Cijeli je svijet u prosincu saznao što je to WikiLeaks, a američke su vlasti na vlastitoj koži - u najvećoj aferi otkrivanja povjerljivih informacija u suvremenoj povijesti - vrlo bolno otkrile što je to "curenje informacija". Dejan Košutić, autor na Information Security&Business Continuity Academy (wwww.iso27001standard.com) te savjetnik za informacijsku sigurnost u tvrtki Kvadra savjetovanje, za Zaštitu se osvrnuo na najveću globalnu aferu otkrivanja povjerljivih informacija
WikiLeaks je ovih dana s razlogom goruća tema u cijelom svijetu - nije baš uobičajeno da se povjerljivi dokumenti najmoćnije vlade objavljuju na Internetu. A poneki od njih su, blago rečeno, neugodni.
Ovdje neću pisati o tome je li legalno to što WikiLeaks objavljuje takve informacije ili ne, je li objavljivanje tih informacija u javnom interesu ili ne, što će biti s vlasnikom WikiLeaksa (u trenutku pisanja ovog članka Julian Assange bio je u pritvoru) itd.
Stvar je u tome što će se, ako se WikiLeaks i ugasi, pojaviti neki novi „WikiLeaks“. Drugim riječima, opasnost od curenja informacija u javnost neprestano se povećava. Usput rečeno, Assange je prije uhićenja najavio da će objaviti inkriminirajuće informacije o jednoj od glavnih američkih banaka i njezinom nelegalnom poslovanju.
Ovdje ću promatrati stvar iz perspektive tvrtki - što ako smo mi sljedeća žrtva WikiLeaksa ili nekog njegova klona? Kako možemo zaštititi vlastite informacije i spriječiti štetu prouzročenu tako velikim incidentom?
Jednostavan primjer
Kako informacijska sigurnost izgleda u praksi? Uzmimo jednostavan primjer – recimo da svoje prijenosno računalo redovito ostavljate na stražnjem sjedalu automobila - vrlo je vjerojatno da će ga prije ili kasnije netko ukrasti.
Što možete učiniti kako biste umanjili taj rizik? Kao prvo, možete uvesti pravilo (donošenjem procedure ili politike) da se prijenosna računala ne smiju bez nadzora ostavljati u automobilu ili da automobil mora biti parkiran negdje gdje postoji neki oblik fizičke zaštite. Kao drugo, informacije možete zaštititi i odabirom kvalitetnih lozinki i enkripcijom podataka. Osim toga možete od vaših zaposlenika tražiti da potpišu izjavu prema kojoj su odgovorni za eventualne štete. Ipak, sve ove mjere možda neće imati učinka ako zaposlenicima pravila ne objasnite održavanjem kratke obuke.
Što dakle možete zaključiti iz ovog primjera? Informacijska sigurnost se nikada ne sastoji samo od jedne mjere, već je uvijek čini više njih zajedno. Isto tako, mjere se ne odnose samo na IT, nego uključuju i organizacijska pitanja, upravljanje ljudskim resursima, fizičku i tehničku zaštitu i pravnu zaštitu.
Problem je sljedeći - ovo je bio primjer samo jednog računala, ne uzimajući u obzir unutarnje prijetnje. Sada zamislite kako je složeno zaštititi informacije u vašoj tvrtki gdje se informacije ne pohranjuju samo na vaš PC, nego i na razne poslužitelje; ne samo u vašu ladicu nego na sve vaše mobilne telefone; ne samo na USB prijenosne memorije nego i u glave svih zaposlenika. A uvijek se nađe poneki nezadovoljni zaposlenik.
Taj vam se posao čini nemogućim? Težak je, ali nije neizvediv.
Kako postupiti
Za rješavanje ovog složenog problema potreban vam je okvir za postavljanje sustava. Dobra vijest je da takav okvir već postoji u obliku normi - najraširenija je norma ISO 27001, vodeći međunarodni standard za upravljanje informacijskom sigurnošću, ali postoje i drugi - COBIT, NIST SP 800 series, PCI DSS, itd.
Ovdje ću se usredotočiti na ISO 27001 - ova norma pruža dobre temelje za izgradnju sustava informacijske sigurnosti sa svojim katalogom od 133 sigurnosne mjere i fleksibilnošću da primijenite samo one mjere koje su vam s obzirom na rizike zaista i potrebne. Međutim, najbolja odlika ove norme je da definira upravljački okvir za kontrolu i upravljanje sigurnosnim pitanjima, čime upravljanje sigurnošću postaje dio cjelokupnog upravljanja organizacijom.
Ukratko - ova vam norma pomaže u sagledavanju svih oblika informacija, svih rizika i pruža vam modus za pažljivo rješavanje svakog potencijalnog problema i očuvanje sigurnosti informacija.
Posljedice za poslovanje
Dakle, trebaju li korporacije strahovati da će njihove informacije procuriti u javnost? Dakako, ako je njihovo poslovanje ilegalno ili nije etično.
Međutim, tvrtke koje posluju legalno, a žele zaštititi svoje poslovanje, ne mogu razmišljati samo o povratu na investiciju, tržišnom udjelu, ključnim kompetencijama i dugoročnoj viziji. U svojoj strategiji moraju također uzeti u obzir sigurnosna pitanja budući da ih nezaštićene informacije mogu stajati više od npr. neuspjelog pokušaja lansiranja proizvoda. Pod sigurnošću ne mislim samo na fizičku i tehničku zaštitu jer to jednostavno više nije dovoljno - tehnologija omogućuje da informacije cure na razne načine.
Potreban je sveobuhvatan pristup informacijskoj sigurnosti - nije važno radite li prema normi ISO 27001, COBIT-u ili nekom drugom zadanom okviru, sve dok to činite sustavno. Trud koji je potrebno uložiti nije jednokratan, nego se radi o kontinuiranom radu. I na kraju - to nije nešto što vaši ljudi iz IT-a mogu napraviti sami - to je nešto u čemu mora sudjelovati cijela tvrtka, počevši od uprave.