Oprez najbolje štiti
Loši momci informatičkog sveta neprestano usavršavaju svoje veštine, ali i implementiraju nove, sve opasnije ideje. Da li ste im dorasli? Moraćete i vi da učite, naročito ako se nađete na kormilu informatičkog broda vaše firme. Kako da bezbedno krstarite prostorima Interneta?
O pretnjama po bezbednost informacionih sistema u preduzećima pisali smo već toliko puta da svi sve znamo, zar ne? Naprotiv: jedna od najisplativijih kriminalnih aktivnosti na globalnom nivou je upravo krađa poverljivih podataka iz informacionih sistema, a organizovani kriminal sve više investira u ovaj vid „industrije“. Loši momci informatičkog sveta ne spavaju, već svakodnevno izmišljaju sve sofisticiranije načine da se neprimetno usele u računare i da odatle, što je to preciznije moguće, izvuku informacije koje će dobro unovčiti na crnom tržištu. Ovim napadima najviše su pogođene velike multinacionalne korporacije, banke i državne ustanove, ali tu nije kraj nelegalnim aktivnostima. Cyber provale u sisteme velikih firmi predstavljaju medijsku atrakciju, čak i ako nije pričinjena neka velika šteta. Sa druge strane, natpis da je neko upao u kompjutere firme koja zapošljava samo 10 ljudi i nema veliki promet nikome neće da zapadne za oko. Osim, možda, ljudima u toj firmi.
(Ne)posredni napad
I tako dolazimo do začkoljice: mala firma u čiji je sistem provaljeno je u tesnom poslovnom kontaktu sa drugom, tek malo većom firmom, koja radi neke važnije poslove za, recimo, državnu upravu koja je u direktnoj vezi sa ministarstvom. Pošto se zna da se državna ustanova dobro štiti od upada preko elektronske pošte ili preko Web‑a, za kriminalce je posredni put daleko lagodnije rešenje: neprimetni „viruščić“ će, ako bude imao sreće, preko USB memorije stići na računar ustanove i da će odatle probati da otvori vrata tajnih informatičkih sefova u ministarstvu. Verovali ili ne, ovakav scenario ne samo da je moguć, već je više puta viđen.
Najveći broj kompanija u svetu, sa manje od 500 zaposlenih, ubrajamo u mali i srednji biznis (kod nas su granice postavljene znatno niže). Istina je da se veliki broj njih ne nalazi na listi „nepoznatih ciljeva“, ali to ne znači da one neće postati meta u bliskoj budućnosti. Na „listu“ se često dospeva nasumično, a šansa da se na njoj i ostane direktno zavisi od toga koliko je kompanija spremna da se odupre napadima. Ukoliko jeste, ispada sa ove i ulazi na listu dobro branjenih lokacija, kojima se hakeri neće baviti osim u slučaju da im neko to dobro plati. Nije, dakle, neočekivan Symantec‑ov podatak da je u 2011. godini više od polovine svih napada usmerena upravo prema malim i srednjim preduzećima.
Razne hardverske i softverske zaštite su i dalje obavezne – bez njih se ne može izdržati pritisak na bezbednost informacionih sistema. Ali, prošlo je vreme kada je ta osnovna i automatska zaštita bila dovoljna, a manja preduzeća ne mogu da odvoje novac za bezbednosnu zaštitu najvišeg nivoa. Drugi izvor opasnosti je sve češće korišćenje poslovnih računara van kontrolisanog okruženja.
Danas je sasvim normalno da imamo laptop na kom radimo dok smo kod kuće, u hotelskoj sobi ili na aerodromu. Često je to jedini računar koji, pored posla, koristimo i za zabavu, privatnu korespodenciju, plaćanje kućnih računa preko interneta… Jednom rečju, svakodnevno se izlažemo dodatnim rizicima – pristupamo sajtovima iz grupe najrizičnijih, dobijamo veliki broj poruka sa zabavnim sadržajem i neselektivno pristupamo sadržajima na društvenim mrežama.
Tri važna pravila
Stručnjaci za bezbednost informacionih sistema su jednoglasni u oceni da je za što potpuniju zaštitu danas ključna kvalitetna i permanentna edukacija korisnika računara. Efekti postignuti u sredinama koje su primenile redovnu edukaciju u cilju boljeg razumevanja rizika i pretnji, kao i načinima da se zaštitimo od širokog spektra bezbednosnih napada, nesrazmeno su veći od uloženog novca. Zahvaljujući upornosti i dobroj volji, uz tek koji potrošeni dinar, poslovni informacioni sistem u preduzeću može da dostigne zadovoljavajući nivo zaštite. Pritom, ono što se traži od korisnika nije teško i ne zahteva ništa više od pažnje i svesti da ne morate sve da vidite i svuda da budete u informatičkom virtuelnom svetu. Prvi rezultati se vide već ako uvek držite na umu tri pravila.
Prvo je da, ukoliko niste sigurni od koga vam stiže e‑poruka ili šta je u samoj poruci, makar ona naoko stigla od dobro poznate osobe, ne treba da otvarate poruku a naročito ne link ili attachment. Drugo pravilo je da uvek imate na umu prevare u kojima se od vas traži da dobrovoljno pružite neku važnu informaciju, pa makar ona bila samo vaša adresa. Takvi napadi se ne mogu suzbiti, pa e‑mail‑ovi sumnjive sadržine uvek nađu put do vas. Socijalni inženjering stalno inovira metode i pronalazi put do neopreznih i suviše radoznalih, a jedini način da se od toga odbranimo je oprez – sofver koji će umesto nas da pazi još nije napravljen, ili barem nije stoprocentno pouzdan. Najzad, sa važnim podacima uvek treba da postupate obazrivo. Ovde ne govorimo samo o razmeni elektronske pošte i deljenju datoteka, već o širokom spektru ponašanja gde tajne podatke stavljate na uvid svakom ko se nađe u blizini računara. Ako još niste razumeli o čemu pričamo, setite se koliko puta ste videli nalepnicu na monitoru gde su zapisani korisničko ime i lozinka za pristup mreži ili, što može da bude još gore, servisu za elektronsko bankarstvo. Možda umesto papirne nalepnice koristite elektronsku „zalepljenu“ na desktop, ali šta to vredi kada neko u lobiju hotela preko vašeg ramena može da je lako pročita? Uz oprezniji pristup i malo više razmišljanja pre svakog novog poteza vaš računar, a time i čitava vaša firma, biće znatno bezbedniji.
Milan Bašić
(Objavljeno u časopisu PC#206)