Varnost ni v domeni posameznikov, ampak vseh zaposlenih. Zmotno je prepričanje, da so določene službe pristojne za reševanje specifične problematike, ostalih pa se to ne tiče. Npr. če vzamemo za primer požarno varnost. Vsi zaposleni v organizaciji se izobražujejo oziroma usposabljajo, da znajo pravilno ravnati v primeru potencialnega požara in ga v prvi vrsti tudi preprečiti, če je to v njihovi moči. Podobno je, ko govorimo o varovanju informacij. Tehnična služba oziroma informatiki poskrbijo za tehnično zaščito računalniškega sistema organizacije in rešujejo nastale težave, vendar smo tudi uporabniki tisti, ki vsakodnevno s tem sitemom delamo. Dovolj visoka stopnja osveščenosti zmanjša uresničitev tveganja na, za večino organizacij, sprejemljiv nivo. Popolne varnosti ni in je ne moremo doseči. Lahko pa poskrbimo, da je celotno poslovanje dovolj varno oziroma, če se uresniči določeno tveganje, da lahko organizacija prenese posledice in sočasno normalno posluje dalje.

Ko govorimo o človeškemu faktorju varnosti na področju varovanja informacij moramo posebej izpostaviti:

a. področje izobraževanja zaposlenih,

b. obveščanje zaposlenih v primeru povečane nevarnosti (obveščajo informatiki),

c. zapis pravil obnašanja pri ravnanju z določeno opremo ali sistemom (pravilniki in varnostne politike).

Primer št. 12:

Kaj se je zgodilo: Organizacija je načrtovala prenovo varnostnega sistema v svojih prostorih. Vložili so ogromno denarja v postavitev najnovejših elektronskih ključavnic za dostop do prostorov, ki so se odpirala s pomočjo brezstičnih kartic. Zaposleni so novost dobro sprejeli. Organizacija je pozabila izobraziti zaposlene o navosti oziroma dobri praksi ravnanja s tovrstnimi instrumenti za dostop.

Posledice: Zaposleni so si med seboj posojali kartice, ker jih posamezniki niso imeli vedno s seboj, kakor bi bilo pravilno. Mnogokrat se je zgodilo, da so zaposleni zapustili prostore brez svojih kartic, zaradi česar se niso mogli vrniti na delovno mesto. Dobri sodelavci so vedno posodili kartico za dostop do prostorov, včasih pa so tudi pospremili zaposlene in tudi obiskovalce v prostore. Nekega dne je na razvojnem oddelku zmanjkala mapa z zaupnimi podatki glede novega produkta, ki je bil v pripravi. Kdo jo je odnesel še danes ni znano, saj je tisti dan z eno kartico v stavbo vstopilo deset zaposlenih in tudi dva gosta, ki se nista prijavila na recepciji, ker sta poznala enega od zaposlenih. Kdo je odnesel mapo, še danes ni znano.

Izobraževanje zaposlenih

V kolikor podjetje zaposlenim ne omogoči ustreznega izobraževanja in izpopolnjevanja, od njih ne more pričakovati ustreznega ravnanja v določenih situacijah. Nekatere tematike lahko predelujemo sami znotraj podjetja, za druge pa je priporočljivo, da za izvedbo prosimo zunanje izvajalce. Nekatere teme so enostavno občutljive in zaposleni drugače sprejemajo, če jih slišijo od zunanjega strokovnjaka ali od sodelavca v podjetju. Izobraževanje na področju informacijske varnosti mora biti redno, ciklično. Znanja je potrebno nadgrajevati sproti, saj vsakodnevno z razvojem novih tehnologij nastajajo tudi nove grožnje. Priporočljiva je izvedba rednih delavnic, kjer je tematika zaposlenim predstavljena na praktičen in zanimiv način. Izobraževanje bi moralo biti obvezno za vse novo zaposlene, da se zagotovi minimalno zahtevano raven poznavanja IKT in nevarnosti, ki prežijo na uporabnike ob vsakdanji uporabi. .

Primer št. 13:

Kaj se je zgodilo: V eni od slovenskih občin so zaposlili novega človeka. Ta predhodnih izkušenj z informacijsko varnostjo ni imel. Na občini je bila do sedaj praksa, da se je vsak novo zaposleni učil s pomočjo prakse in postopnega uvajanja. Ob nastopu delovnega mesta je dobil tudi svoj službeni elektronski naslov. Kmalu je na njegov elektronski naslov začela prihajati lažna elektronska pošta.

Posledice: Zaposleni je odprl okuženo priponko v enem od lažnih elektronskih sporočil. Izsiljevalski virus je kmalu okužil večino podatkov na strežniku. Vključni z delom kjer je bila baza, ki je vsebovala kazni mestnega redarstva. Posledično je to pomenilo, da kazni niso bile dostopne oziroma jih tisti trenutek ni bilo možno poslati na naslove kršiteljev. Situacijo je rešila IT služba, ki je plačala odkupnino v kriptovaluti Bitcoin in povrnila podatke v prvotno stanje, ter omogočila normalno nadaljnje poslovanje. Kmalu za tem so izvedli tudi delavnico ozaveščanje, kjer je bilo zapolsenim s praktičnimi primeri pokazano kaj gre lahko narobe in na kakšen način. V praksi se je pristop pokazal kot zelo učinkovit, saj sta šok kot posledica incidenta in varnostno ozaveščanje dosegla želeni rezultat. Od takrat do danes še ni bilo resnejših incidentov na področju varovanja infroamcij.

Obveščanje zaposlenih v primeru povečane nevarnosti

Ker izobraževanj za zaposlene ni smotrno izvajati vsakič, ko se pojavi nova nevarnost, je pomembno sprotno obveščanje o njih. To naj poteka po ustaljenem sistemu obveščanja, ki je v uporabi v organizaciji. V kolikor tovrsten učinkovit sistem ne obstaja, ga je priporočeno vzpostaviti. Ko se prvič pojavi določena nevarnost, ki predstavlja grožnjo organizaciji, se o njej obvesti zaposlene in se jim da tudi ustrezna navodila, kako pravilno ukrepati, da se nevarnosti izognejo oziroma kako ukrepati, če se uresniči.

Zapis pravil obnašanja pri ravnanju z določeno opremo ali sistemom (pravilniki in varnostne politike)

Pravilniki in varnostne politike morajo biti sestavljeni življenjsko. Pomembno je, da so prilagojeni organizaciji in da niso le generični pripravki. Prilagoditev je nujna, če želimo, da bosta zastavljen pravilnik ali politika v organizaciji zaživela. Skupek pravil mora biti sistematično in jasno urejen. Priporočamo, da politike in pravilniki izhajajo iz krovne varnostne politike, ki na splošno ureja varovanje informacij v organizaciji, ostale področne politike pa jo dopolnjujejo.

Cilj krovne varnostne politike je zagotoviti, da:

1. se ohranja zaupnost, celovitost in razpoložljivost informacij, ki se v podjetju obdelujejo;

2. se pri uporabi informacij ne krši zakonov, predpisov in pogodbenih obveznosti;

3. so informacije pravočasno in v ustrezni obliki na razpolago pooblaščenim osebam in hkrati zavarovane pred nepooblaščenim dostopom;

4. informacije ne bodo namerno ali nenamerno razkrite nepooblaščenim osebam;

5. se informacijska sredstva uporabljajo za namene poslovanja na ustrezen način;

6. se zaposlene ozavešča o pomembnosti varovanja informacij;

7. se zaposlene izobražuje za izvajanje nalog na način, ki je skladen z zahtevami informacijske varnosti;

8. je vzpostavljen in se izvaja postopek prijavljanja in obdelave dogodkov v zvezi z informacijsko varnostjo ter izvajanja ukrepov za odpravo vzrokov;

9. se v zvezi z varovanjem informacij dodelijo ustrezne vloge in pooblastila.

Pri varnostnih politikah je ključnega pomena zavezanost vpletenih akterjev. Vodstvo podjetja je v okviru svojih pristojnosti zadolženo za zagotovitev virov in dodeljevanje ustreznih vlog ter pooblastil za omogočanje izvajanja politik. Pooblaščene osebe za informacijsko varnost (če jih vodstvo imenuje) v okviru dodeljenih nalog in pooblastil skrbijo za informacijsko varnost v podjetju in poročajo vodstvu. Skrbniki procesov skrbijo, da so usmeritve za varovanje informacij iz politik in drugih aktov vgrajene v vse faze procesov, za katere so zadolženi. Vsi redni ali začasni zaposleni so pri izvajanju svojih zadolžitev in pri drugih oblikah udejstvovanja v podjetju ali v imenu podjetja dolžni ravnati v skladu z usmeritvami politik in ostalih povezanih aktov podjetja. Posebej so dolžni poročati o opaženih odstopanjih, neskladjih ali dogodkih, ki bi lahko vplivali na varnost informacij. Tretje stranke (zunanji izvajalci, podizvajalci, stranke, obiskovalci) so pri uporabi informacij podjetja prav tako dolžni spoštovati usmeritve varnostnih politik.

Vsi zapisi v varnostnih politikah morajo biti skladni z aktualno zakonodajo, saj interni akti ne smejo biti nad katerimkoli sprejetim zakonom in Ustavo. Priporočamo, da so politike kratke in jasne, saj predolgi dokumenti izgubijo svoj praktičen pomen in v praksi težko funkcionirajo. Učinkovita dokumentacija nastane z načinom »manj je več«, saj zaposlene ne smemo preveč obremniti z novimi pravili ali jih otežiti delovne procese do te mere, da občutno pade produktivnost v organizaciji.

Dostop do ključnih informacij za delovanje organizacije

Nova Uredba o varstvu osebnih podatkov (GDPR) prinaša nekaj novosti, med drugim jasno opredelitev pravic za dostop do določenih informacij v organizaciji. Z novim sistemom bodo morale organizacije, ki spadajo pod omenjeno uredbo, določiti posameznike, ki lahko dostopajo do občutljivih osebnih podatkov, in obseg podatkov, do katerih lahko dostopajo.

Tudi sicer je tovrstna praksa priporočljiva, saj lahko le tako vzpostavimo učinkovit sistem nadzora nad dostopom. Podatki, ki so ključni za delovanje organizacije, bi zaposlenim morali biti na voljo izključno na enem mestu (seveda z učinkovitimi varnostnimi kopijami na vsaj dveh ločenih lokacijah), kjer jih ne bi bilo mogoče kopirati oziroma jih prenašati drugam.

Dober primer v praksi so razvojno naravnana podjetja, ki imajo vpeljan tovrsten sistem. Revizijska sled tako omogoča, da se lahko v vsakem trenutku ugotovi, kdo in kdaj je dostopal do določenih podatkov. Takšen način dostopa preprečuje nepooblaščeno kopiranje in iznašanje podatkov, kar je izjemno priročno pri kadru, ki odhaja iz podjetja. Če je to mlajši kader, ki ima pred seboj še dobršen del karierne poti, obstaja nevarnost, da se bo zaposlil pri konkurenčnem podjetju ali odprl svoje podjetje, kjer bo uporabil zaupne informacije s prejšnjega delovnega mesta za pridobitev posla (baza strank, cene artiklov in razvojni načrti izdelkov itd.).

Z vpeljanim sistemom, ki omogoča pregled nad dostopom do ključnih informacij, lahko dokazujete naklep in dejanske dogodke v zvezi z varovanjem poslovne skrivnosti in konkurenčno klavzulo. Dokazovanje je v tem primeru lažje in hitrejše, kar posledično pomeni tudi bolj ugoden razplet za vašo organizacijo.

Primer št. 14:

Kaj se je zgodilo: V slovenskem, razvojno naravnanem podjetju se je zgodila kraja poslovne skrivnosti enega ključnih mož pri odhodu iz organizacije. Organizacija sicer ni imela vpeljanega sistema, ki bi omogočal hiter vpogled v dostop do zaupnih informacij, saj so se tovrstne informacije nahajale na lokalnih diskih posameznih naprav, ki so jih (bivši) zaposleni uporabljali za delo v času delovnega razmerja. Računalniška forenzika je pokazala, da je nekdanji zaposleni malo pred odhodom (ko ni bilo nobene potrebe) dostopal do praktično vseh pomembnih informacij za poslovanje organizacije, kot so npr. največje stranke, razvojni produkti, cene, marže itd., in si celo prepošiljal elektronska sporočila na zunanje zasebne naslove. Informacije je ukradel in se zaposlil v konkurenčnem podjetju, kjer je poskušal počasi prevzeti stranke.

Posledice: Organizacija je najela zasebnega detektiva in računalniškega izvedenca, ki sta pomagala pri pridobivanju in zavarovanju dokazov, na osnovi katerih so vložili tožbo proti bivšemu zaposlenemu.

Težave ne izbirajo tarč

Ko govorimo o varnosti informacij oziroma o nevarnostih, ki pretijo, lahko vidimo, da težave ne izbirajo svojih tarč. Primeri iz tujine nam govorijo, da tudi največja podjetja, ki se ukvarjajo z varnostjo, oziroma takšna, ki bi za varnost morala imeti poskrbljeno, niso imuna na incidente. Vzrok zanje niso vedno slabi sistemi oziroma mojstrstvo napadalcev. Gre predvsem za pravi trenutek in najverjetneje katero od človeških napak.

Primer št. 15:

Kaj se je zgodilo: Ameriški telekomunikacijski velikan Verizon je bil letos opozorjen na nezavarovan oziroma slabo zavarovan del strežnika (uporaba slabega gesla). Verizon ima nekaj več kot 100 milijonov uporabnikov. Na slabo zavarovanem delu strežnika so se nahajali podatki o 14 milijonih uporabnikov, ki so v zadnjem času klicali na podporo v podjetju. Zapisi so vsebovali ime, telefon in PIN kodo njihovih računov.

Posledice:Poleg negativne reklame je skrb zbujajoče tudi dejstvo, da je bilo z izpostavljenimi podatki mogoče prevzeti nadzor nad uporabniškimi računi. Največji telekomunikacijski operaterji, ki naj bi imeli dobro poskrbljeno za varnost njihovih uporabnikov, občasno nehote odkrijejo ali pa je razkrita njihova varnostna luknja. Ne glede na to, kako izpopolnjena je programska oprema, ki jo uporablja podjetje, še vedno ne more nadzorovati, kaj uporabniki z njo počnejo.

Primer št. 16:

Kaj se je zgodilo: Programska oprema za video obdelavo na operacijskem sistemu MacOS, HandBrake, je bila okužena z zlonamerno programsko kodo. Trojanski konj je omogočal oddaljen dostop do naprav uporabnikov, ki so se okužili. Z okužbo je nastala velika nevarnost, da se napadalci dokopljejo do podatkov za dostop do različnih računov, ki so shranjeni na napravah.

Posledice: Poleg kraje gesel določenim uporabnikom je dogodek glasno opozorilo uporabnikom Applovih izdelkov, ki so dolgo časa mislili, da so varni. Seveda za MacOS obstaja bistveno manj zlonamernih programskih kod kot za okolje Windows, vendar je tudi na teh napravah nujna uporaba protivirusnega programa in druge zaščitne opreme. Previdnost nikoli ni odveč.

Primer št. 17:

Kaj se je zgodilo: Eden največjih ponudnikov programske opreme za upravljanje strank, človeških virov in financ, Sabre systems, je razkril, da so bili tarča vdora. Kako se je zgodilo, ni bilo razkrito.

Posledice: Omenjeno programsko opremo uporabljajo velikani, kot so Google, Hard Rock Hotels, Loews, in tudi nepremičnine v lasti ameriškega predsednika Trumpa. Razkrili so, da so jim po vdoru odtujili določene podatke.