19. kolovoz 2020.

Kibernetička sigurnost: Ne može se potpuno ukloniti IT nesigurnost, ali može se smanjiti rizik

Piše: Tino Šokić, CNV-IBIS

Proteklih se mjeseci događalo da zaposlenici fizički uzimaju stolna računala i nose ih kući kako bi mogli raditi. Često su to bila i računovodstva po tvrtkama i slični odjeli. Što se može dogoditi bolje je i ne zamišljati, zato u ovo vrijeme pojačanog rada od kuće tvrtke moraju ozbiljnije poraditi na sigurnosti. Jer, kako se obraniti od hakerskih napada kada nemate ništa što ih može spriječiti?

Nesretni događaj pandemije COVID-19 postao je naša stvarnost s kojom se moramo nositi najbolje što znamo. Sada je očito da se njezinu brzom prolasku ne treba nadati i da ćemo i s dolaskom jeseni još neko vrijeme morati računati s učincima pandemije na poslovanje.

Tijekom mjeseci koji su prošli 'u društvu korone' gotovo svako poslovanje moralo je napraviti pomak u nekom smjeru, a kibernetička sigurnost postala ‘još pomaknutija’, odnosno o njoj se počelo intenzivnije razmišljati. Kada je porastao broj ljudi koji rade od kuće, odmah su počele priče o pozitivnim i onim manje pozitivnim stranama takvog načina rada, a tu kibernetička sigurnost postaje jedna od presudnih točaka. Čak je prema nekim istraživanjima dokazano da je produktivnost veća u prva dva tjedna takva načina rada, a onda rapidno pada.

Također je zanimljiva činjenica da si rad od kuće najviše može ‘priuštiti’ privatni sektor, u javnom je to nekako teže, a razlozi tomu su neka druga priča. Termin 'rad od kuće' u kontekstu kibernetičke sigurnosti poprima značajke oksimorona. Prvo bih demistificirao značenje riječi pojma kibernetička sigurnost jer mnogo se ljudi vrlo lako nabacuje takvim pojmovima u svojim razgovorima, ali ih ne stavlja u odgovarajući kontekst.

Prema Zakonu o kibernetičkoj sigurnosti, kibernetička sigurnost je sustav organizacijskih i tehničkih aktivnosti i mjera kojima se postiže autentičnost, povjerljivost, cjelovitost i dostupnost podataka kao i mrežnih i informacijskih sustava u kibernetičkom prostoru. A kibernetički prostor je virtualni prostor unutar kojeg se zbiva komunikacija svih tih informacijskih sustava neovisno o povezanosti s internetom.

Opasnost kućnih mreža

Iz tehničke tj. inženjerske perspektive usluga rada od kuće nije ništa novo niti je išta nemoguće ostvariti i postaviti (VPN, eng. Virtual Private Network), ali svejedno se jako mnogo kompanija i organizacija susrelo (i susreće) s mnogo problema ekonomskog modela od tehničke do kadrovske naravi.

No, da se vratimo spomenutom kontekstu oksimorona. Odjednom se nalazite u možda najpoznatijem okružju, kod kuće, ali to u spoju s poslovnim značajkama postaje prilično strano. Više puta zovu me prijatelji za pomoć pri spajanju u poslovne mreže velikih sustava i kompanija samo zato što nemaju odgovarajuću IT podršku. Tvrtkama je najveći izazov to što su ljudi sa svojim uređajima izvan tvrtke u nesigurnom okružju. Unutar tvrtke često imate vatrozid (eng. firewall) za kontrolu mrežnog prometa, uređaje za kontrole pristupa (npr. kartice za ulaz u zgradu), možda čak dediciranu osobu za IT sustav koju možete nazvati te vjerojatno imate manje ometanja prilikom obavljanja svojih poslovnih dužnosti. A sada je zaposlenik doma na svojoj kućnoj mreži koja je potencijalno nesigurna i kojoj pristupaju svi u kućanstvu sa svim svojim uređajima i pratećim aplikacijama pa mogućnost ometanja i raznih privatno-sigurnosnih odvlačenja pozornosti postaje visoka.

Susreo sam se sa situacijama gdje su zaposlenici fizički uzimali stolna računala i nosili ih doma kako bi mogli raditi. Čak su često to bila računovodstva po tvrtkama i slični odjeli.

U čemu tvrtke griješe

Kako se obraniti od hakerskih napada kada nemate ništa s tehničke strane što to može spriječiti? S jedne strane postoje preporuke kako optimalno imati sigurnu IT infrastrukturu, a s druge strane čak i tvrtke koje imaju resurse za podršku čine pogreške kao što je dodatno izlaganje resursa tvrtke prema internetu.

Tipičan primjer je omogućavanje (izlaganje) porta 3389 (eng. RDP, Remote Desktop Protocol) prema internetu kako bi netko jednostavnije pristupio nekom računalu, odnosno serveru s pomoću softvera za udaljeno spajanje. To čak rade administratori i inženjeri jer je lakše učiniti takvo što nego postaviti sustav tako da se serveru pristupa putem VPN-a ili implementirati autentikaciju u dva koraka (eng. 2FA, two-factor authentication).

Zaobilaženje regulative

Tvrtke koje su u ožujku omogućile rad od kuće uglavnom nisu imale vremena i resursa za prijelazno razdoblje u kojem bi se možda ispravile neke nedoumice i nepoznanice u takvoj vrsti rada. Ako kao analogiju uzmemo GDPR, odnosno Opću uredbu o zaštiti podataka, prijelazno razdoblje u 'našem' kontekstu je samo još malo vremena kada ne moram nešto implementirati.

Čitatelj ovog članka je sigurno upoznat s tim koliko se često čeka zadnji čas za implementaciju takvih regulativa u poslovanje. Nesigurnost u pogledu IT-ja nitko ne može ukloniti, ali zato možemo umanjiti rizik. To je ustvari i bit svih regulativa, preporuka i savjeta – smanjiti rizik na najmanju moguću razinu. Postati i ostati siguran u pogledu rada od kuće je moguće, ne kao stopostotna stavka, ali smanjenje navedenog rizika je moguće.

Najslabiji dio – čovjek

Možemo slobodno reći da je prvi val ovakve krize promijenio pristup razmišljanju poslovanja u kontekstu kibernetičke sigurnosti. Vjerujem da to vrijedi i za financijski dio, odnosno budžetiranje i planiranje u pozitivnom kontekstu. Rad od kuće, udaljeni rad, teleworking, kako god ga nazvali, mislim da će samo rasti u obujmu i da će to biti ključan dio digitalne transformacije društva.

Zaključio bih ovaj kratak prikaz modela rada od kuće jednim primjerom transformacije načina razmišljanja jedne tvrtke – ​Facebooka, i znam da čitatelj odmah može pomisliti da je to neprimjeren primjer u kontekstu hrvatskih razmjera i omjera, ali time želim približiti koncept i način razmišljanja. Donedavno je tvrtka Facebook plaćala zaposlenicima bonuse u svrhu preseljenja bliže svom radnom mjestu, a trenutačno u njemu procjenjuju da bi pola od otprilike 48 tisuća zaposlenih u sljedećih pet godina moglo trajno raditi od kuće. Mislim da će jako mnogo zanimanja i djelatnosti prilagoditi svoje paradigme, a kibernetička sigurnost morat će biti na zavidnijoj razini nego sada. Jer, sustav je siguran onoliko koliko je siguran njegov najslabiji dio, a taj je dio često čovjek.