Sigurnost nije samo tehnologija, nedostaju stručnjaci

Povodom pokretanja obnovljenog studija informacijske sigurnosti razgovarali smo sa stručnjakinjom na ovom području Biljanom Cerin iz Ostendo Consultinga koja ističe kako je potrebno novo ulaganje u kibernetičku sigurnost, a jedna od načina upravo je obrazovanje stručnjaka na ovom području kojih danas mnogo nedostaje.

Sama tehnologija nije dovoljna, potrebni su stručnjaci, upravljanje sigurnosnim politikama

Prema njezinim riječima sigurnosne politike su tu da definiraju pravila, postave sigurnosne zahtjeve i ciljeve, a tehnološka rješenja da pomognu u ispunjenju tih ciljeva, isto kao što to rade i dobro dizajnirani i implementirani procesi te jasno definirane odgovornosti.

Sigurnost korištenja tehnologije, podataka i svega što je vezano u tvrtke, ali i sada upravo dospjelo pod svjetla reflektora zbog krize. Kakva je danas situacija kada govorimo o informacijskoj sigurnosti?

Digitalna transformacija je pojam koji je sad znatno dobio na važnosti, a pandemija je ubrzala procese digitalizacije poslovanja više nego bilo koja druga situacija u povijesti korištenja informacijskih tehnologija. Razvijene su mnoge nove aplikacije i tehnološka rješenja kako bi se tvrtkama omogućilo poslovanje u ovim izmijenjenim uvjetima s ciljem održivosti poslovanja i prilagodbe novom načinu rada, što je u svakom slučaju pozitivno.

Međutim, uslijed brzine kojom se moralo pristupiti tim promjenama, postavlja se pitanje koliko se zaista s potrebnom pažnjom vodilo brige o informacijskoj sigurnosti, i jesu li inače uobičajene sigurnosne mjere možda stavljene u drugi plan kako bismo što prije pokušali povratiti učinkovitost poslovnih procesa. Takve prakse ostavljaju naše sustave ranjivima na kibernetičke napade i ostale vrste zloupotrebe važnih poslovnih informacija i osobnih podataka koje se nalaze u njima. Mislim da je stoga situacija nepovoljnija, i da nas očekuje novi val ulaganja u kibernetičku sigurnost kako bismo osigurali da su sve te brze promjene izvedene u skladu sa sigurnosnim zahtjevima, zakonskim obvezama i prihvatljivim razinama rizika za pojedinu organizaciju.

Koji su ključni problemi u javnom i privatnom sektoru?

Nedostatak stručnjaka obrazovanih za ovo područje. Samo tehnološka rješenja nisu od velike koristi ako nemamo potrebne stručnjake i njihovo iskustvo neophodno za ispravnu primjenu tih rješenja. Općenito smatram da su edukacija i kontinuirani stručni razvoj profesionalaca koji se bave ovim područjem od najveće važnosti i područje u koje svaka odgovorna tvrtka treba najviše ulagati. Problemi su i u tome što se informacijskoj sigurnosti i dalje u nekim sektorima pristupa s “jel’ baš moramo“ stavom, odnosno samo ako to nalaže neki zakon ili pravilnik, a ne kako bismo primjereno uočili sigurnosne rizike i poduzeli odgovarajuće aktivnosti kako ne bi došlo do njihovog ostvarenja.

Kako odvojiti sigurnosne politike od sigurnosnih tehnoloških rješenja?

Nema potrebe za odvajanjem, dobar sustav upravljanja informacijskom sigurnošću čini učinkovit i povezan, sveobuhvatan okvir i organizacijskih i tehničkih sigurnosnih mjera. Sigurnosne politike su tu da definiraju pravila, postave sigurnosne zahtjeve i ciljeve, a tehnološka rješenja da pomognu u ispunjenju tih ciljeva, isto kao što to rade i dobro dizajnirani i implementirani procesi te jasno definirane odgovornosti.

Očito je da za provođenje informacijske sigurnosti nedostaje obrazovanih stručnjaka. Kako nadoknaditi taj nedostatka kako u Hrvatskoj, ali i EU i svijetu? Može li se netko i na koji način brzo i efikasno školovati za stručnjaka za informacijski sigurnost?

Domena informacijske sigurnosti je dinamična i vrlo zahtjevna jer pokriva jako širok spektar znanja i užih specijalizacija. Kontinuirano ulaganje u obrazovanje i stjecanje praktičnih iskustava stručnjaka za informacijsku sigurnost za svaku modernu tvrtku predstavlja ulaganje u ukupnu sigurnost poslovanja i odgovoran odnos prema svim svojim suradnicima, zaposlenicima i klijentima.

Odličan pristup je uska povezanost struke, poslovne zajednice i akademskog sektora, koju smo imali priliku vidjeti na primjeru upravo objavljene suradnje između vodeće i najveće svjetske organizacije certificiranih stručnjaka za kibernetičku sigurnost, (ISC)2, i Fakulteta organizacije i informatike u Varaždinu. Fakultet je potpisao ugovor s (ISC)2, tzv. Academic Provider Agreement, čime je u studijski program integriran sadržaj stručnih domena za polaganje CISSP certifikata, najcjenjenijeg stručnog certifikata u ovom području u svijetu.

Također, FOIev studij "Upravljanje sigurnošću i revizijom informacijskih sustava" je koncipiran na način da svaki predmet kombinira teoriju i praksu, pa tako na studiju predaju nastavnici i stručnjaci FOI-ja i partnerskih inozemnih visokoškolskih institucija, ali i prepoznati stručnjaci iz IT industrije i kibernetičke sigurnosti. Prenošenje stručnog znanja i iskustva polaznicima, kao i rješavanje konkretnih problema iz prakse, ključno je za brzu edukaciju stručnjaka. Natječaj za upis na studij je otvoren do 28. veljače 2021. godine, dok se početak nastave predviđa za ožujak 2021. godine.

Kako se boriti protiv ugroze informacijske sigurnosti, ali i zloupotrebe osobnih podataka jer se u posljednje vrijeme jako spominju primjerice WhatsApp i njegov vlasnik Facebook?

Mislim da se ipak jedini efikasan način borbe s problemima zloporabe osobnih podataka svodi na podizanje svijesti pojedinaca o važnosti zaštite njihovih osobnih podataka i privatnosti. Gotovo svakodnevno dobivam zabrinute upite pojedinaca o načinu postupanja s njihovim osobnih podacima bilo od strane ovakvih tehnoloških giganata, bilo od strane tijela državne i javne uprave - većina ih nije svjesna koje sve mogućnosti zakonske zaštite imaju na raspolaganju, te bi upravo zbog toga trebali prvenstveno raditi na razumijevanju s čim se sve mogu suočiti kad negdje objavljuju bilo vlastite, bilo tuđe osobne podatke, ili ih ustupaju na korištenje, bez da su zapravo pročitali i razumjeli kako će druga strana koristiti te podatke, zašto im trebaju baš ti podaci, u koju svrhu će ih obrađivati... sve je ovo jako lijepo regulirano zakonima i uredbama poput GDPRa, ali oslanjanje na efikasno provođenje zakona je nažalost još uvijek luksuz kojeg si često ne možemo priuštiti kad dođe do zloporabe naših podataka.