U čemu su ključni problemi računalne sigurnosti u kompanijama? Mnogi će teškoće pripisati nedostatku novca ili slaboj tehnologiji, ali čini se da su ključne prepreke negdje drugdje. Poklanja li se uopće dovoljno pozornosti računalnoj sigurnosti? Razmišljaju li hrvatske tvrtke aktivno i strateški ili se proboji sigurnosti događaju ‘nekom drugom’, pa se njima bave tek nakon što se dogode?
Neka od tih pitanja uputili smo Ivici Ostojiću, stručnjaku za računalnu sigurnost, koji radi kao sistemski inženjer i konzultant u hrvatskoj podružnici globalne tvrtke Cisco Systems. Ostojić, koji je na glasu kao jedan od vodećih stručnjaka u tom području, bavi se računalnom sigurnošću već dvanaest godina, a ranije je radio u domaćem IBM-u. Njegov posao je provođenje revizija sigurnosti i takozvanog etičkog hackinga.
Kao dobar poznavatelj stanja računalne sigurnosti kod nas, Ostojić procjenjuje da je tek mali dio tvrtki pristupio problemima sigurnosti na ozbiljan način. Velika većina i dalje to smatra samo dodatnim troškovima, što apsolutno nije točno. Implementacijom sigurnosti cijela se infrastruktura ‘dovodi u ređ’, ali uz nju i poslovni proces. Tako se optimizira poslovanje, što se može iskazati numerički. Govorimo o uštedama koje će u relativno kratkom vremenskom roku definitivno vratiti uložena sredstva, a uz to osigurati transparentnost poslovanja – objašnjava Ostojić.
Sigurnost računalnog sustava nije, dakle, nešto što se radi usput, poput održavanja vodovoda ili servisiranja opreme, već je blisko vezana sa strateškim ciljevima i poslovanjem poduzeća. Sigurnosni nedostaci ugrožavaju funkcioniranje poduzeća, ali i povjerenje klijenata (osobito u financijskom sektoru, ali i svugdje gdje se čuvaju njihovi osobni podaci), dobavljača i partnera (posebice u pravom elektroničkom poslovanju kad je cijeli nabavni lanac računalno integriran) itd. S druge strane, tu je i EU sa svojim zahtjevima, tako da će tvrtke koje misle ozbiljno i žele poslovati sa svijetom morati prihvatiti pravila koja će se staviti pred nas – tvrdi Ostojić.
Na listi vodećih razloga za manjkavo stanje u domaćim poduzećima ne ističu se financije. Novac postoji, ali nedostaje znanje na što ga potrošiti, koje su strateške potrebe i opasnosti. Problem izvire najvećim dijelom iz slabog znanja među donositeljima odluka, što se s vremenom odražava.
- Koji su najteži sigurnosni problemi koje ste rješavali? Svaki je problem jedinstven i zahtijeva vrlo individualan pristup, tako da je teško nešto izdvojiti. Obično najviše problema zadaju projekti računalne forenzičke. U većini slučajeva klijenti imaju incident i do pola godine prije nego što posumnjaju da nešto nije u najboljem redu. Tada predstoji ogroman posao kako bi se utvrdilo koliki je dio infrastrukture i podataka kompromitiran. To je naravno iznimno skupo, a za klijenta i vrlo neugodno. Stara narodna poslovica kaže: Bolje spriječiti nego liječiti. Samo se mali broj tvrtki toga drži. Postoji još jedna, koja kaže: Pametan uči na tuđim pogreškama. Na žalost, ni ova poslovica nije zaživjela u praksi.
Ako vodeći ljudi tvrtke nisu voljni napredovati i učiti, velika je vjerojatnost da neće imati razumijevanja ni za razvoj i edukaciju svojih podređenih, osobito u IT-u – ističe Ostojić.
