Kako bi opredelili pomen informacijske varnosti?
Informacijska varnost pomeni zaščito informacij, ki so lahko v treh oblikah: v elektronski obliki v računalniku ali na drugih medijih, v tiskani obliki na papirju ali celo v glavah zaposlenih, sodelavcev in drugih. Prav informacije, ki so tako rekoč »shranjene« v glavah vsakega posameznika, je najtežje zaščititi ali zanje zagotoviti ustrezno varnost.
Kako gledate na varnost v podjetju?
Ko govorimo o zaščiti informacij lahko poudarimo tri stebre varovanja informacij, ki so izrednega pomena za zagotavljanje ustrezne varnosti: zaupnost, celovitost in razpoložljivost. Nekatera podjetja, s katerimi sodelujemo, so postavile vse tri stebre kot temeljne vrednote, za katere si morajo prizadevati vsi zaposleni. Za nekatera podjetja in organizacije je lahko v ospredju zaupnost, kar pomeni zagotovitev, da imajo do informacij dostop le za to pooblaščene osebe. Druga vrednota je celovitost, ko si v podjetju ali organizaciji prizadevajo za zaupnost. V zadnjem času pa je ena izmed najbolj poudarjenih vrednot razpoložljivost, to je dostopnost do informacij v trenutku, ko jih potrebujemo. Ko govorimo o izvedbi vseh treh vrednot, pa se srečujemo s tehničnimi, pravnimi in organizacijskimi ukrepi.
Kako pripravljate varnostne pravilnike? Kako skrbite za varnost informacijskega sistema vaših organizacij?
Pri izdelavi in pripravi varnostnih pravilnikov uporabljamo aktualne standarde in dobre prakse. Pri tem se usmerjamo predvsem na standard ISO/IEC 27001, saj je ta v tem trenutku v večjem delu sveta temeljni okvir za varovanje informacij. Celo v ZDA, kjer se navadno bolj nagibajo k uporabi svojih standardov, je ISO/IEC 27001 dosegel veliko pozitivnih učinkov. Zavedati se je treba, da je standard zelo splošen in napisan tako, da ustreza zelo raznolikim organizacijam.
Imajo organizacije, s katerimi sodelujete, težave s socialnim inženiringom? Kako obvladujete tovrstne težave?
Socialni inženiring je v dandanes zelo pogosto obravnavana tema. Ena od dejavnosti, ki jo naše podjetje izvaja, je tudi testiranje informacijske varnosti v drugih organizacijah. To je tako imenovani penetracijski test, ki vključuje tudi testiranja z različnimi metodami vdiranja socialnega inženiringa. Iz izkušenj lahko povem, da nismo še imeli primera, ko nam ne bi uspelo pridobiti informacij zaupne narave. Prve tarče napadalcev so navadno zaposleni v tajništvu ali računovodstvu. Tako s testiranjem navadno začnemo prav pri zaposlenih v tajništvu predsednika uprave ipd. Po zaključku penetracijskega testa in ovrednotenja rezultatov navadno pripravimo ustrezne varnostne pravilnike, ki so prilagojeni dejavnostim določene organizacije. V podjetjih oziroma organizacijah, ki takšne pravilnike že imajo, pa te prilagodimo ugotovljenim ranljivostim. Naslednji korak pa je seveda izobraževanje zaposlenih. Izobraževanje navadno izvajamo prek elektronskega ozaveščanja ali pa organiziramo delavnice. Tu zaposlene poučimo o pravilih obnašanja in ravnanja v skladu z varnostno politiko, in sicer tako, da jih tudi razumejo.
Kako v organizacijah po Sloveniji gledajo na izobraževanje zaposlenih? Kako se izobražujejo?
Organizacije po Sloveniji navadno namenjajo večjo pozornost internemu in periodičnemu ozaveščanju zaposlenih šele, ko pride do večjega incidenta. Imamo pa nekatere svetle zglede, ko so določene organizacije na podlagi priporočil revizorjev informacijskih sistemov uvedle ozaveščanje. Smiselno je to narediti vsaj enkrat na tri mesece. Če gre za večjo organizacijo, je logistično, časovno in finančno najbolj smiselno elektronsko izobraževanje. Vsebinsko lahko namenimo najprej nekaj pozornosti računalniškim virusom in črvom, pozneje lahko posvečamo pozornost varnosti mobilnih telefonov, prenosnih računalnikov, varnosti naprav bluetooth itd. Tematik na področju varnosti, ne nujno samo informacijske varnosti, ki bi jih moral vsak zaposlen vsaj okvirno poznati, je veliko, in zato je smiselno te tematike razdeliti na manjše vsebinske sklope.
Po katerih standardih posluje podjetje Palsit, ki ga vodite? O čem razmišljate v prihodnje? S čim se trenutno ukvarjate?
Palsit je prvo certificirano podjetje v Sloveniji po standardu ISO/IEC 27001. Ravno pred nekaj tedni smo imeli redno certifikacijsko presojo, s katero smo upravičili našo dobro skrb za informacijsko varnost in predvsem ustrezen sistem za vodenje varovanja informacij. Nenehno si prizadevamo, da bi sistem vodenja varovanja informacij, ki ga imamo, še izpopolnili. Na tem mestu pa se nenehno odvija nekakšen boj med tem, kako čim bolje zaščititi informacije, in tem, kako čim več časa porabili za izvajanje lastnih storitev. Zato menim, da moramo vse varnostne pravilnika, postopke, navodila, obrazce in podobno čim bolj poenostavljati in iskati optimalne načine za izvedbo, ki bodo hkrati tudi živeli v praksi in ne bodo zgolj zapisani na papirju. Trenutno se veliko ukvarjamo predvsem z internacionalizacijo in sistematizacijo poslovanja.
Palsit organizira tudi razna izobraževanja na temo informacijske varnosti. Kako izvajate izobraževanja?
Res je. V našem podjetju redno organiziramo razne dogodke, na katerih skušamo ljudi čim bolje osveščati o sodobnih informacijskih grožnjah in o možnostih preventivne zaščite oziroma obvladovanja varnostnih incidentov. V ta namen smo ustanovili tudi dva kluba, v katerih se enkrat mesečno srečujejo vodje IT, direktorji različnih podjetij, revizorji IS, varnostni inženirji, sistemski administratorji in podobni, kjer si izmenjujejo izkušnje, znanje, mnenja in ne nazadnje navezujejo nove stike. Več o tem najdete na www.palsit.com.
Sicer pa smo poznani predvsem po štirih večjih dogodkih oziroma konferencah, ki jih organiziramo vsako leto. Tik pred vrati je tokrat že 10. konferenca Infosek, natančneje, Infosek 2008 Forum. Infosek Forum je navadno enodnevni dogodek, ki smo ga do zdaj organizirali v Ljubljani, z namenom predstaviti aktualne in kritične zadeve na področju informacijske varnosti tako v Sloveniji kot tudi v tujini. Hkrati pa je Infosek Forum nekakšen uvod za konferenco Infosek, ki vsako leto poteka proti koncu leta v Novi Gorici.
Letos smo svoje delovanje predstavili ENISI, posebni agenciji Evropske unije za informacijsko varnost, in tako skupaj organiziramo Infosek 2008 Forum, ki se bo izvedel tik pred koncem slovenskega predsedovanja Evropski Uniji. Prav zaradi sodelovanja z ENISO bo tokrat konferenca izjemoma potekala dva dni, in sicer v Novi Gorici. Povabili smo veliko tujih predavateljev, ki bodo nekatere tematike v Sloveniji premierno predstavili. Seveda ne bo manjkalo niti domačih strokovnjakov, med nami pa bo tudi pa poseben gost iz Amerike, ki je prav gotovo eden boljših strokovnjakov na področju informacijske varnosti v svetu. To je svetovno najbolj znani (bivši) heker, Kevin Mitnick.
Nam lahko poveste kaj več o Kevinu Mitnicku?
V tem trenutku Kevin Mitnick velja za najbolj znanega hekerja na svetu. Uspelo mu je namreč vdreti v večje število pomembnih organizacij, zato je bil kar nekaj časa ena najbolj zaželenih oseb FBI-ja. Po nekaterih neuradnih informacijah, ki so sicer blizu Mitnicku, jim ga je uspelo prijeti samo zato, ker naj mu nenehno življenje na begu in v samoti ni bilo več prijetno. Kevin Mitnick bo svoje izkušnje in znanje z nami delil v Novi Gorici na predkonferenčnem dnevu, 9. junija. Prvič v Sloveniji.
Moj mikro, Junij 2008 | Milan Simčič
