« Povratak na sadržaj Broj 3 | Godina 2016

Ususret konferenciji Cyber Risk 2016 - informacijska sigurnost i zaštita ključnih osoba

Digitalne ucjene postaju profitabilan posao

Mjere zaštite štićenih osoba moraju uključivati i infomacijsku sigurnost jer štete koje mogu prouzročiti napadi na komunikacijske, računalne ili druge elektroničke sustave na kojima se podaci obrađuju, pohranjuju ili prenose, a vezane su uz osobu koju štitimo, mogu biti od presudne važnosti za zaštitu integriteta, ugleda, časti, ali i života štićene osobe
[Kristijan Družeta]

Posao zaštite ključnih osoba unutar neke organizacije, privatne ili državne, uključuje niz aktivnosti s ciljem zaštite života štićene osobe ali i normalnog svakodnevnog funkcioniranja i rada. Sam napad na štićenu osobu ne mora biti isključivo nanošenje tjelesnih ozljeda ili oduzimanje života štićenoj osobi već i one radnje i postupci kojima se ugrožava rad i egzistencija osobe koju se štiti. To uključuje i brigu o sigurnom radnom okruženje te brigu o zaštiti poslovnih tajni kao i službene i privatne komunikacije štićene osobe sa svojim poslovnim partnerima i bliskim osobama. Informacijska sigurnost je u tom segmentu jedan od prioriteta u poduzimanju mjera zaštite štićene osobe. Svakako, osim kao mjera zaštite štićene osobe, informacijska sigurnost je imperativ u procesu pripreme i provedbe različitih mjera i postupaka zaštite i sigurnosti od strane osoba koje su zadužene za sigurnost štićene osobe. Danas kada se u svakodnevnoj komunikaciji i radu koristimo različitim elektronskim uređajima neupitna je visoka razina svijesti o informacijskoj sigurnosti od strane djelatnika koji rade na poslovima neposredne zaštite štićenih osoba. 
 
Ovlašteni korisnici 
Kada razmatramo znanja i vještine potrebne za zaštitu osoba, najčešće se zadržavamo na onim osnovnim znanjima i vještinama kao što su zaštitna pratnja, zaštitna vožnja, prva pomoć, borba na bliskoj udaljenosti s i bez oružja, protueksplozijski i protuelektronski pregled prostorija, objekata i prijevoznih sredstava i slično. Sve te sposobnosti bi mogli svrstati pod neki oblik kvantitativnih vrijednosti za izvršenje zadaća osiguranja i zaštite. 
Postoji i onaj dio vrijednosti za izvršenje zadaća osiguranja i zaštite koji možemo svrstati u kvalitativni dio, a koji je često presudan za uspješno izvršenje misija zaštite štićenih osoba. Pod te kvalitativne osobine i znanja možemo svrstati procjenu rizika, izradu plana osiguranja, savjetovanje štićene osobe, vještine komunikacije, sigurnost operacija (OPSEC), osobnu sigurnost (PERSEC), a posebno značenje ima informacijska sigurnost. Nju definiramo kao stanje povjerljivosti, cjelovitosti i raspoloživosti podatka, koje se postižu primjenom propisanih mjera i standarda informacijske sigurnosti te organizacijskom podrškom za poslove planiranja, provedbe, provjere i dorade mjera i standarda. 
Mjere informacijske sigurnosti su opća pravila zaštite podataka koja se realiziraju na fizičkoj, tehničkoj ili organizacijskoj razini, a standardi informacijske sigurnosti su organizacijske i tehničke procedure i rješenja namijenjena sustavnoj i ujednačenoj provedbi propisanih mjera informacijske sigurnosti. Što to nama u praksi znači? To znači da moramo voditi brigu o sigurnom i dostupnom korištenju svih komunikacijskih, računalnih ili drugih elektroničkih sustava na kojim se podaci obrađuju, pohranjuju ili prenose, samo za ovlaštene korisnike. Kao osobe koje su zadužene za sigurnost ključnih osoba potrebno ja imati uvid i sudjelovati u izradi mjera i standarda informacijske sigurnosti kako bi osigurali sigurno i nesmetano svakodnevno funkcioniranje štićene osobe. Te mjere i standardi uključuju izradu popisa osoba koje imaju ovlaštenja pristupu ključnim informacijama te provedbu provjere takvih osoba, a potom i određivanje potrebnih mjera i standarda za zaštitu objekata, prostora i uređaja na kojima se nalaze informacije i podaci. 
Trebamo osigurati sigurnost podataka na način da propišemo procedure u postupanju s podacima, o sadržaju i načinu vođenja evidencije o izvršenim uvidima u podatke te nadzoru sigurnosti podataka. Isto tako moramo imati propisane opće zaštitne mjere za prevenciju, otkrivanje i otklanjanje štete od gubitka ili neovlaštenog otkrivanja podataka. Na taj način osiguravamo sigurnost sustava, tako da se utvrđuju mjere i standardi informacijske sigurnosti podatka koji se obrađuju, pohranjuju ili prenose u informacijskom sustavu te zaštite cjelovitosti i raspoloživosti informacijskog sustava u procesu planiranja, projektiranja, izgradnje, uporabe, održavanja i prestanka rada informacijskog sustava. 
Na kraju, ali ne manje važna u informacijskoj sigurnosti, je sigurnost poslovne i privatne suradnje, što bi u praksi uključilo provjeru poslovnih partnera i privatnih osoba vezano uz poštivanje potrebnih razina, mjera i standarda sigurnosti kako u poslovnom ili privatnom kontaktu s njima od strane štićene osobe ne bi došlo do neželjenih posljedica. 
Možemo zaključiti da se cjelokupni koncept informacijske sigurnosti odnosi na tehničke, administrativne i fizičke mjere zaštite. Efikasna implementacija i nadzor svih mjera zaštite i sigurnosnih kontrola zahtjeva dobro osmišljen sustav upravljanja sigurnošću. Zato je bitno razumjeti složenost poslova zaštite štićenih osoba te važnost specijalizacije za te poslove koji po svojoj prirodi zahtijevaju multidisciplinarnost i svestranost djelatnika koji ih obavljaju. 
Kako bismo bili sigurni da netko posjeduje potrebna znanja bilo bi dobro da takve osobe pohađaju specijalizirane radionice i izobrazbe iz područja informacijske sigurnosti jer se najčešće takva znanje i vještine dokazuju određenim certifikatima. 
Certifikat je službena potvrda da osoba posjeduje određena znanja i vještine. Osim osoba certificirati se mogu i organizacije. Na području informacijske sigurnosti organizacija može dobiti certifikat i taj certifikat dokazuje da organizacija posluje u skladu s normom ISO/IEC 27001:2013. Certifikati s područja informacijske sigurnosti koje osoba može dobiti pružaju znanja kao što su: ethical hacking, kontrola pristupa, sigurnost sustava i mreže, testiranje informacijske sigurnosti i slično. Poznatiji certifikati s područja informacijske sigurnosti su CISSP (Certified Information System Security Professional), GIAC (Global Information Assurance Certification), C|EH(Certified Ethical Hacker), CISM(Certified Information Security Manager), Cisco Career Certifications i slični. 
Isto tako postoje certifikati koje izdaje Ured Vijeća za nacionalnu sigurnost (UVNS). To je središnje državno tijelo za informacijsku sigurnost – hrvatski NSA (National Security Authority). UVNS koordinira i usklađuje donošenje i nadzire primjenu mjera i standarda informacijske sigurnosti u okviru područja sigurnosne provjere, fizičke sigurnosti, sigurnosti podataka, sigurnosti informacijskih sustava i sigurnosti poslovne suradnje (hrvatski DSA) te izdaje certifikate za fizičke i pravne osobe za pristup nacionalnim, NATO i EU klasificiranim podacima.
 
Napadi na pametne telefone
Prema nekim stručnjacima u narednom periodu možemo očekivati porast digitalnih ucjena. Tako Candid Wueest, istraživač i analitičar sigurnosnih prijetnji u Symantecu kaže: “Prijevare s elementom ucjene bit će sve popularnije. To je profitabilan posao, zadatak je relativno jednostavan i omogućava osvetničku zabavu za sve one koji napade provode zbog zadovoljstva, a ne zbog financijske dobiti. Kriptirani ransomware bit će sve rašireniji, a podatke neće biti moguće dobiti natrag bez plaćanja ucjene. No, također ćemo vidjeti rast broja slučajeva gdje ucjenjivač prijeti javnom objavom podataka. Ovi slučajevi bit će slični nedavnim aktivnostima ransomwarea Chimera ili, pak, ucjenjivanjima koja su proizašla nakon slučaja Ashley Madison. U slučaju tvrtki, možemo očekivati da će ucjene igrati još veću ulogu u ukupnom broju sigurnosnih kompromitiranja tvrtke. Napadači će svakako pokušati ostvariti financijsku korist i naplatiti svoju ucjenu prije nego što ukradene podatke objave javnosti”. Pored toga možemo očekivati napade na pametne telefone. Sve su to opasnosti koje su izravna prijetnja za ključne štićene osobe, o kojima djelatnici koji skrbe za sigurnost moraju voditi iznimnu brigu i pozornost.
Efikasna implementacija i nadzor svih mjera zaštite i sigurnosnih kontrola zahtjeva dobro osmišljen sustav upravljanja sigurnošću
Danas zaštita štićenih osoba prelazi one sada već mnogima poznate temeljne sposobnosti i vještine koje moraju posjedovati tjelohranitelji, kao što je zaštitna vožnja, zaštitna pratnja, borba na bliskoj udaljenosti, prva pomoć, protueksplozijski i protuelektronski pregled prostorija, objekata i prijevoznih sredstava i slično. Mjere zaštite štićenih osoba moraju uključivati i infomacijsku sigurnost jer štete koje mogu prouzročiti napadi na komunikacijske, računalne ili druge elektroničke sustave na kojima se podaci obrađuju, pohranjuju ili prenose, a vezane su uz osobu koju štitimo, mogu biti od presudne važnosti za zaštitu integriteta, ugleda, časti, ali i života štićene osobe.  
 

PREGLED NAJNOVIJEG BROJA

2019.
XV. godina, broj IX. 2019.