Prije desetak godina bili smo usredotočeni na mogućnosti koje nam nove tehnologije pružaju, no danas je sigurnost ključan čimbenik njihove uspješnosti, rekao je Davor Majetić, predsjednik Uprave tvrtke Atento, otvarajući dvodnevnu konferenciju Dani informacijske sigurnosti.
Poslovanje u krizi zahtijeva veću fleksibilnost i operativnost, greške se skuplje plaćaju, uz smanjene proračune od IT odjela se traži da osiguraju istu ili veću razinu sigurnost. "Prijetnje su sve veće, novaca je sve manje, a ljudi sa znanjem našli su se na tržištu“, kaže Gabrijela Jurica iz konzultantske tvrtke Trilix. U takvim okolnostima tvrtke si ne mogu dozvoliti gubitak kupaca i reputacije, tako da se više pozornosti posvećuje prepoznavanju rizika.
Istraživanje koje je provela Association of Certified Fraud Examiners pokazuje da su ciljani napadi na informacijske sustave u ovoj godini gotovo udvostručeni u odnosu na prethodnu, s 15 na 28 posto, dok je broj nasumičnih napada pao s 39 na 28 posto. Broj ciljanih oportunističkih napada, pri kojem napadač testira sustave unutar nekog sektora i onda odabire najslabiji za metu, ostao je na sličnoj razini, uz blagi pad sa 46 na 44 posto. To pokazuje da napadači u krizi pažljivo odabiru žrtve, zaključuje Gabrijela Jurica. Napadi, odnosno prijevare najčešće dolaze putem elektroničke pošte (36 posto), a slijede osobni kontakt (29 posto) te mobitel (21 posto).
U blagom padu su incidenti izazvani od strane poslovnih partnera, sa 42 na 41 posto, što se tumači time da tvrtke u krizi paze da ne izgube partnere. U padu su i incidenti mrežnih administratora (s 50 na 38 posto), što se pak tumači time da se greške u sadašnjim okolnostima skuplje plaćaju, pa se više pazi. No, udjel incidenata izazvanih greškama menadžmenta porastao je s 2 na 9,5 posto, dok je udjel incidenata s nepoznatim izvorom udvostručen, s 5 na 10 posto.
Darko Perhoč iz Nacionalnog središta za računalnu sigurnost (CERT) pri CARNet-u rekao je da godišnje zaprime oko stotinjak prijava o napadima, ali po njegovoj procjeni napada je puno više. Mnogi napade ne prijave jer ih nisu ni svjesni, a i nisu upoznati s djelovanjem CERT-a, koji je osnovan s ciljem prikupljanja i analiziranja informacija o sigurnosnim incidentima u kojima je barem jedna uključena strana (napadač ili napadnuti) iz Hrvatske, te kako bi posredovao pri rješavanju sigurnosnih incidenata.
Oko 40 posto zabilježenih incidenata odnosi se na phishing (oblik prijevare pri kojem neovlašteni korisnici korištenjem lažnih poruka elektroničke pošte i lažnih web stranica većinom financijskih organizacija pokušavaju korisnika navesti na otkrivanje povjerljivih osobnih podataka) te na mrežne zloporabe slanja neželjene elektroničke pošte (spam).
Kao jedan od najčešćih oblika zloporabe Perhoč je naveo takozvane botnet napade pri kojima se koristi mreža zaraženih računala (zombie) kojom s daljine upravlja tzv. bot master računalo. Vlasnici zaraženih računala najčešće ni ne znaju da su ona zaražena. Prema podacima CERT-a od 23. do 31 listopada na takav je način u Hrvatskoj zaraženo 362 računala, a Perhoč kaže kako je tjedni prosjek oko 200 zaraženih. Ako se promatraju internetski provideri, na najvećem udaru je HT, a slijede ga Optima telekom i Carnet.
Globalno istraživanje konzultantske tvrtke Ernst & Young, koje je obuhvatilo 1.865 kompanija iz 61 zemlje među kojima je i devet hrvatskih, pokazalo je da je sigurnost još uvijek uglavnom pod okriljem IT odjela. Usprkos krizi 40 posto ispitanih tvrtki povećalo je udjel IT troškova u odnosu na ukupne troškove, dok je 52 posto tvrtki zadržalo približno istu razinu. Tek je osam posto tvrtki smanjilo udjel IT troškova u ukupnih troškovima kompanije, rekla je Lidija Baković, menadžerica za sigurnost iz Ernst & Young, koja je predstavila istraživanje.
Strategiju informacijske sigurnosti ima 56 posto ispitanih tvrtki, ali tek 77 posto tih strategija je usklađeno s poslovnim strategijama.
Veću pozornost trebalo bi posvetiti uništavanju podataka koji više nisu nužni kako ne bi došlo do njihove zlouporabe, a Baković je u tom kontekstu kao pozitivan primjer spomenula Hrvatsku narodnu banku (HNB) i Agenciju za nadzor financijskih usluga (Hanfa) koje su propisima regulirale upravljanje podacima. Većina tvrtki shvatila je i važnost uspostavljanja pravila o korištenju lozinki.
Gabrijela Jurica među mjerama za povećanje sigurnosti spomenula je promjenu prvotnih postavki, izbjegavanje dijeljenja računa, nadzor nad administracijskim računima, pregled logova aplikacija…
Među glavnim ciljevima na području informacijske sigurnosti ispitane kompanije u istraživanju Ernst & Younga navode unapređenje procesa upravljanja rizikom, uvođenje procesa za sprečavanje curenja podataka te povećanje razine svjesnosti o važnosti informacijske sigurnosti.