Hrvatska nije sigurna od hakerskih napada Istaknuto
Već smo u više navrata naglašavali da je 2015. godina krenula u znaku cyber napada i zaštite korporacija od istih. Naglasak na zaštitu IT sektora u kompaniji su stavili i sudionici Mobile World kongresa u Barceloni, a stručnjaci i istraživanja pokazuju da voditelji IT odjela u korporacijama diljem svijeta najviše pažnje posvećuju daljnjem ulaganju u sigurnost od napada. U Hrvatskoj će se ove godine po prvi puta održati seminar IT risk, namijenjen prvenstveno direktorima i zaposlenicima kompanija, a na konferenciji Korporativna sigurnost održanoj u Zagrebu sredinom ožujka smatraju da je Hrvatska jedna od najsigurnijih zemalja za poslovanje. Potaknuti svjetskim i regionalnim trendovima o cyber sigurnosti i ulaganjima u iste, popričali smo s Dragom Gajskim, regionalnim menadžerom Symanteca za jugoistočnu Europu.
1) Po Vašem iskustvu, koliko su IT sustavi u hrvatskim korporacijama sigurni u usporedbi s ostatkom svijeta (i zbog sve učestalijih hakerskih napada)?
Teško je generalno odgovoriti na vaše pitanje, no uzimajući u obzir gospodarski trenutak u Hrvatskoj i učestalo smanjivanje proračuna za cjelokupan IT, a time i za korporativnu sigurnost — a uspoređujući trendove sa zemljama u regiji na kojoj djelujemo — investicije u korporativnu sigurnost zasigurno ne prate dovoljno potrebe za primjerenim odgovore na rastuće, uporne i kontinuirane globalne prijetnje. Najčešće se, osim u iznimnim slučajevima, koriste jednostavna rješenja s fokusom na zaštitu krajnjih točaka, bez suvremene, višeslojne zaštite kritičnih sustava ili cjelokupne infrastrukture.
Najčešća razmišljanja ili bolje rečeno nade korporativnih stručnjaka za sigurnost svode se na pretpostavke da nismo dovoljno veliki, niti značajni za upade, dok globalni pokazatelji korporacije Symantec, kao i drugih vodećih proizvođača sigurnosnih rješenja, ukazuju da se fokus napadače pomiče s velikih korporacija i razvijenih zemalja, na male i srednje poduzetnike koji su u pravilu slabije štićeni (ali su ujedno dobavljači povezani s velikim korporacijama), te se njihova ranjivost posredno koristi za upade u veće sustave. Niti veličina zemlje ili organizacije više nije umanjujući faktor za napadače. Naprotiv, jedan od najvećih cyber-upada u brojne organizacije energetskog sustav prošle je godine značajno ciljao jednu od naših susjednih zemalja u regiji (sugovornik se referirao na hakerski napad Dragonfly, op.a.).
Iznimku u izdvajanjima za korporativnu sigurnost predstavljaju financijske organizacije i podružnice stranih korporacija te neke vladine organizacije, koje su proceduralno i zakonski dužne osigurati određenu razinu sigurnosnih standarda, ali i one se uglavnom štite od vanjskih upada, pri čemu se u pravilu zanemaruju rizici od ‘curenja’ odn. gubljenja podataka, a koji predstavljaju podjenaku prijetnju korporativnoj sigurnosti kao i upadi iz vana.
2) Koliko ljudski faktor (nedovoljno informirani zaposlenici, neodgovorni zaposlenici…) može utjecati na probijanje sigurnosnih sustava u kompanijama?
Sve forenzične analize pokazuju da se podjednak broj neželjenih događaja i izravne, milijunske štete, kao rezultat narušavanja korporativne sigurnosti, ostvaruju upadima 'iz vana', kao i oni koji su došli 'iz unutra’, od strane dobronamjernih ili zlonamjernih zaposlenika. Sustavi za tzv. ‘Data Loss Prevention’ nisu prioritetni našim stručnjacima za korporativnu sigurnost (jamačno zbog smanjenih proračuna i ‘prioriteta' za saštitu od upada), iako su brojevi ispada i iznosi nanesenih šteta globalno podjednaki onima nanesenima klasičnim cyber-kriminalom odn. upadima u sustave.
Ovdje je ljudski faktor presudan te je nedovoljna informiranost i stalna mogućnost pogreške pojedinca izniman problem, no upravo zbog ljudskog faktora se automatiziranim sustavima za Data Loss Prevention treba posvetiti bitno značajnija pažnja. I dobronamjeran će djelatnik pogriješiti i nehotice posalti mailom važan, vrlo povjerljivi dokument neželjenom primatelju, ili će ‘ponijeti povjerljive podatke kući ili ih nekontrolirano prebaciti u oblak, za rad preko vikenda i izložiti ih riziku izvan korporativne mreže’. Ili namjerava promijeniti posao i ponijeti ‘svoje’ podatke novom poslodavcu… Čitav je niz mogućnosti za neinformiranog ili nedobronamjernog djelatnika da prekrši pisane sigurnosne politike, a samo korištenje naprednih sustava za sprječavanje ‘curenja’ podataka može upotpuniti korporativnu sigurnost na profesionalan i globalno prihvaćen način. U tom segmentu u Hrvatskoj postoje veliki izazovi, jer nam, za razliku od svijeta pa i regije, nije poznato da je uvedeno više od samo nekoliko cjelovitih sustava takve zaštite, dok u regiji postoje značajne instalacije Data Loss Prevention rješenja.