Hrvatska pošta krenula je u veliki proces digitalizacije svojih usluga, a jedna od ključnih stvari na koje pritom treba paziti svakako je cbyer sigurnost, osiguranje kontinuiteta poslovanja, ističe u razgovoru za ICTbusiness.info voditeljica odjela cyber sigurnosti Hrvatske pošte Danijela Marijanović.
Prema njezinim riječima podaci i njihova sigurnost ključ su uspješnog poslovanja te je zbog toga is tvoren poseban odjel koji je osigurao implementaciju najnovijih tehnoloških rješenja kako bi se korisnicima dala najviša razina sigurnosti.
Hrvatska pošta okreće se elektroničkim uslugama i digitalnom poslovanju. IT sigurnost, odnosno sigurnost podataka iznimno je važna. Što HP čini danas kada je u pitanju cybersecurity?
Hrvatska pošta protekle tri-četiri godine prolazi kroz sveobuhvatnu digitalnu transformaciju. Posebnu pozornost posvećujemo tehnologiji i rješenjima modernog doba jer je za nas digitalizacija filozofija razvoja i pokretač brojnih projekata u poslovanju. Usmjerenost na elektroničke usluge i digitalno poslovanje stavlja kibernetičku sigurnost na vrh liste prioriteta Hrvatske pošte. Podatci, odnosno informacije su u današnjem digitalnom dobu najvrjedniji resurs i iznimno ih je važno zaštititi i pravilno osigurati. Stoga je početkom ove godine u Hrvatskoj pošti osnovan Odjel za kibernetičku sigurnost koji se, kao što sam naziv govori, bavi samo kibernetičkom sigurnosti. Implementirali smo najnovija tehnološka rješenja koja štite sustav i korisnike tog sustava, a u konačnici i sve korisnike naših usluga.
Koja se rješenja i kako koriste?
Rad sustava svakodnevno se nadzire i sva odstupanja u radu cjelokupne mreže ili dijela mreže prate se uz pomoć implementiranih alata koji detektiraju potencijalne opasnosti. Vrlo bitan faktor u efikasnoj zaštiti i sigurnosti informacijskog sustava uvijek je ljudski faktor. Ulažemo u edukacije zaposlenika i kontinuirano podižemo svijest o važnosti informatičke sigurnosti redovitim informiranjem zaposlenika o preporučenim sigurnosnim ponašanjima.
U suradnji s partnerima provodimo redovita testiranja informacijske sigurnosti sustava poput penetracijskih testova. Imamo uspostavljenu suradnju s nacionalnim tijelima u vezi s održavanjem informacijske sigurnosti. CERT nas redovito obavještava o potencijalnim ugrozama kako bismo na vrijeme reagirali i spriječili računalne ugroze, a usklađeni smo i s preporukama Zavoda za sigurnost informacijskih sustava.
Naravno, upotrebljavamo i standardne alate kao što su antivirusne zaštite, vatrozidi te forsiramo snažne lozinke i njihove redovite izmjene. Informacijsku sigurnost implementirali smo u skladu s ISO 27001 normom koja je usredotočena na zaštitu povjerljivosti, cjelovitosti i raspoloživosti podataka u tvrtki. Zahvaljujući svim provedenim mjerama, vrlo smo se brzo prilagodili novonastaloj situaciji te povećanom broju radnika koji rade od kuće i spajaju se s udaljenih lokacija čemu smo se posebno posvetili u proteklom periodu.
Imate li riješen business continuity (pogotovo kada je riječ o IT rješenjima)?
Naravno, jer business continuity i disaster recovery iznimno su važni za cjelokupno poslovanje. Čak i najmanji prekid rada sustava može uzrokovati velike ekonomske troškove, a to je i znatan reputacijski rizik. Interne procedure osiguravaju kontinuirani tijek procesa za oporavak bez obzira na potencijalnu ugrozu. Pravila i procedure uspostavljene su kako bi se osigurala dostupnost ključnih aplikacija i servisa u svim okolnostima. Da bismo mogli podržati te procedure, koristimo se dodatnom (backup) lokacijom.
Kako uz cybersecurity osigurati i GDPR compliance?
Hrvatska pošta je implementirala GDPR u poslovanje 2018. godine. Odjel za kibernetičku sigurnost usko surađuje s odjelom mjerodavnim za usklađenost s GDPR-om, tj. Općom uredbom o zaštiti osobnih podataka. Tako osiguravamo da su sva rješenja u skladu s propisima jer regulativa zahtijeva niz sigurnosnih mjera u cilju zaštite podataka. U skladu s time Hrvatska pošta osigurava obradu podataka na siguran način te ih štiti u slučaju upada neovlaštenih osoba u sustav. A uvedene su i stroge mjere kontrole pristupa podatcima.
Kako su se IT sektor, a time i cybersecurity sektor prilagodili pandemiji?
Pandemija je pred sve nas postavila nove izazove i utjecala na cjelokupno poslovanje Hrvatske pošte. Prilagođeni su svi poslovni procesi, osiguran je rad u timovima te su svi radnici opremljeni maskama i sredstvima za dezinfekciju. U operativnom dijelu poslovanja također smo uveli brojne prilagodbe. Naravno, u kontaktu smo sa svim mjerodavnim institucijama i prilagođavamo poslovanje uputama stožera Civilne zaštite. U skladu sa situacijom i radi održavanja sigurnosti sustava propisane su stroge procedure za spajanja na internu mrežu iz kućnog okruženja putem VPN-a te je pojačan awareness i nadzor sustava.
U kojem smjeru držite da će se mijenjati i razvijati cybersecurity u budućnosti?
Digitalnom transformacijom i povećanjem portfelja digitalnih usluga cybersecurity se ubrzano razvija i nastavit će se razvijati u skladu sa zahtjevima na tržištu. Kako se sve veći dio poslovanja oslanja na tehnologiju, svaki projekt treba promatrati i iz kuta kibernetičke sigurnosti. Kibernetička sigurnost zapravo postaje „must-have“. Primjerice, razvojem 5G mreže udaljeni rad postat će standard što sa sobom nosi određene rizike i izazove kao što su nesigurni telefoni, USB-ovi, javni hotspotovi i slično. Uspješne organizacije prihvatit će nove trendove rada na daljinu kako bi privukle nove talente te će im, stoga, morati omogućiti siguran udaljeni rad putem 5G hotspotova, VPN-a, zatim enkripcije diska, multifaktorske autentifikacije i sličnog što sve pojedince i korporacije stavlja pred izazove.
Također, alati poput machine learninga i analitika pomoći će organizacijama detektirati sigurnosne probleme, no u konačnici će sigurnost uvijek ovisiti o stručnjacima koji mogu razaznati te informacije, upravljati njima te brzo djelovati. I, naravno, o korisnicima tehnologije koje moramo educirati kako bi bili svjesni potencijalnih opasnosti i pridržavali se dobrih sigurnosnih praksi. Kako korisnici postaju svjesniji važnosti zaštite podataka, tako od tvrtki zahtijevaju veću sigurnost i zaštitu svojih podataka, odnosno zahtijevaju zaštitu svojeg digitalnog identiteta.