Kad je američka kompanija UBS PaineWebber zaposlila Rogera Duronia kao sistemskog administratora 1999. godine, nije im palo na pamet zapitati policiju ima li on kakav dosje. A u dosjeu je bio zapisan niz “nesporazuma” sa snagama reda i zakona, od nekoliko optužbi vezanih za drogu, preko problema u prometu, a bilo je tu i provala i fizičkih napada na druge osobe. Sedam godina kasnije, Roger Duronio optužen je i osuđen za računalnu sabotažu, a na suđenju su isplivali sve pojedinosti iz njegova života. Duronio je još 2002. godine “pustio u opticaj” logičku bombu koja je srušila dvije tisuće kompanijskih poslužitelja, zbog čega 17.000 brokera nije moglo trgovati. UBS PaineWebber popravak servera platio je 3,1 milijun dolara, a nikada nisu objavili kolika je stvarna šteta od izgubljenih poslova i povjerenja klijenata. U kompaniji s tisućama zaposlenika i suradnika, Roger Duronio bio je jedan od 40 povlaštenih koji su imali sva ovlaštenja i koji su mogli pristupiti svim podacima na svim računalima kompanije. UBS PaineWebber (2003. godine promijenili su ime u UBS Wealth Management USA) napravio je sigurnosnu provjeru top-menadžera, no ne i Duronia – on je već bio “pouzdani vanjski suradnik” i jednostavno je nastavio raditi svoj posao kao stalno zaposleni. Danas kompanija u suradnji s policijom provjerava sve: od stalnih zaposlenika, do povremenih i vanjskih suradnika. Allan Parker, direktor istraživanja u poznatom SANS Institutu, kaže: “Razmotrite malo koliko vam je važna informacijska sigurnost. Ako ne možete nastaviti s poslovanjem nakon što vam ‘padne’ sustav, trebali bi razmisliti o provjeri svojih zaposlenika.” Pa, bi li provjera Duronia donijela rezultate? Po svoj prili odgovor je potvrdan jer je ekipa InformationWeek zatražila podatke od policije i dobila ih nakon samo četiri dana, a neki podaci bili su dostupni za samo 24 sata. Ukupan trošak, koji bi spriječio milijunski gubitak UBS-a, bio je – 500 dolara. A da nove zaposlenike treba provjeravati govori i podatak da je 30 posto insajdera, unutarnjih napadača, već imalo posla sa policijom. Dawn Cappelli, stariji član CERT-ove sigurnosne ekipe pri Sveučilištu Carnegie Mellon, kaže da je “u 2006. godini 73 posto kompanija radilo sigurnosne provjere radnika, za razliku od 48 posto u 2005. godini”. Poučene iskustvom drugih, neke tvrtke rade i povremene provjere radnika koji su kod njih zaposleni već godinama. Howard Schmidt, bivši savjetnik Bijele kuće za sigurnost, a danas direktor R&H Security Consultinga, pojašnjava na što se treba paziti: “Ako je netko ulovljen s gramom marihuane, ili je završio na policiji jer se napio slaveći rođendan, to nije zabrinjavajuće. No, valja proučiti svakoga tko ima opetovanih problema sa snagama reda i tko konstantno krši društvena pravila”.

Koliko je opasna takva “peta kolona”? Insajderi, unutarnji napadači, osobe su koji imaju visoke ovlasti u sklopu informacijskog sustava kompanije, a to povjerenje poslodavca spremni su upotrijebiti u razne nedozvoljene svrhe. Te radnje su širokog raspona, od korištenja piratskog softvera, preko posjećivanja pornografskih stranica, krađe povjerljivih informacija i poslovno-tehnoloških tajni, pa sve do ucjenjivanja bivšeg poslodavca. Američki Institut za računalnu sigurnost (U.S. Computer Security Institute – CSI), objavio je svoju godišnju analizu o računalnim prijetnjama. Analiza pokazuje da su insajderi prvi put veća opasnost od virusa i malicioznog softvera. Unutarnji neprijatelj preuzeo je neslavno prvo mjesto na listi sigurnosnih prijetnji, proizlazi iz odgovora 494 stručnjaka za sigurnost iz američkih kompanija i vladinih organizacija. Čak 59 posto ispitanih potvrdilo je incidente s insajderima u prošloj godini, a njih 52 posto imalo je loša iskustva sa “standardnim” virusima. Iako opasnost od virusa i unutarnjih napadača stalno pada još od 2000. godine, alarmantan je baš taj podatak da virusi i ostali maliciozan softver više nisu prijetnja broj jedan. Zaposlenici mogu nanijeti štetu kompaniji namjerno ili nenamjerno, primjerice ostavljanjem prijenosnog računala na javnom mjestu ili nekriptiranjem osjetljivih podataka, no u svim slučajevoma šteta može biti golema pa i pogubna za organizaciju. Međutim, ne možemo se fokusirati samo na broj incidenata jer konačna šteta ovisi i o tipu organizacije. UBS je izgubio 3,1 milijun dolara, no da je napadnuta neka banka, bez novca su mogle ostati tisuće štediša što je moglo uzdrmati i bankarski sustav zemlje. Prema nekim istraživanjima, unutarnji napadači odgovorni su za čak 70 do 80 posto sigurnosnih incidenata. Carnegie Mellonov CERT u suradnji s američkom tajnom službom svake godine provodi posebno istraživanje o insajderskim prijetnjama. Njihova Internet Threat Study pokazuje da 81 posto organizacija, u kojima je insajder odgovoran za napade, ima mjerljive financijske gubitke. Od simboličnih 500 dolara do “desetaka milijuna dolara”. Točne iznose i imena napadnutih institucija, naravno, nećete dobiti. Čak 75 posto napadnutih kaže da je poslovni proces “znatni trpio”, a 28 posto nakon napada je osjetilo izravan negativan utjecaj na njihovu reputaciju.

Kakva je situacija u Hrvatskoj?

Damir Paladin, direktor poduzeća Borea koje se od 1998. godine bavi informacijskom sigurnošću, kaže: “Ako govorimo o apsolutnim vrijednostima, onda vrijedi isto pravilo kao i u primjerice Sjedinjenim Državama Amerike: Vanjskih napada u apsolutnim vrijednostima ima više iz razloga što se i svaki pokušaj, pa makar i ne bio do kraja uspješan, ubraja u napad. No, s obzirom da takvi napadi ne podrazumijevaju i uspješnost realizacije, treba situaciju promatrati na drugi način. Valja se zapitati jesu li veće posljedice od eksternih ili unutarnjih napada? Moja je procjena da štete od unutarnjih napada nose barem 70 posto troškova, a vanjskih 30 posto.”

Koji su od tih napada pogubniji po kompaniju, ako gledamo financijski?
– Vanjski napadi zasad imaju najveće posljedice u gubitku efikasnosti rada i u troškovima obnove. Nismo imali slučajeve masovne krađe osobnih podataka uslijed eksternih napada, kao u SAD-u. Zlobnici bi možda rekli da ukupnih sto posto i nije bog zna što, jer će nekome izgledati da informatika za sada ne stvara osobitu dodanu vrijednost našim poduzećima, barem ne onakvu koja bi mogla biti atraktivna konkurenciji, te da nema programa zbog čijeg bi prekida firma mogla stati.

Možete li nam dati kakav konkretan primjer iz vaše prakse?
– Znam za slučajeve gdje je gubitak postojećih kupaca, nakon odlaska prodajnog referenta iz firme, napravio veću štetu nego svi virusi u nekoliko godina.

Zašto se o insajderima ne priča toliko, koliko o virusima i “hackerima”?
– O insajderima se puno manje priča iz dva razloga: Prvo, njihovo djelovanje vrlo lako prolazi nezapaženo. Drugo, organizacije kojima su se desili insajderi nastoje takve slučajeve zataškati uglavnom zbog reputacije, a možda ima i drugih razloga kao što je, primjerice, prikrivanje odgovornosti. U javnosti postoji percepcija o “hakerima” koji iz različitih pobuda napadaju neku mrežu putem Interneta. To je naravno veoma realna i izražena opasnost, no organizacije napade koji dolaze izvana u pravilu mogu spriječiti. No problem je spriječiti vlastitog radnika da vam napravi štetu.

Zbog čega su unutarnji napadači opasniji od razvikanih “hakera”?
– Unutarnji napadači najčešće veoma dobro znaju što traže i ciljaju na podatke. Vanjski napadači ostavljaju jako puno tragova, dok insajderi rade najčešće u okviru svojih redovitih ovlasti za rad i ne puštaju puno tragova za sobom. Oni raspolažu s dovoljno vremena i u mogućnosti su izgraditi dobru strategiju napada, a akcije koje pokreću mogu proći potpuno nezapaženo.

Tko bi trebao razvijati, ali i implementirati, strategiju i pravila zaštite IT, točnije rečeno, informacijskog sustava?
– Jedan od značajnih uzroka insajderskih napada je nedovoljno dobro određena odgovornost za informacijsku sigurnost. Naime, nekako se podrazumijeva da je informatički odjel nadležan za zaštitu internetskog segmenta i obranu od vanjskih napada. Iako takav angažman neće pokriti baš sve smjerove vanjskog napada, može se ipak reći da je nadležnost dosta dobro definirana. Kada govorimo o unutranjim prijetnjama, one tek dijelom spadaju u zonu odgovornosti informatičkih odjela. Ovdje moramo govoriti i o odgovornosti rukovodstva pojedinih poslovnih cjelina i o nekontroliranom ponašanju zaposlenika. Iz tog razloga, ostaje jedna nedefinirana siva zona u kojoj je insajderima lako djelovati. Posebno treba spomenuti nedostatak nadzornih procesa, djelotvorne interne revizije, neovisne sigurnosne procjene i testiranja, koji bi u velikoj mjeri reducirali rizike nastanka insajderskih napada, a koji su informatici veoma bitni.