Informatička pismenost svakako je nužan preduvjet podizanja svijesti o važnosti zaštite povjerljivosti, cjelovitosti i dostupnosti informacija, koje su u današnjem umreženom društvu ključan resurs. Prema statistikama Svjetskog ekonomskog foruma, koji rangira države ovisno o razini korištenja informacijsko-komunikacijskih tehnologija (IKT), Hrvatska je u 2016. godini zauzela 54. mjesto među ukupno 139 država.

Što to zapravo govori, o kakvoj razini informatičke pismenosti i svijesti o informacijskoj sigurnosti u Hrvatskoj danas?

- Rezultat je to koji nas smješta na stranu uspješnijih država u pitanju spremnosti za umrežavanje. Međutim, u sastavnicama tog indeksa postoje znatne razlike, primjerice u kategoriji korištenja IKT sa strane pojedinaca zauzimamo 43. mjesto, poduzeća su na 98. mjestu, a Vlada na 90. mjestu. Nadalje, izvješće Europske komisije o javnom mišljenju vezanom uz kibernetičku sigurnost također upućuje na prostor za moguća poboljšanja. Neslavni smo rekorderi s najnižim postotkom promjene zaporke u korištenju različitih internetskih usluga (e-pošte, portala javne uprave i web-kupnje). Što se tiče poslovne strane, velike organizacije, primjerice, banke, implementirale su različite standarde iz područja informacijske sigurnosti i već su spremne za nadolazeću Opću uredbu o zaštiti osobnih podataka, a mali i srednji poduzetnici informacijsku sigurnost promatraju kao trošak, koji još uvijek odgađaju.

Tu bi se stanje trebalo promijeniti s obzirom na to da od svibnja na snagu stupaju čvršća pravila o zaštiti podataka?

- Općom uredbom o zaštiti podataka (eng. GDPR) Europska unija regulira pitanja zaštite osobnih podataka pojedinaca te ona svakako donosi novosti u pravima pojedinaca, ali i obveze za sve one organizacije koje osobne podatke prikupljaju, obrađuju, pohranjuju i prosljeđuju trećim stranama. Iako EU i SAD imaju niz zakona vezanih uza zaštitu podataka (primjerice, u Hrvatskoj je to Zakon o zaštiti osobnih podataka), GDPR ima nešto širi opseg. Zahtijeva veći opseg pristanka za korištenje osobnih podataka u specifične svrhe i proširuje prava pojedinaca glede pristupa i prijenosa njihovih podataka. Nadalje, omogućuje nadzornom tijelu (u Hrvatskoj je to Agencija za zaštitu osobnih podataka - AZOP), koje do sada nije imalo zakonsku mogućnost izricanja upravnih novčanih kazni, da propiše novčane kazne do 4 % ukupnog godišnjeg prihoda za određene prekršaje. Nadalje, GDPR postavlja organizacijske izazove poput snimanja poslovnih procesa, popisivanja aktivnosti obrade osobnih podataka, imenovanja službenika za zaštitu osobnih podataka, zatim pravne izazove, jer je potrebno urediti interne akte i pravilnike, informatičke izazove, jer su potrebna nova softverska rješenja, primjerice, za integraciju sustava privola krajnjih korisnika u postojeće informacijske sustave, i na kraju ne zaboravimo financijske izazove.

Kako komentirate aferu s Facebookom?

- Paralelno s rastom broja internetskih usluga i njihovih korisnika raste i broj sigurnosnih incidenata povezanih s njima, stoga su povremeni incidenti u medijima samo vrh ledene sante. Nedavna afera narušila je povjerenje korisnika, što je svakako loše za Facebook kao kompaniju, međutim taj događaj može biti dobar upravo za podizanje svijesti krajnjih korisnika o informacijskoj sigurnosti. Facebook je, naravno, korigirao svoje poslovanje s osobnim podatcima uvođenjem novih alata za upravljanje privatnosti korisnika, ali nije jedina tvrtka koja uvodi promjene. Primjerice, Google je aktivirao nadzornu ploču za privatnost, pomažući korisnicima da identificiraju koji Google proizvodi pohranjuju osobne podatke.

Neke od usluga koje nudi Google, kao što su Gmail i AdWords, još će trebati implementirati detaljniji sustav privola, a na svima nama ostaje odluka hoćemo li kao korisnici, kada se to od nas u privoli zatraži - kliknuti “da”. Smatram da incident koji se dogodio Facebooku neće nauditi drugim društvenim mrežama, dapače djelovat će kao pedagoška mjera na ostale organizacije kako bi na vrijeme prilagodile upravljanje osobnim podatcima.

Kakvo je inače stanje sa sigurnosti u području komunikacijskih sustava u svijetu i Hrvatskoj?

- Bitno je istaknuti da nisu samo poslovne organizacije pod utjecajem prijetnji nego i pojedinci i cijele zemlje. Prvi poznati kibernetički napad na neku zemlju dogodio se u Estoniji u travnju 2007., a od tada su mnoge druge zemlje pretrpjele kibernetske napade na kritičnu infrastrukturu, pa tako i Hrvatska. U proteklih nekoliko godina i Hrvatsku je pogodio velik ciljani kibernetički napad na pravne osobe, korisnike usluga e-bankarstva, u svrhu krađe novca s računa korisnika. Zamjetan je stalni porast broja kaznenih dijela iz području kibernetičkog kriminaliteta u EU i u Hrvatskoj, posebno u dijelu računalnih prijevara. Kako bi se u budućnosti smanjili efekti takvih prijetnji, pojedinci, poduzeća i države trebaju ulagati sve više napora i novca u adekvatne mjere zaštite.

Dojam je ipak da nitko više nije apsolutno siguran, zaštićen ako je priključen, da se tako izrazim, na internet i društvene mreže, čak i kada se koristi mobitelom...?

- U svjetlu velikih promjena koje se posljednjih godina događaju u području umrežavanja te u iščekivanju rasta broja povezanih uređaja na više od 20 milijardi do 2020. godine, svakako možemo zaključiti da će rizici vezani uz informacijsku sigurnost komunikacijskih kanala postajati sve brojniji. Henry Ford davno je izrekao: “Jedinu pravu sigurnost u današnjem svijetu čovjeku mogu pružiti znanje, iskustvo i sposobnost”, a njegove su riječi još uvijek aktualne. Potrebno je ulaganje u ljude, procese i tehnologiju. Primjenom odgovarajućih mjera zaštite informacijskih resursa možemo smanjiti rizike sve učestalijih prijetnji. Međutim, apsolutna sigurnost nije moguća, u trenutku kada postanemo svjesni rizika, na nama je da odlučimo želimo li ga smanjiti primjenom neke od mjera zaštite, prihvatiti ako je trošak zaštite veći od realizacije prijetnje, prenijeti na treću stranu ili ga zanemariti.(D.J.)