Informacijska sigurnost
Kontinuirano radimo na razvoju znanja
„U inozemstvu radimo na projektima u kojima nas klijenti angažiraju da ih zaštitimo pri plasmanu njihovih proizvoda i usluga na tržištu. Poslovna zajednica je svjesna da se rizici informacijske sigurnosti moraju utvrditi na samom početku razvoja novih usluga, novih projekata i novih proizvoda. Druga je strana priče zašto se u Hrvatskoj često tako ne razmišlja, možda nema dovoljno odgovornosti ili svjesnosti tko će biti odgovoran ako se nešto stvarno dogodi“, istaknula je u razgovoru za poslovniFM Biljana Cerin, direktorica Ostendo Consultinga i stručnjakinja za informacijsku sigurnost, članica upravnog odbora najveće svjetske, krovne organizacije za edukaciju stručnjaka u području informacijske sigurnosti (ISC)², koja diljem svijeta okuplja oko 140 tisuća članova. Cjelovitu emisiju možete poslušati u nastavku ili preuzeti za kasnije slušanje.
Možda i nisu upoznati s dovoljno primjera incidenata s kojima se mogu poistovjetiti. To je takav neki osjećaj – „mi smo mali, nas neće“ – često je to problem komunikacije, načina razgovora o informacijskoj sigurnosti. A upravo je pitanje informacijske sigurnosti tema broj jedan danas u svijetu, istaknula je Cerin u razgovoru za emisiju Tehnobiz, urednika Dražena Tomića, dodajući kako je upravo listopad međunarodni mjesec kibernetičke sigurnosti.
Vidimo i svjedočimo svaki dan napadima na privatnost, na naše osobne podatke, upadima u tvrtke i njihove poslovne sustave. Kako se od toga zaštititi i na što najviše paziti? Informacija je glavni resurs modernog doba kojeg bi tvrtke trebale biti svjesne.
„Još uvijek mi je žao kad vidim da je informacijska sigurnost prvenstveno vođena compliance zahtjevima. Konkretno, to je kažnjivost xy iznosom ako ne napravite to, to i to. Klijenti iz inozemstva, primjerice, ne žele izaći na tržište ili pokrenuti nove projekte, razviti nove informacijske sustave, dok se ne procijeni rizik informacijske sigurnosti u takvim projektima. Njih vodi tržište, oni žele odgovorno nastupati na tržištu“, rekla je Cerin, te istaknula da u Hrvatskoj također postoje dobri primjeri tvrtki koje su toga svjesne.
Klijenti iz inozemstva, primjerice, ne žele izaći na tržište ili pokrenuti nove projekte, razviti nove informacijske sustave, dok se ne procijeni rizik informacijske sigurnosti u takvim projektima
Biljana Cerin
Upitana zašto komunikacija o informacijskoj sigurnosti na razini uprave ponekad ne funkcionira, Cerin potvrđuje da komunikacijska barijera postoji.
„Pitam se, u današnje vrijeme, ako viši menadžment ne razumije barem osnove tehnologije, kako može voditi svoje tvrtke? Komunikacija treba biti dvosmjerna, i jedni i drugi bi se morali potruditi bolje shvatiti o čemu se govori. Ne samo menadžment, već i oni koji kontroliraju menadžment moraju znati što se događa s informacijskom sigurnošću i promatrati to kao jedan od rizika kojima organizacija mora upravljati. Čak u mnogim situacijama CISO (voditelj informacijske sigurnosti) ili ne postoji ako nije zahtjevan regulativom, ili nije organizacijski postavljen na pravu poziciju. Nekad se nalazi ispod direktora IT-a, a trebao bi biti iznad. Tu dolazi do sukoba interesa“, pojasnila je Cerin.
Ako gledamo informacijsku sigurnost kao sustav, nije to samo pisanje procedure ili kupnja određenih sigurnosnih rješenja. To je suradnja s ljudima koji se bave kontrolom fizičkog pristupa, službom ljudskih resursa, stručnjacima iz pravnog sektora, službenicima za zaštitu osobnih podataka. Lakše je upravljati rizikom kad nekog imenujete da je odgovoran, tko će voditi brigu o svemu, pravovremeno izvještavati, pravovremeno reagirati, dogovarati i koordinirati sve aktivnosti. Međutim, ne možete ukloniti krajnju odgovornost s uprave tvrtke.
Ako postoji dobro postavljen sustav i u svakom trenutku znate kad nešto treba napraviti, ne gubite dane i sate zato jer ne znate kako treba reagirati i koga treba izvijestiti. Ako uzmemo za primjer povredu osobnih podataka, ako je riječ o velikim posljedicama za ispitanika a nema koordinacije na razini tvrtke, ne samo da ćete propustiti prijaviti incident u roku od 72 sata, već će dodatni gubici i štete biti puno veće.
Informacijsku sigurnost Cerin će usporediti s vrhunskim autom. On ne može biti vrhunski, ne može sigurno i brzo voziti, ako nema dobre kočnice. Nekad se te kočnice aktiviraju, ali u svrhu boljeg, sigurnijeg i bržeg kretanja na tržištu. Danas su najizraženiji problem mlade tvrtke koje žele uspjeti i čim prije startati, pa kad trebaju ugraditi sigurnosne mehanizme za svoje softverske proizvode, nastanu problemi koje se često počne rješavati prekasno.
Iskustvo rada s tvrtkama pokazuju da mi kao konzultanti možemo složiti i definirati sve što treba napraviti, osigurati da budete u skladu sa zahtjevima i regulativom, pomoći pri odabiru tehnologije. No, trebate imati odgovarajuću osobu za poziciju CISO-a. Problem koji još uvijek vidimo je, prvo, sam odabir takve osobe, ako ju dosad niste imali, te pitanje koliko će stvarno imati posla. Moguć je outsourcing, ali izaberite nekoga tko je dobro upoznat s vašim poslovnim sustavom.
Cerin iznosi i primjer projekta u Nevadi na kojem su radili. Riječ je o 70.000 zaposlenih, oni imaju zasebne odjele i zasebne timove zadužene za različite domene informacijske sigurnosti. To u Hrvatskoj ne vidimo. Istina, nemamo tako velike tvrtke, no ima prostora za rast, dodatno obrazovanje i pronalazak posla u tom segmentu.
„Trenutačno sudjelujem na projektu kojim se pokušava definirati standard zanimanja u području informacijske sigurnosti. S pristupom djeci kad završavaju srednju školu i odabiru generalni smjer kojim će se dalje kretati u životu, možemo im omogućiti da znaju što je to područje informacijske sigurnosti, čime se oni mogu baviti, da imaju ispravnu percepciju stručnjaka za informacijsku sigurnost. Mi kao stručna zajednica kontinuiramo radimo na razvoju znanja i prenošenja tog znanja organiziranjem stručnih događaja, publikacija i konferencija svima koji se žele baviti ovim zanimljivim područjem“, kaže Cerin.
Mi nismo Izrael, ali možemo koristiti vrlo slične modele za izgradnju uspješne suradnje, stvarati uspješnu industriju temeljenu na znanju.
Biljana Cerin
Na upit o situaciji na tržištu kada govorimo o cyber kriminalu, te o tome što nas kao tvrtke, poduzetnike, kao poduzetničku i gospodarsku zajednicu u tome očekuje, te hoće li, kao što neki predviđaju, zahvaljujući jačanju umjetne inteligencije potencijal cyber kriminalaca porasti, Cerin kaže kako umjetnu inteligenciju možemo koristiti i s jedne i s druge strane.
„Mi kao good guyskoji koristimo UI u svrhu obrade velike količine podataka, da na vrijeme spoznamo potencijalni rizik ili potencijalni zlonamjerni napad, no isto tako UI koriste oni koji su maliciozni. Po pitanju cyber kriminala sudjelujem u široj slici te priče. Tu je koordinacija između država, različitih dijelova svijeta. Cyber kriminal nije samo izolirani incident na jednom poslovnom sustavu. Da se dogodi ozbiljniji rizik, ogromne količine ljudi su afektirane, čak i na Facebooku, a kamoli u nekom ozbiljnom bankovnom sustavu ili telekomunikacijskim tvrtkama. To su ozbiljne posljedice i tu je bitna suradnja, prekogranična suradnja. Važno je dizanje svjesnosti o cyber sigurnosti na razini države.
Kod nas je uspostavljen jedan segment priče, imamo Zavod za sigurnost informacijskih sustava, Središnji državni ured za razvoj digitalnog društva, Ured vijeća za nacionalnu sigurnost, ali kad gledamo gospodarstvo, nemamo single point of contact kojim bismo se koristili za jaču suradnju industrije, gospodarstva s državom. Imamo i parametar akademske zajednice koja isto radi izvrsne stvari, a mi se svi želimo i trebamo međusobno povezati, želimo zajedno raditi – tu uvijek navodim primjer Izraela. Oni su u drukčijoj povijesnoj i zemljopisnoj situaciji i političkom okruženju. Mi nismo Izrael, ali možemo koristiti vrlo slične modele za izgradnju uspješne suradnje, stvarati uspješnu industriju temeljenu na znanju. Naše tvrtke u ovom segmentu djelovanja su dobre tvrtke, imamo dobre stručnjake, dobro poslujemo u Hrvatskoj i u svijetu. Međutim, nema ih mnogo, a tržište je puno veće nego što ga mi iskorištavamo“, zaključila je Biljana Cerin u razgovoru za poslovniFM.
Objavljeno: 18. listopada 2019. ©poslovniFM