Moderno poslovanje podrazumijeva digitalizaciju što većeg broja procesa unutar kompanije. Računari i računarske mreže se podrazumijevaju u svim preduzećima od malih do velikih preduzeća. Sigurnost računarskih mreža je postala jedan od najvažnijih zadataka u posljednjim godinama.
Prema istraživanjima Verizon.com za 2021. godinu 85% hakerskih napada su uključivali iskorištavanje ljudskih grešaka. Velika većina ovih grešaka se dešava nenamjerno, zbog nedostatka edukacije uposlenika ili nedovoljnog stepena zaštite IT infrastrukture unutar kompanije.
Više je uglova iz kojih možemo posmatrati odgovornost uposlenika prema pozicijama koje obnašaju unutar kompanije:
UREDSKI UPOSLENIK
– Obično ima najmanji stepen edukacije o mogućnostima hakerskog napada iako najveći dio svog radnog vremena provede koristeći e-mail, internet i računar uopšte. Rijetko ima priliku učestvovati u izradi politika sigurnosti u kompaniji ili donositi prijedloge ili odluke za poboljšanje sigurnosti IT sistema. Na ovaj način, predstavlja savršenu metu za hakerski napad na kompaniju.
– Prijedlog: raditi kontinuiranu edukaciju uposlenika o opasnostima koje se mogu desiti korištenjem IT tehnologija, kako prepoznati potencijalnu opasnost i na koji način se zaštititi od istih.
IT ADMINISTRATOR
– Po prirodi posla, vrlo često svjestan potencijalnih opasnosti, poznaje politike sigurnosti unutar kompanije i aktivno učestvuje u predlaganju i nabavci novih sigurnosnih rješenja. Jedan od problema u malim i srednjim preduzećima je nepostojanje ili premali broj IT administratora, tako da se njihova funkcija svede na sitne popravke računara i opreme ili održavanje mrežnog dijela IT infrastrukture. Posljedično, vrlo malo vremena imaju za edukaciju u segmentu sigurnosti sistema, a potencijalni napadači prebrzo napreduju i izvode sofisticiranije napade na sistem. Primjetan je i trend odlaska IT stručnjaka na bolje plaćene poslove u inozemstvu, te je sve teže pronaći, obučiti i zadržati IT administratora unutar kompanije koja se ne bavi IT industrijom.
– Prijedlog: „outsourcing“ IT administratorskih obaveza kompanijama koje imaju educirane i certificirane stručnjake za više oblasti unutar informacionih tehnologija. Na ovaj način, dobijate timove stručnjaka koji su sposobni odgovoriti na sve zahtjeve modernih tehnologija. Drugi način je ulaganje u kontinuiranu edukaciju vlastitih IT administratora, te upošljavanje „security“ administratora ili CISO (Chief Information Security Officer).
CISO (Chief Information Security Officer)
– Ova pozicija se zasada u Bosni i Hercegovini odnosi samo na velike kompanije ali u Zapadnoj Evropi je obavezna i u srednjim preduzećima. Radi se o uposlenicima koji se veoma svjesni stepena rizika koji nosi hakerski napad na IT infrastrukturu kompanije kao i troškovima koje kompanija može imati (pored novčanog gubitka, tu su i gubitak/curenje informacija ili podataka, zaključavanje podataka, gubitak reputacije, u kompanijama sa automatizovanom proizvodnjom pogrešna podešavanja na mašinama ili upravljačkim sistemima itd.). Direktno je zadužen za uspostavljanje, organizaciju i održavanje korporativnih sigurnosnih politika, vizije i strategije. Jedan od čestih problema je nedostatak razumijevanja od strane donosioca odluka za realizaciju vizija i planova, uzrokovano različitim pogledom na problem (CISO i CEO/CFO vrlo rijetko imaju isto gledište o finansijama i IT sigurnosti).
– Prijedlog: Upošljavanje CISO stručnjaka je odlična odluka za svaku kompaniju koja u procjeni rizika otkrije da su potencijalni rizici veći od troškova radnog mjesta CISO stručnjaka. Većina ostalih resursa kompanije su zaštićeni na neki način (lična i tehnička zaštita, osiguranje imovine i uposlenika, osiguranje intelektualne imovine…), tako da je CISO stručnjak korak prema osiguranju računarske infrastrukture prema kojoj se poslovanje svake kompanije sve više prenosi.
CEO/CFO/COO
– Kao najprominentniji članovi top managementa zaduženi za donošenje odluka i upravljanje resursima kompanije. Na osnovu analiza i procjena rizika, kao i informacija i prijedloga koje dobijaju od IT administratora i CISO stručnjaka donose odluke o stepenu zaštite IT infrastrukture shodno raspoloživom budžetu za ovu namjenu. U malim i srednjim kompanijama direktori ili vlasnici kompanija su prezauzeti operativnim aktivnostima te rijetko budu upoznati sa rizicima po IT infrastrukturu. Veliki procenat odgovornih osoba u kompanijama ulaganje u IT infrastrukturu posmatra kao trošak (ne kao ulaganje) te određuje minimalni budžet za računarsku opremu i sigurnost IT infrastrukture.
– Prijedlog: napraviti analizu potencijalnih rizika od gubljenja podataka, novca, curenju informacija, industrijske i komercijalne špijunaže, gubitka reputacije i ostalih potencijalnih opasnosti te na osnovu toga donošenje odluka o ulaganju u IT infrastrukturu, ali i kontinuiranu edukaciju uposlenika o potencijalnim opasnostima. Bitno je napomenuti da hakeri svakodnevno ojačavaju svoju poziciju te smišljaju nove načine za sticanje sredstava koja ponovo ulažu u moderne tehnologije za lakše penetriranje u korporativne IT mreže. Jedini odgovor na ove napade mora biti povećanje ulaganja i edukacije svih korisnika informacionih tehnologija.
Zaključak
Dolazimo do zaključka da svi akteri u procesima u kojima koriste informacione tehnologije imaju odgovornost prema sigurnosnim procedurama unutar kompanije. Naravno, najveću odgovornost imaju osobe koje se nalaze na vrhu kompanije i donose odluke, jer svojim odlukama mogu bitno uticati na borbu protiv zlonamjernih hakerskih napada. Percepcija opasnosti po kompaniju se pomjera sa „realnog“ svijeta u digitalni svijet. Kompanije ulažu resurse u fizičku zaštitu (video nadzor, security kompanije, ograde, elektronske brave…) a u principu većina resursa se danas nalazi u digitalnom svijetu. Neophodno je da se svi korisnici informacionih tehnologija upoznaju sa potencijalnim opasnostima i edukuju se na koji način da se odbrane od cyber napada.