iz kategorije Sigurnost 368Views 0Likes

Trendovi sigurnosti i upravljanja rizikom u 2018.

PočetnaSve objaveSigurnostTrendovi sigurnosti i upravljanja rizikom u 2018.

S obzirom da proučavamo računalni i informacijsku sigurnost, ali se ne bavimo sa velikim sustavima, koncepti koji se razmatraju kod velikih korporacija vrlo lako se mogu prenijeti i na male tvrtke i druge pravne subjekte. Jedan od vodećih autoriteta po pitanju analiza i konzultiranja u područjima IT-a, financija, upravljanju ljudskim resursima, pravnim pitanjima, marketingu i nekim drugim područjima – Gartner – sastavio je pregled za tekuću godinu, do kud je tehnologija došla, koji problemi su se riješili, a koji su isplivali na površinu. Originalni članak na engleskom jeziku možete pronaći ovdje.

U prethodno spomenutom članku navodi se 6 točaka (trendova) značajnih u ovoj godini na globalnom tržištu, a odnose se na ICT sigurnost i upravljanje rizikom. Svaku od tih točaka ćemo ukratko predstaviti, približiti čitatelju, te dati naše mišljenje na temelju naših iskustava i tržišta na kojem radimo.

#1 – Pod povećalom

Tko? Osobe, odjel ili timovi zaduženi za procjenu rizika i zaduženi za sigurnost. Zašto? Jer bi oni trebali moći odgovoriti na pitanja koja postavljaju uprave o potencijalnim ulaganjima u sustave i rješenja ili potencijalne gubitke do kojih može doći zbog neadekvatne opreme. Najčešći problem je pronalaženje zajedničkog jezika – uprava je rijetko kada ICT pismena na razini svih aktualnih tehnoloških zbivanja (osim u visoko-tehnološkim tvrtkama), ali zato imaju ljude koji se sa time bave (ili bi se barem trebali baviti).

U praksi se pokazalo da je doista umjetnost i znanje objasniti nekome tko ne shvaća potencijalni ICT problem, pogotovo u situaciji kada sve funkcionira u trenutnom stanju, kakvo god ono bilo. Tehničari, programeri i druge djelatnosti se nužno ne bave sa ekonomijom niti ju moraju razumjeti za svoj posao, ali im upravo to nepoznavanje ekonomskog razmišljanja stvara poteškoće kada žele nekome “iznad” objasniti zašto nekakva rupa u kodu ili krivi odabir routera, softvera (pa onda možemo ići i prema ozbiljnijim situacijama) može stvoriti višemilijunske štete (odnosno, o kolikoj šteti se uopće može raditi). Ili, ukoliko do štete dođe, koliko je ulaganje potrebno da bi se nastala šteta sanirala.

Šefovi su odgovorni za poslovanje tvrtke, a niže razine zadužene su za tehničke stvari. U navedenim situacijama, sve razine su podjednako izložene naporima kojima se pokušava osigurati sigurna okolina za poslovanje sa domaćim i stranim klijentima, a cijelo vrijeme vrebaju opasni pokušaji da se dođe do podataka ili da se omogući pristup podacima (ovisno o vrsti industrije i veličini pojedinog poslovnog subjekta).

#2 – Promjene zakonodavstva za sobom povlače promjene u poslovanju

Pored postojećeg zakonodavnog okvira, koji je različit u svakoj državi članici EU, ali i i državama diljem svijeta, danas se tvrtke moraju boriti i sa GDPR-om, koji na neki način utječe na cjelokupno tržište (osim u slučaju da neki poslovni subjekt nema doticaj sa EU tržištem ni na koji način). GDPR je uveo pravu pomutnju na tržište neposredno prije službene provedbe 25. svibnja 2018. godine. Iako se za tu Uredbu znalo mjesecima unaprijed, nitko nije bio siguran na koji način će se to implementirati u postojeći sustav. Nakon što je Uredba stupila na snagu, tvrtke su pokazale različite pristupe za rješavanje istog “problema” – odnosno, što, kako i na koji način raditi sa podacima korisnika/klijenata.

Na podatke u poslovanju treba gledati na dva načina – prvo, oni su vrijedna imovina. Drugo, oni su i potencijalni rizik (u slučaju njihovog gubitka, vanjskih regulatornih utjecaja koji definiraju njihovo čuvanje, korištenje, distribuciju i sl.). Što više podataka imate u poslovanju i koristite podatke od drugih, problemi sa njima sve su veći, kao i odgovornost za njih. Treba uzeti u obzir da čuvanje podataka u skladu sa regulativom (ili i više od toga) ne treba uvijek biti isključivo trošak, nego i potencijal za marketing, odnosno diferencijaciju u odnosu na druge tvrtke u okolini, ako se to ulaganje u sigurnost podataka (kojim se rješava sukladnost sa zakonima) prikaže i kao dodana vrijednost u poslovanju, odnosno kao dodatne kompetencije i pružanje najbolje moguće usluge za Vaše klijente.

#3 – Sigurnost se seli u oblak (cloud)

Svi pričaju o oblacima i u oblacima, međutim sami prelazak na tu infrastrukturu neće riješiti Vaš problem ili situaciju sa podacima. Ukoliko samo prebacite podatke sa lokalnog računala ili servera u cloud, to Vam dođe otprilike isto kao da ste podatke preselili iz jedne sobe u drugu, samo što od te druge sobe nemate ključ (ali podacima ipak možete pristupiti). Činjenica je da cloud rješenja pružaju brojne mogućnosti za upravljanje sa podacima. Takva rješenja su lakša za održavanje i mogu koristiti različite algoritme i računalnu snagu koju Vaša računala u tvrtki vjerojatno nemaju. No, treba uzeti u obzir da svako cloud rješenje nije jednako – kao i kod drugih usluga, postoje bolja i lošija cloud rješenja (slično kao i web hosting), a to ćete nerijetko tek otkriti kada počnete koristiti nečije cloud usluge.

Pored samog prebacivanja podataka (migracija) u cloud, ukoliko ne iskoristite potencijal kroz detaljne analize i praćenje podataka, upravljanje zaposlenicima i pristupom tim podacima, strojnim učenjem, API rješenjima koja Vam mogu olakšati pristup podacima i drugim proizvodima i uslugama, niste previše napravili, osim što se osigurali da Vaši podaci nisu fizički kod Vas u slučaju krađe, poplave, požara i sličnih nezgodnih situacija. No, nemojte zaboraviti na preduvjet da trebate stabilnu internet vezu kako biste uvijek mogli pristupiti Vašim podacima koji u slučaju cloud-a nisu više kod Vas – kod Vas je eventualno kopija Vaših podataka (koja ne mora nužno biti ažurna).

#4 – Strojno učenje polako postaje pas čuvar

Prema nekim procjenama, za nekih 7-8 godina standardni dio opreme koja će se brinuti u sigurnosti nekog sustava će uključivati strojno učenje. Iako je ono već danas dostupno, još nije razvijeno do te mjere da se tvrtke mogu pouzdati u rješavanje složenih i novih problema. Činjenica jest da se već danas ljudi i strojevi nadopunjuju, te da zajedničkim radom mogu učiniti više nego što to mogu samostalno svaki za sebe. Ono što strojno učenje pruža čovjeku je odabir i pregled bitnih informacija na temelju unaprijed definiranih i usvojenih obrazaca, no čovjek je taj koji na kraju donosi odluku.

Jedan od jednostavniji primjera koji pokazuje što strojno učenje može učiniti za Vas je u spam filteru, odnosno rješavanju neželjene pošte. Određeni program Vam može ponuditi da pošaljete uzorke na glavni server, ili da sami odabirete u sklopu programa koja e-mail poruka je spam, a koja nije. Određeni obrasci biti će usvojeni koji se mogu pokazati pouzdanima, ali možda će se dogoditi da jedna e-mail poruka koja nije trebala biti filtrirana završi u Vašoj spam mapi, na to ne obratite pozornost prilikom pražnjenja iste te Vaš (najčešće bitan) e-mail ode u vječna lovišta. Dakle, na čovjeku je da sam provjerava rad bilo kojeg automatiziranog sustava, koliko god on dobar bio, jer još treba proći vremena i razvoja prije nego oni dosegnu mogućnost razlučivanja bitnog od nebitnog na razini čovjeka.

#5 – Porijeklo robe/usluge postaje važnije od cijene

Prvo što nam padne na pamet je – javna nabava. Naravno, jasno je da po pravilima javne nabave prolazi najjeftiniji ili ekonomski najpovoljniji ponuđač. Ukoliko ste obveznik javne nabave po nacionalnom zakonodavstvu, nije Vam lako. Na primjer, fiksnog ili mobilnog operatera ne možete isključiti na temelju kvalitete veze, jer ćete istu teško definirati i izmjeriti prije dobivanja usluge. Isto vrijedi i kod podataka odnosno sigurnosti. Ako tražite različita sigurnosna rješenja, a uvjet Vam je provedeni postupak javne nabave, kvalitetna rješenja, koja s razlogom imaju višu cijenu, biti će Vam nedostupna, te ćete dobiti rješenje koje možda nije dovoljno dobro za Vaše potrebe (a naručili ste ga).

Bitan detalj kod donošenja takvih odluka, a kojeg Vam javna nabava dobrim dijelom blokira, jest povjerenje u odabranog ponuđača – na temelju referenci, prethodnog iskustva, prethodnih kontakata, partnerstva sa drugim povezanim poslovnim subjektima s kojima i Vi poslujete i sl. Pored toga, treba razmišljati i o porijeklu robe/usluge zbog geopolitičkih razloga – idealni bi bilo da sve potrebno možete nabaviti od domaćih ponuđača (u smislu rješenja, ne i posredne prodaje proizvoda ili usluge, čije porijeklo je vjerojatno na drugom kraju svijeta).

#6 – Centralizacija digitalne moći

Radi povećane kontrole različitih sigurnosnih mehanizama, velika većina provjere završava na mjestu nekolicine velikih igrača na tržištu. To se odnosi na certifikate, domene i e-mail poslužitelje. A to otvara nova pitanja o sigurnosti, jer centralizacija otvara prostor za monopolizam, te je rizik neželjenih učinaka sve veći (netko odluči “zatvoriti pipu” i trećina svijeta nema pristup usluzi ili uslugama). Naravno, svaka akcija ima i reakciju, pa se protiv toga na neki način bore decentralizirane alternative, poput blockhain-a, edge computing-a i dr. koji odvlače računalne resurse od centraliziranih servera. Krajnji cilj tih alternativa je u povećanoj dostupnosti, sigurnosti te privatnosti za korisnike. No, treba imati na umu da je ovo još u ranoj fazi razvoja i implementacije.

Za većinu klijenata to znači da jako dobro trebaju razmotriti što za njih znači imati većinu ili sve usluge kod istog pružatelja usluga (npr. web hosting, fiksna telefonija, mobilna telefonija, fax, certifikati, cloud usluge i sl.). Da li imate alternativu ukoliko osnovna usluga zbog nekog razloga postane nedostupna? Što ako Vam pružatelj usluge preko noći udvostruči cijenu svojih usluga, a prelazak na nekog drugog bi trajao tjednima? Da li ste spremni na povećanje troškova ili zastoje u radu?

[divider title=”Malo materijala za razmišljanje”]

Koristite računala u svojem poslovanju? Vrlo vjerojatno. Da li imate sustav sigurnosne pohrane podataka (barem na eksterni medij, ako već ne koristite cloud)? Netko Vam provali u poslovni prostor, otuđi računala (rijetko kada radi podataka na njima, nego radi njihove vrijednosti ili dijelova), a doslovno sve je bilo na njemu (ili njima) – e-mail poruke, jer koristite webmail rješenje, dokumenti, jer nemate sigurnosnu pohranu smještenu izvan poslovnog prostora, računovodstveni podaci, jer je to bilo najjeftinije dok se uzimalo softver i tako dalje.

E sad, idemo razmotriti suprotni smjer. Imate sigurnosnu pohranu u cloud-u, a zaboravili ste platiti mjesečni ili godišnji najam? Ili imate lošeg pružatelja usluge, kojemu sustav izbacuje u ključnim trenucima, baš kada Vama najviše trebaju Vaši podaci? Imate sve e-mail poruke na jednom mjestu, a netko slučajno ili “slučajno” obriše sve, a pružatelj usluge nema osiguran mehanizam povratka prethodnog stanja (barem zadnjih 24 sata)? Računovodstvena aplikacija Vam je online aplikacija, u koju netko jednostavno provali ili je nekako došao do prijavnih podataka, te Vam prekopira podatke ili postojeće podatke izmijeni?

Zanimljivo, zar ne? Vjerujete li nam da zlatna sredina ne postoji? Postoji samo tzv. “value-for-money“, odnosno, što za proračun koji želite uložiti u bilo kakvo rješenje (proizvod ili usluga) možete dobiti, a da je najbolje. Bilo kakav zahvat po pitanju sigurnosti fizičke ili digitalne imovine u pravilu podrazumijeva i promjenu obrazaca rada zaposlenika sa novim sustavima, jer svaka devijacija od očekivanog ponašanja može ostaviti širom otvorena vrata za neku zlonamjernu radnju. Banalan primjer Vam je antivirusna zaštita – možete imati vrlo skupi softver, koji će na vrijeme upozoriti korisnika da je u upravo dobivenoj e-mail poruci virus, ako on to ignorira, ili inzistira na otvaranju te e-mail poruke i/ili spornog privitka, sustav prevencije ruši se kao kula od karata.

Važno je znati što imate, na koji način radite, te koja je Vaša procjena – gdje je rizik od mogućih napada ili sigurnosnih rizika. Pored toga, stručnjaci Vam mogu pomoći da se otkriju potencijalne prijetnje na koje sami ne biste ni pomislili. Humora radi, evo jedan vic koji Vam zorno prikazuje na što sve morate misliti kada radite takve analize.

Na intenzivnom odjelu jedne bolnice, pacijenti su uvijek umirali u istom krevetu i to svake nedjelje u 11 sati bez obzira na njihovo stanje. Liječnici su postali vrlo zabrinuti, jer jednostavno nisu mogli ustanoviti što je uzrok umiranju pacijenata. Neki su liječnici čak pretpostavljali da se radi o nekakvoj natprirodnoj pojavi. Jedan dan odlučili su formirati radnu skupinu koja će valjda, konačno, uspjeti odgonetnuti što se događa. Jednu nedjelju su se okupili oko kreveta nekoliko minuta prije 11 sati, zajedno sa sestrama i specijalistima iz svih područja medicine. Neki od njih su uzeli drvena raspela, neki Bibliju, a neki bijeli luk kako bi se zaštitili od zla.

Kad je sat konačno otkucao 11, odjednom se u sobi pojavila čistačica koja radi nedjeljne smjene. Uđe u sobu, isključi sustav koji pacijenta održava na životu i uključi usisavač.

 

Facebook komentari

Možda bi Vas zanimalo

Što se događa sa Vašim digitalnim životom poslije smrti?
26. siječnja 2020.
Što se događa sa Vašim digitalnim životom poslije smrti?
Facebook i Vaša privatnost ne idu zajedno
26. prosinca 2018.
Facebook i Vaša privatnost ne idu zajedno
Volite “kolačiće”? Nemojte ih olako shvaćati i prihvaćati
19. travnja 2020.
Volite “kolačiće”? Nemojte ih olako shvaćati i prihvaćati
Wildcard SSL Certificates

© 2022. leramis d.o.o. | Sva prava pridržana | Pravila korištenja | Izjava o privatnosti

“Kolačići” na ovoj web stranici koriste se za postavke prikaza (jezik), kako bi web stranica bila bolje prilagođena potrebama korisnika. Pored toga, moguće je da se koriste sustavi za praćenje korištenja web stranice (poput Google Analytics ili sličnih), koji također koriste “kolačiće”, kako bi se korisnika moglo pratiti na razini stranice. View more
Cookies settings
Prihvaćam
Odbijam
Privacy & Cookie policy
Privacy & Cookies policy
Cookies list
Cookie name Active
“Kolačić” je mala datoteka koja traži Vaše dopuštenje da bude smještena na Vaš tvrdi disk na računalu. Jednom kada ga prihvatite, ta datoteka se smješta na Vaš tvrdi disk te pomaže analizirati web promet ili Vas obavještava o posjetima određenim web stranicama. “Kolačići” omogućuju web aplikacijama da odgovaraju na Vaše individualne potrebe. Web aplikacija može prilagoditi svoje djelovanje Vašim potrebama i željama tako da prikuplja i pamti podatke o Vašim interesima i navikama. Mi koristimo tzv. “tracking cookie” kako bismo identificirali stranice koje koristite i posjećujete. To nam pomaže analizirati podatke o Vašim navikama koje koristimo kako bismo poboljšali našu web stranicu i kako bi je prilagodili potrebama korisnika. Mi koristimo ove podatke za statističke analize, a zatim se ti podaci uklanjaju iz sustava. “Kolačići” nam pomažu pružiti bolju web stranicu, omogućuju nam pratiti koje stranice su Vam korisne, a koje ne. “Kolačići” nam ni na koji način ne daju pristup Vašem računalu ili bilo kakve informacije o Vama, osim podataka koje ste odabrali podijeliti s nama. Možete prihvatiti ili odbiti “kolačiće” prilikom prvog posjeta ovoj web stranici. Većina web preglednika automatski prihvaća “kolačiće”, ali uobičajeno je da možete podesiti web preglednik da odbije “kolačiće” koje želite odbiti. To Vas može spriječiti da u najvećoj mogućoj mjeri iskoristite mogućnosti i funkcionalnosti web stranica.
Save settings