Veščine informacijske varnosti bi morali imeti v krvi

Na zalogi ima veliko zanimivih zgodbic, s katerimi prepriča in pridobi zaupanje sogovornika ter mu na privlačen način razloži, zakaj sta poslovna in osebna digitalna varnost v sodobnem svetu tako zelo pomembni.

Na informacijsko varnost v prvi vrsti gleda s stališča prava in šele nato z vidika informacijskih tehnologij, kajti področje je preobsežno, da bi ga lahko zajeli in obvladali zgolj enodisciplinarno. Danes imamo praktično vse podatke v digitalni obliki, saj so nam kot taki dostopnejši in priročnejši za obdelavo. Žal pa smo s tem bistveno olajšali delo nepridipravom, ki bi se do podatkov radi dokopali. Skrb za varnost podatkov je njegova naloga. Zagotoviti, da so podatki varni, da do njih ne more nihče in v skrajnem primeru, če vseeno pride do neljubega dogodka, omiliti škodo. Računalniški sistem, v katerega ne bi bilo možno vdreti, za zdaj ne obstaja. Za vdor so potrebni zadosten motiv, čas in denar. Povedano drugače – edini res varen računalniški sistem je tisti, ki ne deluje ali je izklopljen. S tem pa ne služi svojemu namenu, zato sta varovanje in varnost računalniškega sistema vedno kompromis med delom, ki ga mora računalniški sistem opravljati, in omejevanjem možnosti za njegovo neustrezno uporabo ali zlorabo.

Skrb za varnost podatkov je stalen proces

Miha Dvojmoč nam je zaupal zanimivo zgodbo. »Prišlo je do vdora v domači nadzorni sistem in izsiljevanja. Po pregledu stanja smo nastavili past, ujeli nepridiprava in preprečili izsiljevanje. Morda ne boste verjeli, ampak to se ni zgodilo v tujini. Zgodba je domača.«

Pri varovanju informacij vedno obstaja meja, ki je pač odvisna od njihove vsebine. V varnost podatkov se zato splača vlagati premo sorazmerno z njihovo vrednostjo, skrb zanje pa se ne začne ko pridete v službo in se ne konča po zaključku delovnega dne. Gre za neprekinjen proces, v katerem vas nikdar ne smejo ujeti nepripravljene. Daleč največ uspešnih vdorov ni posledica znanja in informacijskih veščin nepridiprava ter sodobne opreme, temveč so krivi ljudje. Socialni inženiring je namreč najbolj preprosta in najcenejša metoda vdora. Poiščete ali nastavite šibki člen, ki potem delo opravi namesto vas.

»Pred časom smo raztresli sto USB ključkov, 89 od teh so jih najditelji vtaknili v priključek svojega računalnika,« je povedal Miha Dvojmoč. Čeprav vemo, da je možnost okužbe visoka, se kljub opozorilom najdejo posamezniki, ki kaj takšnega brez oklevanja storijo. Na tak način so zahodni agenti z virusom Stuxnet okužili sicer v internet nepovezane iranske centrifuge za oplemenitenje urana. Lahko bi dejali, da se iz zgodovine nismo veliko naučili.

Pred nekaterimi nevarnostmi na internetu se je mogoče zavarovati z ustrezno programsko opremo in drugimi ukrepi, pred socialnim inženiringom ter trkanjem na čustva, nečimrnostjo in pohlepom pa se lahko ubranimo zgolj sami s svojo treznostjo. Socialni inženiring postaja žal tudi vse bolj preprost, kajti velik problem je poplava lažnih novic. Postajamo otopeli, težje ločimo med resnico in lažjo, zato tudi prej, na primer, kliknemo na priponko s škodljivo kodo, ki jo je nekdo poslal skupaj s prepričljivim besedilom. Morda z resnico o korona virusu, zdravilu zanj ali o čem drugem aktualnem. »Število poskusov napadov na slovenske informacijske sisteme je v porastu zaradi prihajajočega predsedovanja Evropski uniji. Podobno je bilo tudi pred leti,« pravi Dvojmoč.

Njihova celovita ponudba

Za podjetja imajo podatki največjo vrednost, zato je njihovo varovanje visoko na prednostnem seznamu. Miha Dvojmoč z ekipo zato za naročnika oblikuje projekt informacijske varnosti od spodaj navzgor. Naredijo projekt, ga izvedejo, vzdržujejo in ves čas varnost preverjajo s testi penetracije. To so poskusi vdorov v sistem, ki jih izvedejo etični hekerji s ciljem iskanja morebitnih varnostnih lukenj, da jih lahko usposobljeni strokovnjaki odpravijo. Ni dovolj postaviti varnostni sistem in izobraziti zaposlene. Ves čas je potrebno spremljati razvoj varnostne opreme ter groženj in se jim ustrezno prilagajati. »Slovenci slabše razumemo problematiko varnosti kot ljudje na Zahodu. Medtem ko je njim jasno, da morajo za varnost najprej skrbeti sami, se mi zanašamo na policijo. Da bo poskrbela za vse. Ne more, ker za kaj takšnega nima in ne bi mogla imeti dovolj zaposlenih,« je kritičen Dvojmoč.

Mnogo podjetij postavi varnostni sistem in politiko ter nato posluje v okolju lažnega prepričanja, da se jim nič ne bo zgodilo. Ko se jim, dostikrat nastopi panika in iskanje rešitev. Občasno se te najdejo, drugič pa ne. Ker morda podatki niso bili ustrezno arhivirani, ker so jih dobili tekmeci in izničili prednost na trgu in tako naprej. Zgodi se lahko veliko slabih stvari in najslabše je, da čakate nanje v upanju, da se ne bodo zgodile, namesto da bi jih predvideli in preprečili. Ilustracija takšnega primera je okužba z izsiljevalskim virusom, ki zakodira in naredi podatke do odkupnine nedostopne. Vsakemu se to lahko pripeti, razlika je v tem, ali je na to pripravljen ali ne. Če ima podatke arhivirane, lahko ponastavi računalnike in nadaljuje delo, drugače pa mora plačati odkupnino in upati, da bo dobil geslo za dešifriranje podatkov.

Varnost osebnih podatkov

Kje se končajo pravice delodajalca in kje se začne varstvo osebnih podatkov zaposlenega, ko gre za vpogled v te podatke? »Če so »pravila igre« postavljena vnaprej in so vsi zaposleni seznanjeni z dejstvom, da so računalnik in podatki na disku računalnika, pametni telefon, tablični računalnik in druga oprema, ki jim jo je v uporabo dalo podjetje, last podjetja, in da se ta oprema lahko uporablja le v službene namene ter da podjetje izvaja nadzor nad omrežnim prometom in podatki, ki so v teh napravah in v njihovem omrežju, ni razloga, da se pri utemeljenem sumu odtekanja podatkov in informacij izvede preiskava, ki bi ta sum potrdila.«

Miha Dvojmoč strankam pomaga tudi pri varovanju osebnih podatkov. Nudi jim svetovanje, kako oblikovati evidence in pravilnike varovanja podatkov. »Na razpolago jim damo navodila in primere, kako je treba stvari narediti, vendar tega ne naredimo namesto njih. Pomembno je, da jih stranke naredijo same, saj se tako naučijo, kako se stvari streže in problematiko varovanja razumejo. Drugače bodo imele težave ob obisku informacijskega pooblaščenca«. Za svoje stranke so oblikovali tudi okolje (intranet), kjer lahko te vedno najdejo odgovore na svoja vprašanja.

Skoraj vse spremembe so posledica tega, da smo se iz sveta, kjer varnost in zasebnost določajo fizične ključavnice in ovire, premaknili v bolj fluidni, neskončno bolj priročen, a tudi veliko bolj nevaren »navidezni« svet. Raznovrstne naprave, programi in storitve so nam omogočili preprosto komuniciranje in stalno povezljivost, do neke mere poenostavili poslovanje in ga naredili učinkovitejšega. Hkrati smo zaradi vsega tega soočeni z izzivom, kako zadovoljivo poskrbeti za celovito informacijsko varnost. To pa je področje, kjer lahko pomaga ekipa Miha Dvojmoča z znanjem in pridobljenimi izkušnjami.

Seveda pa obstajajo načini, ki vas vsaj v veliki meri obvarujejo pred tem, da se tudi vi znajdete med žrtvami. Z njimi se boste lahko seznanili na posvetu CyberSafe, ki ga ob mednarodnem dnevu varnostnega kopiranja podatkov, organizira komunikacijska agencija specializirana za komunikacijo področja tehnologij, Sidera.