Hakeri, krekeri, cyberkriminalci, cyberterroristi, insiders, outsiders, konkurencija… Ako u poslovanju baratate podacima koji se na bilo koji način daju unovčiti, netko će ih se pokušati domaći. Vaš najveći neprijatelj i najvažnija karika obrane nisu ni strojevi, ni računalni programi, nego – ljudi.
Kad se izvan usko stručnih voda poveže razgovor o informacijskoj sigurnosti, ljudi su obično skloni misliti da je to gotovo isključivo tehnološki problem, čije rješenje ovisi o postavljanju dovoljno jakog vatrogada, enkripcije ili drugog čuda modernih tehnologija.
U zabludi su.
Uspostava sigurnog sustava upravljanja podacima zahtijeva cjelovit pristup, u kojem tehnologija igra važnu ulogu, ali nije dovoljna ako se najprije u obzir ne uzmu poslovni procesi, pravila ponašanja i – najvažnije – ljudi. Da bi uvođenje sustava informacijske sigurnosti imalo smisla, potrebno je najprije temeljito pretresti poslovne procese i imovinu te odrediti što je od onoga čime tvrtka raspolaže od kritične važnosti za njeno poslovanje. U skladu s tom procjenom određuje se način i stupanj zaštite, kao i sigurnosna politika tvrtke u cjelini. Načelno gledano, postoje tri razine sigurnosti o kojima male i tvrtke srednje veličine trebaju voditi računa – fizička, administrativna i tehnička. Prva podrazumijeva smještanje potencijalno osjetljivih podataka na izdvojenu i zaštićenu lokaciju – sef kad je riječ o ugovorima, serverska soba pod ključem i tome slično – ali i nadzor nad protokom ljudi kroz prostorije tvrtke. Druga se odnosi na određivanje tko, kad, kako i pod kojim uvjetima može pristupiti određenim podacima.
Idealno bi bilo podjednako se baviti sa svim tri segmenta, što se u praksi, na žalost, ne događa. Što zbog manjka novca, što zbog nedostatka svijesti o mogućoj zlorabi potencijalno osjetljivih informacija i međusobnog povjerenja (tvrtke s malim brojem zaposlenih nerijetko u tom smislu funkcioniraju skoro kao proširene obitelji), SMB tvrtke često ne posežu ni za elementarnim predo-strožnostima, izlažući se rizicima u daleko većoj mjeri nego što je potrebno.
Doduše, opća svijest o potrebi barem minimalne zaštite od napada izvana na daleko je višoj razini nego što je bila do prije nekoliko godina. No, kad se zna da je tijekom ove godine otkriveno prosječno četrdeset novih virusa na dan (prošle godine taj je prosjek bio deset), 100 – 200 phishing napada na dan, 500 novih spywarea na mjesec i 20 novih mobilnih virusa na mjesec, zajedno s cijelim nizom novih oblika zasada još nepoznatih prijetnji, postaje jasno da je riječ o nužnosti, a ne o lukusu. Stručnjaci za računalnu sigurnost s kojima smo razgovarali slažu se da su takve tvrtke znatno rjeđe meta napada hakera, lopova i prevaranata baš zbog svoje veličine – jednostavno rečeno, mogući dobitak uglavnom nije dovoljno velik da bi opravdavao trud uložen u pokušaj narušavanja integriteta sustava. No, upozoravaju da bi pogrešno bilo misliti kako je informacijska sigurnost obveza samo velikih tvrtki. Nezaštićena računala, bez obzira gdje se nalazila, zanimljiva su hakerima, jer pomoću većeg broja takvih računala stvaraju botnete (često ih zovu zombi računalima). ‘Vlasnici’ botnetova nerijetko na raspolaganju imaju čitave vojske računala, njih pet do deset tisuća, koje koriste za napade ili ih iznajmljuju zlonamjernicima iz podzemlja za učjene, zastrašivanja i slično. Iza sebe ne ostavljaju trag samo jednog računala, već onoliko koliko ih je preuzeto – dakle, potencijalno na tisuće – što otkrivanje izvršitelja napada čini gotovo nemogućim.
