Vlasnik svojih podataka trebao bih biti ja – zar ne? No, je li baš tako? Prije nekoliko dana, na pauzi za kavu, razgovarao sam s prijateljem koji se upravo preselio u novi stan. Dovršio je sve administrativne poslove i dobio ključeve stana. Obitelj je još bila u drugoj zemlji. Čekali su da on sve sredi tako da se oni mogu preseliti uz što manje gnjavaže. Želio ih je iznenaditi, pa je samo on, uz komunalne tvrtke kao što su vodovod, elektra i ostale takve tvrtke, znao novu kućnu adresu.
Kad su stigli u svoj novi stan, poštanski sandučić već je bio prepun razne pošte - raznih promotivnih letaka i brošura, propisno adresiranih na sva četiri člana obitelji. Unatoč tome što još nikome nisu rekli gdje stanuju. Iako nije loše znati gdje se nalazi dobra teretana, gdje je najbliže igralište za njihovog mladog sina ili gdje njihova kći može ići usavršavati svoju vještinu sviranja violine, bilo je prilično iznenađujuće shvatiti koliko sve te tvrtke već znaju o obitelji koja se tek doselila. Tu je bila i spoznaja da su te informacije dobili bez njihove privole.
>>> Novi broj Lidera – GDPR prijeti: Kraj dosadašnjeg modela direktne prodaje
Posve je jasno - komunalne tvrtke „prodale“ su svoje podatke marketinškim agencijama. Analogiju za to imamo i u kibernetičkim prostorima. Većina nas je, bar jednom u životu, imala priliku preuzeti s Interneta aplikaciju na svoje računalo ili pametni mobitel. Jeste li se ikada zapitali - dok ste preuzimali BESPLATNU igru ili neku BESPLATNU aplikaciju kojom ste, na primjer, naučili kako vezati kravatu - zašto vas traže dozvolu za pristup vašem telefonskom adresaru, GPS podacima i vašim fotografijama i video-zapisima? Odgovor je jednostavan: ništa na ovom svijetu NIJE BESPLATNO. Ako se kaže da je aplikacija BESPLATNA to samo znači da nije aplikacija ono što se prodaje – na prodaju ste vi, ili, preciznije rečeno, vaši podaci su roba koja je stavljena na prodaju.
I to je tek početak. Svakoga dana netko od nas traži da mu damo podatke koji nas mogu identificirati kao točno određenu osobu. To traže razne ustanove državne uprave, javna poduzeća i organizacije te komunalne i druge tvrtke. Ne treba to odmah shvatiti pogrešno: postoje situacije u kojima te organizacije doista trebaju određene podatke o nama i imaju ih pravo dobiti. Međutim, u mnogim slučajevima, te organizacije od ljudi traže i podatke koji im zapravo nisu potrebni. Tu postoji još nekoliko pitanja - znamo li, posve pouzdano, kako će oni koristiti te informacije? Koliko su naši podaci sigurni kod njih? Na koji način štite naše podatke? Možemo li biti posve sigurni da tvrtke imaju nadzor nad podacima kojima barataju i koje čuvaju – ili bar, paze li tko sve pristupa tim podacima i što se sve radi s tim informacijama?
>>> Obavještajni prodor: Kinezi u dvije godine eliminirali dvadesetak špijuna CIA-e
Dobra vijest u svemu ovome je da smo, nominalno, zaštićeni propisima – nacionalnim zakonom o sigurnosnoj zaštiti podataka i privatnosti, a na razini EU imamo Opću uredbu o zaštiti podataka, GDPR (General Data Protection Regulation), koja stupa na snagu 25. svibnja ove godine. U razgovorima s brojnim IBM-ovim klijentima tijekom proteklih nekoliko godina ustanovio sam da postoje mnogi problemi s kojima se te tvrtke suočavaju - počevši od pukog, osnovnog pristupa sustavu, dodavanja novog alata u informacijski sustav, zanemarivanja prava pristupa, pogrešaka pri identifikaciji važnih podataka, nereagiranja na incidente, itd.
Zašto je to tako teško? Više je razloga.
Prvi razlog: tvrtke imaju previše podataka – treba im više od 200 dana kako bi otkrile upad u svoj informacijski sustav.
Drugi razlog: nadoknaditi manjak stručnjaka. Još jedan problem s kojim se bori većina tvrtki je nedostatak kvalitetnih sigurnosnih stručnjaka. Istraživanja pokazuju da će do 2020. u svijetu nedostajati 1,8 milijuna stručnjaka za informatičku sigurnost1!
Naposljetku, tvrtke se moraju nositi i sa složenošću svojih informacijskih sustava. Primjerice, jedna banka se koristi s 85 različitih alata koje je kupila od 45 dobavljača sigurnosnih rješenja. Stoga nas ne treba iznenaditi rast troškova instalacije, konfiguracije, upravljanja i nadogradnje tih rješenja. Dodajte tome sad već kroničan manjak stručnjaka i dobit ćete situaciju u kojoj je potrebna ekspertiza često nedostupna. Uz to, pojava sve većeg broja sigurnosnih prijetnji dovodi do toga da se sve više tvrtki bavi proizvodnjom sigurnosnih rješenja, a sve veći broj tih alata znači i više problema. Sve brojniji arsenal fragmentiranih i međusobno nepovezanih rješenja sve više komplicira ionako složenu situaciju i ne doprinosi jačanju sigurnosne zaštite u organizaciji koja ih primjenjuje. Dodatna posljedica toga je neprestani rast mrežne infrastrukture, koju je sve teže nadzirati.
>>> Nova vrsta špijuna: Google Street View otkriva izborne preferencije građana
To je razlog zbog kojeg tvrdimo da se sigurnost treba promatrati holistički. Drugim riječima, portfelj sigurnosnih rješenja uvijek treba gledati kao cjelovit sustav. Rješenje IBM Security immune system potpuno je integrirano rješenje s komponentama koje se prilagođavaju infrastrukturi u koju su ugrađene – te komponente rade zajedno kako bi poboljšale njenu učinkovitost, povećale preglednost i omogućile inteligentno djelovanje na temelju uvida u cijeli sustav.
IBM prati više do 35 milijardi sigurnosnih događaja svakoga dana, za 17500 klijenata u više od 133 zemlje diljem svijeta. Kombinirajući svoj sigurnosni imunološki sustav s naprednim kognitivnim računalstvom omogućavamo organizacijama stalno inoviranje uz potpunu sigurnosnu zaštitu njihovih najvažnijih podataka i procesa.
Na kraju, vratimo se na pitanje koje smo postavili na samom početku – a to je najvažnije pitanje danas: Kako se štite moji podaci?
*Informacije napisane u ovom blogu nisu jamstvo ni u kojem smislu, a navedeni proizvodi tvrtke IBM nalaze se pod jamstvom prema uvjetima u sporazumima na temelju kojih su nabavljeni.
Autor: Dejan Vuković, Security Business Leader, IBM SEE