Komunikacije in varnost: igra mačke z mišjo
Vsako podjetje si prizadeva (za)ščititi občutljive podatke. A pogosto niso na udaru le shranjeni podatki, napadalci lahko zelo veliko informacij odnesejo tudi, če najdejo pot do komunikacijskih kanalov in rešitev podjetja. Dodatne skrbi za CIO, torej.
Vodstva družb se vse bolj zavedajo imperativa zaščite intelektualne lastnine in komunikacij podjetja pred nepooblaščenimi vpogledi. Ker večina podjetij še vedno ne premore direktorja za varnost (CSO), ta naloga pogosto pristane na seznamu opravil direktorja informatike (CIO). Oddelek IT tako predstavlja prvo obrambno linijo, ko gre za zaščito tehnologij in komunikacijskih rešitev, ki jih uporabljajo zaposleni.
Prav na zaposlene pa meri večina napadalcev in škodljivih kod, saj jih kiberkriminalci pogosto vidijo kot najšibkejši člen varnostne verige. Različne spletne in e-poštne prevare, ki zaposlene prepričajo, da svoja uporabniška imena in gesla vnesejo v lažne spletne strani in tako podatke malodane izročijo hekerjem, so nadvse priljubljene. Težava ni zgolj prevarantska e-pošta, ki se ji skorajda ni mogoče izogniti, vedno večjo grožnjo predstavljajo tudi prevare, ki uporabnike dosežejo prek družbenih omrežij. Lanskoletni napad na podjetje Equifax v ZDA je lep primer, kako učinkovite so lahko prevare. Napadalci niso le odnesli osebnih podatkov in podatkov kreditnih kartic okoli 150 milijonov uporabnikov (pretežno Američanov), tudi odziv podjetja je bil slab. Dva tvita iz uradnega Equifax Twitter profila sta namreč vsebovala povezavo do lažne Equifax strani, pri čemer sta uporabnike obveščala, da so bili njihovi podatki zlorabljeni.
Enkripcija mora poslovnim okoljem preprosto »priti v kri«.
Zdi se, da v trenutku, ko podjetje zaposlene izobrazi o eni vrsti varnostne grožnje, že vzklije nova. Prav tako se zdi, da z vsakim varnostnim popravkom hekerji postanejo še močnejši – kako tudi ne bi, saj z denarjem oziroma informacijami, ki jih ukradejo, lahko še pospešeno financirajo svojo (žal donosno) kriminalno dejavnost. Direktorji informatike imajo torej zahtevno nalogo. Skrbeti morajo ne le za to, da bo tehnologija podpirala razvoj poslovanja, in krpati ter posodabljati sisteme in aplikacije, temveč morajo poskrbeti še za informacijsko varnost okolij, ki se zdijo kot trup ogromne ladje, ko pluje po morju, polnem piratov, ki samo čakajo priložnost, kdaj jo bodo navrtali in potopili.
Vloga ponudnikov varnostnih rešitev
Težava je v tem, ko je enkrat ranljivost odkrita, je ponavadi že prepozno. V povprečju napadalci v sistemih in omrežju podjetja prebijejo okoli sto dni, preden jih kdo odkrije (oseba ali varnostna rešitev). Podjetja in CIO se zato vse pogosteje obračajo po pomoč k ponudnikom varnostnih rešitev in jih vedno več implementirajo. A te morajo biti predvsem celovite, saj napadalci pogosto poiščejo najšibkejše dele obrambe in ne vdirajo tam, kjer je zaščita najmočnejša. Požarni zidovi, protivirusna programska oprema, programje za odkrivanje škodljivih kod, sistemi za odkrivanje vdorov – vse to in še marsikaj drugega je danes nepogrešljiv del informacijske varnosti poslovnih okolij. Ponudniki si manejo roke, saj zaslužijo vedno več. Podjetja namreč pogosto nagovorijo še k zakupu oblačnih in drugih varnostnih storitev, ki zagotavljajo stalen nadzor delovanja sistemov in omrežja. Sodoben oddelek informatike bi moral imeti tudi lastno varnostno ekipo. Seveda si tega manjša podjetja ne morejo privoščiti, zato pa vedno več programske opreme najemajo v obliki storitve iz oblaka – tam jo redno posodablja in skrbi za njeno varnost ponudnik.
Kako (za)ščititi komunikacije?
Varnostni strokovnjaki podjetjem svetujejo, naj več pozornosti namenijo zaščiti komunikacij, saj so te ne le vektor napada, temveč pogosto kar tarča napadalcev. Priporočajo kriptiranje vseh komunikacij, tako govornih kot e-pošte, med varnostnimi rešitvami pa uporabo rešitev, ki v realnem času opravljajo preverjanje spletnih naslovov (URL) ter odkrivajo škodljive kode.
V poslovnem svetu se večina komunikacije z zunanjim svetom (torej s svetom zunaj podjetja) dogaja prek e-pošte, a jo počasi zamenjujejo različne druge rešitve, pretežno oblačne, namenske aplikacije, saj neželena pošta in poskusi prevar, ki se prebijejo čez najrazličnejše filtre, še vedno dokazujejo, da varnostne rešitve niso vsemogočne.
Posebno pozornost je treba nameniti mobilnim napravam, saj so te z vidika tveganja še bistveno bolj izpostavljene – morebitni napadalci jih lažje odtujijo. Vsa vsebina na njih naj bo kriptirana, namestiti velja varnostne rešitve, ki ločijo zasebno vsebino od službene, in rešitve za upravljanje mobilnih naprav na daljavo. Tako tudi v primeru izgube ali kraje pametnega telefona ali prenosnika skrbnik IT-napravo preprosto zaklene in iz nje na daljavo pobriše občutljive podatke.
