Poštar, inženjer, čistač: Da li se hakeri ušunjavaju u vašu kancelariju?

Kada pomislimo na sajber napad, većina nas zamišlja klasičnog hakera – muškarca u dukserici s kapuljačom, pognutog nad računarom, kako na daljinu upada u mrežu neke kompanije.

Ali, to nije uvijek slučaj.

„Uprkos sigurnosnim recepcijama u kancelarijama, vrlo je lako prerušiti se i jednostavno ušetati unutra“, kaže jedan trener za sajber bezbjednost za Euronews.

„Mnogi ljudi, kada vide osobu u reflektujućem prsluku, pomisle: ‘Ovaj radi kao inženjer’ ili nešto slično, i samo je puste da prođe.“

I dok smo svi svjesni sajber napada i sve veće prijetnje koju oni predstavljaju za biznise – posebno nakon nedavnih napada na Pandoru, Chanel, Adidas i Victoria’s Secret – većina nas značajno potcjenjuje fizičke načine na koje naši sistemi mogu biti probijeni.

Globalna potrošnja na sajber bezbjednost trebalo bi da dostigne 213 milijardi dolara (183 milijarde eura) u 2025. godini, u odnosu na 193 milijarde dolara (166 milijardi eura) u 2024, prema podacima kompanije Gartner. Ipak, prema Cisco indeksu spremnosti za sajber bezbjednost za 2025, samo 4% organizacija u svijetu je u potpunosti spremno za moderne prijetnje.

Prema stručnjacima kompanije Sentinel Intelligence, fizička sigurnost je ključna slaba tačka odbrane, a posljedice njenog zanemarivanja mogu biti katastrofalne.

Fizička prva linija digitalne odbrane

Ukupna prijetnja sajber napada u Evropi procijenjena je na 10 triliona eura u 2025. godini i nastavlja da raste, navodi softverska kompanija Splunk.

Prema World Security Report-u 2023, fizički sajber napadi su stvarna i opasna prijetnja. Istraživanja pokazuju da su velike globalne kompanije, sa ukupnim prihodima od 20 triliona dolara, prijavile gubitak od bilion dolara (860 milijardi eura) u 2022. godini, direktno izazvan fizičkim sigurnosnim incidentima.

To može značiti da haker fizički uđe u zgradu vaše kompanije kako bi pristupio digitalnoj infrastrukturi.

Penetraciono testiranje je česta usluga kojom menadžment provjerava unutrašnju odbranu. Ako radite u velikoj kancelariji, možda je sprovedeno i kod vas – a da to niste ni primijetili.

Euronews Business je razgovarao sa Danielom Dilksom, operativnim direktorom Sentinel Intelligence-a, o tome kako izgledaju njihovi testovi.

Primjer 1: „Tailgating“ i proboj pristupa u sjedištu korporacije

„Operativci su obučeni u poslovnu odjeću ušli u zgradu prateći zaposlene tokom jutarnje gužve, noseći lažne ID kartice i torbe za laptop kako bi se uklopili. Unutra su pronašli neobezbijeđenu salu za sastanke, povezali se na gostujući Wi-Fi i ostavili maliciozni uređaj (mrežni implant)“, navodi Dilks.

Primjer 2: Provala van radnog vremena i curenje podataka

„Tokom noći, testeri su obili standardnu euro-bravu na bočnim vratima. Unutra su pronašli otključani ormarić sa štampanim ugovorima klijenata i lozinkama. Alarm se nije oglasio“, kaže on.

Primjer 3: Socijalni inženjering i krađa akreditiva

„Operativac se predstavio kao izvođač radova na ventilacionom sistemu. Nakon ulaska sa reflektujućim prslukom i lažnim radnim nalogom, osoblje ga je sprovelo do serverske sobe, misleći da je posjeta planirana. Unutra je fotografisao lozinke i povezao USB uređaj sa računarom.“

Često testeri ostave USB memorije po kancelarijama – a zaposleni ih, želeći pomoći, uključe u računar, što u stvarnom napadu može ubaciti malver direktno u mrežu kompanije.

U svim ovim primjerima, slaba fizička zaštita, neprovjeravanje nepoznatih osoba i jednostavne greške poput pisanja lozinki na papirićima mogu dovesti do ozbiljnih posljedica.

Troškovi napada mogu biti direktni – od oštećenja opreme, što uzrokuje prekid rada i gubitak klijenata, do indirektnih – poput curenja povjerljivih podataka, narušavanja reputacije i gubitka ugovora. Kompanije mogu biti i novčano kažnjene.

Iznenađujući načini napada

Neki napadi su bili toliko kreativni da zvuče nevjerovatno. U jednom slučaju u SAD-u, hakeri su pristupili mreži kazina kompromitovanjem uređaja za regulaciju vode u akvarijumu koji je bio povezan na sistem.

Pametni uređaji, poput „smart“ čajnika, takođe mogu biti meta. Na sajber konferencijama se čak demonstriralo hakovanje čajnika kako bi se izvukla Wi-Fi lozinka, što može otvoriti vrata napadu na cijelu mrežu.

Zaključak stručnjaka: budite oprezni i svjesni, ali ne i neprijateljski nastrojeni prema strancima na radnom mjestu – samo imajte na umu da neki od njih mogu imati loše namjere.