Hibridni rad i val otkaza otvorili su nove rane kompanijama nedovoljno spremnima spriječiti da zaposlenici sa sobom odnose podatke i ugrožavaju sigurnost sustava. Navodno i najveće i najmoćnije tvrtke upotrebljavaju zastarjela i samo osnovna rješenja za upravljanje podacima. Prava se nude u slojevima
Kao i na svim drugim segmentima društva i života općenito, pandemija koronavirusa ostavila je traga na informacijskoj sigurnosti, stvorivši i neke potpuno nove prijetnje kompanijama. Jedna od takvih prijetnji svakako se krije u radu od kuće, koji je ponovno ukazao na važnost sustava za čuvanje i pohranu podataka.
Tijekom pandemije porastao je broj onih koji rade izvan organizacije, pri čemu kod rada na daljinu očekuju i trebaju isti pristup sustavima koji imaju dok su u uredu. IT timovi zahvaljujući tome imaju manju vidljivost i kontrolu, što povećava rizik od unutarnjih, ali i vanjskih napada.
– Tvrtke nisu bile pripremljene za takav rad te kanali i način rada nisu dovoljno zaštićeni. Također, lakše je presresti komunikaciju i izvesti napad prema principu socijalnog inženjeringa.
Organizacije odgovaraju, ali, normalno, malo kasnije nego napadači – istaknuo je Nino Talian, voditelj odjela za informacijsku sigurnost u tvrtki King ICT, istodobno navodeći što bi bili najvažniji elementi učinkovitog i sigurnog sustava za upravljanje podacima.
Nenametljivo i automatski
U potrazi za naprednim rješenjima, Talian naglašava da je vrlo važno ne zaboraviti na osnovna rješenja i korake prije posezanja za novim rješenjima. Primjerice, svaki nosač podataka koji izlazi iz tvrtke mora biti kriptiran. Jesu li vam diskovi na laptopima kriptirani? Dopuštate li korištenje USB prijenosne memorije, je li vam kriptirana?
Ako cjelovito pristupamo zaštiti podataka, iz iskustva i najboljih praksi,može se reći da je važno pokriti sljedeće aspekte: ispravno namještena kontrola pristupa (svatko ima točno onu razinu pristupa podacima koja mu je potrebna da obavlja svoj posao), enkripcija diskova i podataka, kontrola prijenosnih medija (engl. device control), klasifikacija podataka (teoretska i praktična) i, napokon, DLP – Data Loss Prevention, rješenje za sprječavanje gubitka podataka.
– DLP je poslovno-tehnološko rješenje koje omogućava nenametljivu automatsku zaštitu podataka na svim potencijalnim izlaznim vektorima odljeva podataka. Npr. ako netko iz vaše organizacije, bilo namjerno bilo nehotično, šalje podatak ili poruku osjetljivog ili povjerljivog sadržaja e-mailom, snima datoteku na USB disk, podiže na internet ili jednostavno uzima print screen,
DLP sustav će detektirati takvu radnju te poduzeti akciju koju ste mu odredili (na primjer, blokirati ili zatražiti korisnika poslovno opravdanje ili propustiti uz bilješku u sigurnosnim zapisima).
U današnje vrijeme, kada su podaci jedna od najvećih vrijednosti organizacije i savršen plijen bilo kakvih zlonamjernih aktera ili sredstvo ucjene zlonamjernih zaposlenika, DLP rješenja iznimno su vrijedna karika u slojevitoj sigurnosnoj organizaciji moderne tvrtke.
KING ICT cyber security tim već dugi niz godina pomaže svojim korisnicima u implementaciji i održavanju cyber security rješenja u raznim branšama (financije, telekom, velika poduzeća, tijela države uprave i slično).
Velika potvrda njegove predanosti, kompetencija i rasta u tom području svakako je KING ICT-ova nedavna isporuka velikog cyber security projekta za NATO Agenciju na kojem je radilo više od četrdeset stručnjaka – rekao je Talian.
ISO kao šlag
Kada je u pitanju informacijska sigurnost, većina će istoga trenutka pomisliti na tehnologiju, ali ona je samo jedan od njezina tri ključna aspekta. Druga su dva, objašnjava Josip Britvić, direktor Top Consult Grupe, sustav upravljanja i ljudi.
Trend kibernetičke opasnosti proizašao iz hibridnog rada, odnosno rada od kuće, svakodnevno primjećuju i kod svojih klijenata.
– Iz rada od kuće proizlazi drugačiji tip rizika i ako organizacija nije prepoznala te rizike naravno da je takav način realizacije poslovnih procesa rizičniji od onog za koji organizacija ima već definirane mjere sigurnosti.
Rad od kuće s aspekta informacijske sigurnosti izazovniji je za kontrolu jer je okružje izvan direktne kontrole poslodavca odnosno osoba zaduženih za sustav – pojašnjava izvršni direktor Top Consult Grupe, koja posluje od 2009. godine i koja je za klijente iz regije i zemalja Europske unije razvila širok spektar usluga u segmentu implementacija ISO i ostalih standarda.
ISO 27001 je međunarodni standard koji je objavila Međunarodna organizacije za standardizaciju (ISO) i opisuje kako upravljati informacijskom sigurnošću u tvrtkama. Može biti implementiran u bilo kojoj organizaciji, profitnoj ili neprofitnoj, privatnoj ili državnoj, maloj ili velikoj.
Napisali su ga najbolji svjetski stručnjaci na polju informacijske sigurnosti i propisuje metodologiju za primjenu upravljanja informacijskom sigurnošću u organizaciji. Također, omogućava tvrtkama dobivanje certifikata, što znači da neovisno certifikacijsko tijelo daje potvrdu da je organizacija implementirala informacijsku sigurnost sukladno ISO 27001.
– Certifikat je samo 'šlag na torti' sustava upravljanja informacijskom sigurnosti. Sustav je zasnovan na analizama rizika te mjerama koje proizlaze na temelju tih analiza. Međutim, sustav ISO 27001 ima razvijene procedure i mjere za slučajeve sigurnosnih i ostalih incidenata koji mogu naštetiti tvrtki, poput gubitka podataka, reputacije ili klijenata – ističe Josip Britvić.
Kamo idu podaci
Na konferencijama posvećenim informacijskoj sigurnosti i zaštiti podataka često se može čuti da najbolju zaštitu pružaju sustavi temeljeni na tehnologijama poput interneta stvari i clouda. Talian, međutim, upozorava da prilikom iznošenja takvih tvrdnji treba imati u vidu nekoliko stvari.
– Često se na konferencijama spominje da je cloud 'sigurniji' od vašeg podatkovnog centra u organizaciji i vjerojatno je to istina. Međutim, treba biti oprezan i ne može se olako tvrditi da je sigurnije ovo ili ono. Važno je imati širu sliku i cjelovit pristup zaštiti podataka da se ništa bitno ne zaboravi.
Uvijek je pritom korisno posegnuti za industrijskim praksama i standardima kako ne biste nešto zaboravili (ISO 27001 standard, CIS sigurnosne kontrole i slično). Da se slobodnije izrazimo, zna se što treba napraviti, ali se to često čini prekomplicirano, skupo ili teško s resursima s kojima trenutačno raspolažemo.
Poruka je da to ne mora biti tako jer postoje optimalna rješenja i kompetentni partneri koji brzo mogu pomoći podići razinu sigurnosti na prihvatljivu. Kod bilo kakve priče u vezi s IoT-om (internet of things) i cloudom nikako ne smijemo zaboraviti na zakonsku i industrijsku regulativu pa je potrebno razmotriti kamo idu naši podaci (na primjer idu li izvan Europske unije). Običnom korisniku to ne mora biti važno, ali nekom bi javnom poduzeću trebalo biti – objasnio je.
Kobne povlastice
Još jedna prijetnja dodatno se aktualizirala zahvaljujući valu otkaza koji u posljednje vrijeme posebno potresa SAD, gdje je u samo dva mjeseca dotadašnje poslove napustilo 8,6 milijuna ljudi. Kada se takva situacija dogodi iznenada, ispravni protokoli često se znaju zanemarivati.
Povlašteni računi tada mogu ostati omogućeni, zaposlenici mogu zadržati prijenosna računala koje je izdala tvrtka, a lozinke ostati nepromijenjene. Takvi propusti bivšim zaposlenicima daju priliku za ugrožavanje čitavog sustava, kako odnošenjem važnih podataka i krađom IP-a tako i postavljanjem zloćudnih softvera (engl. malware).
Koliko su prijetnje iznutra ozbiljna opasnost, pokazuje istraživanje provedeno u Sjedinjenim Državama još u danima prije pandemije prema kojem su za 44 posto prekršaja u sektoru informacijske tehnologije krivi bili 'insajderi'. Mnogo tih prekršaja bilo je slučajno, ali uzrokovali su ih povlašteni korisnici.
Dodatni problem skriva se tome što se od takvih prijetnji teško obraniti jer neki zaposlenici zbog prirode svog posla moraju imati povišenu razinu povjerenja i pristupa. Čak i najveće kompanije nerijetko upotrebljavaju zastarjela i samo osnovna rješenja upravljanja podacima, zbog čega su posebno ranjivi.
Potrebne revizije ugovora
Nino Talian slaže se da su prijetnje iznutra aktualne i opasne. Interno korisnici mogu biti zlonamjerni, ali i nehotično iznositi podatke ili biti žrtve napada. DLP rješenja i općenito rješenja za zaštitu od curenja podataka, uz dobru edukaciju i osviještenost zaposlenika, najbolji su set kontrola za umanjenje takvih rizika. Na tom tragu kreću se i razmišljanja Josipa Britvića:
– Alati za borbu i smanjenje tog rizika mogu se pronaći u mjerama poput revizije postojećih ugovora sa zaposlenicima s naglaskom na tajnost i zaštitu podataka, boljeg definiranja prava pristupa osjetljivim informacijama, mailovima i aplikacijama, ažurnog upravljanja pravima pristupa od IT službe, edukacije i podizanja svijesti svih u sustavu, a važno je i prilikom selekcije kandidata uzimati u obzir i segmente profila zaposlenika koji mogu ukazivati na osobine kandidata važne za IT sigurnost – naglasio je Britvić.