V službi, da vdira v informacijske sisteme, tudi bančne

Strokovnjak za informacijsko varnost  je nov poklic, a je po njem že več povpraševanja, kot je ponudbe

Objavljeno
17. avgust 2018 08.00
Posodobljeno
17. avgust 2018 11.59
Branko Miličević: »V resnici posnemamo hekerje.« Foto Uroš Hočevar
V prvem razredu je naredil tečaj iz windowsov, pri desetih letih se je udeležil celoletnega tečaja programiranja in računalniškega tabora, ki ga je organizirala ena izmed srednjih šol, na koncu osnovne šole je, tako kot njegovi zdajšnji sodelavci, doma imel računalnike z različnimi operacijskimi sistemi, ki jih je seveda vse poznal do potankosti. »Sodelavec ima še vedno dva strežnika v dnevni sobi,« je kolega zatožil Branko Miličević, ki se danes kajpada ukvarja z računalniki in informacijsko varnostjo. Je strokovnjak za informacijsko varnost, eden tako redkih v Sloveniji, da se vsi poznajo med seboj. Tudi področje je še dokaj novo: pred tremi leti so na Slovenskem institutu za kakovost in meroslovje SIQ ustanovili poseben oddelek – leto kasneje se je tam zaposlil tudi Branko – in strankam ponudili še to storitev.

V družbi SIQ sicer zagotavljajo celovite rešitve s področja preizkušanja in certificiranja proizvodov, ocenjevanja sistemov vodenja, meroslovja in izobraževanja. Sprehod skozi njihove laboratorije je na nekaterih mestih videti kot igralnica za odrasle: nekdo je segreval najnovejšo različico neke grelne naprave in testiral, ali bo zdržala želeno temperaturo ali bo zagorelo, na paleti pred enim od laboratorijev je na meritve čakala kuhalna plošča … na vsakem koraku je vse polno bolj ali manj znanih izdelkov in pripomočkov, ki gredo v preverjanje varnosti in kakovosti, preden jih izdelovalci postavijo na trgovske police. Za enimi od vrat je pravi kazino, vse polno igralnih avtomatov, ki jih v SIQ certificirajo za številne države po svetu.


Hobi je služba


No, Branko se s temi rečmi ne ukvarja, njegovo delovno orodje je računalnik, delo, pravzaprav hobi, s katerim se ukvarja tudi v službi, pa varnostno preverjanje predvsem finančnih institucij. »Pri notranjih varnostnih pregledih pridemo na lokacijo naročnika, priklopimo svoj računalnik in poskušamo vdreti v njihov informacijski sistem. Pri delu uporabljamo iste tehnike in metode, kot jih uporabljajo hekerji. Ne, ne poskušamo posnemati hekerjev, v resnici jih posnemamo,« je opisal Branko in se na vprašanje, kako uspešni so z ekipo pri tem, namuznil. Seveda. Skoraj vedno jim uspe in na tej točki njihovo delo zavije v drugo smer kot delo tistih, ki institucije napadejo z namenom, da si napolnijo žepe. »Ta kibernetska tveganja prenesemo v poslovna tveganja in jih ovrednotimo,« je dejal milenijec in dodal, da so za delovno mesto strokovnjaka za informacijsko varnost potrebna širša znanja kot zgolj s področja informatike.

image
Eden redkih strokovnjakov za informacijsko varnost v Sloveniji. Foto Uroš Hočevar


Strankam pojasnijo, kakšnim tveganjem so izpostavljene – v bančnem svetu je to lahko finančna kraja, kraja osebnih podatkov, izguba dobrega imena, v proizvodnih podjetjih se z vdorom lahko ustavi proizvodnja. Na primerih dobrih praks razložijo, kako je tveganja mogoče odpraviti. »Kako bo podjetje dejansko ukrepalo, pa že ni več v naši domeni, za to imajo zaposlene menedžerje za varnost, ki upravljajo tveganja,« je opisal bodoči diplomant Fakultete za varnostne vede v Ljubljani in dodal, da se finančne institucije v Sloveniji zelo dobro zavedajo pomena kibernetske varnosti in veliko vlagajo vanjo. V splošnem sicer pravi, da je od znanja, ki je prosto dostopno na spletu, in od motivacije napadalca odvisno, ali se bo vdor v nek sistem zgodil. Če jo nekdo ima, mogoče ne bo vdrl danes, čakal bo mesec, leto dni. Danes v organizacijah ni več vprašanje, ali je do vdora prišlo, ampak, ali ga je organizacija zmožna zaznati in ima mehanizme in procedure, da prepreči eskalacijo.


Jeseni v Zagreb na MBA


Poleg znanj iz hekerskega sveta so v njegovem poklicu potrebna tudi znanja iz ekonomije, izziv pa je včasih tudi, kako strokovne ugotovitve predstaviti upravam podjetij. Teza, da kot strokovnjak za IT ni prav zgovoren, bo torej v njegovem primeru padla? »Da. Res pa je, da še več pišemo, kot govorimo. Vsak teden pripravimo za kakšnih 150 do 200 strani poročil,« je povedal sogovornik, ki zdaj piše diplomsko nalogo o varnosti finančnih aplikacij v operacijskem sistemu android, jeseni pa začne intenziven študij MBA v Zagrebu, da okrepi znanje iz poslovnega sveta. Na spletu je videl oglas za štipendijo, prijavil se je in uspešno opravil razgovor zanjo. Celotnega 17-mesečnega študija ne bo pokrila, a je razliko primaknil SIQ. »V našem podjetju res velik poudarek dajo izobraževanjem, saj je zelo pomembno, da smo na svojem področju v koraku z dogajanjem v svetu,« je poudaril Branko in dodal, da strokovnjaki z njegovega področja v Sloveniji popolnoma nič ne zaostajajo s tistimi v ZDA, Londonu, na Nizozemskem …

Je pa za to treba tudi delati. Izkušnje pridejo z leti. Delal je že v gimnaziji – iz radovednosti, želje po odkrivanju in samoaktualizaciji. »Za tistega, ki hoče službo od osmih do štirih, naš poklic zagotovo ni. Vsak dan po službi preberem vsaj en članek z mojega področja. To je delo, za katerega v pisarni ni časa. Biti moraš tudi vztrajen, saj redkokdaj stvari delujejo že prvič,« je opozoril.


Na fakulteto po mlade talente


Vsako leto sodeluje pri približno 40 večjih projektih varnostnih pregledov v večjih podjetjih, predvsem pa v finančnih institucijah v regiji, kjer je SIQ edini pridobil akreditacijo PCI za varnostno preverjanje v industriji plačilnih kartic. »Delamo na zanimivih projektih. Posebna izkušnja je bila, ko smo sodelovali z eno od vlad z Bližnjega vzhoda. Tudi zaradi čisto tehničnih zadev, saj imajo tam prosta dneva v četrtek in petek. Predstavitev smo imeli prek videokonference, razvijalci pa niso znali angleško, tako da smo si pomagali s prevajalci. Ti pa niso poznali strokovnih izrazov,« je predstavil izkušnjo Branko in dodal, da so poseben izziv pregledi spletnih igralnic in stavnic, s tega področja imajo projekte po vsem svetu, čedalje več pa jih je s tehnologijo blockchain.

Čeprav je strokovnjak za informacijsko varnost še zelo mlad poklic, je povpraševanje po strokovnjakih veliko. Potrebovalo bi jih vsako srednje veliko in veliko podjetje, v tujini imajo večja podjetja velike oddelke, ki se ukvarjajo samo s tem. V Googlu jih dela več kot 10. V SIQ nove kadre iščejo tudi tako, da se povezujejo s fakultetami, kjer poskušajo pritegniti zanimanje mladih talentov, ki jih vključujejo v projekte in jih na ta način sami usposobijo. Tako je v podjetje prišel tudi Branko. »Na Fakulteti za varnostne vede, smer informacijska varnost, je v letniku samo 40 študentov, tako da profesorji poznajo vsakega študenta, mu pomagajo pri akademski rasti, ga usmerjajo,« je opisal svojo izkušnjo Branko, ki se je na fakulteto vpisal po nekajletnih delovnih izkušnjah od programiranja do sistemske administracije. Fakulteta da širino, znanja, ki jih je nabral v praksi, je še utrdil s teorijo.

Pri notranjih varnostnih pregledih pridemo na lokacijo naročnika, priklopimo svoj računalnik in poskušamo vdreti v njihov informacijski sistem. Skoraj vedno nam uspe. Nato kibernetska tveganja prenesemo v poslovna tveganja, jih ovrednotimo.