Može li se regulatornim zahtjevima urediti i unaprijediti informacijska sigurnost? Dijelim mišljenje onih koji nisu sasvim uvjereni u uspjeh takvih inicijativa, no stvari nisu crno-bijele (o tome ću nešto više drugom prilikom). Sada bih ukazao na jedan oblik regulatorne obveze čiji su počeci prisutni već nekoliko godina, a smatram je primjerom učinkovitog zakonskog pritiska na informacijsku sigurnost.
Naime, u SAD-u, točnije u saveznoj državi Kaliforniji, od 2003. godine je na snazi zakon koji propisuje obvezu objave svih sigurnosnih incidenata koji su rezultirali povredom osobnih podataka. Obaveza se odnosi na državne institucije, agencije i tvrtke u privatnom sektoru koji pohranjuju ili obrađuju osobne podatke. To znači da je svaka tvrtka koja je bila žrtva cyber napada i krađe osobnih podataka ili koja je uslijed nemara izgubila npr. backup traku s osobnim podacima, dužna obavijestiti oštećene osobe. Zakon je izazvao značajan učinak jer, pored dodatnog truda koje moraju provesti da bi odgovorile na ovu regulativu, organizacije je više pogodilo potencijalno ugrožavanje reputacije zbog obveza javne objave podataka o incidentima. Primjer Kalifornije slijedila je i većina drugih država, no savezni zakon još nije donesen.
Europska unija slijedi ovu inicijativu ponešto sporijim tempom. Za sada je obveza objave podataka incidentima predviđena samo za telekomunikacijske tvrtke (i ovogodišnje izmjene našeg Zakona o elektroničkim komunikacijama uključuju ove odredbe). Ipak, puno veći učinak imati će najavljene izmjene smjernica o zaštiti osobnih podataka, o kojima se govori u europskoj administraciji. Njima se predviđa obveza objave podataka o incidentima do kojih dolaze i u ne-telekomunikacijskim sektorima - što će imati najveći učinak na sektor financijskih usluga. Trenutno, jedino Njemačka ima na snazi zakon koji sadrži takvu obavezu, a slične obaveze možemo očekivati i u našem zakonodavstvu.
Obveza javne objave podataka o ugrožavanju osobnih podataka svakako je dodatna mjera očuvanja privatnosti, bez obzira što američki primjer sa sobom nosi i neke nejasnoće oko implementacije zakona, pa se od države do države razlikuju uvjeti i rokovi objave, donekle se relativizira samo značenje incidenta... Očekujem da slične nepreciznosti ili nejasnoće, koje će biti rezultat utjecaja lobističkih grupa, možemo očekivati i u europskoj regulativi.
Gledajući na ovu regulativu s pozicije osobe koja se bavi informacijskom sigurnošću, smatram da je upravo praćenje i objava incidenata prava mjera uspješnosti programa informacijske sigurnosti u nekoj tvrtki. Dakle, ono što se može prikriti formalnim ispunjavanjem check-lista tijekom različitih revizija ili certifikacija, vrlo brzo će isplivati na površinu. Pravo vrednovanje informacijske sigurnosti proizlazi iz činjenice je li se neki incident dogodio ili nije. Ostaje samo još jedna prepreka koja se treba riješiti: organizacija stvarno mora znati da se incident dogodio, dakle mora aktivno pratiti i poznavati zbivanja na svojoj mreži i sustavima. Mora ovladati incidentom od prvog trenutka njegovog nastanka. Biti pasivan i čekati da te lupe posljedice incidenta biti će ne samo problem za reputaciju, nego će uključivati i zakonske posljedice.
Na kraju, ukazao bih i na jedan novi moment koji dolazi, ponovo, iz američke regulative. Naime, područje javnog interesa koje stoji iza obveze objave sigurnosnih incidenata širi se od zaštite privatnosti prema korporativnom poslovanju: SEC je donio smjernice prema kojima se tvrtke izlistane na burzi obvezuju objaviti podatke o sigurnosnim incidentima koji mogu utjecati na njihovo poslovanje. Takva odredba je proširenje postojeće obveze objave ne-informatičkih incidenata koji bi mogle utjecati na poslovanje neke tvrtke i cijenu dionice. Naravno, nove smjernice otvaraju mnogo pitanja - prije svega oko kriterija prema kojima se određuje materijalan utjecaj pojedinih informatički incidenata, no čini se da je ovo još jedan dokaz da sigurnosni incidenti mogu imati značajan utjecaj na našu svakodnevnicu.
Prikazani su postovi s oznakom Compliance. Prikaži sve postove
Prikazani su postovi s oznakom Compliance. Prikaži sve postove
29.1.09
Heartland: najveća krađa podataka do sada?
Siječanj je, izgleda, rezerviran za rekorde u računalnom kriminalu. Ove godine imamo Heartland Payment System, šestog po veličini američkog procesora kartičnih transakcija. Konačni izvještaji nisu još dostupni, no pretpostavlja se da je incident otkriven krajem 2008. opsegom premašio krađu podataka u TJX-u iz 2007. Nije još poznat ni karakter ukradenih podataka (Heartland, naravno, nastoji ublažiti javni efekt), kao ni tehnika izvedbe. Ipak, pretpostavlja se da je maliciozni program, smješten u kritičnom dijelu sustava, bilježio obrađivane transkacije (Heartland obrađuje oko 100 milijuna transakcija mjesečno). Treba reći da je Heartland obrađivao transkacije koje su realizirane u nizu manjih dućana i restorana širom Sjedinjenih država (Internet transkacije jedva da su i bile zastupljene)
Na tehničke okolnosti ću se vratiti kada budu poznati rezultati istrage, no želim ukazati na činjenicu da je Heartland nekoliko mjeseci prije incidenta certificiran kao sukladan sa zahtjevima PCI DSS standrada (to je bo slučaj i u prošlogodišnjem incidentu kod tvrtke Hannaford). Još jedna potvrda da biti sukladan ne znači i biti siguran.
Vjerujem da će ovaj incident (i slični koje sigurno možemo očekivati) pokrenuti neke promjene u primjeni PCI DSS standarda. Mora se posvetiti veća pažnja ne samo činjenici radi li se operativan nadzor sigurnosti informacijskog sustava, nego i kako se taj nadzor provodi. PCI DSS certifikacija je samo snimak stanja u određenom trenutku (onda kada QSA boravi u tvrtki). Logovi, sistemski događaji, konfiguracijski podaci, ranjivosti - to moraju biti glavni, ali ne i jedini, indikatori kvalitetete sigurnosnih mjera.
Podsjetio bih da je incident iz 2005. kod tvrtke CardSytem Solutions (također, procesor kartičnih transakcija) rezultirao, pored krađe 40 milijuna podataka, i prestankom rada ove tvrtke. Očekuje li ista sudbina i Heartland?
Na tehničke okolnosti ću se vratiti kada budu poznati rezultati istrage, no želim ukazati na činjenicu da je Heartland nekoliko mjeseci prije incidenta certificiran kao sukladan sa zahtjevima PCI DSS standrada (to je bo slučaj i u prošlogodišnjem incidentu kod tvrtke Hannaford). Još jedna potvrda da biti sukladan ne znači i biti siguran.
Vjerujem da će ovaj incident (i slični koje sigurno možemo očekivati) pokrenuti neke promjene u primjeni PCI DSS standarda. Mora se posvetiti veća pažnja ne samo činjenici radi li se operativan nadzor sigurnosti informacijskog sustava, nego i kako se taj nadzor provodi. PCI DSS certifikacija je samo snimak stanja u određenom trenutku (onda kada QSA boravi u tvrtki). Logovi, sistemski događaji, konfiguracijski podaci, ranjivosti - to moraju biti glavni, ali ne i jedini, indikatori kvalitetete sigurnosnih mjera.
Podsjetio bih da je incident iz 2005. kod tvrtke CardSytem Solutions (također, procesor kartičnih transakcija) rezultirao, pored krađe 40 milijuna podataka, i prestankom rada ove tvrtke. Očekuje li ista sudbina i Heartland?
4.9.08
Izbor okvira za primjenu Smjernica HNB-a
Nedavno sam odgovarao na pitanje o tome koji je radni okvir prihvatljiviji za primjenu Smjernica HNB-a: ISO 27001/27002 ili COBIT. Čitatelji ovih stranica znaju kako ja često citiram COBIT, no fali li uopće nešto normi ISO 27001/27002, koja je, usput rečeno, puno popularnija i poznatija u našim krajevima?
ISO 27002 je jednostavan dokument, njegove su preporuke zrdravorazumske a mnogi koji ga uzimaju u ruke s namjerom primjene, već nakon desetak stranica s olakšanjem zaključuju kako su gotovo sve odredbe primjenjene ili lako primjenjive u njihovoj okolini. Pored toga, smjernice HNB-a i po volumenu i po detaljnosti veoma podsjećaju na dokument ISO 27002. Bilo bi nepravedno i netočno reći da će neka banka pogriješiti ako normu ISO 27001/27002 iskoristiti za postupak usklađivanja sa zahtjevima HNB-a.
Ipak, treba spomenuti i glavne nedostatke takve strategije.
Prije svega, izborom ISO 27002 kao radnog okvira daje se pogrešna poruka da su Smjernice HNB-a tehničko pitanje, u nadležnosti informatičke službe. ISO 27002, doduše, i u uvodnom dijelu i u dijelu s pregledom kontrolnih mjera predviđa tijesnu vezu s managementom, no ove odredbe, iz više razloga, imaju samo formalnu ali ne i suštinsku snagu. To, naravano, ne bi trebalo biti tako, no treba dosta snage u primjeni norme ISO 27001/27002 kako bi se management pretvorilo u kvalitetne i strpljive sugovornike.
Smjernice HNB-a dodjeljuju izuzetno važnu ulogu procesu upravljanja informacijskim rizicima. Ovaj dio, sagledan s odredbama o odgovornosti uprava banaka i potrebi revizije informacijskih sustava, smatram najznačajnijim faktorom primjene Smjernica HNB-a. Upravo iz ovog razloga, COBIT može biti od velike pomoći. COBIT ne samo da opisuje kontrolne mjere i praksu koje se odnose na upravljanje rizicima i obveze managementa, već je sve donedavno njegova glavna primjena bila baš u postupku revizije. Pred toga, COBIT danas pruža i djelotvorne instrumente za mjerenje uspješnosti primjene i pridržavanja svih procesa predviđenih smjernicama HNB-a. Time je uspostavljena povratna veza između operativne i strateške razine odlučivanja.
Na kraju, mislim da je jedna od prednosti COBIT-a i ta što u sebi ne uključuje i ne podrazumijeva službenu certifikaciju. Dosadašnji model isigurnosnih certifikacija pružaju tek minimalna jamstva da je objekt certifikacije zaista i siguran.
Naravno, primjena COBIT-a je veći zalogaj koji ne vole svi žvakati. Pored toga, razmišljanje da su regulatorni zahtjevi, u ovom slučaju HNB-a, ovdje radi vas a ne radi regulatora, u današnjim je vremenima možda ipak preidealističko. No, trud bi vam se mogao isplatiti, a što se tiče ideala - treba iskoristiti svaku priliku za njihovo potvrđivanje.
ISO 27002 je jednostavan dokument, njegove su preporuke zrdravorazumske a mnogi koji ga uzimaju u ruke s namjerom primjene, već nakon desetak stranica s olakšanjem zaključuju kako su gotovo sve odredbe primjenjene ili lako primjenjive u njihovoj okolini. Pored toga, smjernice HNB-a i po volumenu i po detaljnosti veoma podsjećaju na dokument ISO 27002. Bilo bi nepravedno i netočno reći da će neka banka pogriješiti ako normu ISO 27001/27002 iskoristiti za postupak usklađivanja sa zahtjevima HNB-a.
Ipak, treba spomenuti i glavne nedostatke takve strategije.
Prije svega, izborom ISO 27002 kao radnog okvira daje se pogrešna poruka da su Smjernice HNB-a tehničko pitanje, u nadležnosti informatičke službe. ISO 27002, doduše, i u uvodnom dijelu i u dijelu s pregledom kontrolnih mjera predviđa tijesnu vezu s managementom, no ove odredbe, iz više razloga, imaju samo formalnu ali ne i suštinsku snagu. To, naravano, ne bi trebalo biti tako, no treba dosta snage u primjeni norme ISO 27001/27002 kako bi se management pretvorilo u kvalitetne i strpljive sugovornike.
Smjernice HNB-a dodjeljuju izuzetno važnu ulogu procesu upravljanja informacijskim rizicima. Ovaj dio, sagledan s odredbama o odgovornosti uprava banaka i potrebi revizije informacijskih sustava, smatram najznačajnijim faktorom primjene Smjernica HNB-a. Upravo iz ovog razloga, COBIT može biti od velike pomoći. COBIT ne samo da opisuje kontrolne mjere i praksu koje se odnose na upravljanje rizicima i obveze managementa, već je sve donedavno njegova glavna primjena bila baš u postupku revizije. Pred toga, COBIT danas pruža i djelotvorne instrumente za mjerenje uspješnosti primjene i pridržavanja svih procesa predviđenih smjernicama HNB-a. Time je uspostavljena povratna veza između operativne i strateške razine odlučivanja.
Na kraju, mislim da je jedna od prednosti COBIT-a i ta što u sebi ne uključuje i ne podrazumijeva službenu certifikaciju. Dosadašnji model isigurnosnih certifikacija pružaju tek minimalna jamstva da je objekt certifikacije zaista i siguran.
Naravno, primjena COBIT-a je veći zalogaj koji ne vole svi žvakati. Pored toga, razmišljanje da su regulatorni zahtjevi, u ovom slučaju HNB-a, ovdje radi vas a ne radi regulatora, u današnjim je vremenima možda ipak preidealističko. No, trud bi vam se mogao isplatiti, a što se tiče ideala - treba iskoristiti svaku priliku za njihovo potvrđivanje.
2.4.08
Još jedan slučaj krađe podataka
Prije desetak dana se pojavio još jedan slučaj krađe podataka o kreditnim karticama. Hannaford Bros. - američki maloprodajni lanac s gotovo 300 dućana - obavijestio je o gubitku (krađi) preko 4 milijuna brojeva keditnih kartica. Vijest zapravo i nije vijest. Trgovački lanac TJX je početkom 2007. izgubio podatke o 45 milijuna kartica, a krađe povjerljivih podataka s notebooka i arhivskih traka postale su uobičajene. No, razlog zbog kojeg skrećem pažnju na slučaj Hannaford je činjenica da je tvrtka Hannaford Bros. imala certifikat o sukladnosti s Payment Card Industry Data Security Standard (PCI DSS) i to za 2007. i 2008. godinu.
Kako se, onda, mogao dogoditi incident ovih razmjera? Odnosno, pitanje se može postaviti i na slijedeći način: kako je Hannaford mogao dobiti certifikat o sukladnosti? Pokušat ću odgovoriti na drugo pitanje.
Prvo, činjenica da je neki sustav dobio potvrdu o sukladnosti s određenim pravilima ne znači da će se ta pravila poštovati ni 24 sata od davanja potvrde. To vrijedi za sve složene tehnološke sustave, ne samo informatičke. To vrijedi i za vaš osobni auto: prolazak na tehničkom pregledu nije jamstvo o njegovom besprijekornom funkcioniranju. No, certifikat u svakom slučaju doprinosti uvjerenju da je mogućnost ispada sustava dovoljno (prihvatljivo) niska. Ovo razmatranje osobito vrijedi za informacijsku sigurnost. Informacijska je sigurnost složen tehnološki sustav u kojemu je faktor utjecaja netehnoloških elemenata (čitaj: ljudski faktor) izuzetno visok. Tržišni certifikati (kao što je PCI DSS), norme (ISO 27001), formalne provjere (revizije) i neformalne provjere (penetracijski testovi) provjeravaju djelovanje ljudskog faktora u većem ili (češće) manjem dometu, no potvrda o prihvatljivom djelovanju ljudskog faktora vremenski je ograničena na razdoblje trajanja postupka provjere. Sve ostalo je samo određena mogućnost da će potvrda biti valjana i nakon odlaska revizora. Stoga, revizija i službeni certifikati koji proizlaze iz revizije trebaju biti upotpunjeni s kontinuiranim praćenjem rada sustava. Jednokratna se provjera mora transformirati u kontinuirani proces.
Drugi problem nastaje iz formalnog statusa same revizije. Iako je postupak donošenja PCI DSS certifikacije detaljno definiran te postoje strogi kriteriji koje moraju ispunjavati ovlašteni revizori, pojavili su se komentari (i prije slučaja koji ovdje opisujemo) o različitim naporima i različitim razinama striktnosti koje PCI revizori zahtjevaju. Tu se pojavljuje i problem sukoba interesa u kojem se često mogu naći revizori (sjetimo se Enrona, no u drugim poslovnom kontekstu i drugom okruženju). Također, treba uzeti u obzir da svaka revizija u kojemu klijent plaća troškove revizije (a ne tijelo koje reviziju zahtjeva) u sebi sadrži rizike nadekvatne provjere (jer, klijent ima pravo tražiti najjeftiniju reviziju).
Iako često na ovim stranicama pišem o regulaciji informacijske sigurnosti, smatram da formalna certifikacija, bez jasno definiranih i detaljno dorađenih pravila igre, može napraviti lošu uslugu informacijskoj sigurnosti.
Za kraj, vraćam se samom slučaju Hannaford. Rezultati istrage još nisu objavljeni, no pojavile su se procjene da je događaj o kojemu ovdje govorim bio moguć ponajprije djelovanjem "insidera".
Kako se, onda, mogao dogoditi incident ovih razmjera? Odnosno, pitanje se može postaviti i na slijedeći način: kako je Hannaford mogao dobiti certifikat o sukladnosti? Pokušat ću odgovoriti na drugo pitanje.
Prvo, činjenica da je neki sustav dobio potvrdu o sukladnosti s određenim pravilima ne znači da će se ta pravila poštovati ni 24 sata od davanja potvrde. To vrijedi za sve složene tehnološke sustave, ne samo informatičke. To vrijedi i za vaš osobni auto: prolazak na tehničkom pregledu nije jamstvo o njegovom besprijekornom funkcioniranju. No, certifikat u svakom slučaju doprinosti uvjerenju da je mogućnost ispada sustava dovoljno (prihvatljivo) niska. Ovo razmatranje osobito vrijedi za informacijsku sigurnost. Informacijska je sigurnost složen tehnološki sustav u kojemu je faktor utjecaja netehnoloških elemenata (čitaj: ljudski faktor) izuzetno visok. Tržišni certifikati (kao što je PCI DSS), norme (ISO 27001), formalne provjere (revizije) i neformalne provjere (penetracijski testovi) provjeravaju djelovanje ljudskog faktora u većem ili (češće) manjem dometu, no potvrda o prihvatljivom djelovanju ljudskog faktora vremenski je ograničena na razdoblje trajanja postupka provjere. Sve ostalo je samo određena mogućnost da će potvrda biti valjana i nakon odlaska revizora. Stoga, revizija i službeni certifikati koji proizlaze iz revizije trebaju biti upotpunjeni s kontinuiranim praćenjem rada sustava. Jednokratna se provjera mora transformirati u kontinuirani proces.
Drugi problem nastaje iz formalnog statusa same revizije. Iako je postupak donošenja PCI DSS certifikacije detaljno definiran te postoje strogi kriteriji koje moraju ispunjavati ovlašteni revizori, pojavili su se komentari (i prije slučaja koji ovdje opisujemo) o različitim naporima i različitim razinama striktnosti koje PCI revizori zahtjevaju. Tu se pojavljuje i problem sukoba interesa u kojem se često mogu naći revizori (sjetimo se Enrona, no u drugim poslovnom kontekstu i drugom okruženju). Također, treba uzeti u obzir da svaka revizija u kojemu klijent plaća troškove revizije (a ne tijelo koje reviziju zahtjeva) u sebi sadrži rizike nadekvatne provjere (jer, klijent ima pravo tražiti najjeftiniju reviziju).
Iako često na ovim stranicama pišem o regulaciji informacijske sigurnosti, smatram da formalna certifikacija, bez jasno definiranih i detaljno dorađenih pravila igre, može napraviti lošu uslugu informacijskoj sigurnosti.
Za kraj, vraćam se samom slučaju Hannaford. Rezultati istrage još nisu objavljeni, no pojavile su se procjene da je događaj o kojemu ovdje govorim bio moguć ponajprije djelovanjem "insidera".
13.9.07
Curenje informacija i vrijednost dionica
U Jutarnjem listu od 8.9.2007. objavljen je razgovor s Antom Samodolom, čelnim čovjekom Hrvatske agencije za nadzor financijskih usluga. Hanfa je svojim radom izazvala brojne reakcije, a stvorila je i neke "neprijatelje". Nemam namjeru baviti se ovim dijelom Hanfine aktivnosti već ukazati na jedan od odgovora iz ovog članka.
Na pitanje o "redovitim curenjem informacija o upisu dionica kod javnih ponuda", Samodol potvrđuje takvu praksu, te najavljuje da će se Hanfa svim silama boriti protiv toga. Naime, ovakva informacija može imati snažan poticaj za neopravdani skok cijena dionica.
Ovaj odgovor pokazuje na najbolji način snagu informacija na tržištu dionica i mogućnosti manipulacija cijenama dionica korištenjem informacija. Mogući su i slučajevi kada se određene informacije neće objaviti odnosno biti će poznate samo uskom broju ljudi i to u veoma pogodnom trenutku.
Kao što Samodol tvrdi, "u zakonu je jasno što tko smije objaviti, a što ne smije". No, problem predstavlja činjenica da je manipulaciju informacijama ponekad veoma teško otkriti. Danas se preko 99% informacija koje bi mogle imati utjecaja na poslovanje tvrtki, pa tako i na cijenu dionica, obrađuje ili pohranjuje u digitalnom obliku, odnosno izmjenjuju nekim od oblika elektroničke komunikacije. Mjesta otkrivanja ili prikrivanja takvih informacija veoma su raznolika i često nedodirljiva u potrebnom trenutku. Čak i kad naknadno postane jasno da je došlo do manipulacije, načinjenu štetu teško je pokriti.
Stoga, pored propisivanja što se smije ili ne smije objaviti, zakon i provedbena praksa mora jasnije definirati kako se takve informacije moraju čuvati i obrađivati, te predvidjeti odgovornost rukovodstva i za slučajeve nemarnog odnosa prema važnim podacima. Vjerujemo da će i Hanfa prepoznati taj pravac uređivanja financijskog trižišta.
Na pitanje o "redovitim curenjem informacija o upisu dionica kod javnih ponuda", Samodol potvrđuje takvu praksu, te najavljuje da će se Hanfa svim silama boriti protiv toga. Naime, ovakva informacija može imati snažan poticaj za neopravdani skok cijena dionica.
Ovaj odgovor pokazuje na najbolji način snagu informacija na tržištu dionica i mogućnosti manipulacija cijenama dionica korištenjem informacija. Mogući su i slučajevi kada se određene informacije neće objaviti odnosno biti će poznate samo uskom broju ljudi i to u veoma pogodnom trenutku.
Kao što Samodol tvrdi, "u zakonu je jasno što tko smije objaviti, a što ne smije". No, problem predstavlja činjenica da je manipulaciju informacijama ponekad veoma teško otkriti. Danas se preko 99% informacija koje bi mogle imati utjecaja na poslovanje tvrtki, pa tako i na cijenu dionica, obrađuje ili pohranjuje u digitalnom obliku, odnosno izmjenjuju nekim od oblika elektroničke komunikacije. Mjesta otkrivanja ili prikrivanja takvih informacija veoma su raznolika i često nedodirljiva u potrebnom trenutku. Čak i kad naknadno postane jasno da je došlo do manipulacije, načinjenu štetu teško je pokriti.
Stoga, pored propisivanja što se smije ili ne smije objaviti, zakon i provedbena praksa mora jasnije definirati kako se takve informacije moraju čuvati i obrađivati, te predvidjeti odgovornost rukovodstva i za slučajeve nemarnog odnosa prema važnim podacima. Vjerujemo da će i Hanfa prepoznati taj pravac uređivanja financijskog trižišta.
21.5.07
Treba li regulirati informacijsku sigurnost?
Iako se smatra da je management u poslovnim sustavima danas sasvim svjestan problema informacijske sigurnosti i načina za njihovo rješavanje, u svijetu je zavladala praksa regulacije informacijske sigurnosti zakonima i sličnim tržišnim propisima (SOX, EU Data Protection, Basel II...). No, pojavljuju se pitanja je li takav način regulacije sukladan zakonima tržišta i slobodnoj ekonomiji. Treba li zaista zakonom urediti informacijsku sigurnost ili se može, kao i u nekim drugim slučajevima, ovo pitanje prepustiti samoregulaciji?
Moj odgovor je: regulacija je neophodna. Evo i glavnih razloga.
Informacije koje se kreiraju i obrađuju današnjim poslovnim modelima obuhvaćaju znatno širu vrijednost od one koja ima značenje za upravu i vlasnike pojedinog poduzeća. Nekoliko primjera: sve detaljniji, opsežniji i delikatniji osobni podaci (dakle podaci koji ne samo da pripadaju pojedincima nego su ponekad od naročitog osobnog značaja) a predmet su svakodnevnih poslovnih transakcija u poduzećim i organizacijama svih profila; financijski podaci koji imaju značaj za brojne dioničare (institucionalne i vaninstitucionalne); podaci čija bi zloupotreba ili narušavanje moglo utjecati na bankarski, mirovinski, zdravstveni, energetski (ali i na neki drugi) sustav (a koje možemo okarakterizirati kao sustave od općeg značaja)...
Današnji informacijski rizici mogu na jednostavan i direktan način uzrokovati značajne posljedice ne samo upravi i vlasnicima nego i drugim interesnim grupama uključenim u rad informacijskih sustava. Ako uprave nisu direktno motivirane (čitaj: prisiljene) očuvati, osim vlastitih, i vrijednosti drugih sudionika onda je, nažalost, vrlo izvjesno da to neće napraviti (ili će napraviti veoma površno i nedjelotvorno).
Stoga, neophodno je da država i državna regulatorna tijela propisuju pravila za specifične segmente poslovanja koja se moraju slijediti u primjeni informacijskih tehnologija i kojima će se zaštiti svi sudionici ovih segmenata poslovanja.
No, isto tako je važno da se ova pravila primjenjuju, te da specijalizirana tijela provjeravaju njihovu provedbu (razumije se: uz tržišne posljedice za prekršitelje).
Moj odgovor je: regulacija je neophodna. Evo i glavnih razloga.
Informacije koje se kreiraju i obrađuju današnjim poslovnim modelima obuhvaćaju znatno širu vrijednost od one koja ima značenje za upravu i vlasnike pojedinog poduzeća. Nekoliko primjera: sve detaljniji, opsežniji i delikatniji osobni podaci (dakle podaci koji ne samo da pripadaju pojedincima nego su ponekad od naročitog osobnog značaja) a predmet su svakodnevnih poslovnih transakcija u poduzećim i organizacijama svih profila; financijski podaci koji imaju značaj za brojne dioničare (institucionalne i vaninstitucionalne); podaci čija bi zloupotreba ili narušavanje moglo utjecati na bankarski, mirovinski, zdravstveni, energetski (ali i na neki drugi) sustav (a koje možemo okarakterizirati kao sustave od općeg značaja)...
Današnji informacijski rizici mogu na jednostavan i direktan način uzrokovati značajne posljedice ne samo upravi i vlasnicima nego i drugim interesnim grupama uključenim u rad informacijskih sustava. Ako uprave nisu direktno motivirane (čitaj: prisiljene) očuvati, osim vlastitih, i vrijednosti drugih sudionika onda je, nažalost, vrlo izvjesno da to neće napraviti (ili će napraviti veoma površno i nedjelotvorno).
Stoga, neophodno je da država i državna regulatorna tijela propisuju pravila za specifične segmente poslovanja koja se moraju slijediti u primjeni informacijskih tehnologija i kojima će se zaštiti svi sudionici ovih segmenata poslovanja.
No, isto tako je važno da se ova pravila primjenjuju, te da specijalizirana tijela provjeravaju njihovu provedbu (razumije se: uz tržišne posljedice za prekršitelje).
Pretplati se na:
Postovi (Atom)