NAJVEĆA HRVATSKA CYBER-STRUČNJAKINJA UPOZORAVA

Neke pametne uređaje koji su na tržištu, EU nikad nije smjela dozvoliti, mogu ugroziti i ljudski život


Tomislav Kukec
06.12.2018.11:00
Neke pametne uređaje koji su na tržištu, EU nikad nije smjela dozvoliti, mogu ugroziti i ljudski život
Sandra Šimunović / Cropix

sažeto

Biljana Cerin, direktorica tvrtke Ostendo Consulting, članica je Upravnog odbora najveće svjetske organizacije za informacijsku sigurnost


Tomislav Kukec
06.12.2018.11:00

Kao nikad prije u povijesti, diljem svijeta govori se o pitanju informatičke i informacijske sigurnosti, odnosno sigurnosti osobnih podataka. Razumljivo, jer razvojem mobilne tehnologije svakodnevno svoje podatke ostavljamo na desecima različitih stranica i web-servisa.

Ukrali osobne podatke 500 milijuna ljudi

Neki traže samo e-mail adrese, drugi od nas prikupljaju čitav niz osjetljivih osobnih podataka - adrese stanovanja, datume rođenja, puno ime i prezime... Mnogi se s toga razlogom pitajukoliko su ti osjetljivi podaci sigurni, odnosno, mogu li se zlorabiti bez našeg znanja. 

Upravo tim, trenutno vrlo važnim područjem bavi se Biljana Cerin, direktorica hrvatske tvrtke Ostendo Conulting koja je prošle godina ostvarila nevjerojatan uspjeh i postala članicom Upravnog odbora (ISC)², najveće svjetske cyber-security organizacije koja diljem planete okuplja oko 145 tisuća članova. Ako se pita gospođu Cerin, problema u cyber-securityu je mnogo, a to ponajbolje pokazuju posljednji slučajevi curenja podataka. Prije nekoliko dana tako je otkriveno da su hakeri upali u sustav hotelskog lanca Marriott i ukrali osobne podatke čak 500 milijuna ljudi!

Goran Mehkek / CROPIX

"Kao što često kažem, a to i je primarni razlog mog angažmana u (ISC)2, najslabija i najsnažnija karika u sustavima sigurnosti je uvijek čovjek. Čovjeka treba educirati, ali ne na način da mu se samo prezentiraju zahtjevi, već da mu se objasni i odgovor na pitanje „zašto“ – zašto moramo poštivati određena pravila, zašto ne smijemo otvarati sumnjive poruke, zašto moramo koristiti tehnologiju koja nam je na raspolaganju, itd. Mislim da se premalo ulaže u razumijevanje posljedica nepravilne zaštite informacija", kaže Biljana Cerin za 100posto. 

Ističe kako ljudi još uvijek ne razumiju kakva im šteta može biti nanesena ukoliko netko neovlašteno pristupi i raspolaže njihovim osobnim podacima, naročito osjetljivim osobnim podacima, poput informacija vezanih uz kartice, financijsko poslovanje, zdravstveno stanje i slično.

Za neke slučajeve možda nikad nećemo doznati

"Isto tako ni organizacije često nisu svjesne koliko je važna i kritična pojedina informacija u njihovim poslovnim procesima, obično reagiraju tek kada se dogodi incident. Nezgodna stvar s incidentima je što ne morate ni biti svjesni da su se dogodili, kao što je npr. nedavni slučaj s Marriot hotelima – incident se dogodio 2014., a postali su ga svjesni tek ove godine. Na koje sve načine su dosad neovlašteno upotrijebljeni podaci kojima su napadači imali pristup? Nećemo nikad saznati. Odsustvo incidenata nije garancija prisustva sigurnosti, zato ne smijemo uzimati sigurnost zdravo za gotovo", upozorava jedna od najvećih svjetskih stručnjakinja za pitanje cyber-sigurnosti. 

Sandra Šimunović / Cropix

Velike promjene na tom planu donijela je GDPR odredba kojom je EU postrožila regulative vezane uz osobne podatke. No, to je donijelo i mnogo komplikacija. 

"Smatram da je ta Uredba, Opća uredba o zaštiti podataka, itekako pridonijela razini svijesti o važnosti zaštite njihovih osobnih podataka, o važnosti transparentnosti o tome što se točno radi s njihovim osobnim podacima nakon što ih daju različitim aplikacijama, servisima, portalima – mislim da ljudi sad već puno opreznije odaju svoje podatke nego prije primjene GDPRa. No potrebno je nastaviti na kampanji i edukaciji, te eliminirati neke netočne informacije koje su se pojavile zbog cijele priče oko pripreme za GDPR – npr. mnoge tvrtke shvatile su da moraju imati pristanak ispitanika za sve obrade osobnih podataka, što nije točno. GDPR prepoznaje šest različitih pravnih osnova obrade osobnih podataka, od kojih je pristanak ili privola samo jedna od njih, i upravo ona koja je najkompliciranija u provedbi – ako netko daje privolu za obradu osobnih podataka, on je mora moći i povući, čime daljnja obrada mora prestati", ističe Cerin.

Kako ćete povući privolu za obradu koja je nužna kako bi vam npr. poslodavac isplatio plaću ili dijete išlo u vrtić? Tu je bilo dosta nejasnoća i netočnih informacija, što je jedna negativna nuspojava povećanog prisustva cijele tematike u medijima"

Iako je cilj GDPR-a bio povećati sigurnost informacija, mnogi su ga doživjeli samo birokratski, a Cerin upozorava kako bi to mogla biti najveća pogreška. 

Uređaji nam donijeli komfor, ali i velike rizike

"Odgovornost za upravljanje informacijskom sigurnošću, ulaganje u znanje i iskustvo stručnjaka koji se bave ovim područjem, ulaganje u učinkovite sigurnosne tehnologije mora biti na najvišoj razini u svim organizacijama. Nažalost, često je zanemarivana, često rizici informacijske sigurnosti nisu u dovoljnoj mjeri prepoznati, ne provodi se redovita provjera organizacijskih i tehničkih mjera zaštite informacija, ili se zbog pritiska regulative poslovi vezani uz informacijsku sigurnost svode na „papirologiju“, raspisivanje politika, procedura, pravilnika i drugih akata, bez dovoljne brige o konkretnoj primjeni svega što u njima piše, bez dovoljno ulaganja u znanje, tehnologiju i stvarno razumijevanje informacijskih sustava. Ponovo, zbog GDPRa smo vidjeli poplavu takvog pristupa – u smislu „napišite mi neki pravilnik samo da skinemo brigu s vrata“ – to nije način kako se upravlja informacijskom sigurnošću. Papirologija vas neće spasiti od neovlaštenog upada u informacijski sustav i nanošenja ogromne štete poslovanju", kaže naša sugovornica.

Sandra Šimunović / Cropix

Uređaji koje svakodnevno koristimo, u svijetu cyber-securitya znani i kao Internet of Things (IoT) uređaji, svakodnevno prikupljaju goleme količine podataka o nama. Iako nam to, kaže Cerin, donosi životni komfor o kakvom do prije dvadesetak godina nismo ni sanjali, može nas i itekako ugroziti. Najveći je razlog niska nabavna cijena uređaja, koji su jeftini dijelom i zato jer nemaju vlastite sustave za obradu podataka, već dijele informacije s drugim uređajima. 

"Dijeljenje inače skupih resursa za obradu podataka između velikog broja IoT uređaja ima upravo nevjerojatan učinak na cijenu gotovog proizvoda. IoT uređaji danas se mogu nabaviti po cijenama od svega nekoliko dolara. Želite li se probiti na tržištu takvih uređaja, morate ponuditi jeftini hardver i napredni softver sa brojnim mogućnostima koje stalno morate nadograđivati.

'Odgojeni smo da zanemarujemo vlastitu sigurnost'

Ovakva situacija na tržištu nesumnjivo rezultira nesigurnim sustavima. Podaci često nisu zaštićeni u prijenosu niti u obradi, a razvojni inženjeri gotovo u pravilu imaju neograničeni pristup podacima klijenata, a nije nikakva iznimka da se podaci završe u zemljama u kojima ne postoji odgovarajuća pravna zaštita. Treba li reći da je GDPR to lijepo regulirao, no IoT tvrtke u pravilu se ne pridržavaju onoga što tamo piše. U EU se bez ikakvih zapreka proizvode i uvoze IoT uređaji koji krše sva moguća EU pravila o zaštiti podataka. Takvi uređaji ne bi uopće smjeli završiti na tržištu, kaže Cerin.

One koji se boje davati svoje podatke te su zabrinuti oko sigurnosti u javnosti se često predstavlja kao suviše paranoične. No, je li doista tako?

Upravo suprotno. Odgojeni smo da sustavno zanemarujemo vlastitu sigurnost sve dok se osobno ne suočimo s posljedicama. Većina ljudi pod pojmom zaštite privatnosti podrazumijeva zaštitu povjerljivosti osobnih podataka, no to je samo jedan dio. I to, manje važan. Narušavanje integriteta ili raspoloživosti osobnih podataka mogu rezultirati daleko gorim posljedicama od curenja podataka. Ovo je posebno izrađeno kod IoT uređaja. Želite li pametnu bravu koja će vama zaključati vrata vašeg stana, a svima ostalima ih otvoriti? Želite li uređaj za mjerenje količine šećera u krvi koji će vam dati krivu informaciju? Želite li pametnu kuću koja umjesto grijanja uključi hlađenje, ili možda želite takvu kuću koja će zaboraviti tko joj je vlasnik i neće vam otvoriti vrata kad dođete s posla? Što više ovisimo o IoT, to više se moramo brinuti. Tržišna utakmica ima snažan negativan učinak na sigurnost ovakvih proizvoda o kojima u krajnjoj liniji može ovisiti ljudski život. Zato ovo područje mora biti vrlo strogo regulirano. Imamo GDPR. Samo ga treba primjenjivati", zaključuje stručnjakinja. 

iStock

Pitamo je za kraj kako je raditi u tako velikoj i moćnoj svjetskoj organizaciji. 

Izabralo ju članstvo od 145.000 ljudi

"Rad u odboru podrazumijeva potpunu predanost i uključenost u donošenje bitnih odluka o daljnjem razvoju organizacije, odluka vezanih uz strateška pitanja, praćenje financijskog stanja organizacije, reagiranje na moguće rizike i naravno ocjenu rada menadžmenta. Ono što mogu reći je da sam fascinirana kolegama s kojima surađujem i izuzetno mi je drago biti dio tog tima, te moći utjecati na daljnji razvoj struke. Osjećaj da vraćam natrag stručnoj zajednici sad je jači nego ikad. Naravno da je rad ponekad i zahtjevan, česta su putovanja, konferencijski sastanci u „krivo“ vrijeme jer su kolege u odboru iz različitih dijelova svijeta, ali zadovoljstvo koje donosi osjećaj da zaista možete napraviti promjenu je vrijedan svake minute.

Do pozicije u odboru dolazi se kroz godišnji proces nominacije, nakon čega članovi organizacije (njih oko 145.000 širom svijeta) glasaju za ponuđenih 12 kandidata, od kojih 4 kandidata s najviše glasova ulaze u odbor. Jedan mandat člana upravnog odbora traje 3 godine. Što se tiče mojih daljnjih planova, to je svakako osim rada u odboru, i angažman u pododborima; trenutno sam u pododboru za strategiju, etiku, nagrade i nominacije; vjerujem da je u svakom od ovih područja moguće postići poboljšanja koji će rezultirati još boljim sadržajima i mogućnostima za stručno napredovanje naših članova, stručnjaka za informacijsku sigurnost", kaže Cerin za 100posto.hr

tehnologija

kibernetička obrana

Biljana Cerin

cyber-security

informacijska sigurnost

IoT uređaji

Podijeli članak

newsletter

Prijavite se na Newsletter