Infosistem.hr

Kako nas sve posao tjera da svakim danom provodimo sve više vremena na Internetu, primijetio sam jedan zanimljiv fenomen.

Sve više kompanija u svijetu ulaže novce i napore da dokaže i pokaže svojim korisnicima portala ili Internet trgovina da su zaštićeni od hackera, te to vidljivo ističe. Kako nisam bio siguran u naše tvrtke, posjetio sam preko 20 najpoznatijih naših portala, Internet trgovina i Internet bankarskih sadržaja, no nigdje nisam uočio oznaku o provjeri sigurnosti sustava.

Prije pokušaja razumijevanja zašto je to tako – da pokušam rezimirati – koja su bila moja očekivanja kao potencijalnog kupca odnosno korisnika usluge. Jedna od osnovnih mjera koju bi svaki davatelj elektroničkog sadržaja putem Interneta trebao implementirati – ako ne zbog potencijalnog gubitka klijenata, onda sigurno zbog zaštite svog poslovanja, je rutinsko dnevno/tjedno ili mjesečno provjeravanje svojih servera na poznate propuste.

Kao što mnogi od nas sami okreče zidove ili zamjene remen na perilici jer smo mi ipak sposobni i morati pokazati svoju spretnost, tako mnogi vjeruju da znaju što njihov sustav može ili ne može, te da nema nikakve opasnosti za podatke. Ako kao protutežu stavimo činjenicu da na današnji dan ima preko 40.000 ranjivosti koje su poznate i nalaze se u katalogu, vjerujem da se jasno vidi paradoks.

A zašto je onda takva situacija? Naše tvrtke koje su do sada implementirale sigurnosne sustave u zadnjih 5 godina, investirale su obično u „best of breed“ tehnologije, koje su se tek tada pojavljivale na tržištu, a ako se uzme u obzir da nije bilo ranijih investicija, bilo je ekonomski isplativo osigurati se za budućnost. No, da li je stvarno to dovoljno. Nikako. Razmišljanje da se nalazimo na malom zatvorenom tržištu koje nije isplativo drugima za pokušaje otuđenja milijuna brojeva kreditnih kartica u zemlji gdje svaki stanovnik ima barem 3 u svojem novčaniku nije prihvatljivo.

Kako onda riješiti taj problem? Postoji nekoliko načina. Velike korporacije vjeruju da će ih u tome zaštititi razni eksterni auditori koje plaćaju vrtoglave iznose, kako bi na nekom manjem uzorku ili uzorku njima dostupnih podataka odradili ogledni primjer tj. otkrili propuste. Nakon toga postoje rješenja velikih korporacija koja pružaju ne samo konzultantsku uslugu nego nude pakete koji uključuju spoj alata za testiranje ali i njihovih rješenja koja „rješavaju sve probleme“- Legitimno no podsjeća na studije koje je duhanska industrija provodila da dokaže da duhan nije štetan za zdravlje.

Osobno, skloniji sam traženju specifičnih rješenja od proizvođača koji su fokusirani samo na ovu problematiku, te koji svoje znanje i iskustvo ulažu u pronalazak, evidentiranje i procesiranje ranjivosti sustava, bez da u isto vrijeme paze da njihovi drugi proizvodi ne uđu na crnu listu.