Povod razgovoru bili su slučajevi brodogradilišta Viktor Lenac i riječke gradske tvrtke Rijeka sport, koje su ostale bez značajnih novčanih iznosa nakon što su zaprimile naizgled vjerodostojne obavijesti o promjeni bankovnih računa poslovnih partnera. Takve prijevare nisu specifične samo za Hrvatsku niti su novost u poslovnom svijetu.

Gulan podsjeća na poznati slučaj Litvanca Evaldasa Rimasauskasa, koji je između 2013. i 2015. godine lažnim računima i dokumentacijom od tehnoloških divova Googlea i Facebooka izvukao više od 120 milijuna dolara. Prema njegovim riječima, takve prijevare pokazuju da ni najveće i tehnološki najnaprednije kompanije nisu imune na socijalni inženjering.

Iako se ovakvi incidenti često nazivaju "hakerskim napadima", Gulan naglašava da se u većini slučajeva ne radi o proboju računalnih sustava.

- Ovo je prije svega manipulacija ljudima, ističe stručnjak, dodajući kako napadači koriste psihološke metode, lažne identitete i uvjerljive poslovne dokumente kako bi zaposlenike naveli na pogrešne odluke.

Posebno upozorava na tzv. Business Email Compromise (BEC) prijevare, odnosno kompromitaciju poslovne komunikacije putem elektroničke pošte.

Prema Gulanu, najčešće se pojavljuju tri vrste poslovnih prijevara:

Lažni e-mail direktora – zaposlenik u financijama ili računovodstvu zaprimi hitan zahtjev za uplatu koji navodno dolazi od uprave.

Prijevara s dobavljačima – napadači se predstavljaju kao postojeći poslovni partneri i šalju obavijesti o promjeni IBAN-a ili novih uvjeta plaćanja.

Kompromitacija stvarnog e-mail računa – napadači uspiju pristupiti stvarnom poštanskom sandučiću te iz njega šalju legitimno izgledajuće poruke.

Posebno su opasni slučajevi u kojima se promijeni samo jedno slovo u domeni pošiljatelja, što zaposlenicima otežava prepoznavanje prijevare.

Gulan smatra da se najveći broj sigurnosnih incidenata može spriječiti kvalitetnim poslovnim procesima.

- Devedeset posto problema proizlazi iz kompromitacije procesa, a tek deset posto iz tehnologije, upozorava.

Kao ključne mjere zaštite navodi: višestruku potvrdu svake promjene bankovnih podataka dobavljača, jasne procedure za odobravanje većih financijskih transakcija, obveznu telefonsku provjeru s unaprijed definiranim kontaktima, uključivanje uprave u pitanja kibernetičke sigurnosti, redovite tehničke sigurnosne provjere sustava.

Najvažnijom mjerom zaštite stručnjak smatra kontinuiranu edukaciju zaposlenika. Ističe da organizacije često ulažu značajna sredstva u opremu i softver, dok zanemaruju razvoj svijesti i znanja ljudi koji svakodnevno rade s osjetljivim podacima i financijama.

Posebno naglašava kako je u određenim sektorima edukacija o kibernetičkoj sigurnosti već zakonska obveza, i to ne samo za operativne zaposlenike nego i za članove uprava i osobe koje donose ključne odluke.

Osim izravne štete, Gulan upozorava da tvrtke često ne znaju tko se nalazi iza prijevare niti za što će ukradeni novac biti iskorišten. Time se otvara i pitanje mogućeg financiranja organiziranog kriminala, pranja novca ili drugih nezakonitih aktivnosti.

Zbog toga zaključuje da kibernetička sigurnost više nije samo IT pitanje, već dio ukupnog upravljanja rizicima i poslovnim procesima svake organizacije.

Poslušajte cijelu Perspektivu: