U nastavku osme konferencije o korporativnoj sigurnosti predavanje je održao Tomislav Sessa iz Vipneta. Tema je bila Sigurnost beskontaktnog plaćanja čip karticama i mobilnim uređajima. Ovo je predavanje bilo uvod u NFC tehnologiju (Near field communication), odnosno u bliskokontaktnu tehnologiju.
Sessa je napomenuo da se ne radi o tehnologiji za veliki protok novaca, nego o uobičajenim plaćanjima građana koju karakterizira sigurnija transakcija nego što je to bilo do sada. Ona će sve više biti u upotrebi pogotovo što cijena čipa NFC-a drastično pada, pa bi je u skorije vrijeme trebali imati svi pametni mobiteli. Danas ih ima većina.
Osim mobitelom plaćanja NFC-om će se moći izvršiti, predviđanja su, i pomoću narukvice u koju će biti ugrađen čip. Prednost ovakvog plaćanja je ta što je vrlo brza, dovoljno je približiti mobitel na desetak centimetara od čitača, nema dodatnih radnji kao što je to slučaj sa, primjerice, karticom, a osim ove usluge NFC će se koristiti i za pristup poslovnim i stambenim zgradama, vozilima, odnosno bilo kakvim objektima te kao karta za utakmicu, gradski prijevoz ili muzej.
NFC tehnologija je puno sigurnija nego dosadašnje korištenje raznih kartica, bilo za plaćanja ili pristup objektu. Kako bi ova tehnologija bila što manje ranjiva, potrebno je ograničiti pristup pomoću sigurnosnih ključeva, a time bi bio ograničen i pristup aplikacijama što i inače predstavlja najveći sigurnosni izazov na mobilnim uređajima.
Sessa se nakon svoga izlaganja pridružio okruglom stolu na kojem se govorilo o sigurnostima i opasnostima beskontaktnog plaćanjana. Svoja su znanja i iskustva s ovom tehnologijom sudionicima konferencije prenijeli i Mladen Amidžić iz tvrtke Trilix, Dražen Jurković iz Agrokora, Ivan Miškulin iz Hypo Alpe Adria Bank. Moderator Hrvoje Jerković sa ZŠEM-a rekao je da su organizatori namjerno pozvali ove sugovornike koji dolaze iz raznih sektora.
Još uvijek manje od jedan posto
Jurković je rekao da u Konzumu već desetak godina koriste POS aparate za kartice, u Tisku unazad nekoliko godina, a nedavno su uveli i mogućnost plaćanja pomoću NFC čipa. No ona je još uvijek malo u upotrebi i njome se plaća u ovim trgovačkim lancima u manje od jedan posto slučajeva. Amidžić je pak upozorio da još uvijek nemamo stvorenu infrastrukturu, jer tek slijedi dogovor svih zainteresiranih strana – banaka, trgovaca, pružatelja usluga, telekoma… Na to je upozorio i Sessa u svom izlaganju, a Jurković je napomenuo da su u tome za sada najviše otišle banke. Međutim, upozorio je da će u trgovini ta tehnologija biti najsporije implementirana iz razloga što kupci kad kupuju u trgovinama, izgube vrlo malo vremena u plaćanju, većinu vremena provedu obilazeći police na kojima su proizvodi. Zato i misli kako će prije njih ovu tehnologiju usvojiti gradski prijevoz, organizatori evenata i slično.
Što se tiče primjene tehnologije, Sessa smatra kako su je oni u Vipnetu vrlo brzo savladali, no i korisnici koji su manje skloni tehnologijama, po njemu, neće imati problema da je brzo savladaju. Miškulin se nadovezao tvrdnjom da će ona svima biti od koristi; i bankama kojima će smanjiti troškove, i klijentima koji će imati veću mobilnost. No napomenuo je, a svi su se sugovornici složili, da će proći još barem pet godina dok ona ne zaživi u Hrvatskoj, što se uostalom dešavalo i kod uvođenja sadašnjih mogućnosti plaćanja, poput upotrebe kartice.
Sigurnost NFC tehnologije
Na okruglom je stolu bilo riječi i o sigurnosti NFC tehnologije. Sessa je rekao da je vrlo važna autorizacija pomoću SIM kartice u mobitelu jer SIM kartica ima svoj operativni sustav koji vrši kontrolu neovisno o telefonskom aparatu. No postoji i autorizacija kroz Cloud sistem kojeg razvijaju Google i Apple. Amidžić kaže da bi u ovom trenutku izabrao SIM karticu kao rješenje za autorizaciju jer u njoj već postoje podaci, no to ne znači da i cloud sistem nema svojih prednosti, i da neće biti još bolji u budućnosti. S tim u vezi postavljeno je pitanje hoće li kroz cloud sistem Google i Apple kontrolirati naše transakcije. Jurković je pak mišljenja da neće jer će postojati jaki standardi koji će to sprečavati. No svi su se sudionici složili da ništa nije sigurno te da ćemo uvijek biti u opasnosti da nam netko ukrade naše podatke. Ipak, Jurković vjeruje da će NFC tehnologija zaživjeti jer je već sad veliki rast on line trgovine koja je manje zaštićena od NFC-a.
Na ovu se temu nastavilo i vrlo zanimljivo predavanje Predraga Palea iz Centra za informacijsku sigurnost. Njegova je tema bila Sigurnost pametnih telefona, no prije toga je prokomentirao da već unazad nekoliko godina govori kako ćemo vrlo brzo svi plaćati usluge i robu narukvicama.
Kad su pak u pitanju današnji pametni telefoni, napomenuo je da moramo zaboraviti da se radi samo o telefonima. On je danas i računalo, i fotoaparat, i audio/video snimač…, a ima veću memoriju nego što su bili prvi kompjutori.
On se pita jesmo li stvorili moćno oružje ili monstruma. Upozorio je da, primjerice smartphone sadrži sve naše osobne podatke, identitete u raznim sustavima, našu cijelu društvenu mrežu, informacije o tome što radimo i gdje smo bili, fotodokumentaciju, ali i pristup poslovnim podacima i poslovnim sustavima. Ukrade li se telefon, moguća je krađa impulsa kroz krađu SIM kartice, kloniranje SIM kartice, ali i preusmjeravanje poziva. Pomoću nje je moguć pristup podacima, izmjena podataka, krađa identiteta, krađa novca te je pogodna platforma za napade, ali i prisluškivanje i praćenje.
- Svjetska statistika kaže da 71 posto sigurnosnih napada cilja na srednje tvrtke, 79 posto ispitanih tvrtki imalo je sigurnosne incidente vezane uz mobilne uređaje u prošloj godini, a čak 67 posto tvrtki ne upravlja poslovnim podacima na privatnim uređajima – rekao je Pale.
On kaže da za sve to ima lijeka, ali da će borba s kriminalcima stalno trajati. On je preporučio da se podaci štite, kriptiraju, da se zaštiti pristup podacima, da se redovno kontroliraju i ažuriraju operativni sustav i aplikacije. Isto tako, važno je ograničiti pristup podacima te koristiti VPN. Na taj način može se eliminirati većina opasnih situacija, zaključio je Pale.
Svakodnevni rizici
Kako država štiti biznis bio je naziv drugog modula osme konferencije o korporativnoj sigurnosti. Predavači baš i nisu bili previše nježni prema državi. Tako je Miroslav Bača s Fakulteta organizacije i informatike kritizirao državu jer ne poznaje koncept korporativne sigurnosti. On je povukao analogiju između sigurnosti u državi i IT sektoru napomenuvši da nadležni organi ne razmišljaju o rizicima koji su svakodnevno prisutni. Kao što ni u korporativnom sektoru korisnici ne razmišljaju o riziku, niti su motivirani za razmišljanje, tako ni u državi nema interesa za uređenje toga područja. Prije samo desetak godina ti su rizici bili mnogo manji, no danas kada imamo mnogo IT sustava, situacija se promijenila. Razina sigurnosti ne odgovara današnjim standardima sigurnosti, veliki je broj podataka dostupan, kaže Bača, ‘na dohvat ruke‘ i nije potrebno niti informatičko znanje da bi se do tih podataka došlo. S druge strane, on upozorava da se mnogi predstavljaju kao stručnjaci u tom području, iako je zapravo mali broj eksperata, što bitno utiče na pad razine sigurnosti. Zato je, zaključio je Bača, potrebno normativno i stručno urediti sigurnost i sigurnosne aspekte i u tom bi dijelu država morala što prije preuzeti inicijativu.
Na njegovo se predavanje nadovezao Joško Morić iz Zagrebačkog holdinga koji je rekao da država ima interes biti ‘bodygard‘ korporativnog sektora. No to ona nije, navevši primjer Strategije nacionale sigurnosti, stare 13 godina, u kojoj još piše da Hrvatska graniči sa SR Jugoslavijom te da je cilj Hrvatske članstvo u NATO i EU. Upravo ti banalni primjeri pokazuju zastarjelost strategije, ali i neažurnost nadležnih organa da bolje osmisle nacionalnu sigurnost u koju će inkorporirati i privatni sektor. A upravo je to problem, jer i strateški plan MUP-a tretira, kaže, samo javnu sigurnost,. Ali ne privatnu i korporativnu, iako se sve te sigurnosti ‘prelijevaju‘ jedan u drugu. On je posebno naglasio da menadžeri sigurnosti itekako mogu doprinijeti nacionalnoj sigurnosti, što, nažalost, država ne prepoznaje.
Porezne olakšice za korporativnu sigurnost
Na kraju se pitao tko je u našoj državi menadžer sigurnosti i odmah je odgovorio da ne zna, ali da je to zato što to ni državu ne zanima. Rekao je da ne postoji referentno mjesto gdje bi se investitori mogli raspitati o sigurnosnim uvjetima poslovanja na određenom području u zemlji. Na kraju je zaključio da bi država imala itekako interesa financirati korporativnu sigurnost poreznim olakšicama jer bi joj se to višestruko vratilo stvaranjem sigurnijeg poslovnog i sigurnosnog okruženja.
O ovome se raspravljalo i na okruglom stolu na kojem su, uz Morića, sudjelovali i Jasmin Devlić, načelnik Samostalnog sektora za gospodarsku bilateralu Ministarstva vanjskih poslova i europskih integracija, i Sandro Šegedin, inspektor Inspekcije za privatnu zaštitu i detektivske poslove MUP-a. Temu je moderirao Bono Marjanović, vlasnik tvrtke MBOS savjetovanje, a Šegedin je odgovorio na Morićeve tvrdnje o lošem strateškom planu MUP-a kazavši kako se pripremaju nova rješenja koja će povezati javni i privatni sektor. Morić je pak ponovo podsjetio da država ne zna što je to privatna sigurnost, a da bi to ostalim sudionicima što jednostavnije dočarao, rekao je da u Hrvatskoj ne postoji nikakva zakonska prepreka da bilo tko osnuje privatnu vojsku. To je, doduše, ekstreman primjer, ali pokazuje koliko je ranjiv sigurnosni sustav u Hrvatskoj. No da se ipak nazire, kako se izrazio Marjanović, neko referentno mjesto gdje će se poduzetnici raspitati o uvjetima poslovanja i sigurnosti, pokazuje i spomenuti sektor za gospodarsku bilateralu koju vodi Devlić. On je rekao da žele pomoći poduzetnicima izvoznicima da se snađu na stranim tržištima, pokušavaju zaštititi njihove interese, ali isto tako nastoje privući investitore u Hrvatsku. Kaže da ih je u godinu i pol dana, kako su krenuli s tim projektom, kontaktiralo preko 1500 poduzetnika, informarali su ih o tisuću natječaja u inozemstvu i na svaki način nastoje pomoći hrvatskom gospodarstvu.
No složili su se da je još mnogo posla da bi država mogla pomoći domaćem gospodarstvu, a kad je u pitanju sigurnost, jedna od najvažnijih zadaća je nova regulativa.