Nevidljive ranjivosti: Zašto cyber sigurnost mora biti prioritet menadžmenta

U Sarajevu je danas počela konferencija "Cyber sigurnost: Strateška odgovornost lidera za sigurnu budućnost", koju organizuje Američka trgovačka komora u BiH (AmCham BiH).

Na konferenciji je predavanje pod nazivom "CISO evolucija: put prema cyber-aware bordu" održao i Marko Gulan, CEO kompanije Astera Advisory. Marko je istakao važnost uključivanja top menadžmenta i boardova u strateška pitanja cyber sigurnosti.

Praveći paralelu sa Hrvatskom, Gulan je rekao kako situacija trenutno nije dobra, ali u isto vrijeme ima prostora za razvoj i napredak. Kako navodi, i dalje je prisutan problem "odljeva mozgova" -naši stručnjaci odlaze, a zapadne zemlje ih rado prihvataju.

Nadovezavši se na predavanje Srđana Babića, Gulan je naglasio kako se danas granice između CISO-a (šefa informacione bezbednosti) kao osobe i koncepta brišu, te da je CISO sada cijela organizacija koja mora upravljati sigurnošću i da to nije samo tehnički, nego strateški posao.

"Manje-više, u principu, danas imamo i spomenuto reaktivno djelovanje. Problem je što često reagujemo tek kada se napad desi – tada je već kasno i zaostajemo nekoliko koraka", naveo je Gulan.

Gulan tvrdi da se cyber napadi ne tiču samo IT sektora, nego i poslovnih odluka. IT može sanirati napad, ali odluku o akvizicijama ili lansiranju proizvoda donosi uprava. "Napad na kompaniju nije samo IT problem, nego organizacijski i strateški problem."

Poznato i nepoznato

Također ističe kako još uvijek postoji problem priznavanja greške, da cyber napadi nisu rezultat nemara bilo koje osobe, poredeći provalu kroz "cyber vrata" sa fizičkom provalom i krađom.

"I dok ne počnemo razgovarati međusobno, dok ne počnemo to dijeliti, zapravo ćemo plivati u području koje se zove generalno “nepoznate nepoznanice”.

Gulan ističe kako postoje poznate poznanice, odnosno poznate ranjivosti, business email compromise, malware i nepoznate nepoznanice; ranjivosti koje tek otkrivamo, i da najveći izazov zapravo leži u nepoznatim nepoznanicama. "Ono što ne znamo - time se bavimo."

"Prije 7, 15 ili 20 dana nitko od nas nije znao da je Red Hat ranjiv, da je Selfos ranjiv. Nismo prije godinu dana znali za MOVEit, za Log4J.To su bile nepoznate nepoznanice. Nismo se bavili s njima na način da ih predvidimo, ali da ih uključimo nekako u modele. Ali to nije stvar IT-a, to nije stvar ni CISO-a, to je stvar onih koji donose odluke", rekao je.

Poučuje da cyber napad nije inkompetencija IT-a, nego sanacija greške."Kad se napad dogodi - mi smo već sedam koraka iza onoga što se trebalo dogoditi."

Primjer iz Drugog svjetskog rata i rupe u avionu

Na jednom od slajdova Gulan je prikazao nacrt aviona sa crvenim tačkama matematičara Abrahama Walda iz Drugog svjetskog rata koji je zapravio predstavljao način na koji su tadašnji lideri, generali i vojska gledali na vrijednosti i odluke koje treba donijeti. Avioni su odlazili u napade, a kada bi se vratili, ekipe su brojale rupe od metaka i govorile: “Popravimo ove dijelove, vidite da su ovdje pogođeni.” Međutim, mladi matematičar Wald se istakao ukazujući važnost ne na rupe na avionima koje vide, nego na one koje ne vide - avione koji se nisu vratili. Oni koji se nisu vratili pogođeni su na drugim mjestima, poput motora ili kabine, i upravo ta mjesta treba pojačavati. Napravivši paralelu sa njemačkim aviono, Gulan je ukazao na važnost pravovremenog reagovanja i razmišljanja kako spriječiti nešto što se može desiti u budućnosti.

"To je okvir u kojem danas zapravo funkcioniramo kada govorimo o našim IT-sistemima. Odluke donose ljudi, pravnici, menadžeri, IT, CISO, nabava, financije – svi daju preporuke i svi učestvuju. Na kraju se sve skupa povuče u jedno polje i kaže: “Možemo napraviti ovo.” Zapišemo što možemo uraditi i onda se svi zajedno pomolimo i nadamo da se neće dogoditi najgore", poručio je Gulan.

Ukazao je i na problem sa kojim se često susreće, a to je informatička pismenost i problem koji ona predstavlja u poslovanju. Naveo je situaciju prilikom koje je otkrio niz curenja podataka jedne kompanije, niz breacheva koje kompanija nikada nije primijetila i nije ni znala da su se dogodili. Tvrdi kako u tome leži srž problema - curenje podataka se moglo predvidjeti i analiza rizika je mogla pokazati da je to realna prijetnja poslovanju.

"To su stvari koje su najopasnije. Ono što ste vidjeli i zabilježili – to ćete popraviti. Ali ono što niste vidjeli, to je pravi rizik", zaključio je Gulan.

M. J. S.