Nedelja, 28. 3. 2021, 22.45
3 leta, 5 mesecev
Intervju: Miha Dvojmoč, doktor pravnih znanosti
Zmotno je prepričanje uporabnikov, da brezplačne storitve niso plačali
Ob svetovnem dnevu varnostnega kopiranja podatkov (31. marec) se še bolj izpostavlja pomembno vprašanje, ali posamezniki s svojimi pomembnimi in tudi osebno občutljivimi podatki ravnamo dovolj previdno in preudarno.
Enako vprašanje bi si morala nujno zastaviti tudi podjetja, ki ne upravljajo le s podatki, ki so za njihovo poslovno uspešnost odločilnega pomena, temveč tudi z mnogimi osebnimi podatki. Preveč pogoste kršitve varovanja in oskrunitve podatkov pa so boleči opomnik, da mora na tem področju marsikdo storiti še veliko.
"V današnjem svetu informacijske varnosti je treba biti stalno na preži, saj je zelo težko spremljati prav vsako stvar, ki jo ogroža."
Ob konferenci Cybersafe, ki poteka ravno z namenom (ponovnega in dodatnega) ozaveščanja o tem pomembnem izzivu, smo se pogovarjali z enim od njenih predavateljev, katerega eno od žarišč delovanja je ravno varovanje (osebnih) podatkov.
"Kiberkriminalu ali industrijskemu vohunjenju se skoraj ni mogoče izogniti."
Ali posamezniki in podjetja dovolj odgovorno ravnajo s svojimi podatki?
Odvisno od subjekta do subjekta. Pri pravnih osebah oziroma organizacijah na splošno bi prednost lahko z vidika varstva osebnih podatkov dali javnemu sektorju, saj je ta po večini obvezan imenovati pooblaščeno osebo za varstvo podatkov. V zasebnem sektorju ta obveza doleti manjši odstotek sektorja, tiste res večje oziroma tiste, pri katerih prihaja do redne in sistematične obdelave osebnih podatkov.
Ali je mogoče doseči nepredušno varnost podatkov?
V današnjem svetu informacijske varnosti je treba biti stalno na preži, saj je zelo težko spremljati prav vsako stvar, ki jo ogroža. Kiberkriminalu ali industrijskemu vohunjenju se praktično ni mogoče izogniti. Napadalci namreč uporabljajo na stotine različnih tehnik napadov, pogosto tudi več hkrati, s čimer poskušajo pretentati varnostne rešitve.
"Napadalci uporabljajo na stotine različnih tehnik kibernetskih napadov, pogosto tudi več hkrati, s čimer poskušajo pretentati varnostne rešitve."
Kako se temu upreti?
Ravno zato je še posebej pomembno, da varnostni strokovnjaki vedo, kaj jih čaka, in temu primerno v podjetju poskrbijo za zaščito IT-okolja, omrežja in uporabnikov.
Katera podjetja so najbolj na udaru?
Zadnja leta pogosto zasledimo informacije o različnih kibernetskih vdorih v svetovne multinacionalke in tudi večja domača podjetja. Tem grožnjam pa niso izpostavljena samo velika podjetja, lahko bi celo trdili, da so napadom bolj izpostavljena prav mala in srednja podjetja, ki ne vlagajo dovolj sredstev v zaščito pred kibernetskimi napadi, hkrati pa imajo na tem področju veliko kadrovsko pomanjkanje. Kibernetski napadi na mala podjetja lahko naredijo tudi več škode kot napadi na velika podjetja, saj lahko takšni napadi manjša podjetja popolnoma uničijo.
"Napadom so bolj izpostavljena prav mala in srednja podjetja, ki ne vlagajo dovolj sredstev v zaščito pred kibernetskimi napadi, hkrati pa imajo na tem področju veliko kadrovsko pomanjkanje."
Kaj pa bi morali narediti posamezniki?
Odgovornost ravnanja posameznika je v veliki meri odvisna od njegove ozaveščenosti. Pri tem velikokrat velja zmotno prepričanje, da posameznik ob brezplačni storitvi te res ne plača, pa temu ni tako. V dobi moderne tehnologije, prenosa interakcij in izvajanja včasih izključno fizičnih aktivnosti v živo, zdaj pa selitvi raznoraznih vidikov delovanja na splet, lahko rečemo, da (skoraj) nobena stvar ni zastonj. Če ne plačamo v denarju, morda plačujemo z osebnimi podatki.
Kje vidite največjo ranljivost pri varstvu podatkov?
Posameznik lahko nastopa tudi znotraj organizacije in je kot tak šibek člen z vidika varstva podatkov. Najpomembnejši, a žal tudi najpogosteje spregledan del informacijske varnosti je izobraževanje zaposlenih v organizaciji. Zaposleni, ki ne poznajo varnostnih tveganj v poslovnem okolju, so za organizacijo največja nevarnost. Potrebno se je zavedati, da se informacijska varnost začne in konča z ljudmi, tehnologija je zgolj orodje v rokah tistih, ki nas žal napadajo, in tistih, ki nas k sreči branijo.
Zakaj je videti, da posamezniki in žal tudi mnoga podjetja dojamejo pomen svojih podatkov šele takrat, ko pride do kakšne zlorabe?
V ospredju delovanja podjetij so njihove primarne naloge, usmeritve, dejavnost. Varstvo podatkov je potisnjeno na stranski tir. Morda kot zgolj zakonska obveza, šele v drugi vrsti kot prepoznana potrebna aktivnost subjekta. Spet odvisno od ozaveščenosti, prepoznavanja potrebe, na koncu koncev tudi prepoznavanja ogroženosti lastnega podjetja, kjer pa večina podjetij niti nima ocenjenih tveganj, informacijske varnostne politike, primerno vzpostavljene varnostne kulture.
"V dobi moderne tehnologije, prenosa interakcij in izvajanja včasih izključno fizičnih aktivnosti v živo, zdaj pa selitvi raznoraznih vidikov delovanja na splet, lahko rečemo, da (skoraj) nobena stvar ni zastonj. Če ne plačamo v denarju, morda plačujemo z osebnimi podatki."
Zakaj tega ne naredijo?
Organizacijam je na voljo precej prijemov in orodij informacijske varnosti ali pa varnosti osebnih podatkov, a se zatakne pri časovnih, finančnih in kadrovskih zmogljivostih. Prioritete niso vedno na preventivi, tako da se požare v obliki varnostnih incidentov gasi, ne pa preprečuje. Začne se pri vodstvu, zelo pomembna je komunikacija, poznavanje obveznosti in zakonodajnih zahtev.
Kaj je najpogostejša napaka podjetij pri varovanju podatkov?
V splošnem bi, kot že omenjeno, lahko rekli zmoten občutek varnosti oziroma pomanjkanje ocene tveganja. Če občutimo, da smo varni, in ne prepoznamo, da na nas oziroma na podjetje delujejo in prežijo določene varnostne grožnje, zaščite pred njimi sploh ne bomo načrtovali, kaj šele izvedli. Dodajmo temu pomanjkanje ozaveščenosti ali pa kakršnihkoli drugih zmogljivosti – naj gre za poznavanje področij, finančne ali kadrovske zmogljivosti in prej omenjeno prepričanje, da so napadom izpostavljena samo velika podjetja.
Kaj pa posamezniki?
Lahko ponovno izpostavimo prepričanje posameznikov, da je nekaj zastonj, pa v resnici plačamo z osebnimi podatki.
"Najpomembnejši, a žal tudi najpogosteje spregledan del informacijske varnosti je izobraževanje zaposlenih v organizaciji. Zaposleni, ki ne poznajo varnostnih tveganj v poslovnem okolju, so za organizacijo največja nevarnost."
Kateri podatki so najbolj vredni za posameznika?
Njegovi osebni podatki, kjer sicer tako Splošna uredba o varstvu podatkov kot tudi že nacionalna zakonodaja delita osebne podatke nadalje na osebne podatke posebnih vrst (temu smo prej rekli "občutljivi podatki"). Med ene in druge tako uvrščamo vse od imena in priimka do naslova, lokacije, EMŠO in davčne številke, spletnih identifikatorjev, podatkov o zdravju, prihodku, kulturni profil, genetske in biometrične podatke itd.
Kaj pa za podjetja?
Podatki, ki predstavljajo njihovo konkurenčno prednost. Podatki, ki se štejejo za poslovno skrivnost. Njihov know-how, podatki o uporabljeni tehnologiji, podatki o sklenjenih poslih, nameravanih poslovnih potezah itd. Nekaj, kar lahko ob tveganju oziroma kršitvi za podjetje predstavlja izgubo – bodisi zaupanja strank, ugleda na trgu, tržne moči, izgubo posla, dobička.
"Kibernetski napadi na mala podjetja lahko naredijo tudi več škode kot napadi na velika podjetja, saj lahko takšni napadi manjša podjetja popolnoma uničijo."
Kaj bi bil tisti minimum, ki bi ga moral vsak posameznik narediti za varnost svojih podatkov?
Prvi korak je ozaveščenost. Seznanjenost s pravicami, najprej tistimi, ki mu po Splošni uredbi o varstvu podatkov pripadajo z vidika varstva osebnih podatkov, potem pa še odvisno od posameznih okoliščin. Ko nastopa kot potrošnik, so to zavedanje pasti neposrednega trženja, potrebne varnostne osnove in tveganja, ki nanj prežijo pri spletnem bančništvu, morebitni učinki objavljanja na spletnih/družbenih omrežjih. Ko nastopa kot zaposleni ali iskalec zaposlitve, so tu spet poznavanje pravic posameznika, a tudi meje zakonodaje, kot veljajo za delodajalca, upravljavca.
Kaj pa na spletu? Od tam prihaja velik del groženj …
Sploh pa z vidika varnosti posameznika na spletu, kjer je bistvenega pomena, da pozna osnovna varnostna tveganja, ki nanj prežijo pri spletnih napadih v obliki socialnega inženiringa in podobno, pri spletnem nakupovanju, pri varni uporabi družbenih omrežij in spletnih forumov, in sprejme ustrezne zaščitne ukrepe.
"Če občutimo, da smo varni, in ne prepoznamo, da na nas oziroma na podjetje delujejo in prežijo določene varnostne grožnje, zaščite pred njimi sploh ne bomo načrtovali, kaj šele izvedli."
Katere?
Pri tem mu je v pomoč osnovno poznavanje tehnologije – tudi z vidika izkoriščanja zaščitnih orodij, ki jih ta tehnologija omogoča – in pravil varstva osebnih podatkov. Nato po zavedanju tveganja ukrepanje v primeru napada (sprememba gesel, preklic računov, kartic, takojšnja prijava zlorab), kot končni ukrep pa prijava kršitev pristojnim službam (Informacijski pooblaščenec kot nadzorni organ v primeru zlorabe varstva osebnih podatkov, policija v primeru zaznanih kaznivih dejanj ipd.).
Kaj so poleg ozaveščenosti in pravil tiste vsakdanje operativne točke, na katere bi pri uporabi informacijskih tehnologij morali biti kot posamezniki še posebej pozorni?
Uporabljamo močna, različna gesla, ne odpiramo sumljive pošte, računalnika ne puščamo prižganega, ko nismo ob njem, računalnika ne puščamo nenadzorovanega npr. na sedežu avta, v lokalu itd., osebnih podatkov in drugih ranljivih informacij ne posredujemo preko telefona, mobilnega telefona in tablice ne puščamo odklenjenih, ne uporabljamo USB-ključkov, za katere ne vemo, kdo jih je pred nami uporabljal, ne odpiramo oziroma ne obiskujemo sumljivih spletnih strani, ne puščamo dokumentov, tabel, evidenc z osebnimi podatki na mizi, ne objavljamo rizičnih podatkov na socialnih omrežjih itd.
"Organizacijam je na voljo precej prijemov in orodij informacijske varnosti ali pa varnosti osebnih podatkov, a se zatakne pri časovnih, finančnih in kadrovskih zmogljivostih."
Kateri bi bili operativni nasveti za podjetja?
Redno posodabljanje protivirusne in protivohunske (anti-spyware) programske opreme, redno vzdrževanje požarnega zidu, deaktiviranje in izbris programov, ki niso več v uporabi, primerno zavarovanje brezžičnih povezav, izdelava in spremljanje dogodkovnih dnevnikov, ki omogočajo sledljivost, kdaj je bil nek podatek vnesen v računalniški sistem, kdo ga je vnesel, kdo ga je obdeloval, kdaj in s kakšnim namenom, varovanje posameznih aplikacij in datotek z različnimi, močnimi gesli. In seveda ozaveščanje zaposlenih o varni uporabi IT-tehnologije, spleta, e-pošte, rokovanja s podatki podjetja ipd.
Kako se uresničujejo dobre prakse odgovornega ravnanja s podatki?
Seveda obstajajo organizacije, ki previdno in odgovorno ravnajo s svojimi podatki. Ravnanje s podatki se začne in konča pri vodstvu podjetja. Varnost podatkov je sestavni del integralne korporativne varnosti. Odgovorno ravnanje se torej začne na vrhu organizacije in se prenaša na ostale dele. Kot pri ostalih oblikah varnosti v zasebnem varnostnem sektorju – tistem, ki ga organizacije kupujejo na trgu in ga ne zagotavlja država – mora odločati vrh organizacije in tiste organizacije, ki so vezale varnost, pa tudi varnost podatkov ali morda bolje informacij na upravo, generalnega direktorja in podobno, po navadi uspešno varujejo podatke/informacije. Seveda tu ne smemo pozabiti človeškega faktorja, zakaj podatki odhajajo, zakaj ne ostajajo v organizaciji, kar je tudi stvar upravljanja s kadri, izobraževanja, nadzora, zaupanja in še česa. Dobra praksa se zaznava tam, kjer je pripadnost viziji in skupnim vrednotam organizacije visoka.
"Ravnanje s podatki se začne in konča pri vodstvu podjetja."
Kako posameznikom dvigniti zavest o pomenu odgovornega ravnanja s svojimi podatki, torej predvsem varne hrambe in varovanja zasebnosti?
Veliko lahko naredijo izobraževanja, seminarji, delavnice tudi prek spleta, kjer je potrebno izhajati iz samih osnov. Kaj je varnost in zakaj je varnost pomembna, obravnavati je treba tveganja in grožnje, predstaviti praktične primere. Potrebujejo celovit vpogled, da razumejo, se tega zavedajo in na podlagi tega nato tudi ukrepajo.
Kako pa v podjetjih?
Prav tako vzpostaviti zavedanje, da informacije postajajo najpomembnejša strateška poslovna sredstva. Sočasno pa se grožnje informacijske varnosti vsakodnevno povečujejo in razvijajo, posledično pa so dnevno podjetja in organizacije izpostavljeni kibernetskim napadom. Zato je ustrezna zaščita IT-sistema ključna za zagotavljanje nemotenega poslovanja vseh podjetij in organizacij, danes pa je za zagotavljanje primerne stopnje IT-varnosti potrebno veliko več kot le nakup sodobne IT-opreme za zaščito.
"Požarov pri varstvu podatkov se ne preprečuje, temveč se jih zgolj gasi."
Mobilna omrežja pete generacije bodo omogočila veliko obsežnejše prenose in izmenjavo podatkov – ali je to za varnost podatkov predvsem priložnost ali grožnja?
Po nekaterih podatkih danes ljudje v zgolj nekaj dneh ustvarimo toliko informacij oziroma podatkov, kot smo jih od začetka civilizacije do leta 2003. Vsaka informacija in tudi podatek sta sposobna digitalizacije in hrambe, dodajmo temu oblačno delovanje in pa prenašanje podatkov v visokih obsegih na hitro. Pospešitev povezav in izboljšanje povezav v splošnem lahko povežemo s prenosom še večjega obsega podatkov, kar predstavlja potencialno ogroženost še večjega številka podatkov. Ko zasledujemo povečanje povezljivosti in prihodnost z izboljšanim tehnološkim razvojem, je treba enak, če ne večji fokus polagati na varnost teh povezav, naprav in aplikacij. Znajo se pojaviti nova tveganja in grožnje.
"Informacije postajajo najpomembnejša strateška poslovna sredstva."
Kako te grožnje preleviti v priložnost in prednost?
Večdimenzionalni ranljivosti za kibernetske napade se je treba zoperstaviti z večdimenzionalnostjo, nadgradnjo in dinamičnostjo kibernetske zaščite. Z novo strategijo kibernetske varnosti, če hočete. Prvi morajo za to poskrbeti ponudniki storitev 5G. Če temu dodamo prej vzpostavljeno zavedanje, da so potrošniki, podjetja in mesta, ki želijo uporabljati 5G, slabo opremljeni za opredeljevanje, kaj šele reševanje groženj, in da je nalaganje varnostnega bremena na uporabnika nerealistično, je to še toliko bolj pomembno. Zavedanje tveganj in groženj je tudi tu prvi korak, iz katerega lahko načrtujemo ustrezno zaščito in sploh varno, učinkovito uporabo novih zmogljivosti tehnologije.
"Pri varnostnih vprašanjih je težko odgovoriti zgolj z 'da' ali 'ne'."
Kako pomembno je zagotavljanje celovite kibernetske varnosti za posameznike, gospodarstvo, državo in družbo v celoti?
Izjemnega pomena. Od spodaj navzgor gradimo zavedanje, vpliv delovanja posameznika ali pa podjetja, sektorja, kar ima lahko pogubne vplive na višji nivo. Veriga je močna toliko, kot je močen njen najšibkejši člen oziroma mora vsak storiti svoje, da je baza trdna. Vsekakor pa je za organizacijo dobro oziroma skoraj ključno, da s testiranji zagotovi čim večjo varnost, saj s testiranjem in analizo dobljenih rezultatov lahko gradimo varnost organizacije tudi v kibernetskem prostoru.
Kako doseči višjo raven kibernetske varnosti?
Prek zavedanja – prepoznavanja, ukrepanja –, zaščite, odkrivanja, odzivanja in obnovitve sistemov. Podjetja morajo prepoznati in odgovarjati za novo kibernetsko dolžnost skrbnega ravnanja prek vlaganj v zmanjševanje (predvsem kibernetskih) varnostnih tveganj z implementacijo tehnološko ustrezne zaščite ter vgrajene in privzete varnosti, zagotovljene že na ravni razvoja in tudi delovanja. Zakonodaja bo morala tudi tu slediti razvoju in narediti svoje z določbami glede varnosti, transparentnosti delovanja ipd. Med posamezniki pa je potreben dvig kibernetske higiene – pri vsakem posebej oziroma v gospodinjstvu. Glede na razvoj in sposobnost otrok, ki se s tehnologijo srečujejo praktično že v vozičkih, naučijo pa se uporabe že zelo zgodaj, je tudi posebnega pomena čimprejšnje vcepljanje varnostnih mehanizmov, pa tudi ustrezen nadzor. Naučiti čim prej oziroma takoj.
Ali uvedba omrežij 5G zahteva kakšna nova posebna znanja, postopke in ukrepe za zagotavljanje varnosti podatkov in celovite kibernetske varnosti?
Kibernetska varnost pa bo morala vsaj dohajati razvoj. Pri 5G so nekateri vidiki drugačni kot pri predhodnih generacijah; z decentralizacijo je nadzor na posameznih točkah otežen, virtualizacija omrežnih funkcij je na višji ravni … Umetna inteligenca zgodnje generacije je programsko ranljiva, prek nadzora programske opreme lahko nadzorujemo tudi omrežje. Širitev pasovne širine ustvarja dodatne možnosti napada: poceni antene kratkega dosega po urbanih območjih postanejo nove tarče napadov, dinamično delovanje pa zahteva dinamiko kibernetske zaščite. Tu je še celoten vidik interneta stvari (IoT – Internet of Things).
Ali obstajajo varni in nevarni dobavitelji informacijske in komunikacijske infrastrukture?
Na to vprašanje bi bilo najlaže odgovoriti z "da" ali "ne", vendar tako kot pri drugih varnostnih vprašanjih ni enoznačnega odgovora, še manj pa je lahko odgovor vedno enak za istega dobavitelja. Pa poglejmo Huawei – ZDA in del EU pravijo, da je nevaren dobavitelj, Kitajska to zanika in ga nima za nevarnega. Na takem primeru se lahko naučimo, da je treba, kot že večkrat povedano, testirati, ocenjevati.
"Med posamezniki pa je potreben dvig kibernetske higiene – pri vsakem posebej oziroma v gospodinjstvu." Kako to izpeljati objektivno in nepristransko?
Pri vseh tovrstnih dobaviteljih bi morali vsaj upoštevati načela standardov in jih predhodno ocenjevati, nadzirati, ukrepati, zamenjati, obdržati, vsekakor pa ne biti odvisni od ene od tehnologij. Na tem področju že zahajamo na meni priljubljeno temo Business intelligence ali, če to nekako poslovenimo, Konkurenčna obveščevalna/gospodarska dejavnost, ki jo po moji oceni preveč zanemarjamo in o njej premalo govorimo, najraje pa bi si zatisnili oči.
Ali bi morala imeti Evropska unija enotno strategijo kibernetske varnosti?
Glede na ureditev področja varstva osebnih podatkov z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL. L. 119, 4. 5. 2016, str. 1-88) bi tudi tu prišla prav neka splošna, osnovna pravila, ki si prizadevajo za zaščito od posameznika dalje. Kot že prej omenjeno – potrebna bo vgrajena in privzeta zaščita z visoko stopnjo zavedanja groženj, tveganj, priložnosti in potrebnih ukrepov.
1