Hakeri čekaju baš vas

Dakle, konačno su vas ubedili da kompjuteri u vašoj firmi nisu isto što i pisaće mašine i da, ako ih povežete međusobno i omogućite svakome brz pristup Internetu, njima povećavate produktivnost i kvalitet rada.

Naravno, osnovni razlog što to ranije niste uradili i nije bila neverica u korisnost poduhvata, jer zaboga, želimo da budemo kao i sav ostali normalan svet, a oni su već odavno svi umreženi. U pitanju su bili Dinari, Dolari, Evri.

Pošto se taj problem u međuvremenu nije razrešio, sem ukoliko vas nije strefio Loto, odlučili ste se na kompromis. Daćete sestriću Dese iz računovodstva, mali se bavi time već godinama i mnogo je pametan, da vam sve to završi za desetinu cene velikih firmi koje vas već mesecima jure za legalizaciju i umrežavanje.

I tako ste jednog dana jeftino ušli u dvadeset prvi vek, na sreću zaposlenih, i miliona hakera širom sveta koji čekaju baš na takve kao što ste vi. Ruski rulet koji ste započeli sa svojom imovinom će se pre ili kasnije završiti sa metkom u cevi.

Zamislite da ste, recimo, redakcija dnevnih novina, i da je dva sata pre slanja preloma u štampu haker izbrisao sve tekstove i celu pripremu.

Odgovornost direktora: Zaštita podataka je oduvek bila mnogo ozbiljna stvar, ali se prelaskom na elektronske dokumente ta ozbiljnost, valjda zbog nerazumevanja tehnologije, nekako izgubila. Razmislite, bravar mora biti ovlašćen i registrovan u policiji da vam napravi ključ, a elektronska vrata poveravate na čuvanje svakome ko vam kaže: ja to znam. Majke mi.

Ovaj sindrom nije specifičan samo nama. Amerikanci su morali da donesu poseban zakon (Sarbejns-Oksli) kojim su odgovornost za tačnost i bezbednost podataka u firmi stavili direktno na generalnog direktora i članove upravnog odbora.

Kod njih, naravno, nisu u pitanju bile pare, već nerazumevanje vrhunskog rukovodstva za ovu oblast. Jedna velika brokerska kuća u NJujorku je prošle godine potrošila skoro deset miliona dolara da zaštiti svoj informacioni centar u kome procesuje naloge klijenata za trgovinu hartijama od vrednosti. Ono što vođa projekta nije uzeo u obzir (jer mu niko iz rukovodstva nije nacrtao poslovni proces) jeste da 80 odsto naloga brokerima dolazi faksom, koji se nalazio usred nezaštićenog hodnika.

Ovaj problem prebacivanja loptice na tehničko osoblje postoji i kod nas. U 2003. godini kod nas je organizovano desetak seminara i jedna velika međunarodna konferencija (http://njnjnj.DataProtection2003.info) o zaštiti podataka, i na svaki od ovih događaja pozvani su generalni direktori i članovi upravnih odbora banaka, osiguravajućih kuća i drugih velikih i srednjih preduzeća. Bez izuzetka, poslali su svoje pomoćnike odgovorne za informatiku, ljude koji u principu ne pripadaju užem krugu rukovodstva, ne odlučuju o poslovnim procesima, niti imaju dovoljno informacija da procene šta treba štititi, u kojoj meri, i kolika je cena neštićenja.

Procena rizika: Zaštita podataka nije, kako se često pogrešno misli, informatički problem i nikako se ne odnosi samo na podatke u elektronskom obliku. To je pre svega zaštita poslovnog procesa, u svim njegovim elementima: zaštita opreme, kontrola ulaska u objekte, protivpožarna zaštita, zaštita zaposlenih i od zaposlenih, polise osiguranja, zaštita od nasilja na radnom mestu, zaštita intelektualne svojine, zaštita svih vidova komunikacija, arhiviranje na rezervnom položaju, i tako dalje.

Sistem bezbednosti se ne kupuje, on se gradi. To je takođe otvoren proces, stalne analize, evaluacije i nadogradnje. Time što ćete kupiti antivirus softver, staviti “protivpožarni zid” na svoju mrežu, kripto zaštititi svoje računare, postaviti video-kamere ili stražare, ništa niste uradili.

Suština je u preciznom opisivanju poslovnog procesa i onih tačaka u tom procesu koje su ugrožene. Bilo bi preskupo, a verovatno i nemoguće, štititi sve informacije sve vreme. Zato prava zaštita podataka započinje analizom rizika, ustanovljavanjem od koga i kakve opasnosti prete, koje su slabe tačke poslovnog procesa, i koji su najefikasniji metodi za zaštitu baš te tačke od baš te opasnosti.

Ovaj posao moraju da rade vrhunski rukovodioci u firmi u saradnji sa iskusnim, nezavisnim konsultantima. “Nezavisni” znači da ljudi koji vam pomažu da procenite rizik ugroženosti, identifikujete slabe tačke i odaberete metod zaštite ni na koji način ne smeju biti povezani ni sa ljudima koji će vam isporučiti opremu i softver i ugraditi sistem, ni sa ljudima unutar firme koji će biti odgovorni za funkcionisanje i tehničko održavanje sistema.

Kod angažovanja konsultanata za analizu rizika potrebna je takođe doza opreza. Nije svaka informatička ili konsultantska kuća sposobnada ovaj posao obavi kako treba. Postoje svetski priznate institucije koje izdaju sertifikate za bavljenje ovim poslom (BS7799, CISSP, itd.), a sami konsultanti bi trebalo da budu osigurani na značajne sume protiv grešaka ili propusta u svom radu.

Investicija, a ne trošak: Koliko zaštita podataka košta? Mnogo, i ništa, i sve između, u zavisnosti od analize rizika koja je jedina neizostavna stavka u celom procesu. Ako se u analizi ustanovi da će adekvatna zaštita određenih podataka biti skuplja od direktne (i indirektne) štete, ti podaci se neće štititi. Pri tome je veoma važno ne zaboraviti indirektnu štetu. Američka kompanija Eghed, kojoj su hakeri 2000. godine ukrali četiri miliona brojeva kreditnih kartica kupaca, pretrpela je minimalnu direktnu štetu, ali je gubitak poverenja u kompaniju doveo do pada vrednosti njenih akcija na berzi za 34 odsto u samo jednom danu.

Dakle, konačno su vas ubedili da kompjuteri u vašoj firmi nisu isto što i pisaće mašine i da, ako ih povežete međusobno i omogućite svakome brz pristup Internetu, njima povećavate produktivnost i kvalitet rada.Naravno, osnovni razlog što to ranije niste uradili i nije bila neverica u korisnost poduhvata, jer zaboga, želimo da budemo kao i sav ostali normalan svet, a oni su već odavno svi umreženi. U pitanju su bili Dinari, Dolari, Evri. Pošto se taj problem u međuvremenu nije razrešio, sem ukoliko vas nid početka uključe stručnjake. Mnogo je jeftinije ako se poslovni proces od početka gradi da bude bezbedan.#