e-Privredni

A+ A A-

Uz programe važni su i ljudi

Cyber sigurnost postala je nova Ahilova peta kompanija zbog velikog broja računalno-sigurnosnih incidenata koji su rezultirali značajnim gubicima u društvima, ali i novim propisima koji uređuju to područje. Glavni je to zaključak PwC - Godišnje ankete korporativnih direktora za 2014. (Annual Corporate Directors Survey 2014), koju je na temelju odgovora 863 izvršna direktora, članova upravnih odbora svjetskih društava uvrštenih na burzu, provela kompanija PricewaterhouseCoopers koja pruža revizorske usluge te računovodstveno, porezno i poslovno savjetovanje.

Zanimanje za učinkovit nadzor cyber sigurnosti, stoji u istraživanju, je u porastu. Naime, 57 posto ispitanih direktora stavlja cyber sigurnost na dnevni red upravnih odbora, dok njih 87 posto smatra važnim da članovi tih odbora posjeduju stručne kompetencije u području informacijske tehnologije i digitalnih medija.

Studija također pokazuje sve veće zanimanje direktora za nadzor manje tradicionalnih područja, kao što su društveni mediji i tehnologije u oblaku. Tako je 41 posto direktora uključeno u nadzor načina praćenja društvenih medija te strategije o cloudu, što je povećanje od oko 10 posto u odnosu na 2012. godinu. Međutim, gotovo polovina kompanija na dnevnom redu upravnog odbora nema krizni plan u slučaju velikih sigurnosnih incidenata ili uključivanje stručnjaka u cyber sigurnost, dok gotovo 70 posto direktora nije razgovaralo o osiguranju kompanije od incidenata koji utječu na cyber sigurnosti.

Kontrolni mehanizmi

Tamara Maćašović, članica Uprave i direktorica Odjela za savjetovanje o rizicima informacijskog sustava u PricewaterhouseCoopersu, smatra kako srednje i velike tvrtke u Hrvatskoj, a ponajviše banke, osiguravateljska društva i telekom tvrtke, kako zbog regulatora (HNB, HANFA, HAKOM), tako i zbog prirode posla i osjetljivih informacija koje svakodnevno obrađuju, posvećuju veću pažnju kontrolama u njihovom IT okruženju. “To posredno dovodi do veće osviještenosti o rizicima i prijetnjama iz tzv. cyber svijeta, te se stoga veća pažnja posvećuje kontrolnim mehanizmima koji bi pravovremeno uočili takve napade”, ističe ona dodajući kako je uočeno da tvrtke u stranom vlasništvu imaju o IT sigurnosti višu razinu svijesti od tvrtki u lokalnom vlasništvu. “U prilog tvrtkama koje su u stranom vlasništvu ide i činjenica da su više centralizirane što minimizira utjecaj određenih propusta i prijetnji na lokalnoj razini. Ograničavajući faktor domaćim tvrtkama često je budžet i činjenica da njihovim vlasnicima IT sigurnost nije na listi najvišeg prioriteta, iako bi joj u današnje vrijeme svakako trebali posvetiti veću pažnju zbog sve češćih napada koji iskorištavaju propuste i ranjivost u IT infrastrukturi i nedovoljnu informiranost zaposlenika”, napominje.

Tamara Maćašović nadalje smatra kako ne postoji izravna veza između veličine tvrtke i razine posvećenosti ili brige za IT sigurnost. Spremnost jedne tvrtke po pitanju IT sigurnosti najviše ovisi o razini svijesti uprave. “Međutim, važno je spomenuti da veće tvrtke imaju više resursa - financijskih i ljudskih potencijala - i samim time više ulažu u jačanje IT sigurnosti. Bitno je napomenuti da se razina brige oko IT sigurnosti ne bi trebala mjeriti samo financijskim ulaganjima u opremu i specijalizirani softver, nego ljudskim potencijalom koji upravlja tom opremom i sviješću osoba u cijeloj organizaciji. Navedene komponente predstavljaju neophodan, te često i najvažniji element IT sigurnosti. Najslabija karika u području IT sigurnosti je najčešće ljudski faktor”, objašnjava ona.

Zlonamjerni softver

Valja naglasiti kako su različite industrije isto tako izložene različitim vrstama napada, ovisno o njegovom krajnjem cilju. “S obzirom na to da je financijski sektor po prirodi poslovanja najuže povezan s izravnim pristupom novcu, u više od jedne trećine slučajeva imamo napade koji su usmjereni na zloupotrebu različitih sigurnosnih problema s ciljem ostvarivanja direktne materijalne koristi. S druge strane, česti su tzv. Distributed Denial of Service Attacks, odnosno napadi koji rezultiraju nemogućnošću pružanja usluge u određenom vremenu i također predstavljaju trećinu napada. U posljednje vrijeme u financijskom sektoru došlo je do porasta tzv. spearfishing napada, u kojima se pojedince ciljano potiče da prihvaćanjem određenog računalnog sadržaja, primjerice, dokumenta, poveznica ili web stranica omoguće pristup informacijskim sustavima svojih organizacija”, kaže ona.

Osim globalno poznatih napada vezanih uz HeartBleed Bug i Shellshock malware (zlonamjerni softver), u posljednje vrijeme zabilježen je porast sigurnosnih upada u tvrtke koje obrađuju POS transakcije. “Upadom i zarazom POS sustava određenim malwareom, omogućava se pristup kritičnim podacima, na način kako to čini najnoviji malware PoSeidon. Ukoliko uzmemo u obzir dolazeću turističku sezonu u Hrvatskoj i očekivano povećanje POS transakcija, bilo bi preporučljivo da tvrtke koje rade obradu ovakvih transakcija posvete dodatnu pažnju sigurnosti svojih informacijskih sustava i pojačaju nadzor nad ovakvim transakcijama u skladu s vlastitom procjenom rizika”, zaključuje Tamara Maćašović. 

Boris Odorčić

Privredni vjesnik d.o.o. Kačićeva 9 Zagreb