Cybersecurity uz bok klimatskim promjenama

image

Ovo godine, a isto kao i prethodne, DEEP konferencija održala se na odličnoj lokaciji -  Petrčane kod Zadra. Vrijeme je bilo sunčano, organizacija kao po špagi, a predavanja odlična. Bilo je prisutno oko 300-njak posjetitelja i 20-ak odličnih i stručnih predavača iz najboljih InfoSec organizacija. 

Tri različita organizatora udružila su se u organizaciji ove konferencije

Predavanja su se održavala u tri različite kategorije - .Ops, .Tech i .Lead - pa je svatko mogao poslušati sebi zanimljiva područja. 

Za one koji su se htjeli spuštati do razine bitova mogli su poslušati predavanja na .Tech tracku.

Oni koje više zanimaju operacije te kako uskladiti procese, organizacije i tehnologiju pridružili su se .Ops tracku, a .Lead track je bio za one koje je više interesiralo kako sve to zajedno voditi.

Profesionalizirajte Cyber Security industriju i zabranite Click kiddies!

Irski keynote predavač Brian Honan održao je fenomenalno predavanje s naslovom May you Live in Interesting Times. Cyber Security je uz bok klimatskim promjenama, visokim troškovima života i promjenama vezanim uz AI-a (prema Svjetskom ekonomskom forumu).

Trenutno društvo ovisi o tehnologiji i više nego što mislimo. Gotovo sve što danas koristimo povezano je s internetom – automobili, pametni telefoni, zgrade, hladnjaci, TV-i, tosteri, kuhala, medicinski uređaji itd. (da, dobro ste pročitali: i tosteri i kuhala!). Koliko bi organizacija preživjelo Covid da se dogodio prije 15-ak godina?

Malwarei, trojanci, crvi, ransomwarei nisu rezervirani samo za trenutne (cyber) ratove, nego se prelijevaju na cijeli svijet. Zašto? Jer internet nema granice! SCADA sustavi – elektrane, hidroelektrane, distributeri električne energije, sustavi za upravljanje vodnim gospodarstvom, zdravstveni sustavi ovise o tehnologiji. Kritički razmotrimo i osvijestimo se da svaki ispad može ugroziti ljudske živote, a poruka od dobavljača usluge: „Radimo intenzivno na osposobljavanju usluge“ nije više dovoljna ni prihvatljiva! Zašto?

Dočarat ćemo primjerom – pročitajte o napadu koji se dogodio na irski bolnički sustav, a počeo je s klikom na Excel privitak u mailu. Stavite se u cipele onkoloških pacijenata koji nisu mogli napraviti preglede, dobivati terapije ili obaviti operacije jer njihovi kirurzi nisu mogli do njihovih zdravstvenih kartona. Koliko je to utjecalo na njihove živote, koliko je za posljedicu imalo smrtni ishod? Imamo i lokalni primjer, u Zagrebu, napad na KBC Rebro.

Profesionalizirajte industriju!

 Honan je istaknuo da u Irskoj nije moguće izvršiti popravke po kući bez ovlaštenih servisera (električari, vodoinstalateri), a zašto onda dopuštamo needuciranom kadru da nam popravlja i održava IT sustave?

Ljudi koji postavljaju u sustave kompleksne komponente nisu svjesni rizika nego se vode Next – Next – Finish paradigmom, a njih nazivamo Click Kiddies (poveznica na Script Kiddies).

Postavljeno je pitanje iz publike kako da se profesionalizira industrija kada već i sada postoji manjak kadra u Cyber Security industriji, a na što je Honan odgovorio da on može nabrojati kolege CISO-e iz SAD-a koji čekaju na posao. Naravno, postoje i različiti izvori koji govore da zapravo nema manjka Cyber Security posla  (Medium, Reddit) što nas može dovesti do zaključka o tome da ili zbilja nema manjka ili organizacije ne shvaćaju dovoljno ozbiljno sigurnost, a zanimljiv članak govori o tome da zapravo ne znamo koga trebamo zaposliti. Traže se krive osobe (edukacije, certifikacije…) dok možda najbolji profesionalci koji svakodnevnicu provode u operativi nemaju vremena ili se uopće ne zamaraju takvim stvarima.

U nastavku teme o profesionalizaciji industrije, Honan je prenio misao - Ne krivite žrtve! – i nastavio:

Email je dizajniran za dijeljenje informacija, linkova i datoteka! Ne može se kriviti krajnji korisnik zato što je kliknuo, nego onaj tko održava taj IT sustav! Ne možete kriviti žrtvu!

Nisu krajnji korisnici krivi što nepravilno koriste sustav ili zato što sustavi ne rade. Graditelji trebaju osigurati da sustav bude siguran neovisno o tome tko ga koristi. Kada polažete vozački ispit prolazite kroz trening i ispit za sigurno korištenje automobila, a i cijele infrastrukture (čitanje znakova, pružanje prve pomoći…), dok za korištenje IT sustava koji utječe na ljudske živote pristupamo olako, a kada dolazi do propusta govorimo – Kako su nesposobni, nisu podigli firewall, backup..; preusmjerimo odgovornost na arhitekte sustava, sistem i mrežne administratore i ostale IT uloge na način da ne rade takve sustave. Držimo ih odgovornim pa će i oni raditi svoj posao odgovorno, tj. profesionalno!

Unatoč kritikama o usporavanju inovacija i tehnološkog rasta (osobito zbog AI-a) regulativa u EU je dobra.

Regulacija može poboljšati standarde i učiniti život sigurnijim. 

Pogledajte auto industriju - morate uložiti milijune i milijune eura u sigurnost i testiranje automobila (npr. crash test) kako biste ih mogli pustiti u „produkciju“. Zašto? Jer direktno utječe na ljudske živote. U prošlosti su se proizvođači žalili na regulative – o sigurnijim vjetrobranskim staklima, brisačima, sigurnosnim pojasevima, zračnim jastucima, ali su se na kraju prilagodili i standardizirali izgradnju automobila. IT također utječe na ljudske živote i potrebno ga je regulirati. Za to nije potrebno puno zakona, već oni kvalitetni koji će kod proizvođača potaknuti standardizaciju – zaključio je Honan. 

EU građani imaju mnogo regulacija (GDPR, NIS2, Cybersecurity Act…) jer, kao što je i Honan naveo u svojem izlaganju – regulacija će dovesti do standardizacije. Proizvođači su se prilagođavali u prošlosti.

Prilagođavat će se u budućnosti, a moramo imati i na umu da je automobilska industrija stara stotinjak godina, dok je IT industrija od pojave interneta stara tridesetak godina, a još i manje ako računamo na masovno korištenje od pojave širokopojasnog i mobilnog interneta, pametnih uređaja i cloud usluga koje su i omogućile masovno korištenje, a razvija se iznimno brzo i utječe na sve aspekte našeg života – pametni domovi, telefoni, satovi, (zdravstveni) uređaji (dozator za dijabetičare, pacemaker, CT uređaji), prijevozna sredstva (automobili, avioni, brodovi…), kritična infrastruktura (elektrane, brane…). Želimo pouzdane, sigurne i kvalitetne uređaje i IT sustave, zar ne?

Podijeli