U zadnje vrijeme zabilježeno je nekoliko većih napada na institucije u Hrvatskoj koji su uzrokovali disrupcije u redovnom poslovanju, ali i gubitak podataka, često i nemogućnost rada. Ovi događaji pokazali su da na računalnoj sigurnosti i zapošljavanju kvalitetnih stručnjaka ne treba štedjeti jer posljedice takvih napada se mogu brže ukloniti, a sami upadi u većini slučajeva i spriječiti. U današnjem digitalno povezanom svijetu, digitalna sigurnost postaje ključna komponenta zaštite na radu. Integracija digitalnih sigurnosnih mjera ne samo da štiti podatke i informacije, već također osigurava fizičku sigurnost zaposlenika i opreme. Može li digitalna sigurnost utjecati na sigurnost zaposlenika i zaštitu na radu?
Identificiraju li se rizici vezani za digitalnu sigurnost tvrtke kao i rizici koji mogu ugroziti sigurnost i zdravlje radnika? Zdravlje radnika može se ugroziti ne samo potencijalno opasnim radnjama i nesigurnom radnom opremom, u obzir treba uzeti i psihosocijalni rizici te stres koji može nastati kao posljedica ugroze digitalne sigurnosti.
Koji su to potencijalni rizici koje bi trebali razmotriti, ali i uključiti u procjene rizika tvrtke ako se identificiraju kao značajni?
1. Zaštita osjetljivih podataka
1.1. Zaštita privatnih informacija
Digitalna sigurnost igra ključnu ulogu u zaštiti osjetljivih informacija zaposlenika, uključujući osobne podatke, zdravstvene zapise i financijske informacije. Neadekvatna zaštita tih podataka može dovesti do ozbiljnih posljedica, poput krađe identiteta i financijskih gubitaka. Implementacija jakih sigurnosnih protokola, poput šifriranja podataka i stroge kontrole pristupa, osigurava da samo ovlaštene osobe imaju pristup tim informacijama, čime se značajno smanjuje rizik od zloupotrebe podataka.
1.2. Prevencija kibernetičkih napada
Kibernetički napadi, poput ransomwarea, phishinga i hakiranja, predstavljaju značajnu prijetnju za sigurnost podataka i poslovanje tvrtke. Digitalna sigurnost pomaže u prepoznavanju i blokiranju ovih prijetnji prije nego što mogu uzrokovati štetu. Redovite sigurnosne provjere, ažuriranja softvera i primjena naprednih sigurnosnih rješenja, poput vatrozida i antivirusnih programa, ključni su za zaštitu podataka i kontinuitet poslovanja.
2. Sigurnost operativnih i industrijskih sustava
2.1. Zaštita kritične infrastrukture
U industrijama poput proizvodnje, energetike i transporta, operativni sustavi upravljaju kritičnom infrastrukturom. Kvarovi ili sigurnosni propusti u tim sustavima mogu dovesti do ozbiljnih nesreća i ozljeda. Primjena digitalne sigurnosti osigurava da operativni sustavi rade stabilno i bez prekida. To uključuje primjenu mjera poput segmentacije mreže, šifriranja komunikacije i redovitog nadzora sustava kako bi se spriječili neovlašteni pristupi i sigurnosni incidenti.
2.2. Industrijski kontrolni sustavi
Industrijski kontrolni sustavi (ICS) koriste se za upravljanje i automatizaciju proizvodnih procesa. Sigurnosni propusti u tim sustavima mogu uzrokovati fizičke štete, ozljede ili čak gubitak života. Implementacija digitalne sigurnosti u ICS-ove uključuje primjenu specifičnih sigurnosnih protokola, poput detekcije upada, upravljanja pristupom i redovitih sigurnosnih testova. Ovo osigurava da su ICS-ovi zaštićeni od kibernetičkih napada i sabotaža.
Kroz neovlašteni pristup ovim kontrolnim sustavima vanjska osoba može isključiti ili poremetiti rad strojeva i uređaja, što potencijalno može uzrokovati ozljede i povrede radnika. Potencijalno opasnu situaciju može uzrokovati i isključenje sigurnosnih uređaja, alarma i drugih sustava koji služe za nadzor sigurnosti i upozoravanje zaposlenika.
3. Sigurnost rada na daljinu
3.1. Sigurne veze i komunikacija
S porastom rada na daljinu, osiguranje sigurnih mrežnih veza i komunikacija postaje kritično. Digitalna sigurnost omogućava sigurne VPN veze, šifriranu komunikaciju i zaštićene pristupe mrežama, što smanjuje rizik od neovlaštenog pristupa i curenja informacija. Osiguravanje da radnici koriste sigurne lozinke, dvofaktorsku autentifikaciju i ažurirane sigurnosne protokole ključni su za zaštitu podataka u radu na daljinu.
3.2. Upravljanje uređajima
Rad na daljinu često uključuje korištenje osobnih uređaja za poslovne svrhe. Digitalna sigurnost osigurava da ti uređaji ne postanu sigurnosna prijetnja. Implementacija mjera kao što su antivirusni programi, pravila za upravljanje uređajima i redovita ažuriranja softvera ključna su za održavanje sigurnosti uređaja i zaštitu podataka koje ti uređaji obrađuju.
4. Edukacija i svijest zaposlenika
4.1. Obuka zaposlenika
Edukacija zaposlenika o digitalnoj sigurnosti pomaže im prepoznati i izbjegavati kibernetičke prijetnje. Svjesni zaposlenici mogu prepoznati phishing napade, koristiti snažne lozinke i pridržavati se sigurnosnih protokola. Redovite obuke i simulacije kibernetičkih napada ključne su za povećanje svijesti o sigurnosnim prijetnjama i izgradnju kulture sigurnosti unutar organizacije.
4.2. Protokoli i prakse
Razvijanje i implementacija sigurnosnih protokola i praksi osigurava da zaposlenici znaju kako postupati u slučaju sigurnosnih incidenata. To uključuje uspostavljanje jasnih procedura za prijavljivanje sigurnosnih prijetnji, korištenje sigurnosnih alata i tehnologija te redovito testiranje sigurnosnih sustava. Ovi protokoli pomažu u brzom i učinkovitom odgovoru na sigurnosne incidente, minimizirajući njihove potencijalne štetne posljedice.
5. Sigurnost fizičkih i virtualnih radnih okruženja
5.1. Zaštita opreme
Digitalna sigurnost uključuje mjere za zaštitu fizičke opreme, poput sigurnosnih kamera i kontroliranog pristupa prostorima. Ove mjere smanjuju rizik od krađe, sabotaže ili neovlaštenog pristupa kritičnoj opremi. Osiguravanje fizičke sigurnosti opreme ključan je dio sveobuhvatne strategije digitalne sigurnosti.
5.2. Virtualne radne sredine
U virtualnim radnim okruženjima, digitalna sigurnost osigurava da su virtualni strojevi i podaci zaštićeni od neovlaštenog pristupa i kibernetičkih napada. Korištenje virtualnih privatnih mreža (VPN), šifriranje podataka i redovite sigurnosne kopije pomažu u zaštiti virtualnih radnih okruženja. Ove mjere omogućavaju siguran i produktivan rad u virtualnom okruženju, smanjujući rizik od gubitka podataka i sigurnosnih incidenata.
Digitalna sigurnost ima ključnu ulogu u zaštiti na radu, osiguravajući sigurnost podataka, operativnih sustava, radnika na daljinu, zaposlenika i radnih okruženja. Primjenom jakih sigurnosnih mjera, edukacijom zaposlenika i implementacijom sigurnosnih protokola, organizacije mogu značajno smanjiti rizike od nesreća, kibernetičkih prijetnji i sigurnosnih incidenata, te osigurati sigurno i produktivno radno okruženje.
Donosimo i jedan hipotetski primjer poremećaja digitalne sigurnosti u proizvodnom pogonu i opasnosti nastalih iz toga
U velikom proizvodnom pogonu, sustavi za upravljanje proizvodnjom (Manufacturing Execution Systems – MES) i industrijski kontrolni sustavi (Industrial Control Systems – ICS) koriste se za upravljanje i nadzor proizvodnih linija. Ovi sustavi uključuju kontrolu strojeva, robotike, temperature, tlaka i drugih kritičnih parametara koji osiguravaju siguran i učinkovit rad.
Hakerska grupa cilja na proizvodni pogon i uspijeva provaliti u mrežu zbog slabe digitalne sigurnosti. Koristeći malware, uspijevaju preuzeti kontrolu nad industrijskim kontrolnim sustavima.
Posljedice hakerskog napada
- Neispravnost strojeva: Napadači mijenjaju parametre strojeva, uzrokujući njihovo neispravno funkcioniranje. Na primjer, promjene u brzini proizvodne linije mogu uzrokovati neočekivano kretanje strojeva, što može dovesti do fizičkih ozljeda radnika koji upravljaju tim strojevima.
- Opasni uvjeti rada: Manipulacija kontrolama za temperaturu i tlak može stvoriti opasne radne uvjete. Ako hakeri povećaju tlak ili temperaturu izvan sigurnih granica, može doći do eksplozija, požara ili ispuštanja opasnih tvari.
- Prekid sigurnosnih protokola: Digitalni napad može onemogućiti sigurnosne sustave, kao što su alarmi i automatski isključivači. To može značiti da radnici nisu upozoreni na opasne uvjete ili da se strojevi ne isključe automatski u slučaju kvara, povećavajući rizik od ozljeda.
- Sabotaža robota: U pogonima gdje se koriste industrijski roboti, napadači mogu preuzeti kontrolu nad robotima, uzrokujući opasne pokrete koji mogu ugroziti sigurnost radnika u blizini.
Kreirane opasnosti
Radnik u pogonu primjećuje da se jedan od strojeva ponaša neobično i pokušava ga ručno isključiti. Međutim, zbog napada, stroj se ne isključuje, a povećanje brzine proizvodne linije uzrokuje da radnik bude ozlijeđen pokretnim dijelovima stroja. Istovremeno, alarmni sustav ne funkcionira ispravno, pa ostali radnici nisu odmah svjesni opasnosti.
Rješenja i minimiziranje rizika
Kako bi se spriječili ovakvi scenariji, tvrtka bi trebala implementirati sljedeće mjere digitalne sigurnosti:
- Redovito ažuriranje i zakrpavanje softvera: Osiguravanje da svi sustavi imaju najnovije sigurnosne zakrpe kako bi se smanjio rizik od ranjivosti.
- Segmentacija mreže: Razdvajanje mreže za upravljanje proizvodnjom od ostalih poslovnih mreža kako bi se otežao pristup kritičnim sustavima.
- Napredne mjere autentifikacije: Korištenje dvofaktorske autentifikacije i stroge kontrole pristupa kako bi se osiguralo da samo ovlaštene osobe mogu pristupiti kritičnim sustavima.
- Redovite sigurnosne provjere i obuke: Provođenje redovitih sigurnosnih provjera i obuka za zaposlenike kako bi se povećala svijest o sigurnosnim prijetnjama i kako postupati u slučaju incidenta.
- Incident response plan: Razvijanje i testiranje plana za odgovor na incidente kako bi se osiguralo brzo i učinkovito rješavanje sigurnosnih problema.
Ovaj primjer ilustrira kako poremećaj digitalne sigurnosti može imati ozbiljne posljedice na fizičku sigurnost radnika i naglašava važnost implementacije robustnih mjera digitalne sigurnosti u industrijskim okruženjima.
Potrebno je kod izrade procjene rizika uzeti u obzir i rizike koji mogu nastati kao posljedica ugroze digitalne sigurnosti tvrtke. Ako je riječ o proizvodnoj djelatnosti gdje se koriste strojevi, provjeriti kako su kontrolirani strojevi, postoji li mogućnost upravljanja i mijenjanja parametara iz različitih dijelova mreže i sustava te voditi računa o računalnoj sigurnosti i održavanju računala i opreme.