Choose language:
Pratite nas:
back

Izazovi zaštite od cyber napada

17.04.2019

Cyber napadi postali su ozbiljna prijetnja, kako nacionalnoj sigurnosti tako i brojnim organizacijama koje svoje poslovanje baziraju na online servisima/kanalima. Iako organizacije ulažu sve veća sredstva u zaštitu od cyber napada, broj incidenata i dalje je u kontinuiranom porastu, a financijske, reputacijske i druge štete sve su značajnije.


Štete od cyber napada

Prema nekim procjenama godišnje štete od cbyer kriminala dosežu do vrtoglavih $600 milijardi USD, a vrlo vjerojatno te su brojke i znatno veće jer dobar dio incidenata nikada nije evidentiran ili otkriven (izvor: https://www.cnbc.com/2018/02/22/cybercrime-pandemic-may-have-cost-the-world-600-billion-last-year.html).

Osim negativne percepcije javnosti i potencijalno štetnog utjecaja na poslovanje, odnosno nacionalnu sigurnost, dodatnu prijetnju predstavlja i sve veći broj zakonodavnih i regulatornih okvira koji od organizacija zahtijevaju odgovornije upravljanje informacijskom sigurnošću te poduzimanje odgovarajućih (razumnih) mjera kako bi se umanjili rizici od potencijalnih cyber napada.

Primjeri takvih okvira su dobro poznati PCI DSS standard za kartičnu industriju, od 5. mjeseca 2018. tu je i GDPR Uredba vezano uz zaštitu osobnih podataka, a sve veću pažnju privlači i NIS Direktiva u dijelu zaštite kritične infrastrukture. Vrlo vjerojatno u budućnosti se mogu očekivati i drugi slični okviri koji imaju zajednički krajnji cilj, a to je povećanje otpornosti i umanjivanje rizika od tzv. cyber napada.

U okviru navedenih zakonodavnih ili regulatornih okvira, bilo kakav nemar ili neadekvatno upravljanje informacijskom sigurnošću smatrati će se ozbiljnom povredom, koja će za sobom donositi i ozbiljne kazne. Iako su zrelije organizacije osjetno podigle razinu svijesti u pogledu izloženosti njihovog poslovanja cyber napadima, a samim time i razinu sposobnosti za borbu protiv cyber napada, još uvijek postoji velik prostor za napredak.

Ključni izazovi

Neki od ključnih izazova koji otežavaju ovaj proces navedeni su u nastavku.

Strategija zaštite od cyber napada

Slično kao i u drugim poslovnim segmentima, kvalitetna zaštita od cyber napada zahtjeva odgovarajuće (strateško) planiranje. Uspješni sustavi zaštite ne dešavaju se slučajno i u pravilu su rezultat planskog i strateškog promišljanja gdje se mjere zaštite stavljaju u kontekst poslovnih ciljeva kompanije i pripadajućih rizika. U vrijeme kada se na tržištu nudi ogroman broj različitih sigurnosnih rješenja, kada se vektori i tehnike napada mijenjaju iz dana u dan, iznimno je važno da organizacija ispravno definira svoje stavove i prioritete u smislu izgradnje sustava zaštite od cyber napada.

Organizacija informacijske sigurnosti

Zaštita od cyber napada često se smatra tehničkim problemom te se pokušava riješiti isključivo tehničkim mjerama i alatima. Nažalost, to nije u potpunosti točno i često je jedna od ključnih pogrešaka zašto uložena sredstva ne daju očekivani rezultat. U okruženju u kojem nije uspostavljen adekvatan upravljački okvir, gdje nisu kvalitetno uspostavljeni procesi s pripadajućim ulogama i odgovornostima, gotovo je nemoguće ostvariti željeni rezultat. Upravo je ovakav pristup uzrok tome da se prosječno vrijeme detekcije sigurnosnog incidenta kreće u mjesecima, umjesto danima, da napadači iskorištavaju kritične ranjivosti za koje su zakrpe dostupne već mjesecima i sl.

Dizajn ispred implementacije

Implementacija sigurnosnih rješenja često započinje i završava samom instalacijom i konfiguracijom rješenja, bez da je prethodno barem djelomično provedeno planiranje i dizajn samog rješenja. U želji da se što prije ugleda konzola alata s lijepim grafovima, izvještajima i ikonama, preskače se ono što je puno važnije a to je što zapravo s alatom želimo postići s alatom i na koji način. 

Kao što programeri ne kreću u izradu softvera bez barem okvirne specifikacije, kao što uređivači interijera ne kreću u uređenje prostora bez odgovarajućeg projekta, tako bi se i implementacija sigurnosnih rješenja trebala zasnivati na prethodnoj pripremi i dizajnu koji bi netko od odgovornih osoba trebao evaluirati i odobriti. 
 
Nedostatak specijaliziranih znanja i vještina za kvalitetnu implementaciju i nadzor brojnih sigurnosnih rješenja
 
Iako organizacije investiraju značajna sredstva u nabavu raznih sigurnosnih alata i sigurnosnih rješenja, ozbiljan je nedostatak specijaliziranih stručnjaka koji su sposobni takve alate kvalitetno implementirati, operativno nadzirati te kontinuirano unaprjeđivati. Često se problem svaljuje na tehnologiju u smislu da je ona neadekvatna, neprimjerena i sl., a zapravo je problem u ljudskom faktoru koji tu tehnologiju koristi.
 
Kontinuirana edukacija i usavršavanje
 
Cyber sigurnost iznimno je dinamično i široko područje te je bez kontinuiranog praćenja trendova, edukacije i usavršavanja, gotovo nemoguće držati korak s aktualnim prijetnjama. Pritom se ne misli isključivo na formalne oblike edukacija kao što su seminari, konferencije i sl., već i na tzv. „samoedukaciju“. Od sigurnosnih stručnjaka očekuje se da se i samostalno angažiraju u stjecanju novih znanja i vještina, jer je to jedini način da drže korak sa svim novitetima i aktualnostima.
 

Preporuke za podizanje  sposobnosti zaštite od cyber napada

Nastavno na prethodne točke, ovo su neki od savjeta za koje smatramo da Vam mogu pomoći u smislu podizanja Vaše zrelosti i sposobnosti zaštite od cyber napada.

  • Posvetite vrijeme izradi (osnovne) strategije zaštite od cyber napada,
  • Provedite procjenu trenutne sposobnosti zaštite od cyber napada i identificirajte prilike za poboljšanje,
  • Iskoristite maksimalno sigurnosna rješenja koja već koristite prije nabave novih. Iskustva pokazuju da je velik broj napada mogao biti spriječen postojećim sigurnosnim alatima, samo da su ispravno podešena i adekvatno nadzirana,
  • Ukoliko već niste, uspostavite temeljne procese vezane uz upravljanje informacijskom sigurnošću. Ukoliko jeste, kontinuirano ih nadzirite i unaprjeđujte. Bez kvalitetne organizacije i adekvatno uspostavljenih uloga i odgovornosti, učinkovitost tehnoloških mjera značajno je umanjena.
  • Testirajte sigurnost svojih sustava, posebice aplikacija. Kvalitetno provedeni penetracijski test pomoći će vam u ranom otkrivanju i uklanjanju sigurnosnih ranjivosti prije nego što ih otkrije netko drugi,
  • Vježbajte reakciju i odgovor na incidente. Pravovremena i ispravna reakcija može značajno umanjiti štete uslijed incidenta, a bez adekvatne vježbe i pripreme mala je šansa da ćete u tome uspjeti,
  • Provodite kontinuirane edukacije svojih djelatnika. Nikada ne podcjenjujte važnost edukacije i podizanja svijesti o informacijskoj sigurnosti,
  • Prilikom implementacije sigurnosnih rješenja fokusirajte se prvo na dizajn, a tek onda na implementaciju. Kvalitetna priprema i dizajn rješenja, olakšati će samu implementaciju, a dati će vrlo vjerojatno bolji rezultat u konačnici.

Ukoliko Vas zanima više informacija o NIS Direktivi, Zakonu o kibernetičkoj sigurnosti te drugim temama koje su vezane uz zaštitu od cyber napada, posjetite nas 9. svibnja u Westin Hotelu Zagreb na jednodnevnoj konferenciji posvećenoj kibernetičkoj sigurnosti.

Prijaviti se možete slanjem email poruke na adresu nis2019@infigo.hr.


Autor: Saša Jušić, INFIGO IS