Velika većina poslovnih organizacija se prvenstveno fokusira na stvaranje dobrog poslovnog okruženja kroz proizvodnju, prodaju i usluge, pa često sajber bezbjednost bude zanemarena. Sa povećanjem digitalizacije u uvođenje novih tehnologija, dolazi do povećanja rizika od sajber incidenata. To može negativno uticati na rad organizacije i potrebno je razmotriti razne faktore koje mogu dovesti do toga, kao i povećati fokus na bezbjednost organizacije koja ne bi smjela biti zanemarena. Evo nekoliko savjeta kako povećati otpornost poslovne organizacije na sajber napade:
Nova godina 2022. |
SIGURNOSNI TRENING. Treba imati na umu da zaposleni u organizaciji u svom posjedu imaju korisnička imena i lozinke, kao i podatke koji su kritični za poslovanje. Sam izostanak treninga i edukacije zaposlenih je izostanak svijesti o napadu i njegovim posljedicama i to je najčešći razlog zašto je sajber napadi budu uspješni. Korisnicima bi trebalo objasniti da ne mogu prepoznati svaki sajber napad i da se to od njih i ne očekuje. Cilj sigurnosnog treninga treba biti upoznavanje sa prijetnjom i ohrabrivanje korisnika da se mogući incidenti prijave. Treba im pokazati da je sasvim uredu zatražiti pomoć kada se nešto čini sumnjivo. Korisnicima treba omogućiti da razumiju prirodu prijetnje, posebno oni korisnici koji rade u rizičnim odjeljenjima organizacije. Kao jedan od načina, neke organizacije organizuju sigurnosne treninge gdje korisnici sami pripremaju napade na druge korisnike unutar organizacije. To im pomaže da shvate proces i dobiju bolji uvid kako pravi napad funkcioniše. Druge organizacije rade edukaciju preko promotivnih materijala, organizuju radionice, kvizove i slično. Kako bi se korisnicima olakšalo, organizacije bi trebale da procijene koji bi procesi unutar organizacije mogli biti kompromitovani. Njih bi trebalo jasno definisati, kako bi se lako moglo prepoznati oponašanje nekoga ko nije detaljno upućen kako taj proces funkcioniše. Izbjeći kulturu kažnjavanja koja je duboko ukorijenjena u mnogim organizacijama koja se zasniva na vjerovanju da će korisnik koji je okrivljen ili kažnjen, sljedeći put biti nekako sposobniji da prepozna napad. U takvim situacijama dolazi do pojačanog stresa, pa i do nepovjerenja između korisnika i sigurnosnog tima organizacije. Korisnik koji se boji odmazde ili neće prijaviti propust odmah ili ga neće prijaviti uopšte. Umjesto kulture kažnjavanja, podići kulturu prijavljivanja napada, pa i onih u kojima je korisnik uradio neku akciju, što će pomoći da se napravi profil napada koji pogađaju organizaciju. Korisnicima se treba zahvaliti na doprinosu bezbjednosti organizacije, prezentovati im preduzete korake i na osnovu prikupljenih informacija izvršiti dodatnu edukaciju.
AŽURIRANJE SOFTVERA. Organizacije ulažu mnogo vremena, novca i truda na zaštitu svojih zaposlenih od sajber prijetnji, uz kupovinu vrhunskog antivirusnog softvera, uz fina podešavanja sigurnosnih politika kako bi dale najbolje rezultate u praksi i ulaganja u sigurnosne treninge, ali sve to može biti uzalud ako postoji praksa klika na “Instaliraj kasnije” (eng. Install Later ili Postpone). Ovdje je potrebno razumijevanje uloge ažuriranja softvera, kao i načina da se primjene u razumnom vremenskom okviru. Prva stvar koju treba shvatiti je da sva ažuriranja nisu jednaka. Ažuriranja možemo podijeliti na:
- sigurnosna ažuriranja koja se bave softverskim ranjivostima koje iskorištavaju napadači;
- softverska ažuriranja koja ispravljaju greške u softveru i popravljaju korisničko iskustvo;
- softverske nadogradnje koje donose novu verziju softvera sa manjim ili većim unapređenjima u odnosu na prethodnu verziju.
Iako su sva ažuriranja važna, jer unapređuju korisničko iskustvo kroz dodavanje novih mogućnosti i ispravljanja različitih softverskih grešaka (eng. bugs), sigurnosna ažuriranja su ključna u zaštiti od hakera i zlonamjernog softvera. Idealno bi bilo da se ažuriranja primjene odmah čim su dostupna, a to se može postići preko:
- Automatskog ažuriranja: Kao što je rečeno, najveći problem ažuriranja je ljudski faktor i to se može izbjeći automatizacijom procesa primjene ažuriranja. Na ovaj način se može izbjeći da korisnik stalno odgađa primjenu sigurnosnih ažuriranja unedogled, posebno kroz primjenu ažuriranja van radnog vremena organizacije. Ozbiljne organizacije mogu investirati u softver koji se koji se bavi primjenom ažuriranja (eng. patch management) koji će im dati više kontrole nad ažuriranjima i podršku za razne operativne sisteme i ostale instalirane aplikacije.
- Popis hardvera i softvera. Bez adekvatnog uvida u ono što organizacija posjeduje, nije moguće ni adekvatno primijeniti softverska ažuriranja. Zbog toga je potrebno posjedovati popis hardvera i softvera kako bi se znalo šta je ažurirano, a šta je potrebno ažurirati.
- Izbjegavanje proizvoda bez podrške. Potrebno je znati da proizvođači hardvera i softvera ne daju podrški za svoje proizvode neograničeno. Kada proizvod tehnološki zastari, proizvođači kroz razuman vremenski rok najave korisnicima prestanak podrške za takav proizvod. Sa bezbjednosne tačke gledišta takvi proizvodi predstavljaju rizik zbog pojave sigurnosnih ranjivosti koje se neće ažurirati od strane proizvođača. Pošto ažuriranje nije moguće, a takav proizvod je prilika koju napadači mogu iskoristiti da ugroze čitavu organizaciju, pa ga je potrebno je zamijeniti sa odgovarajućim alternativnim proizvodom.
- Praćenje informacija. Sigurnosni istraživači i proizvođači redovno objavljuju otkrivene ranjivosti i ispravke za njih uz detaljan opis problema i način kako ispravak radi u vidu biltena. Stoga nije loše da se izvrši pretplata na takve biltene kako bi se moglo reagovati prije nego što napadači pokušaju iskoristi otkrivene ranjivosti.
- Jednostavnost. Kako bi sebi olakšali, potrebno je broj ažuriranja svesti na minimum. To se može uraditi redukcijom broja korištenog hardvera i softvera. To znači da treba izbjeći korištenje softvera različitih proizvođača na hardveru opet različitih proizvođača. Najbolje bi bilo da se koristi softver jednog proizvođača za jednu istu stvar na hardveru jednog proizvođača širom čitave organizacije.
Kroz implementaciju ovih jednostavnih savjeta, iskustvo ažuriranja softvera može biti veoma pozitivno i može drastično pomoći u smanjivanju sajber incidenata.
KORIŠTENJE AUTENTIFIKACIJE U VIŠE KORAKA. Sajber bezbjednosni izazovi su danas veći i kompleksniji nego ikad, pa je zato korištenje autentifikacije u više koraka (eng. multi-factor authentication - MFA) postalo ključna potreba. Kompromitovana korisnička imena i lozinke su najčešći način napada na organizacije, pa dodavanje MFA kao dodatnog sloja za provjeru identiteta ima smisla. To znači ako je napadač u posjedu korisničkog imena i lozinke, uz primjenu MFA neće biti u mogućnosti da potvrdi identitet i pravo pristupa resursu koji je kompromitovan, a korisnik će biti upozoren da nešto nije uredu. Primjena MFA u sopstvenoj organizaciji obično košta novca, ali ni blizu koliko se može izgubiti ako organizacija postane žrtva sajber napada. Ako ste korisnik nečije usluge, aktivacija MFA opet ima smisla. Uglavnom čitav proces se odvija u tri faze:
Aktivacija MFA. Svaka ozbiljna poslovna organizacija kojoj pristupaju korisnici (banka, zdravstvene organizacije, Internet prodavnica) treba da ima podršku za MFA i korisnici bi trebali kroz sigurnosna podešavanja naloga da je omoguće.
Provjera. Prilikom unosa korisničkog imena i lozinke, a nakon potvrde od korisnika se zahtjeva alfa-numerički kôd. Na definisanom “pametnom” uređaju koji je korišten za podešavanje MFA, korisnik može da vidi taj kôd i da ga unese i potvrdi.
Unos. Unosom sigurnosnog kôda, korisnik dobija pristup, jer je potvrdio identitet i pravo pristupa. Ovdje bi trebalo izbjeći pamćenje korištenog uređaja (eng. remember the device you are using ili trusted device).
Metod na koji se dobija MFA kôd zavisi od implementiranog MFA riješena i korisničkog izbora, a to može biti:
MFA aplikacija. Ovo je trenutno najbolji i najsigurniji način. Ovdje je potrebno da se otvori aplikacija koja je definisana prilikom MFA podešavanja i da se iz nje pročita kôd.
MFA poruke. Ova opcija nije sigurna kao korištenje aplikacije, ali je u široj upotrebi.
MFA obavještenja. Ovo je praktično riješenje, ali nije potpuno sigurno. Ipak bolje i ovo nego, ništa.
MFA preko elektronske pošte ili poziva. Ove načine treba zaboraviti, jer napadači već uveliko koriste lažne pozive i elektronsku poštu da prevare korisnike.
Trenutno korištenje aplikacije za MFA je najsigurnija opcija. Problem je što je implementacija košta ili što nije podržana na svim platformama. U ostalim slučajevima, korištenje MFA poruka ili obavještenja je bolje od toga da se uopšte ne koristi MFA. Ako organizacija ili korisnik žele biti zaštićeni, prije ili kasnije će morati implementirati ili početi koristiti MFA.
REVIZIJA. Prvi uslov za reviziju je postojanje sigurnosne politike unutar organizacije. Nakon toga treba znati da se može uraditi interna i eksterna revizija. Prva stvar koja bi neka organizacija trebala uraditi je interna revizija, a ona treba da obuhvati sve sigurnosne politike koje se primjenjuju unutar organizacije. To mogu biti politike: sigurnosti podataka, mrežne kontrole pristupa, pravljenja rezervne kopije podataka, pravljenja i korištenja lozinki, oporavka u slučaju sajber napada, daljinskog pristupa organizaciji, korištenja elektronske pošte i Interneta, prihvatljiva upotreba resursa i slično. Nakon što se završi interna kontrola i isprave moguće nepravilnosti, može se pokrenuti eksterna revizija. To podrazumijeva angažovanje pouzdanih profesionalaca, koji će koristiti razne alata koji će im omogućiti da probaju pronaći ranjivosti unutar organizacije. Najveći nedostatak je što angažovanje sajber profesionalaca košta, a pored toga izbor profesionalaca određenog profila i kvalifikacija može biti komplikovan. Eksterna revizija će također da zavisi od uspješne komunikacije između organizacije i eksternih revizora. U slučaju da je komunikacija loše organizovana, revizija može trajati duže, koštati više i što je najvažnije može dati netačne rezultate. Ovo znači da je eksterna revizija luksuz, a ne redovan proces i ne bi je trebalo pokretati češće od jednom godišnje. Iz navedenog se vidi da je interna revizija mnogo lakša za sprovesti, međutim internim revizorima će nedostajati znanje i iskustvo profesionalnih revizora. Zbog toga je potrebno pravilno planirati interne revizije i na godišnjem nivou planirati sredstva u budžetu za eksternu reviziju.
PLAN ODGOVORA NA SAJBER PRIJETNJU. Plan odgovora na sajber prijetnju je ključan za svaku organizaciju kako bi mogla da brzo reaguje u takvoj situaciji. Nažalost ogroman broj organizacija čeka da se nešto dogodi, pa tek onda reaguju. To je na neki način normalno, jer je u ljudskoj prirodi da se nešto odgađa, posebno kada čovjek nije potpuno siguran kako da postupi sa datim problemom. A problem je što se plan odgovora na sigurnosnu prijetnju mora napraviti prije nego što do iste dođe, ali u praksi pravi se tek kada se pojavi sigurnosna prijetnja. A to je, reći će svi sajber profesionalci, pa čak i oni koji su doživjeli sigurnosnu prijetnju, daleko od ispravnog pristupa. Cilj postojanja plana je da uspostavi i testira parametre koji mogu pomoći organizaciji da smanji uticaj sajber napada od unutrašnjih ili vanjskih prijetnji. Treba biti realan i reći da postojanje plana odgovora na sajber prijetnju neće zaustaviti svaki napad, on će povećati budnost, spremnost i prilagođavanje, kako ljudi koji rade na sigurnosnoj zaštiti organizacije, tako i svih ostalih zaposlenih u istoj. Ono što svaki plan treba da sadrži je aktivnosti organizacije prije napada, aktivnosti tokom napada i aktivnosti organizacije poslije napada. Ako bi to razbili u nekoliko dijelova, to bi izgledalo ovako:
Prvi korak bi bio osnivanje tima koji će biti sastavljen od najiskusnijih IT profesionalaca zaposlenih u organizaciji, ali i šefova odjeljenja u organizaciji. Njihova saradnja će biti ključna i oni treba da imaju svu podršku od vrha organizacije. To će omogućiti da se po potrebi angažuju konsultanti, zaposle novi IT stručnjaci i organizuje edukacija i trening svih zaposlenih koji će pomagati timu za odgovor na sajber napad. Treba izabrati vođu tima, koji će voditi dokumentaciju i uspostaviti jasnu liniju komunikacije između članova tima, pa i ostalih zaposlenih.
Drugi korak je pravljenje plana. Potreban je sveobuhvatan, jasan i detaljan vodič za zaposlene u organizaciji. Bez toga nema plana odgovora na sigurnosnu prijetnju. Plan treba da sadrži pripremu, otkrivanje, analizu, obuzdavanje, zaustavljanje, oporavak i upravljanje nakon napada na organizaciju. Ključna stvar je što svaki učesnik u realizaciji plana mora jasno da zna šta je njegova odgovornost i koja je procedura postupanja u datoj situaciji.
Treći korak je prevencija i priprema sprovođenjem raznih procjena ranjivosti organizacije i drugih analiza koje će ukazivati na sigurnosne propuste. Organizacije prvenstveno trebaju vršiti obuku zaposlenih o osnovama sajber bezbjednosti kao što su upotreba kvalitetnih lozinki i prepoznavanje napada preko elektronske pošte i tako dalje. U cilju prevencije potrebno je obezbijediti adekvatne resurse i alate svakom odjeljenju unutar organizacije. Sama organizacija treba da izvrši procjenu vrijednosti branjenih sredstava u slučaju napada. Ovaj korak omogućava timu odgovornom za sajber bezbjednost da suzi branjenu površinu napada, štiteći prvenstveno najvrijedniju imovinu (podatke ili infrastrukturu), a onda ostatak organizacije, ponekad svjesno žrtvujući nešto kako bi zaustavili ili identifikovali napadača.
Četvrti korak je identifikacija i obuzdavanje. Kada dođe do sigurnosnog incidenta, tim koji je zadužen za odgovor na sajber napade odmah stupa u akciju aktivirajući plana odgovora na sigurnosnu prijetnju. To znači da počinje prikupljanje relevantnih informacija i klasifikacija ozbiljnosti napada uz dokumentovanje svega, kako bi se kasnije što više vjerodostojnih informacija predalo državnim istražnim organima. Cilj je obuzdavanje napada i zaustavljanje dalje štete unutar organizacije, što podrazumijeva razne sigurnosne prakse kao što su izolacija segmenta lokalne mreže, gašenje kompromitovanih uređaja, stavljanje svakog potencijalnog kompromitovanog uređaja u karantin i sl. Dugoročno cilj ovog koraka je vraćanje pogođenih sistema i uređaja u normalno funkcionisanje unutar organizacije.
Peti i posljednji korak je analiza incidenta. Nakon svega, pogođena organizacija mora da sprovede detaljnu istragu, izvrši identifikaciju uzroka zbog kojeg je došlo do napada, izračuna nastale gubitke u poslovanju i pripremi prijedlog strategije za sprečavanje sličnih napada u budućnosti. Ovaj korak može pokazati da je prilikom izrade plana odgovora na sajber prijetnju nešto nije uzeto u obzir, da je došlo do greške u konfiguraciji sistemima, neko se “upecao” na napada preko elektronske pošte ili je neko od zaposlenih zloupotrebio pravo pristupa. Šta god bio uzrok, skupljanje i analiza informacija treba da pokažu gdje je potrebno usmjeriti fokus za sprečavanje sigurnosnog incidenta u budućnosti.
Istinu govoreći, ne postoji “zlatno pravilo” za izradu plan odgovora na sigurnosnu prijetnju. To ne znači da ne postoje kvalitetne smjernice kako to uraditi. Na državnom nivou obično postoji nešto što se naziva »Politika Upravljanja Informacionom Sigurnošću u Institucijama« u kojima država propisuje jasne smjernice u skladu sa zakonskim okvirima kako se trebaju zaštiti državni sistemi i njena infrastruktura. Tekst dokumenta je sveobuhvatan, ali korisnika ništa ne sprečava da iz njega uzme ono što odgovara njegovoj organizaciji i na osnovu tih smjernica izradi svoj plan odgovora na sigurnosnu prijetnju.
Sajber prijetnje negativno utiču na sve korisnike kibernetičkog prostora i potrebno je uzeti u obzir te negativne uticaje. Dok drugi procesi u poslovanju organizacije mogu dobijati više pažnje, sajber bezbjednost nije stvar koja bi trebala biti zanemarena ili ignorisana. Zato sljedeći navedene savjete korisnici bi trebali imati Srećnu i bezbjednu 2022. godinu.