Branko Džakula: Nedostaju i stručnjaci i svest o sajber bezbednosti i opasnosti od hakerskih napada
Anonimne dojave o bombama preko imejlova, hakerski napad na katastar i EPS, neovlašćeni upadi u računare i telefone i zloupotreba podataka, samo su neke od opasnosti koje sa sobom nosi tehnologija. Posebno je opasno kada su meta sajber napada javne institucije ili državna preduzeća.
Stručnjaka za ovu oblast u Srbiji nema dovoljno.
Međutim, to nije muka samo naše zemlje već je i globalni izazov i procenjuje se da u svetu nedostaje više od četiri miliona stručnjaka u ovoj oblasti.
“Razlog zbog kojeg se mnoge zemlje suočavaju sa manjkom kadra je taj da sajber bezbednost zahteva specijalizovana znanja i veštine koje se stiču kroz dugogodišnju praksu i kontinuirano obrazovanje. Razvoj tehnologije je rapidan kao i razvoj sofisticiranih pretnji, a kapaciteti obrazovnih institucija i programi obuke ne prate tu brzinu. U ovom domenu brzina je ključni faktor uspeha u borbi protiv sajber kriminala, kako tokom rešavanja incidenta tako i u širem kontekstu obučavanja stručnjaka za dugoročni uspeh u ovoj borbi”, kaže za Forbes Srbija Branko Džakula, direktor informacionih tehnologija u BrightMarbles Group, kao i suosnivač i izvršni direktor u kompaniji UN1QUELY.
Navodi da je trend rasta potrebe za sajber stručnjacima konstantan i da trenutno nema indikacija da će se smanjivati u skorijem periodu.
„Dobra vest iz svega ovoga je da sektor informacione bezbednosti predstavlja perspektivni karijerni put„, dodaje sagovornik Forbesa.
Upitan kako se kompanije bore i snalaze u tome da pronađu stručnjake širom IT sektora, od računarske infrastrukture do bezbednosti, Džakula kaže da koriste različite strategije. Neke od njih uključuju saradnju sa obrazovnim institucijama, kreiranje programa stručne prakse, ulaganje u obuke i sertifikacije, kao i ponudu atraktivnih uslova rada i prilika za profesionalni razvoj.
U okviru BrightMarbles Grupe osnovan je Centar za sajber bezbednost UN1QUELY. I ovaj centar se u prvoj godini suočio sa problemom pronalaska stručnjaka.
„Shvatili smo da je najbrži i, ispostavilo se, najzahvalniji način da sami direktno rešimo problem nedostatka kadra tako što ćemo osnovati sajber sekjuriti akademiju i investirati resurse da obučimo nov kadar i zaposlimo ih nakon uspešnog pohađanja programa. Ključ adresiranja ovog problema je da se snage privatnog sektora, javnog sektora i akademije ujedine i stvore uslove za rapidan, a kvalitetan niz programa edukacije od srednje škole, preko univerziteta do programa celoživotnog učenja gde će i članovi starije populacije imati priliku za unapređenjem svoje karijere“, kaže Džakula.
On dodaje da inicijative poput formiranja Nacionalnog centra za sajber bezbednost i pokretanja kratkih programa obuke na univerzitetima predstavljaju značajan korak napred. Takvi programi omogućavaju brzo sticanje relevantnih veština i pružaju priliku mladima da započnu karijeru u ovoj dinamičnoj oblasti.
Zakoni moraju da prate brzinu hakera
Sagovornik navodi i da regulativa u oblasti informacione bezbednosti mora da se stalno razvija kako bi pratila nove pretnje i tehnologije.
Ukazuje i da sistemi zaštite moraju biti u skladu sa važećim zakonima kao što su Zakon o zaštiti podataka o ličnosti, Zakon o informacionoj bezbednosti, Zakon o tajnosti podataka i standardima kao što su ISO 27001 i evropske regulative poput GDPR i NIS 2 sa kojima se zakoni usaglašavaju.
NIS 2 direktiva (Network and Information Security 2 Directive) je pravni okvir Evropske unije koji se bavi sajber sigurnošću i zaštitom ključnih usluga, a novi Nacrt zakona o informacionoj bezbednosti je usklađen sa ovom direktivom.
Direktiva određuje organizacije za koje je posebno važno da imaju razvijene sisteme zaštite jer pružaju usluge u ključnim (kritičnim) sektorima kao što su energetika, transport, bankarstvo, finansijsko tržište, zdravstvo, vodoprivreda i digitalna infrastruktura, kao i organizacije u važnim sektorima uključujući javnu administraciju, proizvodnju određenih roba, digitalne usluge, poštanske i kurirske usluge, otkup i reciklažu otpada, te proizvodnju i distribuciju hrane.
Pored toga, dobavljači digitalnih usluga poput provajdera usluga u klaud tehnologijama, onlajn tržišta i pretraživača takođe moraju da se usaglase sa NIS 2 direktivom, implementirajući mere za upravljanje rizicima, obezbeđujući sigurnost mreža i informacionih sistema i prijavljujući incidente nadležnim nacionalnim telima.
U ovim sektorima, kompromitacija podataka može imati katastrofalne posledice po nacionalnu sigurnost i stabilnost, te se smatraju prioritetom za angažovanje većeg broja stručnjaka iz sajber bezbednosti.
Najčešći vrste napada
Kada je reč o tipu sajber napada, prema novom istraživanju organizacije Verizon, skoro 80% uspelih globalnih sajber napada uključuje imejl fišing napad, pa se ovaj pristup smatra prioritetnim, dodaje Džakula.
Sagovornik Forbes Srbija navodi da su tu i ransomware i DDoS napadi, kao i eksploatacija ranjivosti u softverima i sistemima.
“Bitno je razumeti da organizacije mogu većinu svojih bezbednosnih rizika da umanje ili u potpunosti uklone besplatno, koristeći se pravilnom konfiguracijom korisničkih naloga, da imaju obaveznu višefaktorsku autentifikaciju, kompleksne lozinke i generalno razumevanje zaposlenih o tipovima imejl napada i kako ih primetiti i kome ih prijaviti”, kaže sagovornik Forbesa Srbija.
Sa ovim ključnim stavkama se rizik od uspešnog sajber napada drastično smanjuje.
Poslednji trendovi se oslanjaju na korišćenje generativne veštačke inteligencije za masovno pravljenje i slanje fišing mejlova koji su napravljeni tako da su prilagođeni svakoj žrtvi kojoj se mejl šalje, kako bi se povećala verovatnoća da će mejl da “namami” žrtvu na određenu aktivnost a u cilju kompromitovanja njihovih korisničkih naloga ili obelodanjivanja poverljivih podataka.
Navodi primer korišćenja deepfake tehnologije za masovne prevare, kao i za vršnjačko nasilje kod maloletnika, kreiranjem neprimerenog sadržaja sa likom žrtve, u cilju ponižavanja i zlostavljanja.
„Već smo bili svedoci zloupotrebe tehnologija za garantovanje anonimnosti i privatnosti na internetu za masovno slanje lažnih dojava o bombama koje je globalno izazvalo zahteve velikih bezbednosnih agencija kako bi se počinioci lakše pronašli. Zaključak je jasan, veštine i dostupni alati hakera su sve napredniji i jasno ukazuju na preku potrebu adresiranja problema nedostatka stručnjaka za borbu protiv sajber kriminala“.
Neophodno više inspektora
Sagovornik ukazuje da je povećanje broja inspektora za informacionu bezbednost neophodno kako bi se osigurao adekvatan nadzor i sprovođenje regulativa.
Trenutni kapaciteti nisu dovoljni da pokriju sve sektore koji zahtevaju kontrolu, što može dovesti do povećanog rizika od sajber napada i kompromitacije podataka, kao i nemarenost kompanija kada je reč o usklađivanju sa regulativom, dodaje on.
Naglašava i da je ovaj negativan trend bio jasno vidljiv nakon objavljivanja GDPR regulative, gde je na nivou Evropske unije primećen drastičan pad usaglašenosti sa regulativom zbog nedostatka inspekcijskog kadra i mogućnosti nadzora velikog broja entiteta.
Na pitanje da li je, zbog nedostatka kadrova, u većem problemu javni ili privatni sektor sagovornik Forbes Srbija navodi da je teško precizno odrediti broj upražnjenih radnih mesta, jer se ta brojka rapidno menja, ali je poznato da postoji značajan deficit sajber stručnjaka globalno.
„Oba sektora se suočavaju sa ovim problemom. Privatni sektor često može ponuditi konkurentnije plate i beneficije, dok javni sektor nudi stabilnost i mogućnosti za rad na projektima od nacionalnog značaja. Ključ je da se snage privatnog i javnog sektora i akademije ujedine i stvore uslove za kvalitetan niz programa edukacije“, kaže Džakula.
Posledice neadekvatnog i nestručnog kadra
“Postavljanje nestručnog kadra na ključne pozicije može imati ozbiljne posledice, uključujući gubitak podataka, novčane gubitke i narušavanje reputacije kompanije. Najčešći razlozi angažovanja lošeg kadra su nedostatak stručnog kadra u organizaciji da proceni stručnost tokom procesa intervjuisanja te se juniorski kadrovi angažuju na jako odgovornim pozicijama. Tu je i nedostatak svesti menadžmenta o neophodnosti doučavanja IT kadra za specijalizaciju u domenu sajber bezbednosti. Česta je pretpostavka da prosečan IT kadar poseduje i znanje iz domena sajber bezbednosti, zbog srodnosti tih delatnosti, te se bez adekvatne dodatne obuke angažuje za te poslove“, jasan je Džakula.
On kaže da postoji i rizik da bi institucije zbog pritiska na budžete mogle pribegavati nabavci lošijeg softvera, što može kompromitovati sigurnost sistema.
“Važno je da državne institucije prepoznaju značaj investiranja u kvalitetna bezbednosna rešenja kako bi zaštitile kritičnu infrastrukturu i podatke. Međutim, veći je rizik neinvestirati u kvalitetan kadar nego softver, jer kvalitetan kadar je stub dobre prakse za sajber bezbednost”.
Džakula navodi da skup softver ne znači dobar softver, a primetan je i trend rasta velikog broja rešenja koje imaju visoku cenu, a jako nizak kvalitet, te se stvara percepcija premium softverskog rešenja sa atraktivnim dizajnom, a razočaravajućim rezultatima.
“Savet je da kompanije detaljno testiraju sva rešenja pre masovne implementacije, a ukoliko im nedostaje stručan kadar za sprovođenje testiranja i implementacije, specijalizovane konsultantske kompanije su najbolji izbor jer mogu kompletno da preuzmu testiranje, implementaciju i kompletno upravljanje tim sistemima na bazi mesečne pretplate. Ovaj servis je takođe poznat pod nazivom MSSP – Managed Security Service Provider”.
Pored nedostatka stručnjaka, kao jedan od problema Džakula vidi i nedovoljnu svest o važnosti sajber bezbednosti. Mnoge organizacije još ne posvećuju dovoljno pažnje ovom aspektu poslovanja, zaključuje Džakula.