Skorašnji napad na Eplov Internet sajt pokrenuo je ponovo pitanje uticaja visokotehnološkog kriminala na poslovanje kompanija. Kako ovaj vid kriminala raste u sofisticiranosti zajedno sa tehnologijom pa je i borba proiv njega iz godine u godinu sve kompleksnija.
Lociranje sajber kriminalaca predstavlja sve teži zadatak, a posebno njihovo privođenje pravdi i naplata štete. Poseban problem je i umrežavanje kriminalca iz različitih delova sveta što ovaj vid kriminala čini globalnim fenomenom. Da je stvar više nego ozbiljna govori i podatak da je visokotehnološki kriminal tokom prošle godine uzrokovao štetu po kompanije širom sveta u iznosu od 110 milijardi američkih dolara.
Uz ovaj podatak postaje jasno zašto opstanak kompanija na tržištu i njihova konkuretnost sve više zavise od efikasnosti zaštite podataka i kompjuterizovanih procesa proizvodnje. Takođe, jasno je da šteta koju sajber kriminal čini, a koja značajno prevazilazi i veće državne budžete, zahteva dužnu pažnju i zašto se kompanije sve češće opredeljuju za investicije u sisteme zaštite.
Revizorska kuća KPMG sprovela je globano istraživanje na kompanijama kako bi se identifikovali najveći izazovi u borbi protiv visokotehnološkog kriminala. Ovo istraživanje je ukazalo na nekoliko činjenica:
1. Visokotehnološki kriminal će nastaviti dominaciju kao vodeća kriminalna aktivnosti. Četiri od pet kompanija očekuje porast visokotehnološkog kriminala pod okriljem međunarodnih kriminalnih organizacija. U fokusu neće biti samo krađa novca već i špijunaža i ometanje vitalnih procesa proizvodnje. Do sada je tri od četiri prijavljena incidenta registrovano u SAD ali se ovi trendovi menjaju. Velika ulaganja u sisteme zaštite dovela su do primetnog smanjenja napada u Americi ali i do širenja visokotehnološkog kriminala na ostale delove sveta. Tako Indija danas beleži najbrži rast hakerskih napada u svetu.
2. Visokotehnološki kriminal se dešava na dva nivoa. Na nižem se firme napadaju radi manje novčane koristi ili želje da se skrene pažnja javnosti, na sebe ili neki problem. Najčešću vid je rušenje internet prezentacija ili menjaje njihovog sadržaja. Na višem nivou virtuozi za kompjuterom iza kojih često stoje kriminalne organizacije ciljaju velike korporacije u cilju prikupljanja i kasnije prodaje podataka. Ovi napadi često ostaju neprimećeni usled činjenice da se podaci ne uklanjaju fizički već samo kopiraju.
3. Stalna analiza rizika je imperativ. Kompanije se često pitaju da li je skupo investirati u sisteme za bezbednost? Do odgovora na ovo pitanje dolazi upoređivanjem cene zaštitnog sistema u odnosu na eventualnu štetu koja može nastati usled napada. Ovo nije jednokratna aktivnost, jer pomenuti brz razvoj tehnologije zahteva konstantnu analizu rizika. Analiza omogućava identifikaciju kritičnih tačkaka i sprovođenje mera na smanjenju rizika, kao i implementaciju sistema otkrivanja i sprečavanja napada.
4. Potrebno je staviti se u ulogu kriminalca. Vrednost informacija uvek je potrebno posmatrati iz dve perspektive – preduzeća i kriminalca. Informacije koje se organizaciji čine manje važnim u nekim slučajevima mogu biti primarni cilj napadača. Treba imati u vidu i da se usled sve veće međusobne povezanost kompanija stvara lanac u kojem se bezbednost i sigurnost jedne kompanije može ugroziti posredno koristeći nedostatke sistema bezbednosti druge kompanije. Na osnovu podataka Forbsa iz 2012. godine čak 16 procenata nema potrebne sigurnosne dodatke ili koristi zastareo softver.
5. Kratkoročne mere i dugoročno usavršavanje. Efikasna borba protiv visokotehnološkog kriminala obuhvata kako kratkoročne mere tako i dugoročno usavršavanje. Kada se govori o kratkoročnim merama one su uglavnom u domenu prevencije i obuhvataju pomenutu analizu rizika. Dugoročno usavršavanje sistema ima za cilj da optimizuje uložena sredstva i postigne najpovoljniji odnos uloženih sredstava i ukupne bezbednosti kompanije.
6. Stoprocentna sigurnost je iluzija. Više od 40 procenata kompanija koje je ispitao KPMG bila je žrtva visokotehnološkog kriminala, a više od polovine kompanija nije bila u stanju da odgovori da li može efikasno odgovoriti na ovakve napade. Usled kompleksnosti današnjih sistema nije moguće sa sigurnošću utvrditi sve reizike pa se fokus uglavnom stavlja na bezbednost ključnih delova i izradu mehanizma za brzi odgovor na incidente. Ispitivanja KPMG-a su pokazala je najčešći uzrok krađe podataka hakovanje, potom prevara i socijalni inženjering (lažno predstavljanje i sl.) i na kraju posedovanje mreže bez zaštite, krađa i gubitak prenosivih uređaja (laptop, tablet, telefon) i krađa ili gubitak papirnih dokumenata.
7. Ponašanje rukovodstva je ključ uspešne borbe protiv visokotehnološkog kriminala. Dobar primer rukovodilaca u okviru organizacije često je bitan činilac celokupnog bezbednosnog sistema. Istraživanje je pokazalo da su zaposleni skloniji da se pridržavaju pravila bezbednosti ukoliko rukovodioci daju primer.
Jasno je da je nemoguće u potpunosti se zaštititi od uticaja visokotehnološkog kriminala. Nemoguće je zaštititi se u potpunosti od bilo koje vrste kriminala, međutim na nama je da se potrudimo da bezbednosne kontrole podignemo na najviši nivo. Na kompanijama je da odrede vrednosti njihovog poslovanja i eventualnu štetu koja može nastati i da na osnovu toga odluče koliko su spremne da odvoje za preventivnu borbu protiv visokotehnološkog kriminala.
Dejan German, IT Savetnik, KPMG