Cyber kriminal je danas pojam kojeg sve češće susrećemo. Cyber napadi su sve češći i sofisticiraniji i uvriježilo se kako uz njih vežemo riječ „haker“. Zlonamjerni hakeri, odnosno kibernetički kriminalci mogu provaliti u sustave organizacija, ukrasti njihove podatke i time im nanijeti štetu ili ih ucjenjivati za novac. Često je jedini način borbe protiv tih prijetnji korištenje njihovih vlastitih „oružja“ protiv njih. Stoga ovdje na scenu stupa etičko hakiranje, koncept koji je često pogrešno shvaćen, ali ključan za osiguranje kibernetičke sigurnosti.
Može li hakiranje biti... etičko?
Iako pojam hakiranja većina stavlja u negativan kontekst, ono nije uvijek vođeno lošom namjerom. Štoviše, hakiranje može postati etičko kada ga tvrtka inicira kroz suradnju s etičkim hakerom jer organizacije u sve većoj mjeri žele znati kako se njihove zaštite ponašaju u stvarnom napadu. Zbog toga na scenu stupaju certificirani stručnjaci, poznati i kao "white hat" hakeri, koji uz dozvolu organizacije pokušavaju probiti njene zaštićene sustave kako bi detektirali slabosti prije nego ih otkriju zlonamjerni hakeri.
„Nakon što u sklopu penetracijskog testiranja pronađu rupe u sustavu, etički hakeri ih prijavljuju klijentu kako bi se oni mogli zaštiti od pravih hakera koji koriste iste metodologije. Organizacijama uloga etičkih hakera postaje sve važnija jer u slučaju bilo kakvog većeg napada na svoj sustav, one gube svoje klijente, pa i novac“, ističe Hrvoje Englman, Chief Information Security Officer u Spanu te dodaje kako u sklopu etičkog hakiranja postoji nekoliko aktivnosti koje su važne za skeniranje sigurnosti organizacije.
„Sve je više primjera socijalnog inženjeringa gdje hakeri prijevarom navode zaposlenika organizacije da učini nešto što ne smije. Zato je važno i testiranje socijalnog inženjeringa u sklopu kojeg se koriste iste tehnike i metode koje koriste i socijalni inženjeri, poput lažnih telefonskih poziva, lažnih e-mail poruka i slično“, govori Hrvoje dodavši kako je krajnji cilj testiranja socijalnog inženjeringa bolja edukacija onih zaposlenika koji su „pali“ na takozvanom security awarenessu.
Mete hakiranja - svi
Nakon svakog od navedenih testiranja etički hakeri pripremaju izvještaj koji bi trebao biti glavna vodilja organizaciji u osnaživanju njene kibernetičke sigurnosti.
„Za sve uočene rupe u sustavu izrađuju se odmah i preporuke kako ih ukloniti. One mogu biti operativne pa se tako etički hakeri fokusiraju na mjere koje se odmah mogu implementirati, dok je ponekad riječ o strateškim smjernicama koje podrazumijevaju i značajnija ulaganja u opremu, sustav, pa i neizostavnu edukaciju zaposlenika“, navodi Englman te dodaje kako su u današnjem svijetu sve organizacije zapravo potencijalne mete napada. Sve je više i manjih tvrtki na koje se kibernetički kriminalci usmjeravaju jer ih je lakše targetirati, objašnjava Hrvoje, a dodatno im otežava i podatak iz izvješća Cybersecurity Outlook 2024, prema kojemu je kibernetička otpornost malih i srednjih tvrtki pala za 30 posto.
Stoga je trenutačno okruženje ujedno i poziv na buđenje jer svakim danom postajemo sve ranjiviji pred kibernetičkim kriminalcima koji lako mogu pristupiti našim podacima, govori nam Hrvoje. Etičko hakiranje može poboljšati vašu sigurnosnu strategiju i očuvati dobar odnos s korisnicima, pokazujući im da ste odgovorna organizacija koja brine o njihovim osobnim podacima.
Odgovornost organizacija i njihova uloga, prava i obveze u području kibernetičke sigurnosti bit će ujedno i tema nadolazeće Span Cyber Security Arena konferencije koja će u Zagrebu 4. studenoga okupiti renomirane domaće i svjetske stručnjake iz područja kibernetičke sigurnosti.
Ondje će brojne tvrtke imati priliku i za razmjenu znanja i iskustava s ciljem širenja svijesti i unaprjeđenja svoje cyber otpornosti koja postaje neophodna za funkcioniranje brojnih organizacija te društva i gospodarstva u cjelini.
