Nedavni slučaj prijevare putem elektroničke pošte, u kojem je prema javno dostupnim informacijama nastala značajna financijska šteta za jedan javni proračun, ponovno je otvorio važno pitanje digitalne sigurnosti u javnom sektoru.
PIŠE: Zoran Hardi, stručnjak za računalnu sigurnost i umjetnu inteligenciju
Ovakvi događaji ne moraju nužno značiti da je netko postupao namjerno pogrešno ili neodgovorno. Naprotiv, moderne internetske prijevare često su vrlo uvjerljive, pažljivo pripremljene i usmjerene upravo prema osobama koje svakodnevno rade s velikim brojem poruka, računa, naloga i administrativnih obveza.
Današnje prijevare putem elektroničke pošte više nisu samo očite poruke s nepoznatih adresa i sumnjivim poveznicama. Sve češće se radi o porukama koje izgledaju poslovno, uredno i uvjerljivo. Napadači mogu imitirati stil komunikacije, koristiti stvarne podatke dostupne iz javnih izvora i stvoriti dojam da se radi o redovitoj poslovnoj proceduri.
Poslovne e-mail prijevare
Posebno su opasne takozvane poslovne e-mail prijevare. U njima se napadači predstavljaju kao dobavljači, poslovni partneri, nadređene osobe ili drugi poznati sudionici u komunikaciji. Cilj im je navesti primatelja da izvrši uplatu, promijeni podatke za plaćanje ili proslijedi osjetljive informacije.
Zato je važno da se o ovakvim slučajevima ne govori samo kroz pitanje pojedinačne pogreške. Mnogo je korisnije govoriti o procedurama, dodatnim provjerama i sigurnosnim navikama koje mogu smanjiti rizik da se slične situacije ponove.
Stručno gledano, jedna od najvažnijih preporuka jest da se svaka neuobičajena uplata, promjena bankovnog računa ili hitan financijski zahtjev dodatno provjeri drugim komunikacijskim kanalom. To može biti telefonski poziv na ranije poznat broj, službena pisana potvrda kroz interni sustav ili dodatno odobrenje druge ovlaštene osobe.
Digitalna sigurnost
Takve provjere ne bi trebale biti shvaćene kao nepovjerenje prema zaposlenicima, nego kao zaštita i zaposlenika i institucije. U dobro postavljenom sustavu nitko ne bi trebao osjećati pritisak da žurno izvrši uplatu samo zato što poruka izgleda uvjerljivo ili djeluje hitno.
Javne institucije imaju posebnu odgovornost jer upravljaju sredstvima građana. Upravo zato digitalna sigurnost u javnom sektoru mora biti dio redovitog poslovanja, a ne tema kojom se bavimo tek nakon incidenta. Edukacija zaposlenika, dvofaktorska autentifikacija, jasne procedure za veće transakcije i obvezna provjera promjena podataka za plaćanje danas su nužni elementi odgovornog upravljanja.
Važno je naglasiti da se cyber kriminal stalno razvija. Umjetna inteligencija dodatno olakšava izradu uvjerljivih poruka, prijevoda, lažnih poslovnih zahtjeva i imitacija komunikacijskog stila. Zbog toga i institucije moraju redovito prilagođavati svoje sigurnosne procedure novim oblicima prijetnji.
Jačanje otpornosti sustava
Najbolji odgovor na ovakve situacije nije traženje krivca unaprijed, nego jačanje otpornosti sustava. Svaka organizacija, javna ili privatna, može biti meta digitalne prijevare. Razlika je u tome koliko brzo prepoznaje rizik, koliko su procedure jasne i koliko je provjera ugrađena u svakodnevni rad.
Cyber sigurnost nije samo tehničko pitanje. Ona uključuje ljude, navike, komunikaciju i pravila odlučivanja. Jedan e-mail danas može izgledati bezazleno, ali iza njega može stajati vrlo ozbiljna prijevara. Zato je važno graditi kulturu u kojoj je dodatna provjera normalna, poželjna i profesionalna reakcija.
Ovakvi slučajevi trebaju biti poticaj svim institucijama da provjere vlastite procedure i dodatno educiraju zaposlenike. Ne zato da bi se stvarala panika, nego zato da bi se javni novac, službeni podaci i povjerenje građana zaštitili na razini koju današnje digitalno okruženje zahtijeva.
Fenix-magazin/SIM/ Zoran Hardi
