Tehno
StoryEditor

Nema nevinih: Zajednička je odgovornost za sigurnost podataka

13. Listopad 2024.
Među prioritetima poslovanja današnjice osiguranje je sigurnosti u oblaku. Regulative su postrožene, a na organizacijama je da im se što brže prilagode. Srećom, niz je rješenja koja omogućuju siguran pristup podacima u oblaku i podatkovnim centrima

Podaci, pa i oni pohranjeni u oblaku, zahtijevaju stalno ulaganje u sigurnost, suvremenu tehnologiju te obuku zaposlenika, koji su često najslabija karika u sigurnosnom sustavu. Globalna šteta zbog povrede podataka, prema podacima koje je tvrtka Statista objavila u rujnu, ove su godine ukupno 4,88 milijuna američkih dolara, nakon 4,45 milijuna dolara zabilježenih lani. U SAD-u iznos je prosječno dosegao 9,36 milijuna dolara, što je manje od prošlogodišnjih 9,48 milijuna, ali i dalje je velik. Prosječan trošak povrede podataka u Ujedinjenom Kraljevstvu u 2023. iznosio je oko 4,21 milijun američkih dolara, a u Njemačkoj 4,67 milijuna dolara. Pri tome je svjetsko zdravstvo lani, prema Statisti, treću godinu zaredom ubilježilo najviše troškove, a slijede ga financijske institucije.

Napredna rješenja

Sve više poslovnih procesa obavlja se online, navodi član Uprave tvrtke DC North Darko Pintarić, uključujući osjetljive informacije poput financijskih podataka, poslovnih planova, osobnih podataka zaposlenika i klijenata. Potvrđuje da su kibernetičke prijetnje sve sofisticiranije, a broj napada jako raste, uključujući ransomware (ucjena), phishing (krađa identiteta) i hakerske napade. Gubitak podataka ili narušavanje integriteta tih podataka, upozorava također, može imati ozbiljne posljedice, uključujući financijske gubitke, narušavanje reputacije i povjerenja klijenata.

image

Darko Pintarić,
član Uprave tvrtke DC North

foto

– Zakonski propisi o zaštiti podataka kao što su Opća uredba o zaštiti podataka i drugi međunarodni standardi zahtijevaju od tvrtki da ulože dodatne napore u osiguravanje sigurnosti svojih sustava kako bi izbjegle velike kazne i pravne posljedice. Europska unija također prepoznaje važnost kibernetičke sigurnosti te očekujemo u Hrvatskoj donošenje i primjenu uredbe o kibernetičkoj sigurnosti, odnosno zahtjeve vezane uz digitalnu otpornost za financijski sektor. Postoji niz rješenja koja omogućuju siguran pristup podacima u oblaku i podatkovnim centrima. Napredne metode autentifikacije poput dvofaktorske autentifikacije (2FA) ili višefaktorske autentifikacije (MFA) pomažu osigurati da samo ovlašteni korisnici imaju pristup podacima. Enkripcija podataka u mirovanju i podataka u prijenosu ključna je za zaštitu podataka od neovlaštenog pristupa. Moderna rješenja obično upotrebljavaju enkripciju najvišeg stupnja (kao što su AES-256) za šifriranje podataka. Važno je i imati alate za praćenje i nadzor podataka u stvarnom vremenu poput SIEM (Security Information and Event Management) sustava koji omogućuju praćenje aktivnosti unutar oblaka i podatkovnih centara te brzu identifikaciju sumnjivih aktivnosti. Tu su također usluge sigurnosne kopije i izrada sigurnosnih kopija u oblaku za zaštitu od gubitka podataka u slučaju napada ili kvara sustava – nabraja Pintarić.

Razine sigurnosti

DC North za svakoga korisnika podatkovnog centra izdaje personaliziranu karticu te dodjeljuju prava za kretanje unutar objekta ovisno o mjestu opreme korisnika. To znači da ako korisnik ima uslugu kolokacije u podatkovnoj sobi 1, izdaju mu se prava za otvaranje odgovarajućih vrata, druga razina omogućuje mu ulazak u hladnu zonu u kojoj se nalazi IT kabinet s vlastitom opremom, a treća otvaranje samo IT kabineta u kojem je oprema.

Iako velike cloud-platforme poput AWS-a, Microsoft Azurea i Google Clouda imaju snažne sigurnosne mehanizme, ključan izazov leži u tzv. modelu zajedničke odgovornosti. To znači da je pružatelj usluge odgovoran za sigurnost infrastrukture, a korisnici za sigurnost svojih podataka i aplikacija u oblaku

– Iako oblak pruža mnoge prednosti poput skalabilnosti i pristupačnosti, također nosi neke rizike. Tvrtke moraju osigurati da se njihovi podaci čuvaju u sigurnim okružjima koja ispunjavaju industrijske standarde za sigurnost, kao što su ISO 27001 ili SOC 2. Iako velike cloud-platforme poput AWS-a, Microsoft Azurea i Google Clouda imaju snažne sigurnosne mehanizme, ključan izazov leži u tzv. modelu zajedničke odgovornosti. To znači da je pružatelj usluge odgovoran za sigurnost infrastrukture, a korisnici za sigurnost svojih podataka i aplikacija u oblaku. Izazovi uključuju osiguranje pravilnog upravljanja pristupom, redovno ažuriranje sustava i aplikacija, kao i zaštitu od ljudskih pogrešaka koje često dovode do propuštanja podataka. Ujedno, infrastruktura za oporavak trebala bi biti smještena tako da je zemljopisno dovoljno udaljena od primarne infrastrukture u slučaju potresa, poplava i drugih prirodnih nepogoda. Također, primjena sigurnosne strategije Zero Trust za provjeru svakoga korisnika i uređaja prije nego što im se odobri pristup podacima sve je popularnija i preporučuje se kao dodatna mjera – primjećuje Pintarić.

image

Andrej Pinak,direktor za infrastrukturu i usluge u A1 Hrvatska

foto

Sofisticiranije su metode prijevara preko različitih uređaja iz različitih dijelova svijeta, zbog čega smo praktički svakodnevno izloženi napadima, a prema Andreju Pinaku, direktoru za infrastrukturu i usluge u A1 Hrvatska, i u A1 Hrvatska također prolaze kroz iste situacije i pokušaje napada. Ipak postoji niz rješenja i razina za kibernetičku sigurnost na poslovnom području.

– Tvrtke svoje podatke čuvaju u podatkovnim centrima i oblacima, koji su obično centralna mjesta, što je vrlo često glavna meta hakera. Mnoga od tih rješenja pružaju siguran pristup, a u našem podatkovnom centru primjenjujemo pet razina sigurnosti koje štite podatke korisnika. Svaka bi tvrtka u svoje poslovanje trebala uvesti barem osnovne sigurnosne mjere kao što su pravilno upravljanje identitetom, provjera autentičnosti s više faktora ili pristup temeljen na ulogama. Podatkovni centri i oblaci puni su osjetljivih podataka i prepuni prometa, pa da bi zaštitile te podatke tvrtke moraju upotrijebiti neke metode šifriranja, uvesti algoritme ili centralizirana rješenja kojima samo ovlaštene osobe imaju pristup zahvaljujući autoriziranim, tj. kriptiranim podacima. Posljednje, ali ne manje važno, sustavi su automatizacije, nadzora i alarmiranja. Ne treba zaboraviti ni fizičku sigurnost u podatkovnim centrima, pa se A1 koristi digitalnim sustavom prepoznavanja i evidentiranja svakoga fizičkog pristupa rack-ormarima korisnika. Podatkovni centar kojim upravlja A1 posjeduje certifikate industrijskih standarda kao što su ISO/IEC 27001:2017, Tier 3 by Uptime Institute ili PCI DSS – objasnio je Pinak.

Poput nafte

Voditelj Odjela kibernetičke sigurnosti u Setcoru Damir Dukarić prisjetio se da je još 2017. The Economist pisao da najvažniji svjetski resurs danas nije više nafta, već podaci, iako je možda s naftom bilo nešto jednostavnije upravljati. Razlog tomu i Dukarić vidi u eksponencijalnom rastu količine podataka koje tvrtke stvaraju svakodnevno, od osobnih podataka i informacija pa sve do korporativnih intelektualnih vlasništva.

U Hrvatskoj se očekuje donošenje i primjena uredbe o kibernetičkoj sigurnosti, odnosno zahtjeva vezanih uz digitalnu otpornost za financijski sektor

– U pogrešnim rukama, namjerno ili nenamjerno, riskiramo da danas zaštićeni podaci kroz prizmu različitih uređaja interneta stvari ili društvenih mreža izađu u javnost. Rizik od kibernetičkih prijetnji u stalnom je porastu, tome ne ide u prilog ni svjetska ekonomska nestabilnost, sukobi, općenito visoka razina političkih tenzija te rad na daljinu. Regulative su postrožene, a na organizacijama je da im se što brže prilagode, jer u suprotnom riskiraju reputacijske probleme i povrh svega gubitak povjerenja svojih klijenata. Setcor tako uza standardna rješenja poput sustava Next Generation Firewall nudi zaštitu na različitim razinama poput WAF-a (Web Application Firewall), DDoS zaštite ili IPS/IDS-a (sustav Intrusion Detection, Intrusion Prevention). Dio stalne postave su i rješenja za zaštitu radnih postaja, poslužitelja, sustava e-pošte, mrežna sigurnost te web proxy. Višefaktorska autentikacija je nezaobilazna, a za najnovije preporuke tu je i Zero Trust, platforma kojom zamjenjujemo nesiguran VPN pristup – ističe Dukarić.

Dodao je da su podaci sigurni u oblaku i podatkovnim centrima uz pravilno primijenjene sigurnosne mjere, ali postoje izazovi poput neovlaštenog pristupa, sigurnosnih rupa u sustavima te vanjskih napada. Primjena sigurnosnih mjera poput 2FA ili enkripcije može biti neučinkovita ako korisnici nisu svjesni prijetnji poput primjerice phishinga te je i, prema Dukarićevu mišljenju, uz ključan stalni nadzor i unapređenje tehnologija, važno podizanje svijesti među zaposlenicima. 

21. studeni 2024 11:57