Kalbant apie kibernetinį sukčiavimą – kiekviena organizacija yra potenciali auka
Nesvarbu, ar tai buvo „Equifax“, „Marriott“, „Yahoo“ ar kiti dideli asmeninių duomenų pažeidimai pastarosiose naujienose, yra didelė tikimybė, kad Jus ar kitą artimą žmogų paveikė kibernetinis nusikaltimas. Norėdami tuo įsitikinti, galite patikrinti savo el. paštą internetinėje svetainėje www.HaveIbeenPwned.com, kurioje galite pamatyti, ar Jūsų el. pašto adresą ar kitą asmeninę informaciją kaupė verslas, kuriam buvo suteikta pirmenybė. Jei pastebėjote, kad buvote identifikuotas kaip vienas iš tokių, tuomet tai yra realus pavyzdys, kodėl mes esame raginami naudoti skirtingus slaptažodžius prisijungdami prie skirtingų programų ir svetainių.
Mes darome viską, ką galime, kad apsaugotume savo asmeninius duomenis, tačiau dažniausiai pasikliaudami verslu, su kuriuo bendradarbiaujame, tikėdamiesi, kad taip apsaugosime savo duomenis ir pinigus. Galiausiai, jei esate verslo savininkas, atsakomybė tenka Jums, kas gali bauginti, nes sukčiavimo ir kibernetinių nusikaltimų grėsmė kiekvieną dieną didėja.
Remiantis „Strategic Treasurer’s 2020 Treasury Fraud & Controls“ ataskaita, daugiau nei 50 proc. respondentų teigė, kad buvo tapę sukčiavimo aukomis – per pastaruosius trejus metus šis skaičius padidėjo 50 proc.
Verslo el. pašto kompromisas (BEC – angl. Business Email Compromise) ir Išpirkų programos: nuolatiniai pavojai
Sparčiausiai populiarėjančios sukčiavimo rūšys yra verslo el. pašto kompromisas (BEC). Manoma, kad sukčiavimas iš esmės yra susijęs su „vienu paspaudimu“, kuris gali akimirksniu nusiųsti apgaulingus ar sukčiavimo elektroninius laiškus neribotam skaičiui darbuotojų įvairiose įmonėse. Dėl tokio plataus masto, nieko neįtariantys asmenys neišvengiamai taps melagingos informacijos grobiu.
Išpirkų programos yra dar viena auganti automatizuota grėsmė. Šios programos piktybiškai užšifruoja duomenis, užblokuojant verslo prieigas prie kompiuterio ar duomenų sistemos, kol nebus sumokėta išpirka arba duomenys nebus iššifruoti. Ši grėsmė paprastai pateikiama el. pašto prieduose, kurie atsisiunčiami į kompiuterį. Šios schemos gali būti pražūtingos, ypač jei duomenis sėkmingai pavogė įsilaužėlis.
Ar šie nusikaltimai apsimoka?
Abu šie nusikaltimai yra labai automatizuoti, gali vienu metu pasiekti didelę auditoriją ir todėl yra sėkmingi. „Strategic Treasurer’s“ ataskaitoje nustatyta, kad proc. apklaustųjų per pastaruosius metus patyrė „BEC“ sukčiavimą, iš kurių 15 proc. prarado lėšas. Toje pačioje apklausoje 21 proc. pranešė apie išpirkos programų atakas, o 5 proc. dėl to patyrė tam tikrų nuostolių.
Nors atlikus apklausą paaiškėjo, kad didesnės įmonės išpuolius patiria dažniau, todėl, kad įsilaužėliams tai labiau apsimoka, tačiau plataus masto automatizuotų išpuolių pasikartojimas rodo, kad joks verslas nėra saugus.
Be finansinės žalos ir žalos ištaisymo pastangų, patiriamų dėl sukčiavimo įmonėje, organizacija gali nukentėti ir dėl pažeistos reputacijos bei pardavėjų santykių, kuriuos gali būti sunku atstatyti.
Prevencija ir gynybos taktika
Gali atrodyti, kad kova su sukčiavimu ir susidūrimas su kibernetiniais nusikaltėliais yra sudėtingas ir brangus, ypač smulkioms įmonėms, tačiau taip nebūtinai yra.
Svarbiausia prevencinė priemonė santykinai mažai kainuoja – tai žmogiškasis elementas. Bendrovės darbuotojai yra didžiausias jos turtas kovojant su sukčiavimu, ypač išpuoliais, kuriuose panaudojama socialinė inžinerija. Mokyti darbuotojus atpažinti įtartino telefono skambučio ar el. pašto elementus; mokyti paskambinti klientams jiems patikimu telefono numeriu; skatinti supratimą apie neaiškius el. laiškus su priedais ir nuorodomis – tai visos priemonės, kurias lengva įgyvendinti už mažą kainą, taip padedant kovoti su kibernetiniais nusikaltimais.
Nuoseklių mokymų įgyvendinimas ir dalijimasis informacija apie sukčiavimo atvejus, kai jie įvyksta, yra pagrindiniai prevencijos ir nusiraminimo komponentai. Organizacijos taip pat gali pasitelkti švietimo investicijas, siųsdamos komandos narius į konferencijas, gilinančias supratimą apie sukčiavimą, kad sugrįžę šias žinias perduotų ir paskleistų kitiems kolegoms. Ataskaitoje nustatyta, kad vien tik mokymai gali penkis kartus sumažinti galimų išpirkos programų išpuolius. Galiausiai, nustatykite pranešimų apie įtartiną veiklą tvarką ir skatinkite darbuotojus atidžiau reaguoti, kai niekas negali padėti, kad tinkamu metu būtų atliktas deramas patikrinimas.
Kita taktika, kurią reikėtų pabrėžti, yra mažiausių privilegijų principo įgyvendinimas, kuris suteikia prieigą tik prie informacijos, kurios darbuotojui reikia atliekant savo darbo pareigas. Tai parodė 55 proc. mažesnius praradimus organizacijoms, kurios taiko šią taktiką. Ne mažiau svarbu yra pašalinti prieigas asmenims, kurie palieka verslą. Iš programinės įrangos pusės įsitikinkite, kad antivirusinė ir užkardos programinė įranga yra atnaujinta, ir nustatykite automatinius atnaujinimus. Viena svarbiausių apsaugų – pasinaudoti daugiafaktoriniu autentifikavimu (MFA – angl. multi-factor authentication), kur tik įmanoma.
Nepaisant nuolat didėjančios grėsmės, su kuria susiduria organizacijos dėl apgaulingų išpuolių, šie lengvai įgyvendinami ir patikrinti būdai padeda apsisaugoti nuo įsilaužėlių. Šių veiksmų atlikimas gali būti labai efektyvus užkertant kelią nuostoliams dėl sukčiavimo atakų ir apsaugant Jūsų reputaciją bei padedant užtikrinti ilgalaikę sėkmę.
Nemokamas IT ūkio auditas.
