Zaštita važnih podataka, povjerljivih informacija, mreže, softvera, opreme, prostora za rad i osoblja upravo je tema fizičke sigurnosti.Na kibernetičku sigurnost ste potrošili mnogo sredstava i uložili ste puno u školovanje osoblja ili vlastito školovanje? Moglo bi se dogo dogoditi da vam ovo jednostavno nije dovoljno jer ste previdjeli neke važne aspekte osiguranja fizičke sigurnosti vlastitih prostorija ili prisupa podacima.
Dva su načina na koje se fizička sigurnost može kompromitirati. Prvi je neočekivana ugroza od strane prirodnih faktora kao što su poplava, vatra, nestanak struje itd. Iako u ovim slučajevima vrlo vjerojatno neće doći do krađe podataka, moguće je da će biti vrlo teško doći do njih ili da će jedan od ovih faktora rezultirati trajnim gubitkom podataka.
Drugi slučaj je maliciozni napad, koji uključuje terorizam, vandalizam i krađu. Sve organizacije pod potencijalnom su prijetnjom svih ovih fizičkih faktora ugroze kibernetičke sigurnosti.
Osim osiguranja podataka, fizička sigurnost također igra važnu ulogu, a često ju mnoge organizacije previde.
Fizička sigurnost tvrtke i podataka
Fizičko osiguranje jako je važno, ali često ga organizacije previde. To nije preporučljivo ako ne želite da vam netko otuđi povjerljive informacije ili ih uništi iz bilo kojeg razloga.
Razlozi su brojni – kao što je osobna korist napadača, financijska korist ili neka vrsta osvete.
Ako se i fizičkoj sigurnosti ne posveti dovoljno pažnje, a napadač unatoč tome stekne pristup – neke od sigurnosnih mjera koje možda poduzimate neće biti dovoljne za zaštitu.
Iako je i fizičko osiguranje podataka napredovalo u prošlom desetljeću, još uvijek postoje osjetljivi uređaji (poput USB driveova, laptopa, smartphoneova, tableta itd.) koji potencijalno čine krađu podataka jednostavnom.
Kao što smo već spomenuli, postoje i mjere osiguranja fizičke sigurnosti na koje malo koja tvrtka obraća pažnju – obično da se naglasak uglavnom stavlja na sigurnost orijentiranu prema tehnologiji.
Upravo ovi propusti pružaju napadačima priliku da iskoriste kritične podatke. Način na koji penetriraju u otvorenu mrežu može biti daljinski, ali se napadač može i fizički nalaziti u prostorijama tvrtke.
Osim vanjskih napadača, uvijek postoji i unutarnja prijetnja. Unutarnju prijetnju potencijalno predstavlja zaposlenik koji ima, a ne treba nužno imati – pristup svim podatcima i područjima tvrtke, što mu omogućava jednostavnu krađu istih.
Standardi osiguranja fizičke sigurnosti
PCI (Payment Card Industry) sigurnosni je standard koji je osmišljen kako bi omogućio svim organizacijama koje posluju s podatcima koji se nalaze na karticama, optimalnu razinu sigurnosti.
Zahtjevi ovog sigurnosnog standarda vrlo su jednostavni, ali i dalje je potrebno uložiti prilično truda kako bi ih se zadovoljilo. Kako bi se zadovoljili PCI standardi, potrebno je osigurati sljedećih 13 točaka.
- Instalacija i održavanje firewall konfiguracije koja omogućuje sigurnost podataka vlasnika kartice. Zaštita i osiguranje pohranjenih podataka.
- Nije dopušteno korištenje inicijalno postavljenih lozinka
- Potrebna je enkripcija kod prijenosa podataka korisnika kartice kroz otvorenu mrežu
- Koristite anti-virusni program i redovito ga ažurirajte kako biste uklonili bilo kakav maliciozni softer koji ugrožava sigurnost podatkovne okoline vlasnika kartice
- Potreban je razvoj i održavanje sigurnosnih sustava i aplikacija
- Pristup podatcima vlasnika kartice ili fizički podatci vlasnika kartice su ograničeni
- Svim osobama ovlaštenim za pristup potrebno je dodijeliti jedinstvenu oznaku (broj) korisnika
- Potrebno je pratiti i nadzirati pristup mreži
- Potrebno je redovno testiranje sigurnosnih sustava i procesa
- Stavke sigurnosne politike koja se odnosi na sigurnost svih zaposlenika, potrebno je redovito održavati
- Upotreba kamera kako bi se nadzirale osjetljive zone. Klasifikacija takvih uređaja je potrebna kako bi pokrili osjetljive zone tvrtke.
- Potrebno definirati proces za autentifikaciju kod pristupa osjetljivim podatcima
- Fizička sigurnost koju predviđa ISO standard može se implementirati u radnu okolinu
ISO (Information Organization for Standardization) je oznaka za skup sigurnosnih standarda koje je potrebno prakticirati. Sastoji se od nekoliko podijeljenih vrsta zaštite koje pokrivaju širok spektar sigurnosnih zahtjeva.
Način postupanja s rizikom i procjene rizika bave se osnovama analize sigurnosnih rizika i njihovom analizom. Održavanje organizirane infrastrukture važno je za kontrolu načina na koji tvrtke implementiraju informacijsku sigurnost.
Pristup podatcima uključuje odgovarajuću zaštitu podataka tvrtke te jamči pravilnu zaštitu cijele organizacije.
Definiranje sigurnosnih mjera za zaposlenike – osigurava odgovarajuće sigurnosne procese za zaposlenike, vanjske i honorarne suradnike, koje sprečavaju neovlašteni pristup područjima koja sadrže osjetljive podatke.
Kontrola pristupa trebala bi definirati pristup područjima koja sadrže osjetljive podatke isključivo ovlaštenim djelatnicima. Takva osigurana područja trebala bi biti dizajnirana na način da podnose i potencijalne prirodne ili elementarne nepogode.
Potreban je nadzor nad korištenjem zona za dostavu i ukrcaj (ukoliko ih tvrtka ima) i fizička zaštita opreme od štete. Dovod električne energije i zaštita kablova bi također trebala biti stavka osiguranja.
Siguran pristup informacijama i fizičkim dijelovima tvrtke treba biti osiguran.
Prednosti fizičke sigurnosti
Što točno podrazumijeva fizičko osiguranje tvrtke i na koji je ono način povezano s kibernetičkom sigurnošću?
Prvi segment je osiguranje posjeda koje uključuje (električnu) ogradu, vrata i sigurnosne brave s ključevima koje je teško duplicirati.
Osobne identifikacijske iskaznice zaposlenika su bitne za identifikaciju bilo kojeg zaposlenika. Postavljanje nadzora na mjestima koje onemogućuje napadaču pristup ili kompromitiranje.
Zaštita osjetljivih i prijenosnih uređaja. Osiguranje backupa na sigurnim mjestima gdje im nije jednostavno pristupiti.
U slučaju eksplozije, požara ili komplikacija na električnim instalacijama, potrebno je koristiti ispravne kontrolne metode koje mogu pomoći u spašavanju nekih važnih uređaja i podataka.
Jasna definicija operativnih metoda očuvanja opreme i pristupa opremi, smanjuje rizik gubitka podataka ili opreme.
Velika prednost leži u tome da cyberkriminalci ili napadači moraju zaobići mnoge sigurnosne slojeve kako bi pristupili svojem cilju. Kao rezultat, teže im je ostvariti planiranu misiju.
Mnogo je metoda i opreme koju je potrebno implementirati i održavati kako bi se onemogućio pristup vanjskim uljezima i/ili se spriječila druga fizička katastrofa koja potencijalno ugrožava sigurnost. Neke od njih su:
– Detektor pokreta
– Pametne kartice
– Aparat za gašenje požara
– Fizička zaštita
– Alarmi koji se pale prilikom neovlaštenog ulaza
– Senzori pokreta
– Električne ograde i sl.
Kontrola pristupa koja je dostupna višestrukim korisnicima: uključuje autorizaciju, odobrenje pristupa, višestruke identifikacije, verifikacije i revizije pristupa korisnika.
Nedostaci metoda fizičkog osiguranja
Iako je i fizička uz onu kibernetičku, važan aspekt osiguranja tvrtkinih podataka i kod nje postoje neke loše strane. Za početak, neke od metoda (kao što su primjerice ograde pod naponom) mogu ozlijediti napadača ili neku životinju.
S druge strane, napadač može preskočiti zaštitnu ogradu. Autorizacija za pristup podatcima može se lažirati. Pametne kartice i ključevi mogu biti ukradeni, a napadačima je jako jednostavno pronaći i upotrijebiti potencijalno izgubljeni USB memoriju.
Današnji sigurnosni sustavi instalacije su visoko kompleksni i ostavljaju korisnicima izbor na koji će ih način koristiti.
Svake godine sigurnosne tehnologije napreduju, a praćenje konstantnih promjena i svladavanje novih tehnologija može biti vrlo zahtjevno.
Metode kako fizičkog, tako i kibernetičkog osiguranja su brojne, međutim zaposlenici se često nalaze u poziciji da ne znaju da postoje ili ih ne znaju kako ih koristiti.
Primjerice – svakom zaposlenom dodjeljuje se kartica kojom pristupaju različitim područjima tvrtke.
Do problema obično dolazi kad zaposlenik karticu izgubi, zaboravi ili je ona iz bilo kojeg razloga blokirana. Nije dovoljno osmisliti i osigurati proces za takve slučajeve, već je bitno i da svaki zaposlenik s tim procesom bude detaljno upoznat.
Kibernetičku sigurnost važno je unaprijediti fizičkom sigurnošću
Kako bi svi organizacijski aspekti tekli glatko, tvrtkama je potrebna administrativna, tehnička i fizička kontrola pohrane i tijeka podataka.
Administrativna kontrola uključuje izgradnju i lokaciju web stranica ili servisa te plan odgovora u slučaju nužde. Tehnička kontrola uključuje pametne kartice koje ograničavaju korisnički pristup dok fizička kontrola podrazumijeva alarme u slučaju neovlaštenog upada u tvrtku.
Glavni cilj fizičkog osiguranja je zaštita podataka i prostorija organizacije. Sukladno tome, osnovna odgovornost fizičke zaštite tvrtke je osiguranje sigurnosti zaposlenika kao važnog faktora poslovanja tvrtke. Njihova je sigurnost je prvi prioritet, odmah ispred fizičkog osiguranja prostorija i podataka tvrtke.
Kad je riječ o sigurnosti podataka, fizička sigurnost često padne u drugi plan ili se previdi obzirom na podatkovnu sigurnost.
Većina tvrtki veliku pažnju posvećuje tehničkim i administrativnim sigurnosnim aspektima koji svakako igraju važnu ulogu u zaštiti sigurnosti.
S druge strane, svi firewallovi, sustavi dojave o uljezima, kriptirani podatci i druge sigurnosne mjere potpuno su beskorisne ako vam netko s lakoćom može provaliti u računalo i oteti dragocjene podatke.
Možda se kod vas radi o obrnutom slučaju?
Adekvatno ste zaštitili prostorije svoje tvrtke od uljeza, ali vaši IT sustavima je jednostavno pristupiti?
Kontaktirajte nas radi sveobuhvatne IT podrške.
DuplicoIT posjeduje višegodišnje iskustvo i educirane stručnjake za osiguranje kibernetičke sigurnosti, a naši zadovoljni klijenti su naša najbolja preporuka.