Kako podići razinu sigurnosti u tvrtkama, kako uspješno kontrolirati računalne sustave, protok, ali i možebitno curenje informacija, kako upravljati procesima razgovarali smo s Nebojšom Mitrićem, voditeljem odjela infrastrukturnih rješenja u tvrtki Inter-Net.
„Previše podataka (kontrola) - premalo sigurnosti“ - u firmama se zna ulagati u kontrole kojima se brani sve i svašta, znaju se prikupljati logovi (gomile logova) i sve to vodi jednom lažnom osjećaju da je sustav siguran. Zbog toga što se ovako nešto ne prati s ljudima i zbog toga što nitko podatke (logove, događaje, incidente) nitko ne nadgleda, a kamoli obrađuje. I onda se desi paradoksalna situacija da na nekoj enterprise razini imamo puno toga što štiti sustav, ali napadi i proboji u sustav ostaju nezamijećeni. Kako osigurati sigurnost?
Implementacija naprednih sigurnosnih kontrola i njihovo pravilno korištenje zahtjeva niz radnji i uspostavljenih procedura kako bi upravljanje sigurnošću bilo uspješno i učinkovito.
Ulaganje u sigurnosne kontrole mora biti kontrolirano i popraćeno s odgovarajućim rastom znanja djelatnika i njihovim odgovarajućim zaduženjima u odnosu na implementiranu tehnologiju.
Ovdje su moguća dva pristupa. Prva način je da se obrazuju djelatnici unutar firme, i da se prilikom implementacije naprednih sigurnosnih kontrola radi kvalitetna edukacija djelatnika. Pri tome nije dovoljno obrazovati djelatnike, nego je potrebno osigurati vrijeme koje djelatnik mora provoditi u radu s takvim sustavima. Za složenije produkte i kompleksnija okruženja, nadgledanje sustava i analiza sigurnosnih događaja je cjelodnevni posao za jednog ili više djelatnika. Prednost ovakvog načina rada je što osjetljivi podaci ostaju unutar tvrtke, a nedostatak je što je potrebno jednog ili više djelatnika konstantno educirati i posve usmjeriti u ovakve poslove.
Drugi pristup je da se dio sigurnosti eksternalizira (outsourca) pa brigu o nadgledanju sustava i analizi događaja preuzima vanjska tvrtka. Prednost je što je vanjska tvrtka obrazuje svoje djelatnike i brine se o sigurnosti. Mana je naravno pitanje koliko se vanjskoj tvrtki može vjerovati, koliko će se uistinu posvetiti klijentu, i koliko joj je važan svaki klijent.
Ugrubo bi se proces upravljanja sigurnosnim kontrolama i tehnologijama mogao podijeliti u nekoliko faza: implementacija, edukacija, praćenja događaja, rješavanja incidenata ili prijetnji, i na kraju, izvještavanja. Prve dvije faze su najčešće jednokratne (ne računajući nadogradnje, promjene u konfiguraciji i slično), dok su zadnje tri faze kontinuirane i potrebno ih je stalno provoditi.
U praksi se pokazalo da dio tvrtki provodi prve tri faze. Kontrole se kupe i implementiraju, podese se izvještaji i alerti, ali se dalje ništa ne poduzima. Pri tome je nevažno je li usluga eksternalizirana ili ne, izvještaji će stizati IT odjelu (ili kome već treba), i bit će zanemareni ili djelomično obrađeni. Uprava će smatrati da je razina sigurnosti zadovoljavajuća jer se uložilo novaca u hardver i/ili softver, a incidenti će proći nezamijećeno ili se ranjivosti u IT sustavu neće otklanjati.
Ukoliko djelatnici koji primaju izvještaje nemaju dovoljnu razinu znanja, oni neće razumjeti što izvještaji govore i kako adekvatno reagirati. U nekim slučajevima, moguće je da se dogodi neki proboj u informacijski sustav, da izvještaji na to ukazuju, ali nitko to iz izvještaja ne može iščitati.
Zbog toga, da bi se „osigurala sigurnost“ potrebno je osigurati da se sigurnosne kontrole ispravno podese da šalju izvještaje s važnim podacima, da postoje ljudi koji te izvještaje mogu shvatiti i odlučiti što dalje napraviti, da se odgovarajući incidenti ili prijetnje po informacijski sustav prosljeđuju odgovarajućim osobama zaduženima za rješavanje, te da se podnose izvještaji osobama zaduženima za informacijsku sigurnost koji mogu pratiti stanje sigurnosti i tempo rješavanja incidenata. Preporuka je ovaj proces dokumentirati i opisati kako bi svi u procesu točno znali što trebaju raditi i koji su koraci procesa.
Što je s tehnologijom kada govorimo o GDPR-u?
GDPR uredba, kada je prvi put objavljenja, donijela je veliki broj nepoznanica i pitanja kako nešto napraviti i kako ispuniti očekivanja uredbe. Situacija i danas, nakon par godina, nije puno bolja jer još uvijek ima dosta pitanja kako uredbu ispravno implementirati i gdje tu tehnologija može pomoći.
Sam GDPR se sastoji od tri dijela. Prvi je pravni dio, drugi je proceduralni dio, a treći je tehnološki dio.
Prilikom odabira tehnologija treba biti vrlo oprezan, jer na tržištu postoje tvrtke koje tvrde da ako se kupi njihov hardver ili softver koji košta x tisuća eura, sustav će biti usklađen sa GDPR-om. Ne postoji takav uređaj, i to je najčešće način kako uzeti novce od tvrtki zabrinutih za moguće kazne koje donosi GDPR, a koje nisu male.
Tehnologija se može, i mora koristiti prilikom usklađivanja s GDPR-om, ali ne postoje magična rješenja koje je moguće kupiti, staviti u IT sustav, zaboraviti i biti siguran da se ništa više loše ne može dogoditi.
Tehnologija može pomoći u zaštiti osobnih podataka i usklađivanju s GDPR-om u dva područja: upravljanje korisničkim pravima i privolama i zaštitom osobnih podataka.
GDOR donosi korisnicima neka prava koja prije nisu imali. Pravo na zaborav, pravo na uvid u osobne podatke, pravo na promjenu osobnih podataka i slično. Također, korisnike se traže privole za obradu osobnih podataka. U tvrtkama je potrebno napraviti sustav praćenja takvih prava. Da se izbjegne slučaj gdje korisnik kaže da želi da ga se zaboravi, a kasnije nastavi dobivati promotivne materijale ili ga tvrtka i dalje kontaktira.
U jednostavnijim okruženjima, ili onim kompleksnim, ali koji nemaju puno osobnih podataka, takav jedan sustav može se voditi i kroz jednostavnije tablice poput Excela ili sličnih aplikacija. U okruženjima s puno osobnih podataka koja su više izložena, potrebno je implementirati složeniji sustav za upravljanjem korisničkim pravima i privolama. Za što je korisnik dao privolu, kada, je li privola povučena i slično. Ako je korisnik traži da ga se obriše treba voditi evidenciju je li obrisan, iz kojih sustava i osigurati da njegovi podaci u budućnosti više neće biti korišteni. Na tržištu postoje sustavi (a i mogu se i interno razviti u tvrtkama koje imaju vlastite programere) koji se mogu vezati na ostale sustave (CRM; ERP, baze podataka, dijeljeni folderi i slično) pa se, primjerice, prilikom stvaranje nove marketinške akcije prvo automatizmom provjerava je li korisnik tražio da ga se više ne kontaktira, i ako je, automatski se briše iz marketinške akcije. Ili, ukoliko korisnik traži da ga se obriše iz svega, kroz takav sustav se može automatizmom poslati obavijest svim vlasnicima zbirki osobnih podataka da se korisnika mora obrisati. Nakon što je korisnik obrisan, vlasnici zbirki osobnih podataka takvu informaciju vraćaju u sustav za upravljanje korisničkim pravima i privolama. Ovakve aplikacije mogu se kretati od primjerice 200 eura mjesečno, preko 500 za ozbiljnije sustave, do 1000 eura i više za najkompleksnije sustave s jako velikim brojem osobnih podataka, privola i slično. Ovakve sustave najčešće koristi DPO (data protection officer) i osobe zadužene za upravljanje osobnim podacima pravima i privolama.
Što se zaštite osobnih podataka tiče, tehnološke kontrole mogu se implementirati kako bi se osobni podaci za odgovarajući način zaštitili. Najčešće pitanje koje se tu postavlja je što kupiti? Koliko novaca potrošiti da se može reći da su osobni podaci sigurni. Odgovor je: procjena rizika. Odabir tehnologije i iznos sredstava koje je potrebno uložiti najbolje će pokazati procjena rizika, a procjena rizika pokazala se kao najbolja metoda prilikom određivanja optimalnog omjera uloženih sredstava i dobivene zaštite. Pri tome se mogu koristiti smjernice ISO 27001 standarda za zaštitu informacijske imovine, pri čemu se fokus stavlja na osobne podatke kao podvrstu informacijske imovine i parametar povjerljivosti podataka (dok integritet i dostupnost padaju u drugi plan). Dapače, moja preporuka je da se zaštita osobnih podataka proširi na svu informacijsku imovinu i da se ISO 27001 standard u potpunosti implementira. Jer u današnje vrijeme informacije tvrtke zbilja jesu njen najvažniji resurs.
Bez obzira u kojem smjeru tvrtka krenula, samo zaštita osobnih podataka ili ISO 27001, procjena rizika će pokazati koliko su osobni podaci ugroženi (uzimajući u obzir implementirane kontrole), te će se odabrati rizici koji su kritični i oni se mogu na odgovarajući način riješiti. Tehnološke kontrole mogu već i postojati u informacijskom sustavu, samo ih se mora aktivirati podesiti. Tvrtke koje imaju prijenosna računala i Windows operativni sustav (a takva su u većini), mogu laptope zaštiti besplatnim Bitlockerom (ukoliko imaju odgovarajuću verziju Windowsa). Tvrtke koje imaju baze podataka s osobnim podacima i koriste Microsoft SQL server 2016, u samom softveru imaju mogućnosti šifrirati tablice s osjetljivim podacima. Folder koji sadrže tablice s osobnim podacima mogu biti zaštićene s ugrađenim EFS (Encrypting File System).
Procjena rizika će odrediti je li postojeća tehnologija dovoljna ili ne. Primjerice, ukoliko se osobni podaci prenose mrežom između udaljenih lokacija, koje se nalaze u privatnoj mreži, procjena rizika može pokazati da ništa dodatno nije potrebno raditi. Ukoliko se isti promet prenosi Internetom, moguće je da će se promet morati zaštititi IPSec protokolom koji će navedeni promet šifrirati. Ili će se morati uvesti u HTTPS.
Kako ispuniti pravo korisnika da bude zaboravljen iz backupa koji je digitalno potpisan?
Korisnici su, kroz GDPR, dobili jedno novo pravo, a to je pravo da budu zaboravljeni. Tj., kako se često tumači, da budu obrisani iz čitavog informacijskog sustava.
Prije samog brisanja, potrebno je prvo utvrditi smije li korisnik uopće biti obrisan. Ukoliko je korisnik u informacijskom sustavu zbog zakonskih obaveza ili ugovornih obaveza, onda pravo na zaborav ne vrijedi. Da karikiram, korisnik ne može podići kredit u banci i nakon pola godine reći „zaboravite me“.
Najčešće se korisnik smije obrisati ako je povukao privolu, ili ako su prošli zakonski ili ugovorni rokovi koji obavezuju na čuvanje podataka.
Kada pričamo o backupu, čak je i manje bitno da li je backup digitalno potpisan ili ne. Pri tome treba napomenuti da neke tvrtke prakticiraju izradu godišnjih backupa koji se potpisuje digitalnim certifikatom, a po potrebi se takav hash ovjerava i kod javnog bilježnika.
Danas je tehnološki vrlo teško ili čak i nemoguće u potpunosti obrisati korisnika iz backup sustava. Različite kopije, na različitim lokacijama, pa čak i na različitim medijima (diskovi, trake i slično) praktički onemogućuju brisanje korisnika. Korisnički podaci ne nalaze se samo u jednom sustavu koji je backupiran, nego se najčešće nalaze u povezanim sustavima.
Prema tome, kada korisnik zatraži brisanje svojih podataka, korisnika je potrebno obrisati iz svih produkcijskih, „živih“ podataka, a iz backupa će korisnik biti obrisan u roku koji je propisan u politici čuvanja backup kopija. I o tome je potrebno korisnika obavijestiti i navesti koji su rokovi za uklanjanje svih podataka iz backupa.
Također, pristup backupu treba biti osiguran i sužen na vrlo mali broj ljudi, sam backup šifriran, a ako se desi slučaj da se podaci iz backupa vraćaju u produkciju, korisno je proći kroz aplikaciju za upravljanje korisničkim pravima i privolama te utvrditi je li neke korisnike potrebno ponovo brisati iz produkcije.
Kako znati da se korisnika ne smije kontaktirati ako ga moramo obrisati iz svega?
Na ovo pitanje je moguće dati sličan odgovor kao i na prethodno. GDPR pravo na brisanje osobnih podataka ne znači doslovno brisanje iz apsolutno svih podataka, nego brisanje osobnih podatka u razumnoj mjeri. Razum nalaže da ne možemo korisnika u potpunosti obrisati, jer će se u budućnosti sigurno dogoditi da takvog korisnika ponovo kontaktiramo.
Korisnika se treba obrisati iz svih produkcijskih podataka, iz backupa koliko je to moguće, ali korisnik mora ostati zapisan u aplikaciji (ili tablici) za upravljanje korisničkim pravima i privolama.
Tu aplikaciju koristi DPO (ili više DPO -a ako je organizacija kompleksna), i takvi podaci se ne koriste u produkciji za kontaktiranje, slanje obavijesti, marketinške obrade i slično. Takvi podaci se koriste samo kako bi se upravljalo pravima i privolama, i u izvještaju korisniku potrebno je naglasiti da su obrisani osobni podaci iz sustava (navesti sustave), a da će kontakti podaci ostati u sustavu koji prati prava i privole kako se korisnike ne bi kasnije kontaktirao.
Kako dokazati da podaci nisu iscurili iz tvrtke nego negdje drugdje?
Često pitanje koje dobivam prilikom implementacije GDPR-a je kako dokazati da podaci nisu iscurili iz tvrtke nego negdje drugdje. Ovo je naročito važno pitanje ukoliko više tvrtki razmjenjuju podatke, pa je potrebno dokazati da su podaci iscurili kod nekog drugog.
Glavni alat za rješavanje ovog problema je log management, tj. upravljanje logovima (prikupljanje i čuvanje logova, tj. zapisa o događajima u sustavu).
Manje tvrtke mogu koristiti ugrađene alate za log management, pa iskoristiti alate u operativnim sustavima, bazama podataka, dijeljenim folderima, mrežnim uređajima i slično kako bi se zapisivalo tko je pristupio podacima, sa kakvim upitima, i koje je podatke dobio temeljem. Ovo osnovno zapisivanje događaja ne najčešće besplatno i potrebno ga je samo na ispravan način konfigurirati. Na taj način se može vršiti daljnja analiza i forenzika, te utvrditi je li došlo do narušavanja sigurnosti osobnih podataka. Kod manjih tvrtki se javlja problem gdje takve logove smjestiti, jer i u manjim okruženjima stvara se velika količina podataka koju je potrebno negdje čuvati. Dodatno, manje okoline imaju i manji broj IT djelatnika, pa nije moguće razdvojiti dužnosti. Zbog toga se može javiti problem je li administrator koji je zadužen za logove jednostavno obrisao one logove gdje se vidi da je neovlašteno pristupao osobnim podacima. Jedino što je moguće napraviti u takvim slučajevima je kroz ugovore i odredbe o radu proceduralno obavezati djelatnike na ispravan rad sa logovima.
U većim okruženjima mogu se koristiti specijalizirani alati za nadgledanje sustava i bilježenje događaja, pa se mogu koristiti alati koji na inteligentniji način prate događaje i onemogućuju njihovu neovlaštenu manipulaciju. Primjerice, na virtualni server se instalira softver za nadgledanje baza podataka. Virtualni server se šifrira i ključeve ima netko izvan IT-a. Djelatnik zadužen za softver za nadgledanje ima pravo konfigurirati samo softver, ali nema administratorska prava na virtualnom serveru. Administrator virtualnog servera nema prava na aplikaciji za nadgledanje. Na taj način znatno je otežano neovlašteno manipuliranje takvim softverom. I naravno, potrebno je osigurati adekvatni smještaj za sve logove. Primjerice, u okruženju preko 1000 korisnika i 5 većih baza podataka, logovi koji se spremaju na dnevnoj bazi mogu iznositi od 50 GB na više. Za godinu dana čuvanja logova potrebno je osigurati preko 18 TB podataka. Dodatni problem je što se tu često ne može koristiti spori diskovni prostor jer ako se sporo logiranje, i baze podataka će se usporiti dok čekaju da se logovi zapišu.
Za srednje i veće tvrtke, koje zbilja žele znati što im se događa u sustavu, reagirati preventivno, a ne samo korektivno i imati kvalitetan sustav dokazivanja „nevinosti“ u gubitku osobnih podataka, preporuča se SIEM sustav (Security information and event management)
Možete li malo opisati projekt Centar za vozila - 2 glavne lokacije, 170 dodatnih lokacija diljem Hrvatske. Gotovo svaka pojedinačna komponenta je redundantna, s time da su i veze sa stanicama za tehnički pregled redundantne. Sustav koji radi neprekidno od 2005 godine, uz praktički nepostojeće zastoje u radu. S time da komunicira sa MUP-om, ministarstvom financija, stranim službama...
Centar za vozila Hrvatske je tvrtka koja je nastala još davne 1971. godine, i zadužena je za organiziranje i provođenje tehničkih pregleda u RH. Ima više od 1500 zaposlenika i prisutna je u više od 170 lokacija diljem Hrvatske.
Uz same tehničke preglede pruža i razne druge usluge kao što su rezultati tehničkog pregleda, atesti, jomologija i slično.
U 2005. godini napravljen je novi informacijsku sustav koji je zajednički za sve stanice za tehnički pregled.
Uz sam rad na stanicama za tehnički pregled, informacijski sustav komunicira s raznim drugim vanjskim agencijama i tvrtkama poput MUP-a, Ministarstva financija, Županija, Hrvatskim autoklubom, Državnim zavodom za mjeriteljstvo, Schengenskim informacijskim sustavom i slično.
Važno je napomenuti da se tehnički pregled ne može napraviti bez komunikacije za vanjskim tvrtkama.
Budući da svi tehnički pregledi u Hrvatskoj ovise o ispravnom radu informacijskog sustava Centra za vozila, razvijeni sustav mora biti pouzdan i i mora raditi bez prekida.
Od 2005. godine do danas nije bilo ozbiljnijeg ispada informatičkog sustava.
Danas, takav sustav broji više od 100 servera (većinom virtuliziranih) od kojih su svi bitni serveri redundantni. Mrežna oprema se sastoji većinom od Cisco opreme koja je također u potpunosti redundantna, a klime, napajanja, agregati i ostali pomoćni servisi su dizajnirani na način da rade na otprilike 50 posto kapaciteta.
Uz primarnu datacenter lokaciju postoji i sekundarna koja je u potpunosti spremna preuzeti sve ključne poslovne procese te osigurati nesmetani radi stanicama za tehnički pregled. Mrežni linkovi između datacentara i prema Internetu su višestruki i od različitih providera, s time da se pazilo da kablovi ne idu po istim trasama, nego da pristupaju zgradi iz različitog smjera. Lokacije su povezane optičkim kablovima propusnosti 1 Gbps, a BGP protokol omogućuje automatsko prebacivanje svih javnih IP adresa između primarne i sekundarne lokacije.
Same stanice za tehničke preglede imaju dvije veze prema centralnoj lokaciji. Jedan stalni Internet link i mobilni backup link koji preuzima promet u slučaju pada stalnog Internet linka.
U zadnjih nekoliko godina napravljena je veća nadogradnja serverske infrastrukture, gdje su kao osnova serverskog sustava odabrani Cisco UCS blade serveri. Pri tome ne govorimo o verziji Cisco UCS mini, nego o punoj verziji sustava koja je u potpunosti redundantna.
Za diskovne sustave koriste se storage sustavi, pri čemu se koriste i SSD diskovi za ubrzanje rada baza podataka.
Sama komunikacija između servera, storage uređaja i ostatka sustava radi se preko 40 Gbps veza.
Prilikom dizajniranja virtualnih servera, diskovnog prostora i ostalih resursa, kao i kod pomoćne infrastrukture pazi se da slobodno ostaje 50% resursa koji preuzimaju poslove u slučaju prestanka rada dijela infrastrukture.
Budući da Centar za vozila Hrvatske godišnje radi oko 2 milijuna pregleda vozila, a prilikom svakog pregleda prikuplja se barem 100 podataka, baza podataka je iznimno velika i sadrži veliku količinu osobnih podataka.
Sigurnost je jedan od prioriteta Centra za vozila Hrvatske, i iz tog razloga sustav je certificiran prema ISO 27001 standardu. A i ulaže se u brojne sigurnosne tehnologije.
Zbog velike količine osobnih podataka Centar za vozila Hrvatske se aktivno usklađuje s GDPR uredbom i cilj je uskladiti se u potpunosti, ali i više nego što to sama uredba traži.
Trenutno je u fokusu nadogradnja sustava za nadgledanje i upravljanje eventima s punokrvnim SIEM rješenjem, čime će se uvesti praćenje sigurnosti i reagiranje na incidenta usporedivo s najnaprednijim tvrtkama u EU.
Kako izbjeći problem s nedostatkom stručnjaka za sigurnost - stručnjake je teško naći i zaposliti?
Nažalost, ovaj problem je danas nemoguće jednostavno riješiti i na tržištu vlada veliki nedostatak stručnjaka na području IT tehnologija, pa tako i na području informacijske sigurnosti. Problem nije prisutan samo u Hrvatskoj, nego se i ostale zemlje suočavaju s istim problemima. U tvrtkama postoje stalno otvoreni natječaji za djelatnike na području informacijske sigurnosti, a na regionalnoj konferenciji u Beogradu održanoj 16. i 17. travnja, brojne tvrtke iz regije su navele da imaju slične probleme.
Neke to rješavaju na način da se iz IT odjela prepoznaju ljudi koji su skloni radu u sigurnosti, pa ih se prebacuje u odjel upravljanja sigurnošću, dodatno obrazuje i usmjerava. Naravno, za ovako nešto potrebno je imati veliki pool ljudi u IT odjelu iz kojeg se može birati, a i to se pokazuje kao problem jer se stvaraju tenzije između odjela zbog „krađe ljudi“.
Budući da sam u upravnom odboru (ISC)2 organizacije (hrvatski ogranak), pokušat ćemo organizirati predavanje za studente FER-a i srodnih fakulteta kako bi studente zainteresirali za područje informacijske sigurnosti i naveli ih da više biraju ovaj smjer, koji svakako ima svjetlu budućnost i za koji će potražnja sve više i više rasti.
Postojeći kadar zaposlen je po firmama i imaju visoke plaće i benefite, pa je sve teže firmama ponuditi primamljiv paket za „prelazak“. Naročito kada naše tvrtke moraju konkurirati ponudama ostalih zemalja iz EU, koje prate i pokušavaju zaposliti ljude koji se sigurnošću.
Ljudi s fakulteta će doći u tvrtku koja će ih obrazovati o sigurnosti, ali danas mladi ljudi imaju kulturu promjene posla, pa će svakih par godina mijenjati tvrtku što dodatno predstavlja problem. O ovom slučaju na svakoj tvrtki je da pokuša takve djelatnike što dulje zadržati, pri čemu plaća neće ponekad biti najvažniji faktor. Ostali benefiti, zanimljivost posla, projekti, mogućnost učenja... sve to odlučuje hoće li neki zaposlenik ostati u nekoj tvrtki ili ne.
Dakle za sad neko konkretno rješenje ne postoji, nego je problemu potrebno pristupiti na više načina i dugoročno osigurati veći broj stručnjaka za sigurnost.
Amazon Web Services (AWS) godinama je uvjerljivo dominirao na cloud tržištu, ali s vremenom se uvelike kao konkurent nametnuo Microsoftov Azure. Ali, u posljednjem kvartalu prošle godine, AWS je i dalje vodeći s 31 posto udjela, a Azure ima 23 posto.
Taiwan Semiconductor Manufacturing (TSMC) dobiva do 6,6 milijardi dolara od američke vlade za tvornički kompleks u izgradnji u Phoenixu i proširit će opseg i sofisticiranost operacije, dio napora za ponovnim rastom domaće industrije poluvodiča.
Alibaba Baba Group snižava cijene temeljnih cloud proizvoda za međunarodne kupce, nastojeći iskoristiti entuzijazam za računalstvo s umjetnom inteligencijom i steći prednost na tržištima kojima dominiraju Amazon, Google i Microsoft.
