"Ljudski faktor" - najveći problem sigurnosti na internetu
23. septembar 2018
Brojke su alarmantne: gotovo sedamdeset posto poduzeća i institucija u Njemačkoj od početka 2016. do danas su bili žrtve kriminalnih napada preko interneta. To je rezultat jedne studije Savezne ustanove za sigurnost informacijske tehnike (BSI). U gotovo polovici slučajeva napadači su bili uspješni i uspjeli su ući u IT-sustave napadnutih poduzeća i institucija. Svaki drugi uspješni napad doveo je do zaustavljanja proizvodnje ili druge djelatnosti poduzeća ili ustanove. Uz to su napadnutim tvrtkama ili ustanovama nastali troškovi usljed razjašnjavanja napada i ponovne uspostave IT-sustava, kao i šteta za njihov imidž. Savezna udruga informacijske tehnike, telekomunikacija i novih medija Bitkom procjenjuje da tako napadnutim tvrtkama samo u Njemačkoj nastaje šteta od 55 milijarda eura godišnje. U to su uračunati gubitci usljed manje prodaje zbog plagijata, troškovi tužbi zbog kršenja autorskih prava, štete zbog nefunkcioniranja IT-sustava i zaustavljanja proizvodnje.
A taj rizik stalno raste, jer u gotovo svim sektorima raste stupanj digitalizacije. Što više aparata je međusobno povezano preko interneta, to više se mogućnosti otvara za upade hakera u tuđe sustave i ubacivanje virusa i phishing-programa.
Zaposlenici najveći izvor opasnosti
"Podjednako su ugroženi koncerni i srednje velika poduzeća", kaže Heiko Kögel, konzaltinški direktor u tvrtci Rohde & Schwarz Cybersecurity iz Münchena. Svako poduzeće koje djeluje na međunarodnoj razini mora preispitati svoj način ophođenja s osjetljivim podacima u svakodnevnom poslu, upozorava Kögel. Ovaj stručnjak koji se već više od 20 godina bavi pitanjima sigurnosti na internetu ukazuje da je "ljudski faktor" najveći izvor opasnosti. "Svako poduzeće ili ustanova funkcionira drukčije. Jedni komuniciraju puno preko društvenih mreža kao primjerice političari, drugi svakodnevno bezbroj podataka šalju u cloud, primjerice strojograđevna poduzeća koja moraju biti povezana sa svojim kooperantima, poslovnim partnerima i kupcima." Projekt sigurnosti interneta mora uvijek početi kod suradnika, naglašava Kögel.
Zato su i na kongresu nazvanom "Command Control" koji se ove godine održao prvi put (20. do 22. rujna u Münchenu) u središtu pozornosti obrazovne ponude za vodeće kadrove. Katharina Keupp, koja je na Sajmu u Münchenu odgovorna za Command Control, kaže: "Brojni djelatnici svojim ponašanjem širom otvaraju vrata napadačima iz interneta ako ne budu redovito informirani o uvijek novim mogućnostima napada."
Studija koja je provedena uoči ovog kongresa pokazala je veliku nesigurnost u vodećim kadrovima njemačkih poduzeća: "Često nedostaje stalne komunikacije o sigurnosnim rizicima u digitalnom svijetu", kaže Katharina Keupp. Prema ovoj studiji, vrlo različito se ophodi s internim sigurnosnim smjernicama: samo polovica za sigurnost odgovornih šefova kaže da se zabrana korištenja aplikacija, društvenih mreža i messaging-programa na radnom mjestu dosljedno provodi. U više od polovice njih kao najveći sigurnosni rizik navodi vlastite suradnike.
Poznata imena, velika ponuda
U središtu pozornosti minhenskoga kongresa je interaktivni konferencijski program s više od 75 stručnjaka i vodećih ljudi iz gospodarstva, znanosti i politike. Na svim skupovima su sudionici imali mogućnost uključiti se u raspravu i postavljati pitanja. A među govornicima su bili Eugene Kaspersky (Kaspersky Lab), Angelika Niebler (povjerenica Europskog parlamenta za internetsku sigurnost), Natalia Oropeza (šefica internetske sigurnosti u Siemensu) i Florian Haacke (šef internetske sigurnosti u Innogyju, poduzeću iz RWE-ovog koncerna). Uz to se održalo 25 radionica u kojima su prenesena najbolja iskustva o sigurnoj digitalizaciji.
Predstavljeni sumogući scenariji ugroze i zaštita protiv njih, kao i preporuke za korištenje clouda, mobilnih aparata i mail-programa. Heiko Kögel uz to preporuča da se IT-arhitekturu uvijek drži na najvišoj tehničkoj razini te uvede sigurnosne standarde kao što je primjerice ISO 27001. Kögel upozorava da je "bez obzira na stupanj digitalizacije svaki čovjek važan da bi se poduzeća i ustanove zaštitili od napada preko interneta".