Tiskane izdaje
Vsako podjetje, ne glede na dejavnost in velikost, razpolaga z informacijami različnih stopenj zaupnosti, kot so na primer poslovne skrivnosti ali osebni podatki zaposlenih. Vodstva podjetij si zato vse bolj postavljajo vprašanja, kako te informacije ustrezno upravljati, kako jih obvladovati in predvsem kako jih ustrezno zavarovati.
Zaradi vse večje povezanosti informacijskih sistemov in pretoka podatkov med podjetji postaja zagotavljanje kakovosti in ustreznega varstva informacij vse pomembnejše. V dobi elektronskega poslovanja je zlorab podatkov vse več, zato je njihovo varovanje ključno za dolgoročno uspešnost podjetij, saj vdori v informacijske sisteme po vsem svetu na leto povzročijo skoraj sto milijard evrov škode.
Varnost določa najšibkejši člen
»Varna in kakovostna postavitev ter vzdrževanje informacijske infrastrukture in aplikacij je zelo pomembna, saj se s kompleksnostjo in raznovrstnostjo informacijskih sistemov povečuje tudi število varnostnih pomanjkljivosti, težje pa jih je tudi odkriti. Varnost celotnega informacijskega sistema je namreč odvisna od najšibkejšega člena. Že ena varnostna pomanjkljivost (na primer privzeta administrativna gesla) lahko izniči številne uvedene varnostne ukrepe,« pojasnjuje vodja operacij preverjanja informacijskih tehnologij v Slovenskem inštitutu za kakovost in meroslovje (SIQ) Miha Ozimek.
Sogovornik dodaja, da je možnosti zlorab najbolje preprečiti, in sicer z ustrezno varovanimi dostopi do podatkov in storitev znotraj podjetij ter do njihovih javnih storitev na spletu. V podjetjih morajo biti prav tako pozorni, da informacijske sisteme ustrezno uredijo in uskladijo z zakonodajo, zahtevami nadzornih organov in lastnimi zahtevami glede obdelave in hrambe podatkov.
Opraviti je treba
Nekatera podjetja še vedno ne opravljajo celovitih varnostnih pregledov, ki so namenjeni odkrivanju morebitnih groženj in ranljivosti informacijskih sistemov ter z njimi povezanih tveganj za varnost informacij. Celovit varnostni pregled je najučinkovitejši način preverjanja dejanske stopnje varnosti, saj se uporabljajo enake metode, tehnike in orodja, kot jih v praksi uporabljajo tudi hekerji.
Z izvedbo varnostnega pregleda podjetje pridobi nedvoumen odgovor, ali so varnostne kontrole v njihovem informacijskem sistemu ustrezne. Podjetja bi morala odgovoriti na ključna vprašanja:
– ali je vzpostavljen informacijski sistem ranljiv na spletne napade;
– ali zaposleni in pogodbeni sodelavci lahko zaobidejo varnostne politike ter nepooblaščeno dostopajo do podatkov podjetja;
– ali imajo uporabniki aplikacij res dostop le do tistih podatkov, ki jih potrebujejo.
Komercialno dosegljiva orodja niso najvarnejša
»V preteklosti smo imeli v Sloveniji že kar nekaj primerov napadov na komitente nekaterih bank z namensko zlonamerno kodo. Še vedno pa se ni poleglo razburjenje glede zadnjega napada virusa wannacry, ko je imelo veliko podjetij kar nekaj težav. Najobsežnejši napad, ki je bil večinoma usmerjen v državne institucije, pa je bil napad Anonymous leta 2012.
Doživeli smo tudi zahtevnejše vdore, kot sta bila vdor v sistem komunikacij Tetra in prisluškovanje med veleposlaniki (Pirangate). Leta 2015 pa je bil izveden tudi uspešen vdor v slovensko borzo bitcoinov Bitstamp, ki so glavno plačilno sredstvo pri teh napadih,« pojasnjuje Ozimek.
V Sloveniji se dogaja, da se varnostne preglede informacijskih sistemov pogosto izvaja z uporabo in zagonom komercialno dosegljivega programskega orodja, ki ga lahko naloži vsak naprednejši uporabnik računalniške opreme, nato se naročniku storitve preda poročilo, ki ga takšno programsko orodje generira. Pri tem niso analizirane posamezne grožnje, naročnik pa ne prejme pojasnil, kaj posamezna grožnja oziroma pomanjkljivost zanj pomeni v praksi. Takšno analizo lahko opravi le strokovnjak z dolgoletnimi izkušnjami s tega področja, ki redno spremlja novosti na področju varnostnih tveganj.
Varovanje osebnih
Za to bo treba zagotoviti, da vsi informacijski sistemi že v fazi razvoja ustrezno uredijo način zavarovanja podatkov (omejitev dostopa, revizijska sled, šifriranje podatkov in podobno) ter da vsako podjetje poskrbi za ustrezne tehnične in organizacijske ukrepe, ki bodo zmanjšali možnost zlorab osebnih podatkov.
Pri tem se je treba zavedati, da je treba uvedene ukrepe zavarovanja preverjati, kar pomeni, da je treba uvesti sistem notranjega nadzora (revizija IT, varnostni pregled informacijskega sistema). S tem ko bo varovanje osebnih podatkov po vsej EU poenoteno, bo dejansko zagotavljeno, da se vsa podjetja ravnajo po istih pravilih. To omogoča hiter odziv na incidente v primeru zlorab, sodelovanje med nadzornimi organi (Informacijski pooblaščenec RS) in podjetji ter med posameznimi državami članicami EU.
Standard za varovanje informacij ISO/IEC 27001
Ob vse večji odvisnosti od informacijskih tehnologij, odprtosti podjetij in povečevanju pomembnosti informacij v sodobnem poslovanju sta iz želje po ureditvi in poenotenju razmer v podjetjih na področju informacijske varnosti nastala standarda za vodenje varovanja informacij ISO/IEC 27002 in ISO/IEC 27001. Standarda sta poslovodno in od posameznih tehnoloških rešitev neodvisni orodji, ki omogočata celovit pregled varovanja informacij pri poslovanju podjetja. Ocena informacijskih tveganj je podlaga za gradnjo sistema vodenja varovanja informacij in njegova temeljna značilnost.
Standard ISO/IEC 27001 določa zahteve za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje sistema upravljanja varovanja informacij. Temelji na treh predpostavkah varovanja informacij, na zaupnosti, ko se zagotavlja dostop do informacij le pooblaščenim osebam, na celovitosti, ko gre za varovanje točnosti informacij s preprečevanjem nepooblaščenih sprememb. V segmentu razpoložljivosti pa gre za zagotavljanje dostopa pooblaščenih oseb do informacij takrat, ko jih potrebujejo. Standard ISO/IEC 27002 pa ponuja nabor možnih ukrepov za nadzor prepoznanih tveganj, ki so se z leti uporabe v različnih podjetjih po svetu pokazali kot primeri dobre prakse.
Standarda sta celovita v smislu informacijske varnosti. To pomeni, da ne obravnavata le informacijske tehnologije in informacij v elektronski obliki, ampak informacije v vseh mogočih oblikah in medijih. V tem smislu je veliko opisanih kontrol povsem organizacijske narave in niso povezane s tehnologijo (na primer klasifikacija informacij, politika prazne mize, fizično varovanje objektov ali opis varovanja informacij v pogodbah o zaposlitvi).
Napadom hekerjev
Pred odpravo težav analiziramo, kakšno je stanje varnosti informacijske infrastrukture. Celovit pregled informacijske infrastrukture obsega splošni pregled ranljivosti, zunanji in notranji varnostni pregled ter pregled organizacijskih varnostnih kontrol. Na podlagi tega, se odločimo, kaj bi bilo varnostno ustrezno ter stroškovno učinkovito za posameznega naročnika,« pojasni Miha Ozimek iz SIQ.
Dodaja, da v prihodnosti lahko res pričakujemo samo še več tovrstnih in podobnih napadov. S kompleksnostjo, raznolikostjo in mobilno dostopnostjo informacijskih sistemov se povečuje tudi možnost varnostnih pomanjkljivosti, težje pa jih je tudi odkriti. Pojavljajo se že druge hujše vrste izsiljevanja, kjer hekerji neopazno vderejo v sisteme ter pridobijo občutljive in pogosto zaupne podatke o podjetju. Za njihovo javno neobjavo pa nato zahtevajo odkupnino. V takšnem primeru varnostne kopije prav nič ne pomagajo.
Kako odpraviti
Kako odpraviti nastale težave? »Če imamo ustrezno uveden sistem varovanja informacij, potem smo predvideli tudi ustrezne postopke sanacije, v primeru kriptovirusov torej z restavriranjem varnostnih kopij podatkov. Enako velja za vse vrste incidentov. Vemo, da stoodstotne varnosti ni mogoče zagotoviti, zato je treba tudi primerno vzpostaviti sisteme odziva na incidente, ki pripomorejo k tem, da kljub vdoru ali drugi vrste zlorabe omejimo nastalo škodo ter zagotovimo ustrezno delovanje informacijskega sistema,« je na koncu dodal vodja operacij preverjanja informacijskih tehnologij v SIQ Miha Ozimek.
