Zbog snažne baze u pružanju usluga bankama i velikim organizacijama, Infosistem je tradicionalno vrlo snažno fokusiran na IT sigurnost. Razgovarali smo s predsjednikom Uprave tvrtke Infosistem Robertom Mišetom s kakvim se izazovima danas susreću.

Koja su danas najtraženija rješenja iz područja ICT sigurnosti?
Danas su to još uvijek rješenja koja možemo nazvati klasičnim sigurnosnim rješenjima – kao što su antivirus, firewall, IDS /IPS (Intrusion Detection/Prevention) te proxy. Primjetno je da sve više raste potražnja za sigurnosnim rješenjima poput rješenja za enkripciju podataka u pohrani (storage), DLP (Data Leakage Protection), te SIEM (Security Information and Event Management).

Da li je opasnost od cyber napada ograničena samo na jednu industriju?
Naravno da ne. Ako redovito pratite vijesti iz cyber security zajednice, možete primijetiti da su sve industrije napadnute – i to neovisno o veličini pojedine kompanije. Važno je naglasiti da nema industrije ili pojedinca koji su 100% sigurni od cyber napada. Nije pitanje hoće li se napad, odnosno kompromitacija dogoditi, nego kada i na koji način će se dogoditi.Zanimljivo je napomenuti da se iskorištavaju ranjivosti za koje se nije znalo ili se koriste prilike za napade na sustave za koje je prestala podrška od strane proizvođača. Također se vraćaju i već viđeni napadi, s unaprijeđenom tehnikom napada.

Kad pogledate pet godina unazad i to usporedite s današnjom situacijom, vidite li napredak u prepoznavanju važnosti ICT sigurnosti među domaćim biznisima?
Svakako bih rekao da se definitivno primjećuje napredak, čemu su doprinijeli mediji koji su potaknuli interes javnosti za navedeno područje, kao i sve veća destruktivnost ugroza na području ICT sigurnosti u fizičkom i financijskom smislu. Dodatno je interes porastao donošenjem nove regulative na razini EU – General Data Protection Resolution, koja ide u smjeru zaštite osobnih podataka, ojačana penalizacijskim sustavom koji dodatno potiče djelovanje u interesu što bolje zaštite osobnih podataka korištenjem kvalitetnijih sustava i procedura u području ICT sigurnosti.S druge strane, kada gledamo možemo li biti zadovoljni tempom napretka u kojem se situacija razvija kod nas, mislim da još uvijek nismo na razini na kojoj bismo trebali biti. Razloge za to vidim u financijskoj krizi u proteklom razdoblju, kao i poimanju cyber sigurnosti unutar naše regije. Naime, na cyber sigurnost se u tvrtkama u kojima ona nije 'core business' gleda kao na nepotreban trošak, a ne proces kojim upravljamo cyber rizicima i koji može optimizirati i poboljšati poslovanje uz smanjenje investicijskih i operacijskih troškova. Rezultat je da se cyber sigurnosti pristupa reaktivno, a ne preventivno – a čak i tada se ne radi dubinska forenzička analiza takvih incidenata. Smatram da cyber sigurnost treba neizostavno biti povezana s core poslovnim aktivnostima kompanije.

Koliko tvrtke uopće razmišljaju o opasnosti cyber napada? Što uopće smatraju cyber napadom?
S obzirom na to da je učestalost cyber napada u zadnjih nekoliko godina iznimno velika i više je nije moguće ignorirati, sve više tvrtki postaje svjesno opasnosti – osobito iz razloga financijske i fizičke destruktivnosti takvih napada. Također je primjetno da je tempo tih napada sve frekventniji, uz poboljšanje vektora napada i primijenjene tehnologije.Cyber napadom se smatra svaki pokušaj neovlaštenog pristupa, narušavanja integriteta ili dostupnosti kritičnih i povjerljivih poslovnih sustava i/ili podataka. Realiziran napad postaje incidentom kada ima posljedice (financijske, reputacijske i sl.) za metu napada. U praksi se napadom najčešće smatra situacija u kojoj je računalo zaraženo virusom, postane nedostupno/zaključano uslijed ransomwarea, spam, otuđivanje financijskih sredstava i sl. Istaknuo bih da neke druge faze u cyber napadu – kao što su izviđanje, prikupljanje podataka o meti, skeniranje ranjivosti – budu rijetko spomenute jer prolaze 'ispod radara', iako predstavljaju važnu komponentu u procesu napada.

Koja vi rješenja nudite u području cyber sigurnosti?
Infosistem nudi konzultantske usluge povezane s uvođenjem i upravljanjem informacijskom sigurnošću odnosno rizicima informacijske sigurnosti (prema PCIDSS, ISO27001, GDPR), zatim GAP analizu, te rješenja za gotovo svaki problem povezan s IT sigurnosti.Kao našu tržišnu prednost vidimo područje mikrosegmentacije informacijske okoline pomoću proizvoda Stealth, kojim se putem minimalne investicije i operativnih troškova korporativna okolina dijeli u mikro segmente prema principima minimalnih privilegija i 'need to know' prava pristupa. Tako se smanjuje efektivna površina napada, te posljedica u slučaju realizacije napada. Također se poboljšava detekcija i incident response – bilo za fiksnu, mobilnu ili cloud okolinu.

Koliko je u ovom području važno obrazovanje? Naime, istraživanja pokazuju da su najčešći oblici cyber napada oni putem socijalnog inženjeringa. Što vi po tom pitanju nudite i savjetujete tvrtkama?
Obrazovanje i znanje su uvijek bili najjače oružje zaštite kada se priča o bilo kakvom obliku sigurnosti. Nažalost, sve manje možemo govoriti o malicioznim pojedincima, a sve više o malicioznim korporacijama kojima je ovakav oblik aktivnosti 'core business'. Količina znanja koju treba apsorbirati za uspješnost u obrani od cyber ugroza je jako velika, a da bi se sve podiglo na stepenicu više, potrebno je takve informacije razmjenjivati s kolegama iz cyber security zajednice.Evidentno je da, kako su tijekom godina sustavi zaštite (Firewall, IDS/IPS, Proxy i sl.) sve više sazrijevali, tako je čovjek postao najslabija karika u lancu koju je najlakše iskoristiti da bi se napad realizirao u incident. Kroz socijalni inženjering je najlakše nekog prevariti i navesti da napravi nešto što inače ne bi želio, a time i utrošiti manje vremena nego recimo pisati kôd koji će probiti lozinku na računalu ili čak iskoristiti neki postojeći kôd da to učini. Postoji bezbroj načina na koji se napad može ostvariti. Uz već poznate metode trebamo se zapitati kako je u određenoj okolini moguće realizirati napad putem socijalnog inženjeringa i zatim provesti kampanje osvješćivanja zaposlenika. I što više komunicirati – komunikacija je imperativ!