Klara Avsec
Na že petem letnem posvetu Slovenskega društva Informatika (SDI) o informacijski varnosti, ki se je tokrat pod naslovom Tehnologije in trendi na področju kibernetske varnosti odvil v sodelovanju s Fakulteto za elektrotehniko, računalništvo in informatiko Univerze v Mariboru v prostorih le-te, so domači informacijski, pravni in varnostni strokovnjaki z lastnimi spoznanji osvetlili aktualno dogajanje na področju varnosti omrežij, računalnikov, programov in podatkov. S tovrstnimi posveti želi društvo širiti ozaveščenost o nevarnostih, ki danes ogrožajo podatke in evre praktično vsakega podjetja in posameznika.
Ozaveščenost kot orožje v boju proti kibernetskim grožnjam
"Včasih je dobro, da zbolimo, da postanemo proti bolezni imuni, najdemo zdravilo in ga posredujemo drugim," je pomen posveta poudarila dr. Tatjana Welzer Družovec, članica izvršnega odbora društva in profesorica na FERI. Opaža, da je stopnja ozaveščenosti o kibernetskih nevarnostih daleč od idealne: "Medtem ko ne rinemo v rdečo luč na semaforju, še vedno rinemo v celo kopico rdečih luči v digitalnem svetu."
"Medtem ko ne rinemo v rdečo luč na semaforju, pa še vedno rinemo v celo kopico rdečih luči v digitalnem svetu."
Tudi delodajalci so pogosto nedosledni
Dr. Kaja Prislanc, lanska prejemnica nagrade za najboljšo mlado znanstvenico v podonavski regiji iz Slovenije, ki sicer deluje na Fakulteti za varnostne vede UM, pa je opozorila, da je informacijska varnosti še vedno zelo odvisna od vedenja ljudi, posebno v podjetjih. "Večina incidentov se zgodi prav zaradi malomarnosti zaposlenih, zelo malo je visokotehnoloških groženj, ki ne bi potrebovale pomoči nekoga znotraj organizacije," je opozorila. A rešitev naj ne bi bila le v varnostnih izobraževanjih. Prislančeva je ugotovila, da motivacija zaposlenih za upoštevanje varnostnih predpisov ni odvisna le od njihovega znanja, temveč predvsem od odnosa, ki ga razvijejo do pravil. Ker se večina zaposlenih ne čuti osebno odgovornih za varnost v podjetju, bodo, če presodijo, da določen ukrep preveč posega v njihovo udobje ali delovno učinkovitost, tega označili za nesmiselnega in ga ne bodo upoštevali. Kot možno rešitev je raziskovalka izpostavila podrobnejše programe ozaveščanja, v katerih bi podjetja natančno razložila, s kakšnim namenom izvajajo določene varnostne ukrepe. Na drugi strani pa je opozorila, da lahko iskanje rešitve v še strožjih ukrepih pogosto vodi v še bolj odklonilen odnos.
"Pri nas še nisem našel podjetja, ki bi bilo pripravljeno plačati, ko nekdo odkrije varnostno luknjo."
Pri nas strokovnjakov za informacijsko varnost primanjkuje
Medtem ko organizacije informacijski varnosti namenjajo vse več pozornosti, pa domačih strokovnjakov na tem področju primanjkuje, je na posvetu opozoril Milan Gabor, etični heker in ustanovitelj podjetja Viris, ki na željo podjetij išče šibke točke njihovih varnostnih sistemov. Morda tudi zato, ker domača podjetja še vedno niso pripravljena plačati neodvisnim iskalcem napak. "Pri nas še nisem našel podjetja, ki bi bilo pripravljeno plačati, ko nekdo odkrije varnostno luknjo," je svoja opažanja delil Gabor. Kar je v tujini razširjeno pod imenom "bug bounty", kjer uporabniki za odkritje in poročanje o napaki prejmejo finančno nagrado, slovenska podjetja pogosto še vedno prijavljajo kot nezakonito početje.
"Malo je visokotehnoloških groženj, ki ne bi potrebovale pomoči nekoga znotraj organizacije."
