Podatki so varni toliko, kolikor nam je mar zanje

Za krajo podatkov smo zelo pogosto krivi sami, pa naj gre za namerno ali nenamerno zlorabo. Zato je ključno, da svoje zaposlene redno izobražujemo o varnosti ter jim na konkretnih primerih pokažemo, kako se odzvati na različne poskuse kraje podatkov.

Informacijska varnost je v digitalizirani dobi še kako pereča tema. Ker 100-odstotna varnost v praksi ne obstaja, moramo vedeti, kateri podatki v našem podjetju so še posebej dragoceni, in se vedno znova vprašati, ali smo naredili dovolj za to, da so ti podatki čim bolj varni.

Tokrat bomo iskali vzroke za računalniške incidente, tj. nize dogodkov, ki vplivajo na varnost omrežja, naprave ali podatkov, s poudarkom na kraji podatkov, ter odgovarjali, ali lahko te incidente preprečimo.

Človeški faktor je eden glavnih vzrokov kraje podatkov

Do podatkov zlonamerni napadalci lahko pridejo preko tako imenovanega "ransom virusa", ki ga nekako vtihotapijo v podjetje, zakodirajo podatke, nato pa začnejo izsiljevati podjetje. To je le en primer vrste tehničnega napada, ki jih je nacionalni odzivni center za kibernetsko varnost SI-CERT v letu 2018 obravnaval kar 719, tj. 30 % vseh obravnavanih. A tehnični napadi niso prevladujoča oblika kibernetskih incidentov.

  • SI-CERT je leta 2018 obravnaval 6 % več incidentov kot 2017.

Vir: SI-CERT, 2018

Za krajo oziroma odtekanje podatkov in informacij je pogosto kriv človek. S tem se strinja tudi Samo Gaberšček, strokovnjak za informacijsko varnost, in potrjuje, da je človeški faktor zelo pomemben sestavni del informacijske varnosti.

Skoraj vsi incidenti na področju informacijske varnosti se danes začnejo z neko obliko človeške aktivnosti, npr. heker poišče ranljivost v sistemu ali pa uporabnik stori napako. Tudi vzroki za zlorabe v podjetjih so različni. Lahko gre za namerne zlorabe, kot je npr. načrtovano odtekanje informacij h konkurenci, pogosto pa so tovrstni incidenti posledica nenamernega dejanja oz. človeške napake, ko zaposleni pošlje e-pošto na napačen naslov ipd. Incidentov, do katerih pride zaradi tehnične okvare ali naravnega dogodka, pa je danes pravzaprav zelo malo.

Samo Gaberšček, strokovnjak za informacijsko varnost

Kaj naj storimo ob kraji podatkov ali drugem incidentu?

V primeru suma zlorabe priporočamo prijavo incidenta na SI-CERT z namenom strokovne pomoči pri identifikaciji težave, pomoči pri njeni odpravi, zamejitvi in odpravi posledic. Pri sumu kaznivega dejanja je hkrati potrebna tudi prijava policiji, če gre za sum zlorabe osebnih podatkov, pa Informacijskemu pooblaščencu.

Po podatkih in izkušnjah SI-CERT številne žrtve vdora, okužbe ali kraje podatkov ne prijavijo, saj menijo, da je prijava incidenta zanje še dodatna kazen, bojijo pa se tudi morebitne javne izpostavljenosti in izgube ugleda. Vendar pa oškodovani pogosto nimajo specialističnih znanj in izkušenj, s katerimi bi lahko našli vzroke za incidente in odstranili posledice. SI-CERT nam lahko nudi pomoč, s svojim znanjem pa močno poveča možnost, da incident uspešno rešimo.

Ob kraji podatkov lahko SI-CERT ...

  • Obravnava prijavo varnostnega incidenta, tj. opravi analizo in klasifikacijo dogodka.
  • V fazi raziskovanja poskuša pripraviti ukrepe, da čim bolj zameji posledice incidenta.
  • Odstrani nastalo škodo in povrne sistem v prvotno stanje, če je to izvedljivo.
  • Z aktivnostmi po incidentu spremlja trende, tako opazi nove ranljivosti in gradi zavedanje.
  • Ozavešča in izobražuje glede priporočil in opozoril.

Kaj pa lahko glede preventive naredimo sami?

#1 Naš odziv šteje

Dejstvo je, da kraje podatkov ni mogoče v celoti preprečiti, lahko pa delujemo v smeri, da poskušamo zaznati potencialne anomalije ter v skladu z njimi tudi ustrezno ukrepati. Potrebujmo načrt ukrepanja v primeru incidenta za obveščanje in vključitev deležnikov, saj je le tako mogoče hitreje zamejiti posledice incidenta.

#2 Vpeljimo standarde za izboljšanje informacijske varnosti

Na voljo imamo različne vzvode, kako lahko tovrstne incidente karseda zmanjšamo oziroma omilimo. V Mikrocopu denimo ravnamo v skladu s sistemom vodenja varovanja informacij ISO/IEC 27001 ter redno nadgrajujemo nadzorne mehanizme, s katerimi zagotavljamo visoko kakovost in varnost rešitev. Z vpeljavo takih standardov v samo kulturo podjetja za informacijsko varnost naredimo veliko.

#3 V znanju je moč, pomagajo konkretni primeri

Zelo pomembno je tudi stalno izobraževanje zaposlenih. Zaposleni naj na konkretnih primerih spoznajo potencialne grožnje. Naučimo jih lahko, kako prepoznati t. i. "phishing mail", kako nanj odreagirati in kako ga nazadnje poslati sodelavcem v IT ali varnostnem oddelku, ki bodo to sporočilo proučili in ustrezno odreagirali.

Navkljub rednemu izobraževanju in opozarjanju se lahko vseeno zgodi, da zaposleni določeno grožnjo nenamerno spregledajo. V takih primerih je pomembno, da imamo ustrezno programsko opremo ter protokole, ki narekujejo, kako se odzvati v taki situaciji.

  • Jasno moramo opredeliti, kateri podatki so zares dragoceni. Predvsem pa mora biti vsem, ki so z njimi v stiku, zanje resnično mar. Le tako lahko dosežemo visoko stopnjo informacijske varnosti.

 

Vas zanima več? Stopite v stik z nami!



Jan Pagon

Jan Pagon je vodja informacijske varnosti v Mikrocopu. Dnevno spremlja in upravlja tveganja informacijske varnosti, svoje znanje in izkušnje pa vlaga v snovanje, varnostna preverjanja in skrb za kakovost InDoc EDGE. Verjame v preventivo, zato kontinuirano ozavešča, izobražuje in spodbuja zaposlene k varnemu ravnanju v digitalnem svetu.

PREBERITE TUDI