6 min za čitanje 7.02.2020.
fire fighters on an aircraft

Kako upravljati sajber rizikom primenom SBD pristupa

Autor EY Global

Multidisciplinary professional services organization

6 min za čitanje 7.02.2020.
Related topics Consulting

SBD ili Security by design, je najnoviji pristup sajber-bezbednosti, čiji se principi baziraju na planiranju i razmišljanju unapred, od početka, čime se može ostvariti pouzdana globalna inovacija.

Većina organizacija danas je svesno da mora prihvatiti nove tehnologije i konstantno inovirati kako bi ostale konkurentne i relevantne. Ali kroz brzopletu implementaciju novih tehnologija i ubrzanim inoviranjem, dodaju se mnogobrojne slabe tačke novonastalim poslovnim sistemima i strukturama koje se šire, čak i na njih same.

Dok organizacije rade na svojim inovacijama, pojavljuje se sve veći broj potencijalnih napadača koji su spremni da iskoriste ove novonastale slabe tače, sa beskrajnim pristupom mnoštvu softverskih alata i usluga na samo dva klika. Napadači se više ne fokusiraju samo na krađu i prodaji podataka kao što su nekada. Počeli su u alarmantnom broju da se fokusiraju na politički orijentisane napade, od kojih su neki na državnom nivou. Prisustvujemo i sve većem porastu ’haktivizma’ i sajber-terorizmu kao glavnom uticajnom faktoru na globalnom nivou sajber-bezbednosti. Bilo ko sa zamerkom, zlom namerom ili čak samo željom da nekom načini štetu, nažalost sa lakoćom može.

Fire fighters getting ready
(Chapter breaker)
1

Poglavlje 1

Usled povećanja rizika, međusobno poverenje je u opasnosti

Последице за организације и институције могу бити катастрофалне и чак прети њиховом опстанку.

Najčešći ishod sajber napada je finansijski gubitak, koji nastaje usled prevare, prisiljenog otkupljivanja podataka, plaćanja kazni, a može i nastati zbog propuštenih šansi i oportunitetnog troška. Ustanovljeno je da su američke kompanije samo prošle godine izgubile preko 654 milijardi dolara samo zbog uspešnih sajber napada. Ovogodišnji rezultat će biti još gori.

Organizacije nisu jedine na milosti sajber-kriminalaca. Sve više se upravlja delovima državne infrastrukture online, što je problematično imajući u vidu da su svi sistemi infrastrukture međusobno povezani i da se kroz njihove sisteme prožimaju iste slabe tačke koje imaju i poslovni sistemi. Napadi na ove sisteme potencijalno mogu uticati na cele regione, pa čak i zemlje, što dovodi do neverovatnog haosa, koji može naneti štetu pojedincu u realnom svetu. Primer ovoga se desio 2016. u Ukrajini, gde su hakeri uspeli da preuzmu kontrolu nad električnom mrežom jednog celog regiona, čime su uskratili struju preko 230.000 ljudi na nekoliko sati.

Sajber-kriminal i hakovanje mogu imati materijalne posledice na društvenom nivou, pretežno kroz slobodno širenje dezinformacija. U poslednje vreme, širenje lažnih informacija tokom politički krucijalnih događaja, se pokazalo da čak i nepouzdane, loše konstruisane informacije prenesene kroz sumnjive kanale medija mogu imati ozbiljne posledice. Ove posledice postaju još opasnije ako se iste ove dezinformacije prosleđuju zvaničnim kanalima informisanja. Ovo se najlakše primećuje u primeru iz 2013. godine, kada je sa Twitter naloga Associated Press, koji je bio kompromitovan, postavljena izveštačena informacija da je Bela Kuća napadnuta bombom i da je tadašnji predsednik Barak Obama bio povređen, koja je bila glavni uzrok za momentalno brisanje akcija u vrednosti od 136 milijardi američkih dolara sa Dow Jones-a. 

Najštetnije i najdugotrajnije posledice koje proizilaze iz ovih incidenata, pogotovo ako nisu na vreme zaustavljeni ili ublaženi, su gubici poverenja između naroda i institucija na koje se oslanjaju. Akcionari, zaposleni, treća partije, potrošači, poreski obveznici, glasački; svi očekuju jedno: konstantne i pouzdane performanse, kao i zaštita njihove privatnosti i podataka na mreži i van nje. Momenat kada su poverljivost, integritet ili dostupnost proizvoda/usluge kompromitovani ili proizvod/usluga više ne nudi očekivane performanse, poverenje građeno godinama između preduzeća i potrošača se može izgubiti za manje od jednog dana.

Seamean working offshore
(Chapter breaker)
2

Poglavlje 2

Sajber-bezbednost - kompleksno tržište, vođeno krizom

Organizacije se bore da održe jasnu, kohezivnu i efikasnu sigurnosnu funkciju.

Veliki broj organizacija se trenutno oslanja na reaktivni pristup kada je u pitanju sajber-bezbednost. Reaguju pretežno pošto se desio napad, pronašla slaba tačka, plaćena kazna ili doneta nova zakonska regulativa. EY Global Information Security Survey 2020 u kojem je učestvovalo skoro 1300 eksperata iz oblasti sajber-bezbednosti, nam govori da preko 65% kompanija prekasno razmatra šta da preduzme povodom svoje bezbednosti. Primećuje se i trend naknadnog ugrađivanja alata za bezbednost oko već postojećih sistema, isključivo pro forme, umesto da se od početka izgradi dobar sigurnosni sistem baziran na prethodnim nalazima poslovnog rizika.

EY Global Information Security Survey 2020

65%

kompanija prekasno razmatra šta da preduzme povodom svoje bezbednosti — otkriva 1300 eksperata iz oblasti sajber-bezbednosti.

„Checklist“ mentalitet ne samo da nije dovoljan za dobro upravljanje sajber-bezbednošću, nego je i jedan od glavnih faktora koji ometaju ulogu i efektivnost sajber-bezbednosti u preduzećima. Činjenično stanje je da kompanije posmatraju CISO i timove za bezbednost kao prepreke u poslovanju, sa potrebom da konstantno inoviraju kako bi opstali. Ovaj mentalitet je doveo do toga da je celokupno tržište postalo podeljeno, a da se hiljade proizvođača bore za najbolju poziciju na tržištu. Ovakvo stanje softvera i hardvera namenjenog sajber-bezbednosti, može stvoriti nedoumice kod organizacija o tome kako da sagledaju i efikasno postave sajber bezbednost na pravo mesto u preduzeću.

Kako vrhovni menadžment počinje da razume važnost bezbednosne funkcije u preduzeću, počinju da raspoznaju potrebu za potpuno novim pristupom koji im omogućava da se pouzdano bave inoviranjem uz minimiziranje rizika da postanu žrtve sajber kriminala.

Hiker with harness ready to jump
(Chapter breaker)
3

Poglavlje 3

SBD (Security By Design)- zaštitnik poverenja u transformativnom periodu

Sigurnost kao naknadna misao više nije dovoljna za efikasnu zaštitu operacija i održavanje poverenja na svim nivoima organizacije.

Timovi odgovorni za sajber-bezbednost u kompaniji EY veruju da je vreme za nov pristup: proaktivan, pragmatičan i strateški pristup koji sagledava rizik i bezbednost od samog začetka nove inicijative i gradi poverenje na svakom koraku. Ovo je suština SBD-a.

SBD-om se preduzećima omogućava da sistemima koje dizajniraju omogućavaju bezbedno preuzimanje više rizika, a ne kompletno izbegavanje rizika, što će dalje omogućiti apsolutno pouzdanu inovaciju.

Potreba za ovakvim pristupom je sve više prisutna u oblasti veštačke inteligencije (AI). Glavne mete subverzije su dva najzastupljenije forme mašinskog učenja (ML) – nadgledano i nenadgledano. Rezultati ovih metoda striktno zavise od algoritama koji su korišćeni da se osposobe. Nažalost, čak i najnapredniji algoritmi će davati netačne rezultate, ako je podacima koji su korišćeni već bilo manipulisano.

Danas definitivno ne obraćamo dovoljno pažnje na integritet i zaštitu podataka koji se koriste za ML sisteme koji su sve više prisutni u širokorasprostranjenim proizvodima i uslugama na tržištu. Sajber kriminalci su uveliko svesni ovoga, i u stanju su da manipulišu baznim podacima koji se nalaze u našim proizvodima. U rizičnoj poziciji su većina današnjih sistema.

Mora se uzeti u obzir i činjenica da kako se veštačka inteligencija bude razvijala i omogućavala širi spektar automatskog odlučivanja, tako će se i povećavati mogućnosti da se njima manipuliše. Odličan primer ovoga bi bili sistemi koje koriste kontrolori leta, koji automatski utiču na brzinu i visinu letenja aviona kako bi efikasnije regulisali vazdušni saobraćaj; ako bi informacije koje se koriste u ovim sistemima bile korumpirane ishodi bi bili katastrofalni. Softver za ML koji je dizajniran da raspozna medicinske probleme, uz manipulisane podatke, može kompletno ignorisati znake koji aludiraju ka rak. Ovakvi ishodi se mogu izbeći isključivo implementacijom adekvatnih sistema za upravljanje podacima, identifikaciju i pristup upravljačkim protokolima u samom jezgru AI sistema. 

Sveprisutnost IOT-a (Internet Of Things) pristupa u uređajima nam pruža još jedan odličan argument za SBD pristup. Potrošači se sve više i više oslanjaju na IOT proizvode, koji koriste u svojim domovima i kojima poveruju svoje intimne podatke, a realnost je da ne postoji osnova za ovakvo poverenje u ove proizvode, pogotovo ako se uzme u obzir način na koji su dizajnirani i proizvedeni.

IOT proizvodi su tipično proizvedeni u tri koraka. Proces proizvodnje otpočinje sa proizvodnjom specijalizovanih kompjuterskih čipova, koji su dizajnirani da imaju što je manje lufta moguće. Ovi čipovi se dalje šalju proizvođačima originalnih proizvoda (ODM-ova), koji su uposleni da proizvode po nalogu, koristeći kombinaciju open-source i vlasničkog softvera. Cilj svega ovoga je maksimizacija marže, bez uzimanja bezbednosti i performansi, barem ne van minimalnih propisanih parametara. Na kraju brendovi prilagođavaju ove poluproizvode u minimalne promene interfejsa, taman koliko je neophodno da ovi proizvodi funkcionišu. U svakom od ovih koraka maksimizacija profita je u fokusu, a ne integritet ni sigurnost podataka.

Ovakav kratkoročan, profitno orijentisan pristup je čista formula za haos. 2015. godine, jedan od vodećih proizvođača automobila je morao da povuče preko 1,4 miliona vozila, iz prostog razloga što su eksperti uspeli da hakuju sistem za informisanje i zabavu automobila i odatle prikazali da bi skoro bilo ko mogao preko „infotaiment“ sistema da upravlja ili onesposobi glavne funkcije kola, kao što su upravljanje i kočenje. Dok god proizvođači automobila i vlade budu zahtevale i razvijale pametnije automobile na bazi IOT-a, biće sve više neophodno razviti bolje sisteme zaštite podataka i potrošača.

Činjenica koja je prisutna u svim ovim primerima je da ovo više nisu inovacije niša. Ovo su globalno umreženi sistemi koji vode ka budućnosti i koji će imati sve veći uticaj nad našim svakodnevnim životom. Krucijalno je da organizacije i institucije koje koriste i bave se razvojem ove tehnologije počnu da primenjuju SBD sistem. Preduzeća koja ne budu bila uspešna u implementaciji SBD-a otvaraju svoja vrata mnogobrojnim rizicima, finansijskoj propasti i upropašćavanju poverenja koje su gradili do sada. Proaktivan, pragmatičan i strateški pristup koji razmatra rizik iz svakog ugla od samog starta – a ne samo pro forme – može napraviti razliku između organizacija koje će propasti i onih koje će rasti i razvijati se u Transformativnom dobu. 

Rezime

Ovaj članak sagleda trenutnu situaciju na polju sajber-bezbednosti i teži da inspiriše organizacije da primene nov, drugačiji pristup kada je u pitanju upravljanje bezbednošću u Transformativnom dobu. Organizacije današnjice moraju inovirati kako bi opstale, ali kako budu inovirale tako će sebe izlagati većem riziku od sajber napada. Uzimajući potencijalne katastrofalne ishode u obzir, organizacijama je neophodna nova perspektiva koja uzima ove rizike u obzir od samog početka razvijanja novog proizvoda/usluge, a ne samo pro forme.

O ovom članku

Autor EY Global

Multidisciplinary professional services organization

Related topics Consulting