Kompanije u Srbiji ulažu i do 15 miliona evra u internet zaštitu
Firme u fokusuHi-techLifestyleSrbijaU fokusuVesti
10.10.2021 13:02 Autor: Miljan Paunović
Čuvanje ličnih podataka građana u institucijama nije nimalo jednostavan posao. Za to postoji više razloga, a s obzirom na to da se svi podaci čuvaju na određenim serverima, njihova bezbednost je stalno na velikom testu, pre svega zbog mogućih napada hakera.
Nedavni šestočasovni pad društvenih mreža Facebook i Instagram nije doveo do gubitka ličnih podataka korisnika, ali kada bi se dogodio sajber napad u nekoj banci ili državnoj instituciji podaci bi mogli da budu ozbiljno ugroženi i zloupotrebljeni.
Application security analyst i penetration tester, odnosno „etički haker“ Jovan Šikanja za Biznis.rs kaže da je, s obzirom na incidente koji su se dogodili u prethodnih nekoliko godina, pouzdanost sistema zaštite daleko od prihvatljive.
„Ukoliko u jednom sistemu ne postoji kontrola ko, kada, gde i zašto pristupa određenim osetljivim podacima, ti podaci mogu biti zloupotrebljeni, a da to niko ni ne primeti. U neuređenim sistemima scenariji zloupotrebe od strane obrađivača su mogući i veoma verovatni. Zbog toga sisteme treba dizajnirati tako da su podjednako otporni na eksterne ali i na interne napade“, objašnjava Šikanja.
Postoje različiti sistemi zaštite. Na primer kriptografija, gde se kriptuju podaci kako bi se adekvatno zaštitili, kaže za naš portal Luka Milinković, ekspert za sajber bezbednost i IT procese.
„Korišćeni algoritmi za enkripciju su pouzdani, ali propust može da usledi zbog ljudskog faktora, naročito ako je isuviše laka lozinka za pristup. Uvek je savet da lozinka bude složena, da sadrži više karaktera, mala i velika slova, brojeve, da ne bude ime-prezime, datum rođenja ili neki drugi lični podatak. Zapravo, najbolje je da lozinka bude slučajni izbor karaktera. Ali tu je problem jer se kod slučajnog izbora lozinka teže zapamti, te ljudi onda kreiraju jednostavniju. Ako imate jednostavnu lozinku u sistemu, to je isto kao da ostavite otključana vrata od kuće. Nekome je dovoljno samo da priđe, pokuša da otvori i ući će. Na internetu je to mnogo lakše, jer mi ne vidimo da je neko ‘ušao’ i posledice toga ulaza mogu se otkriti tek nakon dužeg vremenskog perioda. Može se desiti da neko ima vaše podatke, ali da čeka adekvatnu priliku, kada na bankovnom računu imate više novca, te da tada izvrši napad, odnosno ‘ulaz u kuću’. Ljudi treba da budu svesni da i od njih zavisi koliko će njihovi podaci biti zaštićeni“, objašnjava Milinković.
Šikanja kaže da je dobra praksa da se osetljivi podaci čuvaju u enkriptovanom obliku i da se od korisnika prikupljaju samo podaci koji su neophodni.
„U takvim situacijama, čak i da dođe do ‘data breach-a’ (upada u bazu podataka) većina iscurelih podataka bi napadačima bila potpuno neupotrebljiva. Svi sistemi koji su na bilo koji način otvoreni ka internetu su pod stalnim rizikom od sajber napada. Ono što dodatno komplikuje situaciju je što sistem koji je danas siguran i verovatnoća da neko probije u njega je zaista mala, već sutra, otkrivanjem nekog novog propusta u softveru koji se koristi, postaje sistem kome može pristupiti bilo ko“, objašnjava Šikanja.
Kompanije testiraju bezbednost svojih sistema, što je jedan kompleksan proces, i kako Šikanja kaže, test uglavnom počinje utvrđivanjem površine napada na jednu organizaciju, to jest gde i kako je organizacija najviše izložena.
„Testiranje bezbednosti često izgleda potpuno identično kao i sajber napad. Koriste se isti alati, iste metode i tehnike, samo se ovaj napad vrši u ime i za račun organizacije kako bi se identifikovali propusti i manjkavosti u sistemima, kako bi nedostaci mogli da se uklone pre nego što ih otkrije neko sa malicioznom namerom. Važno je ovakva testiranja raditi često jer se stvari mnogo brzo menjaju, a nešto što je juče bilo dobro, danas više ne mora biti“.
Zbog toga je bitno da kompanije stalno unapređuju svoje sisteme zaštite, ali i fizička lica.
„Bezbednost sistema za čuvanje podataka u kompanijama može da košta i do nekoliko miliona evra. Manje kompanije uglavnom iznajmljuju resurse, definišu kakvu zaštitu žele ugovorom i mogu da plaćaju uslugu na mesečnom nivou, od nekoliko stotina, pa do nekoliko hiljada evra. Kompanije koje se opredele za interni model već moraju da ulože nekoliko desetina hiljada evra u sistem zaštite podataka klijenata, i to na godišnjem nivou. Ima kompanija i kod nas koje imaju budžete za IT i po nekoliko miliona evra, od 10 do 15, da bi unapredili sistem (rezervna lokacija, ruteri, firewall, računari za zaposlene…). Bezbednosni sistem nije nešto što ćemo danas uspostaviti i večno koristiti, već moramo stalno da ga proveravamo, unapređujemo i poboljšavamo. Ako ga jednom uspostavimo i ne vodimo računa o njemu, nivo bezbednosti će vremenom da opadne. Generalno, sve može da se hakuje, samo su u pitanju cena i vreme. Za nešto treba 10.000 evra, a za nešto 10 miliona evra. I zbog toga je bitno uložiti u zaštitu sistema, jer što je bezbedniji, otporniji, veće su šanse da haker odustane od napada, jer neće videti isplativost“, objašnjava Luka Milinković.
Kompanije bi trebalo da imaju sertifikat za određeni bezbednosni standard, najpoznatiji je ISO 27001, i postoji niz procedura koje moraju da se napišu i sprovedu u delo.
„Primenu tih procedura kontroliše odgovorno lice interno uz obavezne eksterne provere. Tako kompanija postaje zrelija u rešavanju bezbednosnih izazova. Međutim, ne postoji obaveza da kompanija ima bilo koji bezbednosni sertifikat, tako da kompanije, u suštini, niko ne primorava da primenjuju bilo kakve bezbednosne procedure. Moram ovde samo napomenuti da to što neka kompanija poseduje neki bezbednosni sertifikat ne znači automatski da je ta kompanija sigurna. Česti su slučajevi da kompanije pribegavaju sertifikaciji iz marketinških razloga ili da bi se bolje kotirale na tenderima“, ističe Jovan Šikanja.
Bezbednost podataka zavisi i od nas
Upravljanje podacima je veoma složen proces, a koliko će naši podaci na mobilnom telefonu i internetu biti bezbedni ne zavisi samo od kompanije, već i od nas. Naime, veoma je važno kako kreiramo lozinku i koje podatke ostavljamo na internetu, posebno na društvenim mrežama.
„Bankama dajemo podatke jer ne možemo drugačije da otvorimo račun, mi u tom trenutku verujemo sistemu. One, ili bilo koja druga kompanija ili institucija kojoj damo podatke, imaju obavezu da ih adekvatno čuvaju. Ako to ne ispune slede im regulatorne kazne. Savet je da uvek kada dajemo podatke i kreiramo nalog imamo adekvatne lozinke, jer koliko god da kompanija upravlja našim podacima i štiti ih, upravljamo i mi sami. Problem je što korisnik želi jednostavnost, te tako bi i da lozinka bude jednostavna. Siguran sam da 90 odsto ljudi na svetu kada ne bi morali ne bi ni stavljali lozinku za pristup nalogu“, objašnjava Luka Milinković.