Kaj morate vedeti o kibernetski varnosti?

Na letošnji nacionalni konferenci za nevladne organizacije je bilo zaznati izjemno zanimanje za temo kibernetske varnosti, ki je odprla številna pomembna vprašanja in spodbudila razmislek o ranljivosti nevladnega sektorja na tem področju. Zaradi aktualnosti in pomena tematike smo se odločili, da poglobimo razpravo tudi po konferenci – z nizom kratkih intervjujev z vrhunskimi strokovnjaki in strokovnjakinjami, ki vam bodo pomagali bolje razumeti izzive in rešitve kibernetske varnosti za nevladne organizacije.

Prvi v nizu je intervju z Gregorjem Spagnolom (SSRD d.o.o.), strokovnjakom z bogatimi izkušnjami na področju razvoja aplikacij in informacijske varnosti ter podpredsednikom Oddelka za kibernetsko varnost pri Združenju za informatiko in telekomunikacije pri GZS. Z njim smo spregovorili o tem, zakaj so nevladne organizacije pogosto tarče napadov in kako se lahko že z nekaj osnovnimi ukrepi učinkovito zaščitijo.

Zakaj je kibernetska varnost ključna tudi za nevladne organizacije? 

Nevladne organizacije pogosto obravnavajo občutljive informacije o posameznikih, skupnostih ali družbenih vprašanjih, zato so privlačna tarča za kibernetske napade. Pogosto nimajo dovolj virov za implementacijo najboljših varnostnih praks, kar jih naredi še posebej ranljive. Če pride do vdora, lahko to ogrozi varnost njihovih članic in članov, prostovoljcev, donatorjev ter drugih uporabnikov, hkrati pa zmanjša zaupanje javnosti. Zato je kibernetska varnost za nevladne organizacije ključnega pomena.

Kdo vse nas napada? Ali so NVO res lahko tarče? 

Napadalci so lahko posamezniki, organizirane kriminalne skupine ali celo državne entitete, ki želijo ukrasti podatke, širiti dezinformacije ali onemogočiti delovanje določenih organizacij. Nevladne organizacije so pogosto tarče, ker delujejo na politično ali družbeno občutljivih področjih. Pogosto prevladuje zmotno prepričanje, da niso zanimive za napadalce zaradi omejenih sredstev in neprofitnega značaja, vendar ravno to – poleg pomanjkanja varnostnih virov – pogosto pomeni, da so še bolj izpostavljene in ranljive za kibernetske napade. 

Kakšne so lahko posledice napada? 

Posledice kibernetskega napada so lahko zelo resne: od kraje osebnih podatkov in finančnih izgub do izgube zaupanja javnosti in donatorjev. Lahko pride tudi do prekinitve delovanja organizacije, kar si nobena NVO ne more privoščiti. V primeru razkritja informacij o ranljivih skupinah pa so lahko posledice tudi etične in pravne.

Kateri so po vašem mnenju trije ključni ukrepi kibernetske higiene, ki jih morajo nevladne organizacije čim prej sprejeti?

Najprej naj vse organizacije uvedejo uporabo močnih in edinstvenih gesel za vse račune, pri čemer si lahko pomagajo z upravitelji gesel (t. i. password managerji), ter naj poskrbijo za vklop dvostopenjske avtentikacije. Drugi pomemben ukrep je redno posodabljanje programske opreme in operacijskih sistemov, saj zastarela orodja pogosto vsebujejo varnostne luknje. Tretji ključni ukrep pa je ozaveščanje in redno usposabljanje zaposlenih za prepoznavanje poskusov phishinga in drugih prevar – človeški dejavnik je namreč pogosto najšibkejši člen v verigi kibernetske varnosti. Ob tem pa ne smemo nikoli pozabiti na redno izdelavo varnostnih kopij podatkov, ki so ključne za hitro obnovitev sistema v primeru napada ali izgube informacij.