar, eksterni hard disk, USB fleš, itd.), gubitak pristupa nalozima na kojima se čuvaju podaci (email server, cloud servis, itd.), slučajno brisanje, ransomware napad i mnogi drugi. Navedene situacije, nažalost, nisu uopšte retke, stoga je veoma važno redovno vršiti bekap svih podataka koji su bitni za vaše poslovanje.
Preporuka je da podatke čuvate barem na dve fizički udaljene lokacije (npr. kancelarija-kuća ili kancelarija-cloud, itd.) Takođe, važno je da taj proces automatizujete da biste vaše angažovanje sveli na minimum i izbegli situaciju da bekap zavisi od toga da li ste se setili da ubacite eksterni disk i prekopirate podatke iz vašeg knjigovodstvenog programa. Ukoliko želite da saznate više informacija kako da postavite dobar bekap sistem preporučujemo da pročitate članak posvećen toj temi.
Phishing – mi smo, ipak, najslabija karika.
Globalna statistika je surova i ukazuje na to da u preko 85% slučajeva glavni uzrok IT bezbednosnih incidenata je čovek, odnosno ljudska greška. Navikli smo da u filmovima gledamo scene, gde sajber napadi nastaju tako što hakeri sede u nekom podrumu, na ekranu se ispisuju razni kodovi dok munjevitom brzinom unose komande kojim probijaju razne bezbednosne sisteme. Realnost je, zapravo, daleko manje dramatična i često se svodi na to da je neko kliknuo na nešto što nije trebalo, da je otvorio attachment u e-mailu od nepoznatog pošiljaoca, download-ovao aplikaciju koju nije trebalo, poverovao da je nasledio bogatstvo od dalekog rođaka iz Nigerije, itd. Phishing napadi najčešće za cilj imaju da vam ukradu lozinke, zaključaju važna dokumenta kako bi vam tražili otkup za njih ili prosto da vam instaliraju zlonamerni program koji će koristiti za dalje napade. Phishing napadi su postali toliko rasprostranjeni i napredni da je zaštita od njih postala sve teža, jer pored naprednih tehnoloških rešenja zahteva i pribranost, obučenost i koncentraciju ljudi koji su meta napada. Zbog toga ovoj temi smo posvetili poseban tekst.
Od koga se mi to zapravo branimo?
Kada pričamo o bezbednosti IT sistema, često volim da napravim paralelu sa zaštitom automobila od krađe. Za početak vrlo je važno razumeti da, kao što se svaki automobil može ukrasti tako se i svaki sistem, svaka mreža, svaka aplikacija može hakovati. Pitanje je samo koliko je neko motivisan da to uradi. Tu razlikujemo targetirane napade i nasumične napade. Da se vratimo na primer automobila, reč je o tome da li je predmet krađe skup i redak oldtajmer ili prosečan automobil koji stoji na ulici čiji je vlasnik zaboravio da zaključa vrata. Od targetiranih napada se jako teško možemo odbraniti i to su situacije kada neko ima konkretan razlog zašto baš vas hoće da napadne i spreman je da uloži značajne resurse da to i ostvari. Za odbranu od ovakvih napada potrebni su ozbiljni sigurnosni sistemi i ozbiljan tim stručnjaka koji tim sistemima upravlja. Srećom, preduzetnici i manje firme su retko kada mete ovakvih napada, ovakvi napadi su najčešće usmereni ka većim sistemima čiji su podaci daleko vredniji za širu populaciju.
Sa druge strane, nasumične napade možemo uporediti sa lopovom koji šeta ulicom i proverava da li je neki automobil ostao otključan ili sa ključevima u bravi. U kontekstu IT sistema, reč je često o raznoraznim alatima koji omogućavaju napadačima da u kratkom roku skeniraju veliki broj sistema, naloga, mreža da bi proverili da li imaju neke ranjivosti, kao što su: nedovoljno jaka šifra, odsustvo dvofaktorske autentifikacije (MFA), korisnički nalog čija lozinka je već otkrivena na nekom od prethodnih napada, odsustvo sistema koji sprečavaju prijem phishing poruka i drugih opasnih email-ova.
Suština je da u ovim situacijama napadač često ni ne zna koga pokušava da napadne otud i naziv nasumičan napad.
Vaš fokus kao preduzetnika ili vlasnika malog biznisa treba da bude zaštita od nasumičnih napada, jer su oni daleko verovatniji. Dobra vest je d,a ukoliko primenite savete koje smo u ovom tekstu naveli, uspećete da, uz malo truda i minimalne investicije, značajno smanjite verovatnoću da napad na vaše sisteme ostavi ozbiljnije posledice.
Za kraj, treba naglasiti da ovaj tekst ne treba da vas natera da krenete sa podizanjem stepena bezbednosti na beskonačni nivo. Ako vam je automobil parkiran iza sedam različitih brava, četiri alarma i sa dva psa u njima, automobil će izgubiti svoju svrhu, jer će vam biti potrebno pola sata samo da ga pokrenete i izvezete na ulicu. Isto tako, ako pri svakom ulasku na vaš poslovni nalog na Instagramu kucate šifru od 40 nepovezanih karaktera i koristite više sistema autentifikacije, nećete daleko stići. Suština je pronaći optimalni balans između sigurnosti i funkcionalnosti.
–
p.s. Od nedavno A1 Srbija ima u ponudi A1 Net Protect Max rešenje za fizička lica, koje vam može pomoći da budete bezbedni na internetu i koje možete besplatno testirati 30 dana.
Autor
Diplomirani ekonomista i zaljubljenik u IT tehnologije. Preduzetnik, aktivan u nekoliko delatnosti. Želi da doprinese razvoju malih i srednjih preduzeća u Srbiji. Retko kada može da radi samo jednu stvar.
Više o Ivanu