Veliki rast tržišta sigurnosnih rješenja i usluga pokazuje koliko je ovo područje važno, ističe za ICTbusiness.info Zoran Kežman - Cyber Security Manager u Spanu te dodaje da se procjenjuje da će 2024. godine globalno tržište cyber security usluga vrijediti 300 milijardi dolara, što je rast od 12,5 posto u četiri godine.
Prema njegovim riječima izbor sigurnosnih rješenja sigurno nije jednostavan i za većinu organizacija koje nemaju dovoljno sigurnosnih stručnjaka, a i za same stručnjake je pravi izbor rješenja ponekad veliki izazov, pojašnjava Kežman te ističe da se može provjeriti što i kako koristeći istraživanja i analize tvrtki kao što su Gartner ili Forerester Research.
Mnogi danas vole pričati o sigurnosti. Ona ipak ima nekoliko aspekata - hardver, softver i politike? Prepoznaju li to korisnici i o čemu je zapravo riječ?
Sigurnost je prije svega stvar upravljanja rizicima i poželjno bi bilo da cijela priča kreće iz sfere poslovanja, a da tehnologija, ljudi i procesi budu odgovarajuća podrška. Ono što branimo i kako to branimo trebalo bi biti usklađeno s potrebama poslovanja, odnosno iznimno je važno je da sigurnost iz perspektive upravljanja rizicima bude redovito na radaru najvišeg managementa. Ako se pitanju sigurnosti pristupa na takav način, onda organizacije mogu izbjeći potencijalni raskorak do kojeg može doći između politika sigurnosti i mjera koje su poduzeli kroz implementaciju određenih tehnologija, angažman specijalista i uspostavljanje procesa. Takvim pristupom dolazi do usklađivanja visine ulaganja u mjere i sigurnosne kontrole s poslovanjem i onim što te iste mjere štite. Procjenjuje se da će 2024. godine globalno tržište cyber security usluga vrijediti 300 milijardi dolara, što je rast od 12,5 posto u četiri godine. Cloud i Cyber Security predstavljaju jedan od četiri segmenata poslovanja Spana, koji uspješno gradimo s našim regionalnim i globalnim klijentima i partnerima na više od 100 tržišta gdje pružamo naša rješenja.
Kakva je sigurnost i kako ju podići na dovoljno visoku razinu?
Sigurnosne mjere koje poduzimamo trebaju biti usklađene s rizicima. Svaka organizacija, odnosno njeno vodstvo, mora donijeti odluku što je prihvatljivi nivo rizika i koliko će uložiti u zaštitu s obzirom na procijenjene negativne učinke koje bi kibernetske prijetnje mogle imati na organizaciju. U pitanju je čitav niz mogućih negativnih efekata, kao što je npr. prekid poslovanja i pružanja proizvoda i usluga korisnicima, izravni financijski gubitak uslijed iznude, troškovi rješavanja incidenta i vraćanja sustava u operativni status, reputacijska šteta, gubitak konkurentske prednosti, troškovi kazni regulatornim tijelima, sudski troškovi, odštetni zahtjevi i dr. Prijetnji je zaista puno, zbog čega je ovo tema koja treba biti u fokusu najvišem managementu kompanija. Pritom se prijetnje kontinuirano mijenjaju i evoluiraju te je sigurnost potrebno uvijek nanovo razmatrati u odnosu na tekuće prijetnje i zakonsku regulativu. Poduzimanje preventivnih mjera za proaktivnu zaštitu i uklanjanje ranjivosti, uspostavljanje i aktiviranje odgovarajućih procesa i aktivnosti za slučaj pojave sigurnosnih incidenata te regularno revidiranje potrebnih sigurnosnih mjera i kontrola ključni su koraci koje bi svaka kompanija danas u digitalnom dobu trebala poduzeti.
Kako pristupiti softverskim i hardverskim rješenjima za informacijsku sigurnost?
Izbor sigurnosnih rješenja sigurno nije jednostavan i za većinu organizacija koje nemaju dovoljno sigurnosnih stručnjaka, a i za same stručnjake je pravi izbor rješenja ponekad veliki izazov. Preporučljivo je pogledati što nezavisne konzalting organizacije, kao što je npr. Gartner ili Forerester Research, izdvajaju kao vodeća rješenja u industriji za pojedinu kategoriju rješenja te to usporediti s vlastitim potrebama i mogućnostima. Mnoga napredna rješenja zahtijevaju stručnjake koji će s njima raditi, podešavati ih i adekvatno reagirati, tako da je potrebno sve te faktore uzeti u obzir prilikom opredjeljenja za određeno rješenje. Također, dobro je postaviti višeslojnu zaštitu s različitim tipovima rješenja koji omogućavaju zaštitu čak i ako jedno rješenje zakaže. Univerzalno rješenje koje bi nas 100 posto zaštitilo od svakog oblika prijetnje ili napada ne postoji.
Politika sigurnosti vrlo je bitna. Kako ju dobro posložiti?
Upravu ste - politika sigurnosti je važan dio programa kibernetske sigurnosti organizacije, jer vodstvo kroz nju postavlja smjernice za sigurnost i zaštitu podataka, pomažući organizaciji da ostvari povjerljivost, integritet i raspoloživost informacija. Ona je poslovne, a ne tehničke prirode i ako je dobro posložena ona pruža važnu potporu ukupnoj strategiji i misiji organizacije, kao i usklađenost sa zakonskom regulativom. Trebala bi imati niz elemenata, kao što susvrha i opseg, uloge i odgovornosti, ciljevi, načini na koje se ostvaruje njena namjena i niz drugih elemenata. Ključno je da šalje vrlo jasnu i nedvosmislenu poruku cijeloj organizaciji i svim dionicima o tome što je potrebno i što se od njih očekuje kako bi se smanjio rizik vezan uz kibernetsku sigurnost.
Koja rješenja se danas koriste?
Prijetnje se kontinuirano razvijaju i evoluiraju, tako da postoji jako puno rješenja koja prate različite potrebe poslovnih korisnika u svakoj fazi tog putovanja. Postoje rješenja kao što su alati za procjenu ranjivosti, koji korisnicima pomažu da bolje razumiju gdje su im slabosti i ranjivosti koje trebaju adresirati. U tom segmentu postoje rješenja koja korisnicima daju preporuke za usklađivanje s određenim regulatornim standardima ili sigurnosnim okvirima kao što je ISO/IEC 27001, PCI DSS ili GDPR.
Zatim, postoje rješenja koja korisnicima omogućuju ostvarivanje veće otpornosti na različite oblike kibernetskih prijetnji i vektora napada. Tu je važna slojevita zaštita, koja se ostvaruje implementacijom različitih tipova rješenja, poput rješenja za zaštitu identiteta i upravljanje pristupom, rješenja za zaštitu informacija, rješenja za zaštitu e-mail sustava, mrežnu zaštitu, zaštitu i upravljanje različitim vrstama računala i uređaja, rješenja za upravljanje postavom i za zaštitu cloud okruženja i dr.
Osim rješenja za prevenciju, postoje rješenja koja pomažu u otkrivanju napadača. Napadi su sve sofisticiraniji, tako da umjesto oportunističkih, automatiziranih tipova napada kakvih je bilo puno u prošlosti, sada vidimo sve više ciljanih, vrlo strukturiranih napada, u kojima napadači aktivno sudjeluju tijekom napada i osim korištenja prethodno prikupljenih informacija o žrtvi, svoje aktivnosti prilagođavaju otkrivenom slabostima. Napadači pri tome koriste i vrlo naprednu infrastrukturu i različite tehnike i alate u pojedinim fazama napada. Za otkrivanje takvih tipova napada, potrebna je korelacija velike količine podataka, kao i korištenje naprednih tehnologija kao što je strojno učenje i umjetna inteligencija, kako bi se uočilo anomalije u ponašanjima i korištenju resursa i onda adekvatno reagiralo. Tehnologija danas još nije na nivou da može automatizirano spriječiti takve tipove napada, ali nam može značajno pomoći u njihovom što ranijem otkrivanju - postoje rješenja kao što su npr. SIEM (Security Information and Event Management) ili UEBA (User Entity and behavioural analytics), no njih je potrebno kontinuirano nadzirati kako bi se pravovremeno uočilo i reagiralo na određeno upozorenje.
Imajući u vidu mnogobrojne tehnike i alate koje napadači koriste, kada se otkrije napadača, potrebno je na odgovarajući način i reagirati pa tu onda postoji zaista vrlo veliki broj varijacija odgovora na napad. Organizacije se mogu unaprijed pripremiti i raspisati odgovarajuće procedure i metode rješavanja određenog tipa incidenta, kako bi što brže ograničile napad i iskorijenile napadača iz kompromitiranog okruženja, pa postoje rješenja kao što je npr. SOAR (Security Orchestration Automation and Response), kojima se dio aktivnosti može automatizirati, odnosno, može se upravljati slijedom aktivnosti koje sigurnosni analitičari trebaju izvršiti.
Može li se odabrati nešto što je bolje - hardver ili softver ili kombinacija i za koje svrhe?
Što se tiče tehnologije, gotovo uvijek imate neku kombinaciju hardvera i softvera i zapravo najviše ovisi o tome što određena organizacija već ima i kako se investicija može optimizirati. No tehnologija je kao što sam rekao, samo jedan bitan element sigurnosti i ona nas ne može u potpunosti zašiti od svakog oblika prijetnje. Osim tehnologije, važni su i vrhunski stručnjaci, koji mogu parirati vrlo organiziranim i stručnim napadačima, kao i procesi, koji će osigurati da organizacije na pravi način reagiraju na različite oblike prijetnji.
Što imaju korisnici koji koriste IT rješenja u oblaku. Kakva je njihova zaštita i zaštita njihovih podatka?
Za korisnike koji koriste rješenja u oblaku bitno je razumijevanje podjele odgovornosti između njih i pružatelja usluga u oblaku, koja se razlikuje ovisno o tome radi li se o IaaS, PaaS ili SaaS tipu korištenja usluga u oblaku. Elementi sigurnosti i principi zaštite u oblaku su vrlo slični onim u tradicionalnim IT okruženjima - i za njih je potrebno napraviti sigurnosnu procjenu i dizajn obrambenog sustava, postaviti jake sigurnosne kontrole i sigurnosne postavke, što je osnovni temelj uspješne zaštite u Cloud okruženju. Zatim je potrebno implementirati i podesiti odgovarajuća sigurnosna rješenja te aktivno, svakodnevno raditi na zaštiti.
U kontekstu potrebne slojevite zaštite i za rješenja u oblaku postoji čitav niz sigurnosnih komponenti. S obzirom na prijetnje koje su se do sada realizirale, postoji određena razlika u odnosu na tradicionalna IT okruženja - jedno je upravljanje sigurnosnim postavom, a drugo je upravljanje identitetima i pristupom. Upravljanje sigurnosnim postavom između ostalog uključuje i ispravno konfiguriranje sigurnosnih postavki za servise u oblaku, a prema jednom izvješću objavljenom 2020. godine, čak dvije trećine organizacija ostavlja otvorena vrata napadačima zahvaljujući pogrešno konfiguriranim servisima. U jednom drugom izvješću navodi se da je više od 90 posto svih uspješnih napada rezultat upravo pogrešne konfiguracije servisa u oblaku. Zbog dinamičnosti ovog modernog oblika računalstva, učinkovitu zaštitu servisa u oblaku teško je zamisliti bez upotrebe novih klasa automatiziranih sigurnosnih alata kao što su Cloud Security Posture Management (CSPM), Cloud Workload Protection Platform (CWPP) i Cloud Application Security Broker (CASB).
Drugi moment koji želim posebno naglasiti vezano uz sigurnost servisa u oblaku je upravljanje identitetima i pristupom. Za razliku od tradicionalnog IT okruženja, gdje je čitava organizacija bila zaštićena iza vatrozida i ništa nije moglo ući ili izaći iz organizacije, organizacije danas koriste hibridna okruženja, koja uključuju i tradicionalno IT okruženje i servise u oblaku. Samim tim se sigurnosna granica između vanjskog svijeta i same organizacije te njenih aplikacija i podataka mijenja. S ukradenim identitetom, napadači mogu vrlo jednostavno ostvariti svoje zlonamjerne ciljeve i budući da su identiteti toliko u fokusu napadača izuzetno je važno da upravljanje i zaštita identitetima budu također u fokusu svake organizacije koja koristi servise u oblaku.
Koliko je važna edukacija zaposlenika kada govorimo o informacijskoj sigurnosti?
Ljudi su obično najslabija karika i veliki broj napadača računa na ljudske pogreške i slabosti, povjerenje, strah, sažaljenje i slično, zbog čega je važna edukacija svih zaposlenika organizacije. Ljudi griješe ili zato što ne znaju ili ne slijede zadane smjernice. Na primjer, mnogi koriste istu privatnu i poslovnu lozinku, a kada se njihova privatna lozinka kompromitira, napadači mogu pokušati pogoditi njihov poslovni račun, iskoristiti ga i to se redovito događa. Mogu isto tako koristiti slabe lozinke koje je lako pogoditi, posjećivati lažne ili zlonamjerne web stranice koje kradu podatke ili zaraze njihove uređaje. Prema Microsoftu, više od 60 posto upada u mrežu rezultat je kompromitacije korisničkih lozinki i korisničkih imena, što ne iznenađuje jer više od 70 posto korisnika ponovno upotrebljava lozinke na svojim mrežnim računima ili koristi slabe lozinke.Često se događa da ljudi šalju osjetljive podatke pogrešnoj osobi na temelju funkcije automatskog popunjavanja mail adrese u e-pošti. Ljudi također mogu slučajno otkriti osobne podatke - jedan medicinski radnik je npr. adresirao mailom sve pacijentima njegove ustanove koji su imali određenu bolest, ne vodeći računa da sakrije njihove mail adrese i tako otkrio njihova imena...
Također, ljudi su često i žrtve socijalnog inženjeringa. Zlonamjerni pojedinci koriste niz tehnika kako bi utjecali na druge osobe da učine nešto što toj osobi nije u interesu. Phishing je daleko najčešći oblik socijalnog inženjeringa, za kojeg napadači koriste e-poštu kako bi došli do podataka kao što su korisničko ime i lozinka ili brojevi kreditnih kartica. Pri tome se pretvaraju da su neki drugi entitet, poput društvene web stranice, financijske institucije ili IT administratora..Vrlo čest oblik socijalnog inženjeringa je i kompromitacija poslovnog maila, kada napadač šalje e-mail i pri tom se lažno predstavlja kao određena osoba kod dobavljača koja je žrtvi poznata ili kao visokorangirana osoba u tvrtki.
Svatko u organizaciji može postati žrtva kibernetskog napada i važno je komunicirati da je svatko odgovoran za zaštitu digitalne imovine svoje organizacije, zbog čega je redovita obuka ključni element strategije kibernetske sigurnosti bilo koje organizacije. Ako zaposlenici nisu obučeni o najboljim praksama kibernetske sigurnosti, vrlo lako mogu odškrinuti vrata napadačima za realizaciju određenih prijetnji.
Kolokacija servera poznata je praksa smještanja servera u vanjski data centar, umjesto u vlastiti prostor. Nudi niz prednosti za tvrtke svih veličina jer znatno smanjuje složenost i trošak povezan s održavanjem servera
Bank of Nova Scotia odabrala je Google Cloud za podršku svojim rastućim digitalnim operacijama, utirući put upotrebi generativne umjetne inteligencije i drugih novih tehnologija.
Jedna od najbrže rastućih kompanija u industriji komunalnih vozila, domaća tvrtka Rasco iz Kalinovca, nedavno je isporučila dvije električne čistilice Lynx Charge 2000 gradu Budimpešti.
