Velika
većina poslovnih organizacija se prvenstveno fokusira na stvaranje dobrog
poslovnog okruženja kroz proizvodnju, prodaju i usluge, pa često sajber
bezbjednost bude zanemarena. Sa povećanjem digitalizacije u uvođenje novih
tehnologija, dolazi do povećanja rizika od sajber incidenata. To može negativno
uticati na rad organizacije i potrebno je razmotriti razne faktore koje mogu
dovesti do toga, kao i povećati fokus na bezbjednost organizacije koja ne bi
smjela biti zanemarena. Evo nekoliko savjeta kako povećati otpornost poslovne
organizacije na sajber napade:
 |
Nova godina 2022.
|
SIGURNOSNI
TRENING. Treba imati na umu da zaposleni u organizaciji u svom posjedu
imaju korisnička imena i lozinke, kao i podatke koji su kritični za poslovanje.
Sam izostanak treninga i edukacije zaposlenih je izostanak svijesti o napadu i
njegovim posljedicama i to je najčešći razlog zašto je sajber napadi budu
uspješni. Korisnicima bi trebalo objasniti da ne mogu prepoznati svaki sajber
napad i da se to od njih i ne očekuje. Cilj sigurnosnog treninga treba biti
upoznavanje sa prijetnjom i ohrabrivanje korisnika da se mogući incidenti
prijave. Treba im pokazati da je sasvim uredu zatražiti pomoć kada se nešto
čini sumnjivo. Korisnicima treba omogućiti da razumiju prirodu prijetnje,
posebno oni korisnici koji rade u rizičnim odjeljenjima organizacije. Kao jedan
od načina, neke organizacije organizuju sigurnosne treninge gdje korisnici sami
pripremaju napade na druge korisnike unutar organizacije. To im pomaže da
shvate proces i dobiju bolji uvid kako pravi napad funkcioniše. Druge
organizacije rade edukaciju preko promotivnih materijala, organizuju radionice,
kvizove i slično. Kako bi se korisnicima olakšalo, organizacije bi trebale da
procijene koji bi procesi unutar organizacije mogli biti kompromitovani. Njih
bi trebalo jasno definisati, kako bi se lako moglo prepoznati oponašanje nekoga
ko nije detaljno upućen kako taj proces funkcioniše. Izbjeći kulturu
kažnjavanja koja je duboko ukorijenjena u mnogim organizacijama koja se zasniva
na vjerovanju da će korisnik koji je okrivljen ili kažnjen, sljedeći put
biti nekako sposobniji da prepozna napad. U takvim situacijama dolazi do
pojačanog stresa, pa i do nepovjerenja između korisnika i sigurnosnog tima
organizacije. Korisnik koji se boji odmazde ili neće prijaviti propust odmah
ili ga neće prijaviti uopšte. Umjesto kulture kažnjavanja, podići
kulturu prijavljivanja napada, pa i onih u kojima je korisnik uradio neku
akciju, što će pomoći da se napravi profil napada koji pogađaju organizaciju.
Korisnicima se treba zahvaliti na doprinosu bezbjednosti organizacije, prezentovati
im preduzete korake i na osnovu prikupljenih informacija izvršiti dodatnu
edukaciju.
AŽURIRANJE
SOFTVERA. Organizacije ulažu mnogo vremena, novca i truda na zaštitu svojih
zaposlenih od sajber prijetnji, uz kupovinu vrhunskog antivirusnog softvera, uz
fina podešavanja sigurnosnih politika kako bi dale najbolje rezultate u praksi
i ulaganja u sigurnosne treninge, ali sve to može biti uzalud ako postoji praksa klika na
“Instaliraj kasnije” (eng. Install Later ili Postpone). Ovdje je
potrebno razumijevanje uloge ažuriranja softvera, kao i načina da se primjene u
razumnom vremenskom okviru. Prva stvar koju treba shvatiti je da sva ažuriranja
nisu jednaka. Ažuriranja možemo podijeliti na:
- sigurnosna
ažuriranja koja se bave softverskim ranjivostima koje iskorištavaju
napadači;
- softverska
ažuriranja koja ispravljaju greške u softveru i popravljaju korisničko
iskustvo;
- softverske
nadogradnje koje donose novu verziju softvera sa manjim ili većim
unapređenjima u odnosu na prethodnu verziju.
Iako
su sva ažuriranja važna, jer unapređuju korisničko iskustvo kroz dodavanje
novih mogućnosti i ispravljanja različitih softverskih grešaka (eng. bugs),
sigurnosna ažuriranja su ključna u zaštiti od hakera i zlonamjernog softvera.
Idealno bi bilo da se ažuriranja primjene odmah čim su dostupna, a to se može
postići preko:
- Automatskog
ažuriranja: Kao što je rečeno, najveći problem ažuriranja je ljudski faktor
i to se može izbjeći automatizacijom procesa primjene ažuriranja. Na ovaj način
se može izbjeći da korisnik stalno odgađa primjenu sigurnosnih ažuriranja
unedogled, posebno kroz primjenu ažuriranja van radnog vremena organizacije.
Ozbiljne organizacije mogu investirati u softver koji se koji se bavi primjenom
ažuriranja (eng. patch management) koji će im dati više kontrole nad
ažuriranjima i podršku za razne operativne sisteme i ostale instalirane
aplikacije.
- Popis
hardvera i softvera. Bez adekvatnog uvida u ono što organizacija posjeduje,
nije moguće ni adekvatno primijeniti softverska ažuriranja. Zbog toga je
potrebno posjedovati popis hardvera i softvera kako bi se znalo šta je
ažurirano, a šta je potrebno ažurirati.
- Izbjegavanje
proizvoda bez podrške. Potrebno je znati da proizvođači hardvera i softvera
ne daju podrški za svoje proizvode neograničeno. Kada proizvod tehnološki
zastari, proizvođači kroz razuman vremenski rok najave korisnicima prestanak
podrške za takav proizvod. Sa bezbjednosne tačke gledišta takvi proizvodi
predstavljaju rizik zbog pojave sigurnosnih ranjivosti koje se neće ažurirati
od strane proizvođača. Pošto ažuriranje nije moguće, a takav proizvod je
prilika koju napadači mogu iskoristiti da ugroze čitavu organizaciju, pa ga je
potrebno je zamijeniti sa odgovarajućim alternativnim proizvodom.
- Praćenje
informacija. Sigurnosni istraživači i proizvođači redovno objavljuju
otkrivene ranjivosti i ispravke za njih uz detaljan opis problema i način kako ispravak radi u vidu biltena. Stoga nije loše da se izvrši pretplata na
takve biltene kako bi se moglo reagovati prije nego što napadači pokušaju
iskoristi otkrivene ranjivosti.
- Jednostavnost.
Kako bi sebi olakšali, potrebno je broj ažuriranja svesti na minimum. To se
može uraditi redukcijom broja korištenog hardvera i softvera. To znači da treba
izbjeći korištenje softvera različitih proizvođača na hardveru opet različitih
proizvođača. Najbolje bi bilo da se koristi softver jednog proizvođača za jednu
istu stvar na hardveru jednog proizvođača širom čitave organizacije.
Kroz
implementaciju ovih jednostavnih savjeta, iskustvo ažuriranja softvera može
biti veoma pozitivno i može drastično pomoći u smanjivanju sajber incidenata.
KORIŠTENJE
AUTENTIFIKACIJE U VIŠE KORAKA. Sajber bezbjednosni izazovi su danas veći i
kompleksniji nego ikad, pa je zato korištenje autentifikacije u više koraka
(eng. multi-factor authentication - MFA) postalo ključna potreba.
Kompromitovana korisnička imena i lozinke su najčešći način napada na
organizacije, pa dodavanje MFA kao dodatnog sloja za provjeru identiteta
ima smisla. To znači ako je napadač u posjedu korisničkog imena i lozinke, uz
primjenu MFA neće biti u mogućnosti da potvrdi identitet i pravo
pristupa resursu koji je kompromitovan, a korisnik će biti upozoren da nešto
nije uredu. Primjena MFA u sopstvenoj organizaciji obično košta novca,
ali ni blizu koliko se može izgubiti ako organizacija postane žrtva sajber
napada. Ako ste korisnik nečije usluge, aktivacija MFA opet ima smisla. Uglavnom
čitav proces se odvija u tri faze:
Aktivacija
MFA. Svaka ozbiljna poslovna organizacija kojoj pristupaju korisnici
(banka, zdravstvene organizacije, Internet prodavnica) treba da ima podršku za MFA
i korisnici bi trebali kroz sigurnosna podešavanja naloga da je omoguće.
Provjera.
Prilikom unosa korisničkog imena i lozinke, a nakon potvrde od korisnika se
zahtjeva alfa-numerički kôd. Na definisanom “pametnom” uređaju koji je korišten
za podešavanje MFA, korisnik može da vidi taj kôd i da ga unese i
potvrdi.
Unos.
Unosom sigurnosnog kôda, korisnik dobija pristup, jer je potvrdio identitet i
pravo pristupa. Ovdje bi trebalo izbjeći pamćenje korištenog uređaja (eng. remember
the device you are using ili trusted device).
Metod
na koji se dobija MFA kôd zavisi
od implementiranog MFA riješena i korisničkog izbora, a to može biti:
MFA
aplikacija. Ovo je trenutno najbolji i najsigurniji način. Ovdje je
potrebno da se otvori aplikacija koja je definisana prilikom MFA
podešavanja i da se iz nje pročita kôd.
MFA
poruke. Ova opcija nije sigurna kao korištenje aplikacije, ali je u široj
upotrebi.
MFA
obavještenja. Ovo je praktično riješenje, ali nije potpuno sigurno. Ipak
bolje i ovo nego, ništa.
MFA
preko elektronske pošte ili poziva. Ove načine treba zaboraviti, jer
napadači već uveliko koriste lažne pozive i elektronsku poštu da prevare
korisnike.
Trenutno
korištenje aplikacije za MFA je najsigurnija opcija. Problem je što je
implementacija košta ili što nije podržana na svim platformama. U ostalim
slučajevima, korištenje MFA poruka ili obavještenja je bolje od toga da
se uopšte ne koristi MFA. Ako organizacija ili korisnik žele biti
zaštićeni, prije ili kasnije će morati implementirati ili početi koristiti MFA.
REVIZIJA.
Prvi uslov za reviziju je postojanje sigurnosne politike unutar organizacije.
Nakon toga treba znati da se može uraditi interna i eksterna revizija. Prva stvar koja bi neka organizacija trebala
uraditi je interna revizija, a ona treba da obuhvati sve sigurnosne politike
koje se primjenjuju unutar organizacije. To mogu biti politike: sigurnosti
podataka, mrežne kontrole pristupa, pravljenja rezervne kopije podataka,
pravljenja i korištenja lozinki, oporavka u slučaju sajber napada, daljinskog
pristupa organizaciji, korištenja elektronske pošte i Interneta, prihvatljiva
upotreba resursa i slično. Nakon što se završi interna kontrola i isprave
moguće nepravilnosti, može se pokrenuti eksterna revizija. To podrazumijeva
angažovanje pouzdanih profesionalaca, koji će koristiti razne alata koji će im
omogućiti da probaju pronaći ranjivosti unutar organizacije. Najveći nedostatak
je što angažovanje sajber profesionalaca košta, a pored toga izbor
profesionalaca određenog profila i kvalifikacija može biti komplikovan.
Eksterna revizija će također da zavisi od uspješne komunikacije između
organizacije i eksternih revizora. U slučaju da je komunikacija loše
organizovana, revizija može trajati duže, koštati više i što je najvažnije može
dati netačne rezultate. Ovo znači da je eksterna revizija luksuz, a ne redovan
proces i ne bi je trebalo pokretati češće od jednom godišnje. Iz navedenog se
vidi da je interna revizija mnogo lakša za sprovesti, međutim internim
revizorima će nedostajati znanje i iskustvo profesionalnih revizora. Zbog toga
je potrebno pravilno planirati interne revizije i na godišnjem nivou planirati
sredstva u budžetu za eksternu reviziju.
PLAN
ODGOVORA NA SAJBER PRIJETNJU. Plan
odgovora na sajber prijetnju je ključan za svaku organizaciju kako bi mogla
da brzo reaguje u takvoj situaciji. Nažalost ogroman broj organizacija čeka da
se nešto dogodi, pa tek onda reaguju. To je na neki način normalno, jer je u
ljudskoj prirodi da se nešto odgađa, posebno kada čovjek nije potpuno siguran
kako da postupi sa datim problemom. A problem je što se plan odgovora na
sigurnosnu prijetnju mora napraviti prije nego što do iste dođe, ali u praksi
pravi se tek kada se pojavi sigurnosna prijetnja. A to je, reći će svi sajber
profesionalci, pa čak i oni koji su doživjeli sigurnosnu prijetnju, daleko od
ispravnog pristupa. Cilj postojanja plana je da uspostavi i testira parametre
koji mogu pomoći organizaciji da smanji uticaj sajber napada od unutrašnjih ili
vanjskih prijetnji. Treba biti realan i reći da postojanje plana odgovora na
sajber prijetnju neće zaustaviti svaki napad, on će povećati budnost, spremnost
i prilagođavanje, kako ljudi koji rade na sigurnosnoj zaštiti organizacije,
tako i svih ostalih zaposlenih u istoj. Ono što svaki plan treba da sadrži je
aktivnosti organizacije prije napada, aktivnosti tokom napada i aktivnosti
organizacije poslije napada. Ako bi to razbili u nekoliko dijelova, to bi
izgledalo ovako:
Prvi
korak bi bio osnivanje tima koji će biti sastavljen od najiskusnijih IT
profesionalaca zaposlenih u organizaciji, ali i šefova odjeljenja u
organizaciji. Njihova saradnja će biti ključna i oni treba da imaju svu podršku
od vrha organizacije. To će omogućiti da se po potrebi angažuju konsultanti,
zaposle novi IT stručnjaci i organizuje edukacija i trening svih zaposlenih
koji će pomagati timu za odgovor na sajber napad. Treba izabrati vođu tima,
koji će voditi dokumentaciju i uspostaviti jasnu liniju komunikacije između
članova tima, pa i ostalih zaposlenih.
Drugi
korak je pravljenje plana. Potreban je sveobuhvatan, jasan i detaljan vodič
za zaposlene u organizaciji. Bez toga nema
plana odgovora na sigurnosnu prijetnju. Plan treba da sadrži pripremu,
otkrivanje, analizu, obuzdavanje,
zaustavljanje, oporavak i upravljanje nakon napada na organizaciju.
Ključna stvar je što svaki učesnik u realizaciji plana mora jasno da zna šta je
njegova odgovornost i koja je procedura postupanja u datoj situaciji.
Treći
korak je prevencija i priprema sprovođenjem raznih procjena ranjivosti
organizacije i drugih analiza koje će ukazivati na sigurnosne propuste.
Organizacije prvenstveno trebaju vršiti obuku zaposlenih o osnovama sajber
bezbjednosti kao što su upotreba kvalitetnih lozinki i prepoznavanje napada
preko elektronske pošte i tako dalje. U cilju prevencije potrebno je
obezbijediti adekvatne resurse i alate svakom odjeljenju unutar organizacije.
Sama organizacija treba da izvrši procjenu vrijednosti branjenih sredstava u
slučaju napada. Ovaj korak omogućava timu odgovornom za sajber bezbjednost da
suzi branjenu površinu napada, štiteći prvenstveno najvrijedniju imovinu
(podatke ili infrastrukturu), a onda ostatak organizacije, ponekad svjesno
žrtvujući nešto kako bi zaustavili ili identifikovali napadača.
Četvrti
korak je identifikacija i obuzdavanje. Kada dođe do sigurnosnog incidenta,
tim koji je zadužen za odgovor na sajber napade odmah stupa u akciju
aktivirajući plana odgovora na sigurnosnu prijetnju. To znači da počinje
prikupljanje relevantnih informacija i klasifikacija ozbiljnosti napada uz
dokumentovanje svega, kako bi se kasnije što više vjerodostojnih informacija
predalo državnim istražnim organima. Cilj je obuzdavanje napada i zaustavljanje
dalje štete unutar organizacije, što podrazumijeva razne sigurnosne prakse kao
što su izolacija segmenta lokalne mreže, gašenje kompromitovanih uređaja,
stavljanje svakog potencijalnog kompromitovanog uređaja u karantin i sl.
Dugoročno cilj ovog koraka je vraćanje pogođenih sistema i uređaja u normalno
funkcionisanje unutar organizacije.
Peti
i posljednji korak je analiza incidenta. Nakon svega, pogođena organizacija
mora da sprovede detaljnu istragu, izvrši identifikaciju uzroka zbog kojeg je
došlo do napada, izračuna nastale gubitke u poslovanju i pripremi prijedlog strategije
za sprečavanje sličnih napada u budućnosti. Ovaj korak može pokazati da je
prilikom izrade plana odgovora na sajber prijetnju nešto nije uzeto u obzir, da
je došlo do greške u konfiguraciji sistemima, neko se “upecao” na napada preko
elektronske pošte ili je neko od zaposlenih zloupotrebio pravo pristupa. Šta
god bio uzrok, skupljanje i analiza informacija treba da pokažu gdje je
potrebno usmjeriti fokus za sprečavanje sigurnosnog incidenta u budućnosti.
Istinu
govoreći, ne postoji “zlatno pravilo” za izradu plan odgovora na sigurnosnu
prijetnju. To ne znači da ne postoje kvalitetne smjernice kako to uraditi. Na
državnom nivou obično postoji nešto što se naziva »Politika Upravljanja
Informacionom Sigurnošću u Institucijama« u kojima država propisuje jasne
smjernice u skladu sa zakonskim okvirima kako se trebaju zaštiti državni sistemi
i njena infrastruktura. Tekst dokumenta je sveobuhvatan, ali korisnika ništa ne
sprečava da iz njega uzme ono što odgovara njegovoj organizaciji i na osnovu
tih smjernica izradi svoj plan odgovora na sigurnosnu prijetnju.
Sajber
prijetnje negativno utiču na sve korisnike kibernetičkog prostora i potrebno je
uzeti u obzir te negativne uticaje. Dok drugi procesi u poslovanju organizacije
mogu dobijati više pažnje, sajber bezbjednost nije stvar koja bi trebala biti
zanemarena ili ignorisana. Zato sljedeći navedene savjete korisnici bi trebali
imati Srećnu i bezbjednu 2022. godinu.
