Se nam lahko na kratko predstavite? S čim se ukvarjate?
Sem licenciran zasebni detektiv (št. licence: 162) s končanim magisterijem na Fakulteti za varnostne vede. Pri svojem delu se v večji meri osredotočam na preventivne ukrepe v organizacijah, kjer v sodelovanju z vodstvom izvajamo ukrepe za dvig splošne varnostne kulture. Opravljam seveda tudi klasične detektivske naloge in storitve računalniške forenzike (ITdetektiv), kjer nudimo pomoč pri izgubi podatkov, kraji osebnih podatkov in spletnega izsiljevanja ter iskanje podatkov s pomočjo javnih virov, kot so spletna socialna omrežja, baze podatkov in ostalo. Storitve s področja računalniške forenzike izvaja sodelavec, mag. Filip Božič.
Sem tudi član ekipe Safe Mode, v kateri si prizadevamo dvigniti splošni nivo varovanja informacij v organizacijah, tako da izvajamo interaktivne delavnice za zaposlene v organizacijah, svetujemo pri sestavi varnostnih politik in pravilnikov ter organizacijo pripravimo na morebitne incidente in škodne dogodke, da znajo preprečevati oz. se nanje pravilno odzovejo ter omejijo njihov vpliv.
V primeru, ko smo v pogovorih za sodelovanje z novimi poslovnimi partnerji. Kako jih lahko preverimo in na kaj moramo biti pri tem pozorni?
Pri sklepanju novih poslovnih partnerstev z različnimi organizacijami je potrebno biti pazljiv. Tu seveda ne govorim o paranoji, ki je lahko prisotna v določenih organizacijah, večinoma v tistih, kjer so že imeli slabe izkušnje. Govorim o osnovnem preverjanju organizacije, kjer ugotavljamo ali izpolnjuje minimalne pogoje za uspešno partnerstvo. Veliko informacij, predvsem finančnih, lahko najdemo na spletu s pomočjo določenih brezplačnih ali plačljivih orodij. Sledimo lahko tudi medijski izpostavljenosti podjetja, njegovi vpletenosti v morebitne pravdne postopke, itd. Nek splošen vtis si lahko ustvarimo relativno hitro, vendar to včasih ni dovolj. Če gre pri našem partnerstvu za sodelovanje na področju, ki velja za nekoliko bolj občutljivo, se je v preverjanje potencialne partnerske organizacije potrebno poglobiti, še posebej, če govorimo o tuji organizaciji.
Finančni podatki, ki so javno dostopni, lahko pogosto zavajajo. Za bolj natančno analizo podjetja je detektiv vsekakor dobra izbira, le poiskati morate primernega. Več o izbiri pravega detektiva lahko preberete tudi na našem blogu.
Če naša organizacija deluje po nekih moralnih načelih in pošteni poslovni praksi, potem si želimo tudi, da bi naši poslovni partnerji delovali podobno. Podatke o tem, kako poteka dejansko poslovanje organizacije in katere so morebitne prikrite stvari, za katere organizacija ne želi, da pridejo v javnost, boste težko našli na spletu. Potrebno bo delo na terenu in pridobivanje informacij od oseb, ki so blizu organizaciji, katero preverjate.
Pravite, da je vpeljava varnostnih politik in pravilnikov v organizacijsko okolje prvi korak k zagotavljanju homogenega ter varnega delovanja organizacije. Kako naj bi varnostna politika konkretno izgledala v praksi?
Tako je, varnostne politike so osnova za uspešno, varno in homogeno delovanje organizacije. S pomočjo varnostnih politik in pravilnikov lahko zagotovimo, da so vsi v organizaciji seznanjeni s postopki in jih tudi spoštujejo. Žal pa pogosto naletimo na razkorak med teorijo in prakso.
Pri svojem delu opažam, da precej organizacij ne ubere najboljšega pristopa pri sestavi in vpeljavi varnostnih politik in pravilnikov v kulturo organizacije.
Vse varnostne politike in pravilniki morajo izhajati iz krovne varnostne politike, ki predstavlja temelj za nadaljnjo dokumentacijo. Gre za splošno politiko, kjer je ključno izpostavljena zaveza vodstva k celoviti obravnavi varovanja informacij. Na krovno politiko se potem naslanjajo področne politike, ki urejajo posamezno področje. Pri sestavi politik je pomembno, da upoštevamo dobre prakse po različnih uveljavljenih standardih in da politiko ali pravilnik prilagodimo potrebam organizacije. Vsebina politike ali pravilnika mora biti življenjska, kar pomeni tudi, da je zgledne dolžine. Napisana mora biti jasno, na način, da jo razumejo vsi, ne le tisti, ki jo je pripravil. Nekaj strani politike je dovolj, da področje, ki se ga politika dotika, dobro uredimo. Nobene potrebe ni po razvlečenih dokumentih, ki delujejo odbijajoče in jih prebere le peščica ljudi, če sploh jih. Pomemben dejavnik je tudi distribucija politike ali pravilnika zaposlenim, razpoložljivost dokumentacije in preverjanje razumevanja dokumentacije s strani zaposlenih. Sprejete dokumente morajo spoštovati vsi, od direktorja oz. najvišjega vodstva navzdol (razen, če so v politiki ali pravilniku opredeljene izjeme).
Težava v organizacijah je pogosto ta, da so politike prisotne le zato, da zadostijo določenim predpisom ali standardom, v resnici pa sploh nikoli ne zaživijo. Lahko bi rekli, da dostikrat velja “manj je več”, ko govorimo o sestavi varnostnih politik. Če je dokumentacija preveliko breme za zaposlene, na koncu ovira delovni proces, povzroča stres na delovnem mestu, itd., slabi organizacijsko in varnostno kulturo, namesto da bi jo krepila.
Pri svojem poslovanju omenjate tudi varnostne kopije. Ali nam lahko kaj več poveste o tem?
V današnjem svetu digitalizacije, kjer je čedalje več informacij v elektronski obliki je ključnega pomena, da imamo kvalitetne in ažurne varnostne kopije vedno na dosegu. Različne kibernetske nevarnosti nam pretijo skoraj na vsakem koraku in ne moremo se jim zagotovo izogniti. Največ kar lahko naredimo, poleg ozaveščanja in izobraževanja nas samih je, da smo na potencialni varnostni incident pripravljeni. Varnostne kopije so najboljša in tudi najcenejša rešitev, saj so danes informacije pravzaprav valuta 21. stoletja.
Pomembno je, da varnostne kopije naredimo na vsaj dveh zavarovanih in oddaljenih lokacijah ter si s tem zagotovimo neprekinjeno poslovanje ob morebitnem incidentu. Še posebej je to pomembno v organizacijah, ki spadajo v kritično infrastrukturo in si izpada ne morejo privoščiti. Žal opažam, da je marsikje v Sloveniji to področje slabo urejeno, najdemo pa seveda tudi nekaj primerov dobre prakse.
V podjetju ste pripravili kratek priročnik na temo izsiljevalskega virusa. Za kaj pravzaprav gre pri tem virusu?
Priročnik lahko vsakdo dobi brezplačno na naši spletni strani. Gre za trenutno najbolj perečo problematiko, ko govorimo o kibernetskih grožnjah. V letošnjem letu je število prijav krepko preseglo skupek prejšnjih štirih let. Gre torej za resno in tudi drago grožnjo, ki ne išče specifičnih tarč, ampak cilja prav vse.
Včasih so računalniški virusi uničili, pokvarili ali ukradli naše podatke. Izsiljevalski virus podatke pusti na našem računalniku, le da jih ob tem šifrira ali poenostavljeno zaklene. Do njih uporabnik ne more dostopati brez ključa za odklep oziroma dešifriranje, ki pa ga poseduje tisti, ki nam je virus poslal. V zameno napadalec ali skupina zahteva plačilo odkupnine v kripto valuti Bitcoin. Odškodnina variira in lahko znaša (preračunano) od nekaj sto do nekaj tisoč evrov, odvisno od oblike oz. različice izsiljevalskega virusa in števila datotek, ki jih virus uspe zašifrirati.
V večini primerov se uporabniki z virusom okužijo na enostaven način, kjer napadalci izrabijo človeški faktor – ga prelisičijo, da klikne na določeno povezavo na spletu ali v elektronski pošti, odpre okuženo priponko v elektronski pošti ali pa v računalnik vstavi okužen medij (npr. USB ključek). Z ekipo Safe Mode v sklopu naših delavnic predstavimo tudi to problematiko in podamo nasvete, kako se pred tovrstnimi virusi zaščiti, kot piše tudi v priročniku. Za namen delavnic imamo v posesti tudi verzijo izsiljevalskega virusa, ki ga prisotnim poženemo na naši napravi v zavarovanem okolju in jim tako v živo pokažemo, kako virus deluje. Najboljše zaščita pred izsiljevalskim virusom je, poleg previdnosti, tudi že prej omenjena varnostna kopija.
Znani so primeri, ko je po elektronski pošti krožilo sporočilo z namenom socialnega inženiringa, ki v kombinaciji s lažno (phishing) spletno stranjo poskuša od uporabnikov pridobiti njihovo Apple ID, osebne podatke in podatke njihove kreditne kartice. Ali so bili tovrstni primeri evidentirani tudi v Sloveniji?
Spletnih goljufij je danes veliko. Socialni inženiring pa je najbolj pogosto uporabljena tehnika, ki lahko nastopa samostojno ali v kombinaciji s kakšno drugo tehniko. Zakaj se jo uporablja tako pogosto (v več kot 80 %)? Zato, ker je človeka bistveno lažje pretentati, kot pa zaobiti dovršeno tehnično zaščito. Strokovnjaki že vrsto let opozarjajo, da je človek najšibkejši člen varnostne strukture organizacije in tudi domačega okolja. Sicer je fraza že nekoliko oguljena, vendar vsekakor resnična.
Primere spletnih goljufij, vdorov in drugih nevarnosti vestno evidentira slovenski SI-CERT (Computer Emergency Response Team), ki deluje pod okriljem Arnes-a. Upoštevati moramo, da so v njihovi statistiki zabeleženi le prijavljeni incidenti, mnogo pa je še tistih, ki jih nihče ne prijavi. Podjetja incidentov ne prijavljajo zaradi morebitnega vpliva na ugled, posameznikom v domačem okolju pa je pogosto vseeno ali pa ne znajo pravilno ukrepati. Ocenjuje se, da izmerjena statistika prikazuje le približno 20 % vseh incidentov (podobno kot pri klasični kriminaliteti). Za veliko večino incidentov tako žal ne moremo vedeti.
Na naših delavnicah, kjer uporabnike ozaveščamo o pravilnem ravnanju z informacijsko opremo in o zaščiti informacij, ki jih te naprave vsebujejo, vedno poudarjamo, da je situacija zelo podobna tudi v domačem okolju in da imamo tudi tam dokumente, ki jih ne želimo izgubiti (npr. slike z družinskega potovanja, prvega otroka, digitalne certifikate, itd.).
Vsekakor bo SI-CERT v bodoče še pridobil na svoji funkciji, saj prihaja v veljavo evropska zakonodaja na področju zagotavljanja varnosti informacij in poročanja o varnostnih incidentih, ki se dotika vseh organizacij, ki hranijo oz. obdelujejo osebne podatke organizacij, ki zaposlujejo večje število zaposlenih, ter ki so ponudniki kritične infrastrukture. Zagrožene bodo tudi visoke denarne kazni. Predvideno je tudi, da bodo organizacije, ki ustrezajo določenim kriterijem, morale zaposliti osebo (CIO – Chief Information Officer), ki bo neodvisna od vodstva organizacije in bo bdela nad varnostjo informacijskega premoženja organizacije.
Andrej Kovačič E: andrej.kovacic@varensvet.si