Njihov posao je svakodnevni stvarni escape room – ove žene štite zaposlenike, klijente, podatke i imovinu banke
Martina, Ines, Vera i Leana jake su snage tima Sigurnosti Raiffeisen banke. Njihov je svakodnevni posao čuvati imovinu, podatke, djelatnike i klijente banke.
Ova četvorka prava je adresa kad je u pitanju zaštita od različitih informacijskih i kibernetičkih prijetnji. S nama su zato podijelile i najčešće potencijalne prijetnje i prijevare kojima smo svi izloženi u radu i svakodnevnom životu, a objasnile su i načine kako se od njih zaštititi.
Zašto su posao u Sigurnosti usporedile sa escape roomom, pročitajte u nastavku!
- Što sve obuhvaća termin Sigurnost, kada govorimo o odjelu u RBA u Hrvatskoj? Leana, Vera, Ines i Martina: Sigurnost u banci obuhvaća niz mjera za zaštitu imovine, podataka, djelatnika banke i klijenata. Seže od fizičke sigurnosti do sigurnosti aplikacija. Sve je to međusobno povezano te zahtijeva koordinaciju svih odjela banke kako bi se postigli najveći standardi u njenoj zaštiti.
- Jesu li građani dovoljno informirani o tome kako štititi svoju sigurnost na internetu? Što vaša banka radi po tom pitanju? Martina: Građani su informirani, ali prevaranti stalno smišljaju nove oblike prijevara, pa podsjetnika nikad dosta. Banke kontinuirano podsjećaju svoje klijente kako biti sigurni na internetu i informiraju ih o novim trendovima prijevara. To radi svaka banka pojedinačno, ali i zajedno kroz inicijative putem Hrvatske udruge banaka.
- Koliko je izazovno baviti se vašim poslom jer su prevaranti sve više fokusirani direktno na klijente i na socijalni inženjering? Martina: Izazovno je zaštititi klijente uslijed brojnih oblika prijevara i brojnih prevaranata koji danas ciljaju baš klijente, no s druge strane je iznimno uzbudljivo naći rješenje i pravovremeni odgovor na aktualne prijevare. To je kao rješavanje zagonetke i utrke s vremenom, poput escape rooma.
- Koje su najčešće kibernetičke prijevare kojih moramo biti svjesni i na koje moramo paziti?
Martina: Unazad nekoliko godina najčešća vrsta prijevara su razni oblici socijalnog inženjeringa – prevaranti kontaktiraju klijente putem maila, poruke (SMS, WhatsApp, Viber i slično) ili telefonskog poziva i „prodaju“ im neku lažnu priču.
Najčešći slučajevi socijalnog inženjeringa su, primjerice, lažni kupci koji se javljaju na oglase, a ne zanimaju ih karakteristike proizvoda, nego odmah traže podatke s kartice kako bi „poslali“ dostavnu službu za preuzimanje proizvoda ili lažni e-mailovi u ime institucija države, banaka ili dostavnih službi. Dobro su nam poznate i lažne nagradne igre poznatih trgovačkih lanaca na društvenim mrežama, lažni dobitnici na kripto – valutama, lažne ponude za brzu i veliku zaradu, a posebno treba biti oprezan s oglasima na kojima se inače značajno skuplje stvari prodaju po neuobičajeno povoljnoj cijeni.
- Je li danas kibernetička sigurnost ugrožena više nego ikad? Zašto je tome tako?
Ines: Kibernetička sigurnost je danas pod većim rizikom nego ikad prije, a iskorištavaju se sve pristupačne tehnologije i dostignuća. Primjerice, kibernetički kriminalci su prigrlili umjetnu inteligenciju kako bi im napadi bili učinkovitiji i teži za detekciju. Krađa podatka je postala unosan posao, pa je broj ransomware napada kojim se ucjenjuje organizacija u porastu. Phishing ili slične tehnike za krađu podatka su u porastu. Težimo tome da je sve više toga povezano, a svaki novi uređaj povezan na internet se potencijalno može iskoristiti za napade.
- Koje korake građani mogu poduzeti u zaštiti od kibernetičkih prijevara?
Martina: U prvom redu građani trebaju paziti gdje ostavljaju svoje podatke i biti sigurni s kim dijele svoje podatke, kako osobne podatke, tako i kartične podatke te podatke za pristup Internet i mobilnom bankarstvu i provođenje transakcija putem njih. Uvijek trebaju biti svjesni kako banka nikada neće tražiti od njih kartične podatke ili podatke koje generira token putem e-maila, poruke ili telefonskog poziva. Internet bankarstvu i web stranicama za Internet kupovinu neka uvijek pristupaju direktno, ne putem linkova na društvenim mrežama ili zaprimljenima putem e-maila ili poruke (SMS, WhatsApp, Viber i slično). Ako nešto prodaju, dovoljno je da kupcu daju svoj broj računa (IBAN), a nikako broj kartice ili kodove koje generira token.
Neka ne otvaraju linkove ni priloge iz e-mailova nepoznatih pošiljatelja.
Svakako neka redovno ažuriraju operativni sustav svog mobitela i računala, web preglednik i program za zaštitu od zlonamjernih programa (tzv. anti-malware).
Ako ih netko kontaktira bez njihove inicijative (npr. želi im očistiti računalo od virusa, a nisu to tražili ili želi im uplatiti zaradu od kripto-valuta u koje su davno ulagali), vjerojatno se radi o prijevari, a ne o autentičnoj instituciji.
Neka kritički promisle o svakom e-mailu, poruci, pozivu, oglasu i ako je predobro da bi bilo istinito, onda najčešće i nije istinito, nego je prijevara.
- Vaš posao je raditi na zaštiti osjetljivih podataka i ključnih IT sustava banke. Kako onda izgleda vaš uobičajeni radni dan i ima li takvog? Ines: Dan započinjem praćenjem aktualnih prijetnji i ranjivosti. Nastavlja se koordinacijskim sastancima sa stručnjacima iz sigurnosti ili specijaliziranim timovima, na kojima dijelimo informacije i dogovaramo prioritete. Kako bi se osigurala sigurnost i stabilnost banke, kontinuirano pratimo i procjenjujemo jesu li naši podaci i sustavi primjereno zaštićeni, odnosno jesu li rizici svedeni na prihvatljivu razinu jer prijetnje i rizici se mijenjaju kroz vrijeme. Primjerice, umjetna inteligencija je postala naša svakodnevica, a do prije desetak godina se nije toliko uzimala u obzir zbog stupnja razvoja i dostupnosti. Sve to radim u suradnji s gotovo svim odjelima u banci, stoga su komunikacijske i analitičke vještine izrazito važne. Tako pomažemo odrediti što napraviti s rizicima koji su jednostavno neprihvatljivi i kako smanjiti izloženost. Obično je to spoj tehnoloških i organizacijskih mjera.
- Radite na prevenciji iznenađenja na različite potencijalne krizne događaje. Kako to izgleda u praksi?
Vera: Radi se o događajima koji se rijetko događaju, ali bi u slučaju nastanka mogli imati katastrofalne posljedice za poslovanje. To su, primjerice, epidemija, potres, blackout, kibernetički napad te nedostupnost IT infrastrukture.
Izrađujemo scenarije koji bi mogli uzrokovati prekid poslovanja. Identificiramo prioritetne poslovne procese koji bi se trebali oporavljati u slučaju nastanka nekog od ovih događaja. Definiramo potrebne ljudske i IT resurse kao i vremena oporavka. Izrađujemo planove za oporavak tih procesa, planove redovito testiramo i ažuriramo, a provodimo edukacije za obuku sudionika i podizanje svijesti.
- Što je Crisis recovery i koliko se žena u Hrvatskoj uopće bavi područjem kojim se vi bavite?
Vera: Crisis recovery obuhvaća razne aktivnosti – od proglašenja krize, vođenja krize do proglašenja kraja krize, koje su potrebne kod iznenadnih događaja velikih razmjera čije posljedice mogu imati značajan negativni učinak. Pri tome se aktivira krizna organizacija: krizni upravitelj, krizni timovi i timovi oporavka. U tijeku krize je bitno donošenje odluka, dodjela zadataka, praćenje događaja te pravovremena i adekvatna komunikacija s ključnim dionicima, a i zaštita ugleda banke. Ovim se područjem podjednako bave i muškarci i žene, nema predrasuda.
- Cyber sigurnost danas je neizmjerno važna, pogotovo u financijskim institucijama. Koliko je vaš posao stresan? Leana: Posao je jako dinamičan i zanimljiv, a rekla bih da nije ništa posebno stresniji od drugih poslova. Svaki posao sa sobom nosi dane u kojima se dogodi nešto neočekivano i neke izazove s kojima se moraš nositi, ali sve je to normalno.
- Kako ostajete korak ispred prijetnji kibernetičkoj sigurnosti banke?
Implementiramo napredne sigurnosne tehnologije, redovito ažuriramo sve sustave i softvere kako bismo smanjili rizik od iskorištavanja poznatih ranjivosti te provodimo testiranja kako bismo identificirali i ispravili potencijalne sigurnosne propuste.
Pratimo aktualne prijetnje kibernetičkoj sigurnosti koje se događaju oko nas i koristimo napredne alate za praćenje i analizu kako bismo pravovremeno uočili neobične aktivnosti. I ono što je također neizmjerno važno, redovito provodimo obuke i osvještavamo naše zaposlenike i klijente o najnovijim prijetnjama i educiramo kako ih uočiti, prevenirati i prijaviti.
U lancu znanja o ovoj temi, svi smo vrlo bitna karika, kako u svakodnevnom radu, tako i u životu izvan radnog vremena. Upravo zato želimo dodatno ojačati svijest i proširiti znanje iz područja informacijske i kibernetičke sigurnosti na razini cijele banke, ali i izvan nje.
- Kako je izgledao vaš karijerni put u RBA?
Ines: Radila sam u velikoj softverskoj kompaniji na poslovima informacijske sigurnosti, uvođenju IT procesa i reviziji. Prije RBA sam radila u dvije banke kao IT revizorica. Također, na fakultetu sam predavala upravljane rizicima i incidentima informacijske sigurnosti.
Leana: Moj put je tek nedavno započeo, u RBA sam oko pola godine. Preda mnom je još puno učenja i novih izazova.
Vera: U RBA sam skoro dvije godine. Imam dugo bankarsko iskustvo na istim, ali i na drugim poslovima. Završila sam Ekonomski fakultet u Zagrebu te sam se i dodatno usavršavala u raznim područjima kroz cjeloživotno učenje.
Martina: Prije RBA radila sam u drugoj banci – na početku karijere radila sam u Informatici na održavanju Infrastrukture online bankarstva i poslovnica, potom niz godina u Kibernetičkoj sigurnosti i prije dolaska u RBA nekoliko godina vodila sam tim Zaštite od prijevara. U RBA sam posljednjih nekoliko mjeseci.
Foto: Sanja Tušek