Kibernetičke krize, a posebno cyber napadi, često se u medijima prikazuju na dramatičan - gotovo filmski način. Slike hakera u mračnim prostorijama pod kapuljačama postale su klišej, dok se u svakodnevnim razgovorima i dijelu medija cyber napadi uspoređuju s velikim događajima poput gospodarskih kolapsa ili ratnih kriza. No, takav dramatičan pristup cyber sigurnosti u javnosti može stvoriti krivi dojam o stvarnoj prirodi prijetnje. Cyber napadi nisu nešto što zahtijeva paniku već razumnu pripremu, ističe Mate Matijašević, Incident Response and Threat Intelligence Analyst u Spanu.
Cyber napad nije armagedon
Često se susrećemo s onom poznatom tvrdnjom da nije pitanje hoćeš li doživjeti cyber napad, već kad će to biti. I to je točno, ali često se nakon te rečenice dalje nastavlja stvarati osjećaj bespomoćnosti, kao da nam se bliži digitalni armagedon. Zapravo su cyber krize nešto sa čime svi moramo jednostavno živjeti, kao i s prirodnim katastrofama, pojašnjava Matijašević te dodaje kako neke cyber krize, baš i kao prirodne katastrofe, ne možemo u potpunosti spriječit, već moramo raditi na tome da budemo što otporniji kad nas kriza pogodi.
Kao što se stanovnici područja podložnih uraganima u SAD-u ili potresima u Japanu ne oslanjaju na sreću, već na pripreme, tako i organizacije moraju biti spremne na cyber prijetnje. Gradnja otpornih zgrada i razvijanje planova evakuacije, ne samo da umanjuje štetu, već omogućuje brži oporavak. Identično tome, ključ za prevladavanje cyber krize leži u pravovremenoj pripremi. Odgovarajuće strategije, alati i stručnjaci mogu značiti razliku između kratkog poremećaja i dugotrajnog kaosa, ističe Matijašević te dodaje kako je cilj dobre pripreme za cyber napad uvesti sigurnosne mehanizme i procese koji mogu smanjiti neizvjesnost kad dođe do napada, ali i osigurati prijeko potreban poslovni kontinuitet.
Kulturna promjena u cyber sigurnosti
I uz takav rezervi plan, nema otpornosti bez sveobuhvatne i kontinuirane edukacije ljudi, odnosno zaposlenika.
Potrebna nam je kulturna promjena u kibernetičkoj sigurnosti. Moramo biti svjesni kako otpornost nije samo pitanje tehnologije, već uključuje i redovitu obuku zaposlenika. Kao što se u pripremi za prirodne katastrofe rade vježbe evakuacije, tako i edukacije i vježbe zaposlenika usmjerene na bolju cyber otpornost osiguravaju da svi razumiju svoju ulogu u održavanju sigurnosti, pojašnjava Matijašević te dodaje kako slabe karike organizacije nastaju na mnogim razinama. Od toga koliko i što se od informacija o tvrtki dijeli na društvenim mrežama, gdje onda napadači polako slažu sliku o cijeloj organizaciji, do klasičnih propusta s korištenjem iste lozinke za prijavu na različite sustave.
Oprezno i s komentarima u javnosti
Uz smiren, ali istovremeno i oprezan i temeljit pristup izgradnji cyber sigurnosti, važno je oprezno pristupati i komentiranju cyber napada u javnosti - što je zadatak primarno za razne stručnjake koji govore o ovim temama. I tu se nekad može ostaviti dramatičniji dojam u široj javnosti, posebno jer nitko izvana ne može točno znati kako i zašto je došlo do cyber napada.
Neke stvari se mogu provjeriti temeljem javne izloženosti infrastrukture neke organizacije i uvidom u neke ranjive točke, no sve se ostalo svodi na nagađanje ili eventualno iznošenje insajderskih informacija. Nijedna od tih opcija nije dobra i treba ih izbjegavati, ističe Matijašević te dodaje kako je zbog toga važno da organizacija unaprijed definira najkompetentnije ljude za komunikaciju prema van, ali i interno, u slučaju cyber krize.
Time organizacije same upravljaju komunikacijom te pokazuju da su na razini zadatka i prema svojim zaposlenicima i korisnicima. Ali, podjednako je važno i da time organizacije smanjuju prostor za nagađanja i kriva navođenja o prirodi i posljedicama cyber napada što nas nerijetko odvodi u senzacionalizam bez jasnih uputa i zaključaka.
Planiranje oporavka, a ne širenje straha
Ključna poruka je da, iako je rizik od kibernetičkog napada stvaran, svi se mi, svatko iz svog položaja i znanja, moramo fokusirati na pripremu i planiranje oporavka, a ne na širenje straha. Potrebno je usmjeriti se na održavanje funkcionalnosti sustava, a ne na stvaranje dramatičnih i zastrašujućih scenarija, ističe Matijašević koji će o ovoj temi govoriti i na konferenciji Span Cyber Security Arena koja se održava 4. studenoga u hotelu The Westin Zagreb.
Hrvatska će metropola tako na jedan dan postati središnje mjesto okupljanja međunarodnih i domaćih stručnjaka iz područja cyber sigurnosti te osigurati snažniju razmjenu znanja i iskustava s ciljem širenja svijesti i unaprjeđenja cyber otpornosti kompanija. Konferencija će svojim predavanjima privući brojne IT stručnjake, ali i sve koji se bave regulatornim i pravnim poslovima jer će cyber sigurnost u brojnim organizacijama morati biti usklađena i s najnovijim Zakonom o kibernetičkoj sigurnosti.