30.5.14

Dionici i razmjena informacija u informacijskoj sigurnosti

Zbog različitih razloga, prorijedio sam svoju prisutnost na ovim stranicama u prvom dijelu 2014., no obećajem da ću uskoro nadoknaditi izostanke.

Za početak, ukazao bih na zanimljiv skup koji se održao jučer (29.5.2014.) u Opatiji u okviru međunarodne konferencije MIPRO. Naziv konferencije bio je Dionici i razmjena informacija u informacijskoj sigurnosti, sadržaj možete pronaći na stranici konferencije. Konferencija se bavila jednom temom koja je u informacijskoj sigurnosti od izuzetne važnosti – o razmjeni informacija relevantnih za donošenje odluka o informacijskim rizicima i za učinkovito reagiranje na sigurnosne incidente.

Razmjena informacija je važna iz više razloga. Navodim tri, no siguran sam da oni nisu jedini.

Prvo, u situaciji kada znanje potrebno za uspostavu zaštitnih mjera postaje sve zahtjevnije a resursi u tvrtkama i organizacijama jako ograničeni, jasno je da stručnjaci u informacijskoj sigurnosti ne bi smjeli znanje zadržavati za sebe. Ovdje govorim o rezultatima koje su mnogi od nas  postigli kroz formalne projekte i istraživanja ili, pak, kroz neformalnu sistematizaciju znanja i iskustva proizašlog iz svakodnevnog rada. Često puta se radi o vrijednim rezultatima koji kroz razmjenu mogu biti obogaćeni, dopunjeni ili pak korigirani, a koji nam mogu pomoći u svakodnevnim postupcima.

Drugi važan razlog vezan je za procjenu rizika informacijskih sustava. Naime, u procjeni rizika redovito nam nedostaje dimenzija relevantnosti neke prijetnje predviđene podlogom metodologijom procjene rizika. Da bi neku prijetnju mogli stvarno valorizirati, izuzetno je bitno imati i informaciju o učestalosti pojave ove prijetnje u vlastitoj okolini ili čak u sektoru u kojemu djeluje naša tvrtka. Izostanak ove informacije jedan je od razloga što procjene rizika i odluke o rizicima ponekad izgledaju formalne, bez doticaja sa stvarnošću.

Treći važan razlog je operativnog karaktera: dovoljno detaljna informacija o nekoj prijetnji dostupna u pravom trenutku i na vrijeme, može olakšati djelovanje osobama zaduženima za zaštitu informacijskih resursa. Naravno, mora se znati da djelotvorna zaštita nije samo stvar antivirusne zaštite, vatrozidnih sustava i IDS/IPS sustav, već u velikoj mjeri ovisi o nečijoj odluci donesenoj u realnom vremenu.

Na konferenciji su sudjelovali predstavnici različitih institucija, stručne zajednice ili poslovnih segmenata. Ja sam predstavio tipične probleme s kojima se susreće tvrtka iz segmenta malih/srednjih poslovnih subjekata, a s kojima često profesionalno surađujem. Ovaj segment, koji dominira brojem zaposlenih i vrijednošću proizvoda, postaje sve izrazitija meta napadača. Zadnji događaja s incidentima u servisu Internet bankarstva potvrđuju takav trend. Glavni problemi s kojima se informacijska sigurnost susreće u takvim tvrtkama je izostanak proračuna za sigurnosne mjere i manjak stručnog osoblja što je velikim dijelom uzrokovano nerazumijevanjem vlasnika ili uprave potrebe za takvim aktivnostima. No čak i uz puno razumijevanje neke mjere (npr. operativna provedba operativnih nadzornih mjera koje iziskuju postojanje stručnih timova i opreme) male i srednje tvrtke neće moći provesti. Mogućnost razmjene informacija mogu postati jedan od faktora koji bi olakšao život manjim i srednjim tvrtkama. 

Očekivano, jedan od zaključaka konferencije je da bi strah od otkrivanja informacija mogao značajno ograničiti neke tvrtke u pružanju ulaznih informacija u ovakav sustav, naročito kada se govori o osjetljivim djelatnostima kao državne institucije ili bankarski sektor. No, smatram da bi izrada detaljnog modela razmjene podataka i razrada načina dostave podataka, uz eliminaciju svih elemenata kojima bi se mogli identificirati poslovni subjekti, mogla pomoći u otklanjanju ovih strahova.

Za punu realizaciju ideja iznesenih na konferenciji neophodna je pomoć nadležnih državnih institucija, od nacionalnog CERT-a pa na gore, što, nažalost, veoma često izgleda kao nepremostiva prepreka. Vjerujem da će se neke inicijalne i manje formalne inicijative pokrenuti i nakon ove konferencije, a rezultati takvih inicijativa mogu biti značajni, bez obzira što će im nedostajati zacrtana sveobuhvatnost. Drugim riječima, jučerašnja konferencija mogla bi stvarno zaživjeti i izvan jednodnevnog formalnog okvira, što joj iskreno želim.