Brez celovitega pristopa k varnosti lahko ostanete brez podatkov

»Obstajata le dve vrsti organizacij, tiste, ki so jih pohekali in tiste, ki jih bodo še shekali.«
Robert S. Mueller, III, direktor FBI

 

 

 

 

 

 

Avtor prispevka je Jernej Pirc, Certified Software Asset Manager in vodja oddelka storitev pri COMPAREX, d.o.o.

Poznam podjetje, ki je nedavno doživelo napad kriptovirusa. Napad se je začel nedolžno, z odprto priponko v elektronski pošti, v kateri se je skrival kriptovirus. Če jih ne poznate, gre za viruse, ki šifrirajo datoteke na disku računalnika in nato zahtevajo plačilo, če želite še kdaj videti svoje dokumente, fotografije ali druge dragocene vsebine. V tem podjetju je virus onemogočil delo - zaklenil je večino datotek, okužil je več kot 30% delovnih postaj in, kar je bilo najhuje, napadel je strežnike z varnostnimi kopijami. Podatki so bili nedostopni in delo kar naenkrat onemogočeno.


Da ne bi bila škoda še večja je poskrbela hitra reakcija strokovnjakov podjetja, ki vzdržuje informacijski sistem. Pa že tako ni bila majhna – več dni motenega dela in več tednov prizadevanj za vzpostavitev vzdržnega stanja, pri čemer je bil določen delež informacij izgubljen za vedno. V takih okoliščinah hitro postane jasne, da bi bile naložbe v celovito varnost drobiž v primerjavi s stroški in škodo ugledu, ki jih povzroči uspešen napad.
 

Kako smo prišli do tu?


Po incidentu ni manjkalo obtoževanj, slabe volje in kazanja s prstom na možne krivce. Toda taki dogodki nimajo enega samega krivca. Odgovornost leži na sklopu več dejavnikov, ki imajo korenine v preteklih napačnih odločitvah, zaradi česar iskanje grešnega kozla ni konstruktivno. Še posebej zaradi tega, ker so varnostne pomanjkljivosti največkrat posledica pomanjkljive in neučinkovite komunikacije med poslovnim delom in oddelkom za informacijske tehnologije. Ker med tema dvema deloma podjetja ni razumevanja, so tudi rezultati slabši.
 

Kako naprej?


Boljše rezultate je mogoče doseči z osredotočanjem na to, kaj bi lahko naredili v prihodnosti za uspešnejše ravnanje v takih primerih. Prvi korak je vsekakor ocena pomena informacijskih tehnologij za poslovanje ter priprava načrtov za odziv na različne oblike tveganj.


Pri tem si mora podjetje zastaviti celo vrsto vprašanj:

  • Kakšna tveganja bi lahko povzročili morebitni izpadi?
  • Kako je poskrbljeno za varovanje kritičnih poslovnih podatkov?
  • Kateri podatki so kritični in kje so shranjeni?
  • S katerimi orodji varujemo podatke?
  • Kako učinkoviti smo pri varovanju podatkov?
  • Kdo ima dostop do podatkov?
  • Kakšne so možnosti ponovne vzpostavitve podatkov v primeru različnih katastrof, kot so virusi, kripto-virusi, zunanji-notranji vdori, fizični vlomi, požari, poplave in naravne katastrofe?


Seznam teh vprašanj se stalno spreminja, kot se spreminjajo tveganja in grožnje. Še pred nekaj leti mobilne naprave v varnostni strategiji niso igrale tako pomembne vloge kot danes. Ali pa je bilo več poudarka na virusih, danes pa pravo grožnjo predstavljajo napadi phishing in družbeni inženiring. Spreminja se tudi pomen informacijskih tehnologij na poslovanje – izpad urejevalnika besedila ima za podjetje popolnoma druge posledice kot izpad poslovno-informacijskega sistema. Skladno s tem je seveda treba prilagoditi tudi prizadevanja in vlaganja v varnost.


Na podlagi teh odgovorov se pripravi varnostna strategija, ki usmerja prihodnje delo v skladu s strategijo podjetja. Ravno zato v pogovorih s strankami vedno poudarjamo, da tudi najnaprednejše tehnologije ne bodo rešile ničesar. Tehnologijo je treba dopolniti z vlaganji v ustrezna znanja in ozaveščanje ter tako poskrbeti za celovit pristop, ki dejansko prinaša rezultate.
 

Ljubljana, 18.01.2018

Delite članek