Informacija vrlo ranjiva meta u digitalnom svetu - Zaštita od sajber rizika zahteva edukaciju, ulaganja i konstantan oprez

Kada je polovinom prošlog meseca veliki hakerski napad blokirao desetine hiljada kompjutera širom sveta, mnogi korisnici računara u Srbiji zapitali su se, umesto kako da se zaštite, o čemu se tu uopšte radilo.

Napad je, ukratko, bio organizovan kroz "ransomware", softver koji kompjuterski kriminalci koriste kao digitalni mehanizam za iznudu. Njime oni, zapravo, blokiraju sistem korisnika i onemogućavaju pristup svim podacima na njemu sve dok traženi otkup ne bude plaćen.

Srećom, zvanični podaci kažu da žrtava virusa "WannaCry" u našoj zemlji nije bilo, iako su u prošlosti i kod nas zabeleženi napadi sličnih malicioznih softvera.

Tako podaci iz 2016. govore da su napadi sve češći i u Srbiji, pa je zabeleženo da su hakeri za 12 meseci napravili ukupnu štetu veću od milion evra. Zato se korisnicima računara savetuje da vode računa od koga im stižu mejlovi i da izbegavaju da bez provere odgovaraju na njih, da ne otvaraju sumnjive fajlove, koriste antivirus programe i slično...

Ipak, i kriminalci postaju sve sofisticiraniji, pa potreba za borbom protiv njih postaje sistemski i institucionalni problem daleko nadilazeći mogućnosti pojedinačnih aktera.

Stoga je naša država prošle godine usvojila Zakon o informacionoj bezbednosti, koji propisuje mnogobrojne zaštitne mere i standarde koje kompanije, državni organi i svi ostali subjekti koji upravljaju informacionim sistemima moraju da primene.

U Ministarstvu trgovine, turizma i telekomunikacija za eKapiju kažu da su definisani IKT sistemi od posebnog značaja, kao i mere zaštite koje oni moraju da preduzmu u cilјu prevencije od bezbednosnih rizika ali i u slučaju nastanka incidenta.

Obrazovano je i Vladino Telo za koordinaciju poslova informacione bezbednosti i uspostavljeno nekoliko Centara za prevenciju bezbednosnih rizika u IKT sistemima (CERT).

Uz to, Vlada je 29. maja usvojila Strategiju razvoja informacione bezbednosti, kojom su utvrđeni strateški prioriteti razvoja u ovoj oblasti - podizanje lјudskih i tehničkih kapaciteta, kontinuirano obučavanje i usavršavanje zaposlenih, podizanje svesti kod građana, privrednih subjekata i organa države, kao i uvođenje posebnih programa na univerzitetima iz oblasti informacione bezbednosti.

- Da bi se pitanje informacione bezbednosti sveobuhvatno sagledalo i rešavalo, neophodno je zajedničko delovanje - kaže za eKapiju Tatjana Matić, državna sekretarka u Ministarstvu telekomunikacija i rukovodilac Tela za koordinaciju poslova informacione bezbednosti.

Ona kao primer navodi pomenuti napad putem virusa "WannaCry", kada je odmah uspostavlјena komunikacija između relevantnih institucija i izdate preporuke za javnost o merama zaštite koje je bilo potrebno preduzeti u tom momentu.

U Share fondaciji, neprofitnoj organizaciji za zaštitu prava i sloboda u digitalnom okruženju, međutim, kažu da je neophodno povećati kapacitete Ministarstva jer "praćenje primene zakona, a naročito inspekcijski nadzor, ne može biti adekvatno sprovedeno ako za to ne postoje odgovarajući resursi ".

- Pošto većina državnih organa obrađuje, sakuplja i čuva podatke o ličnosti građana u digitalnom obliku, neophodno je da poboljšaju standarde i prakse informacione bezbednosti, ali i zaštite podataka - kažu u Share fondaciji za eKapiju.

Na pitanje kako bi domaće kompanije trebalo da se štite od online rizika, u ovoj fondaciji kažu da je "najvažnije da se o bezbednosti razmišlja kako na nivou organizacije, tako i na nivou pojedinaca, od zaposlenih do direktora".

- Važan savet jeste da kompanije povedu računa o tome gde će njihovi podaci čuvati i kakve usluge pruža hosting provajder, tj. da li poseduje kapacitete da adekvatno i blagovremeno reaguje u slučaju napada. Takođe treba voditi računa o svim mogućim digitalnim tragovima (npr. serverski logovi) koji se kasnije mogu priložiti policiji i tužilaštvu - objašnjavaju.

U slučaju da je došlo do incidenta kompanije su dužne da iste prijave Ministartstvu trgovine, turizma i telekomunikacija, nadležnom organu za sprovođenje zakona o informacionoj bezbednosti, a u ovoj fondaciji navode da "preduzeća nikako ne bi trebalo da kriju da je do incidenata došlo, jer nadležni organi uvek imaju više informacija, a na taj način se i objedinjuje znanje o digitalnim rizicima i smanjuju rizici za nove incidente". U borbi protiv sajber rizika jedno od najvažnijih oružja je edukacija. Često, male kompanije nemaju ni resurse da primene najviše standarde zaštite, a problem je utoliko veći jer ni građani nemaju previše znanja o rizicima u onlajn prostoru.

- Čini se da, nažalost, svi postaju svesni rizika tek kada je kasno, odnosno kada je došlo do određenog incidenta. Tako smo imali slučaj Agencije za privatizaciju, na čijem sajtu su bili javno dostupni matični brojevi gotovo svih punoletnih građana Srbije. Ta baza je mogla da se preuzme sa interneta i da se kasnije podaci neovlašćeno koriste, a slučaj je nažalost zastareo pred nadležnim državnim organima, što znači da je izostala odgovornost - podsećaju u Share fondaciji.

I u Ministarstvu telekomunikacija kažu da je neophodno jačanje lјudskih i institucionalnih kapaciteta i dodaju da je od klјučnog značaja i saradnja sa međunarodnim organizacijama i civilnim sektorom.

- Takođe, verujem da će javno-privatno partnerstvo biti jedan od najuspešnijih modela za brz napredak u ovoj oblasti, budući da su ekonomski i finansijski faktori i ulaganja u sferu informacione bezbednosti jedan od većih izazova za nas kao državu - navodi državna sekretarka Tatjana Matić.

Ipak, kada se podvuče crta, najveća odgovornost i dalje je na korisnicima. Poštovanjem osnovnih pravila i standarda informacione bezbednosti eliminiše se znatan deo pretnji u digitalnom okruženju.

Odavno je poznato pravilo da je informacioni sistem jedne organizacije bezbedan onoliko koliko je bezbedan najslabije obezbeđeni računar unutar sistema. Zato je, uz permanentnu edukaciju i praćenje savremenih trendova, neophodna i spremnost na konstantna ulaganja. Ukratko, bolje sprečiti nego lečiti.

Miloš Vlahović