Bože Šarić: Sigurnost tvrtke ovisi o sigurnosti najslabije karike

Tehnologija koja nam koristi i olakšava život može biti upotrijebljena protiv nas. Uvijek ima onih koji imaju loše namjere, a dovoljno znanja da svojim sposobnostima ugroze pojedinca, organizaciju ili društvo u cijelosti. Ne smijemo dopustiti da prevlada strah, ali svakako opreza nikad dosta. Vjerujem u daljnji napredak kroz digitalizaciju poslovanja ali i trajnu edukaciju svih nas kako bi bolje razlučili dobro od lošeg

 

“Iako su u Hrvatskoj vidljivi pozitivni pomaci, i dalje postoji nedostatak razumijevanja uloge informacijske sigurnosti, kao i njezine implementacije unutar organizacija. Pravila dobre prakse najviše se prate u reguliranim sektorima, kao što su financijski i telekomunikacijski sektor, no i dalje postoji ovisnost o IT-u koju prate nejasni troškovi za sigurnost i niska razina detekcije incidenata”, stoji, između ostaloga, u zaključcima izvještaja o stanju informacijske sigurnosti u 2020. kojeg je tvrtka Diverto nesebično podijelila s javnošću, u godini obilježenoj ubrzanom digitalizacijom života zbog pandemije virusa COVID-19. Spomenuti izvještaj ponudio je statistiku, trendove i neke pokazatelje s područja informacijske sigurnosti u Hrvatskoj i globalno, potom je detektirao najznačajnije cyber ugroze za tvrtke i njihove zaposlenike, te je ponudio preporuke po sektorima o tome na koji način pojačati i unaprijediti informacijsku sigurnost u poslovanju. A hoće li Divertov tim pripremiti Izvještaj u 2021. saznali smo od direktora tvrtke Bože Šarića.

Iako ste u izvještaju stavili određene zaključke, možete li nam iz svoje perspektive prokomentirati kakvo je danas u Hrvatskoj poimanje važnosti informacije sigurnosti, pa shodno tome i kakva je razina informacijske sigurnosti u društvu i poslovnom svijetu?

Želio bi u uvodu naglasiti kako smo izvještaj gradili na našem iskustvu u radu s brojnim korisnicima te su svi podaci, naravno anonimizirani, u potpunosti autentični te daju dobar uvid u stanje informacijske sigurnosti u prvoj polovini 2020. Poimanje važnosti informacijske sigurnosti u hrvatskom javnom i privatnom sektoru je svakim danom sve bolje. Bilježimo napretke u svim sektorima, ne samo u reguliranim sektorima koji su tradicionalno predvodnici razumijevanja i prakticiranja informacijske sigurnosti u svakodnevnom poslovanju. Ipak opća razina informacijske sigurnosti i dalje nije na razini s kojom bi smo mogli biti zadovoljni pogotovo uzevši u obzir ozbiljne rizike vezane uz kibernetičku sigurnost. Dobar iskorak i investiranje u ovaj segment pokazuju organizacije koje rade na međunarodnim tržištima kojima redovno pomažemo ostvariti ciljane sigurnosne razine. To je trend koji svakako trebamo pohvaliti i slijediti.

Gdje tvrtke i pojedinci najčešće griješe po pitanju informacijske sigurnosti, a što ih posljedično čini ranjivima na cyber napade? Jesu li najveći problemi u ljudima, ili je problem u procesima i tehnologiji?

Najčešća greška je poslovanje u okruženju u kome je organizacija previše samouvjerena ili pak uvjerena kako ne može postati ciljem napadača. Ukoliko je poslovodstvo organizacije savladalo tu prvu prepreku te osvijestilo važnost informacijske sigurnosti u današnjem sve više digitaliziranom i globaliziranom poslovanju najvažniji korak je napravljen. Takva poslovodstva kreću s provjerom trenutačnog stanja informacijske sigurnosti od strane neovisnih stručnjaka, nakon toga rade analize rizika te donose ciljane mjere za povećanje razine informacijske sigurnosti.

Druga također još uvijek česta pogreška je stav kako je dovoljno nabaviti najnoviju tehnologiju koja će onda obaviti sav posao za vas.

Kada dođe do napada najbolje je kontaktirati stručnjake koji poznaju takvu problematiku. Na taj način će napadnuta tvrtka u kratkom vremenu umanjiti posljedice napada, zatvoriti ranjive točke ulaska u sustav i spriječiti njihovo ponavljanje


Danas sa sigurnošću možemo ustvrditi da je razina informacijske sigurnosti neke tvrtke onolika kolika je razina sigurnosti najslabije karike u sustavu sigurnosti. Dakle ovdje govorimo i o tehnologiji i o procesima ali i o zaposlenicima. Svi su važni i svi moraju imati svoje mjesto u sustavu informacijske sigurnosti.

Praksa pokazuje kako je ljudski faktor, odnosno osviještenost zaposlenika vezano uz informacijsku sigurnost, odnosno osviještenost svoje osobne uloge, često presudna budući da je ljudski faktor često i najslabija karika.

Kod analize stanja organizacija u Hrvatskoj naveli ste da je sigurnost često dio IT-a. Kako promijeniti tu percepciju i taj odnos u organizacijama?
Iako su preporuke i najbolje prakse jasne, još uvijek se susrećemo s organizacijama u kojima je informacijska sigurnost interpretirana kao informatička sigurnost. Uglavnom se tu radi o sektorima u kojima stvari nisu regulirane te nema preporučene organizacijske strukture. U tim organizacijama su ljudi zaduženi za sigurnost dio IT tima, štoviše često se radi o istim ljudima.

Sličan problem se ne odnosi samo na IT nego i na cijelo područje industrijskih kontrolnih sustava gdje je također nalazimo na sličan problem.

Pitanje koje se postavlja u oba slučaja je vrlo jednostavno - mogu li iste osobe implementirati i nadzirati implementaciju? Sukob interesa je očigledan i nepoželjan.

Pravilno pozicioniranje informacijske sigurnosti u tvrtki je preduvjet za ubrzavanje procesa kontinuiranog poboljšanja sigurnosti u što sam čvrsto uvjeren.

Voditelj informacijske sigurnosti (Chief Information Security Officer; CISO) je osoba koja u organizacijama brine o ovom području sigurnosti, bilo da je riječ o zaposleniku organizacije ili vanjskom suradniku. Što osobu na toj poziciji treba odlikovati kako bi organizaciju držao zaštićenu od cyber ugroza?

Funkcija CISO je po najboljim praksama pozicionirana tako da odgovara izravno upravi te ima pregled situacije u cijeloj tvrtki budući da svi dijelovi tvrtke doprinose ukupnoj informacijskoj sigurnosti tvrtke. Taksativno bi se moglo nabrojati puno vještina i znanja potrebno za svakodnevno obavljanje tog posla. Znanje o informacijskoj sigurnosti i tehničkim implementacijama je važno, no mislim kako je još veća važnost sposobnost komunikacije na različitim razinama organizacije: od onog upravljačkog dijela do operativnog dijela. Shvaćanje informacijske sigurnosti i odgovornosti svakog člana organizacije je upravo temeljni zadatak voditelja informacijske sigurnosti. To je često izrazito izazovna pozicija jer mnoge ciljeve iz svog područja nije u mogućnosti kvalitetno ostvariti bez podrške organizacije te ovisi o drugim osobama u kolektivu. Informacijska sigurnost je odgovornost svakog člana kolektiva i ako CISO kvalitetno komunicira na svim razinama, znači da je odrađen veliki posao te da su svi sljedeći koraci bitno olakšani. Drugu odliku koju bih svakako izdvojio su snažne analitičke sposobnosti kako bi održao fokus gdje je bitno.

Opća razina informacijske sigurnosti i dalje nije na razini s kojom bismo mogli biti zadovoljni pogotovo uzevši u obzir ozbiljne rizike vezane uz kibernetičku sigurnost


Iznošenjem računala izvan standardne okoline rada gubi se kontrola događaja na krajnjim radnim stanicama, čime se posao nadzora informacijske sigurnosti iznimno otežava, jedan je od zaključaka Divertovih stručnjaka. Znači li to da bi tvrtkama, nakon što prođe pandemija, bilo sigurnije vratiti zaposlenike iz ‘home officea’ u urede?

Nema sumnje kako je masovan prelazak na rad od doma potaknut pandemijom promijenio paradigme vezane iz informacijsku sigurnost. Ljudi koji se bave sigurnosti informacija, pogotovo u domeni kibernetičkog prostora, suočili su se s velikim izazovom. Nastavak poslovanja je morao biti omogućen kroz rad od kuće i to u vrlo kratkom vremenu, a standardi sigurnosti nisu bili u prvom planu. Koncept informacijske sigurnosti u kojoj se na kontroliran način promatra jedna više-manje zatvorene cjelina promijenio se preko noći. Umjesto praćenja parametara korporativne mreže sada ste morali uzeti u obzir da se zaposlenici spajaju na različite načine koristeći različite uređaje te pristupe korporativnoj mreži. Upravo je jedan od najvažnijih razloga za objavu našeg izvještaja bilo podizanje svjesnosti tvrtki o otvaranju novih vektora napada. Nažalost naše se predviđanje i obistinilo te smo svjedoci da je godina iza nas bila ona s najviše kibernetičkih napada, a uz to su oni u većem postotku nego ikada ranije bili uspješni.

Naravno postoje tvrtke koje nisu zanemarile taj aspekt te su od prvog dana primijenile sigurnosno ojačavanje poslovnih računala po svim preporukama struke. Primjerice, kriptiranjem diskova su onemogućili pristup poslovnim podacima u slučaju fizičke krađe računala, a pravilnom konfiguracijom VPN-a i ojačavanjem operacijskog sustava dodatno zaštitili tokove mrežnog prometa i raznovrsne pokušaje proboja na klijentskoj strani.

Kao i svaka kriza do sada, i ova će završiti, ali će trajno promijeniti neke navike u društvu. Jedna od njih je zasigurno i ta da ćemo veći broj sati odrađivati od kuće. Stoga je nužno da tvrtke tehnički pojačaju sigurnost, a mi ćemo ih savjetovati i pronalaziti načine da se postigne zadovoljavajuća razina informacijske sigurnosti.

U prošlogodišnje izvješću naveli ste kako je trend pokušaja ulaska putem phishing poruka u porastu, s naglaskom na broj poruka napisanih na pravilnom hrvatskom jeziku, a vrlo česta tema phishing poruka je COVID-19. Je li je phishing (krađa identiteta) najčešća cyber prijetnja?

Glavna poruka ovog segmenta našeg Izvještaja je zapravo činjenica da su phising poruke postale sve bolje targetirane. Odnosno da se uspješni napadi događaju sve više kroz usko targetirane poruke iza kojih stoje metode socijalnog inženjeringa kojima se detaljnije obradi određena tvrtka ili čak određeni zaposlenik koji neće biti u stanju razlučiti da se radi o phising poruci.

Brzim razvojem aplikacija u doba pandemije COVID-a često se, kako ste naveli, ignoriraju sigurnosni zahtjevi, što rezultira velikim brojem aplikacija s povećanim brojem ranjivosti. Posebno su istaknute aplikacije koje od korisnika traže unos dokumenata (upload), pri čemu se nedovoljno provjeravaju vrste unesenih datoteka. Koliko nas je pandemija učinila dodatno ranjivijima na cyber prijetnje?

Aplikacije su jedna od vrlo čestih točaka ulazaka za napadače i kriminalce u većinu organizacija i to je jedan od razloga zašto je potrebno na njih obratiti pažnju bez odlaganja. Problem u aplikacijama nije samo u provjeri unesenih datoteka, problem u praksi stvarno može biti u svakom segmentu aplikacije što se pokazalo kroz incidente i penetracijske testove Kroz naš izvještaj skrenuli smo pozornost kako velika brzina razvoja aplikacija nije uvijek prijatelj sigurnosti. No ne moraju biti nužno suprotstavljeni jedno drugome. Tako ako se već ide u brzi razvoj aplikacije pokušajte to raditi s timom koji sigurnosni aspekt ugrađuje od samog početka razvoja aplikacija. Razmišljanjem o sigurnosnim aspektima od samog početka razvoja aplikacija, a to uključuje primjerice određivanje sigurnosnih zahtjeva, modeliranje prijetnji i ugrađivanje automatiziranih sigurnosnih testova, sprečava se eskalacija većih troškova u kasnijim fazama životnog ciklusa aplikacije. Uočili smo ovdje problem kod velikog broja razvojnih timova, te smo svoje usluge prilagodili upravo njima i korisnicima koji trebaju takve aplikacije. Redovno držimo edukacije o aplikacijskoj sigurnosti za vodeće organizacije u Hrvatskoj, te i na taj način pomažemo da se taj problem smanji. Spremni smo pomoći u bilo kojoj fazi razvoja aplikacije, te sigurnosnim zahtjevima koje aplikacija treba zadovoljiti.

Aplikacije su jedna od vrlo čestih točaka ulazaka za napadače i kriminalce u većinu organizacija i to je jedan od razloga zašto je potrebno na njih obratiti pažnju


Kako se uopće obraniti od hakerskog napada i što prvo učiniti kada do njega dođe?

Obrana od napada, tj. zaštita sustava treba početi znatno prije nego se on dogodi. Obrana treba biti sustavna te stalno unaprjeđivana. Ulaganjem u sigurnost i konstantnim podizanjem svijesti zaposlenika u radnom okruženju, znatno se umanjuje mogućnost uspješnog napada. Naravno, ulagati treba pametno. Uočiti slabe točke sustava i slijediti najbolje praske i iskustvo da se one što prije uklone. To je kontinuirani ciklus.

Kada dođe do napada najbolje je kontaktirati stručnjake koji poznaju takvu problematiku. Na taj način će napadnuta tvrtka u kratkom vremenu umanjiti posljedice napada, zatvoriti ranjive točke ulaska u sustav i spriječiti njihovo ponavljanje. Nikako ne bi preporučio da se napad obrađuje bez stručnog vodstva budući da se kroz nestručno vođenje može dogoditi daljnje pogoršavanje situacije kao i gubitak forenzičkih dokaza.

Planira li Diverto objavu izvještaja o stanju informacijske sigurnosti u 2021.?

S obzirom na dobar odjek kod naših korisnika, organizacija javnog i privatnog sektora te stručnjaka iz ovog područja svakako ćemo zaokružiti naš izvještaj za proteklu 2020. Meni je osobno važno da su nam se javili mnogi naši korisnici koji su bili vrlo zadovoljni činjenicom da su na indirektan način sudjelovali u stvaranju ovog izvještaja. Izvještaj ćemo, kao i prethodni, objaviti na našim web stranicama i bit će dostupan svima zainteresiranima za preuzimanje. Izvještaj je rezultat rada svih timova unutar Diverta, te se trudimo da je koristan i relevantan za sve koji se bave područjem informacijske sigurnosti.

Je li je svijet informacijske sigurnosti područje vječne borbe između hakera s jedne i cyber timova tvrtki i institucija s druge strane?
Treba imati na umu da tehnologija koja nam koristi i olakšava život može biti upotrijebljena protiv nas. Uvijek ima onih koji imaju loše namjere, a dovoljno znanja da svojim sposobnostima ugroze pojedinca, određenu organizaciju ili društvo u cijelosti. Ne smijemo dopustiti da prevlada strah, ali svakako opreza nikad dosta.

Ipak htio bih završiti u pozitivnom tonu budući da vjerujem u daljnji napredak kroz digitalizaciju poslovanja ali i trajnu edukaciju svih nas kako bi bolje razlučili dobro od lošeg.

 

Dražen Najman