13. veljača 2022.

Izbjegnite zamke stihijske digitalizacije - Da ne bi bilo više štete nego koristi…

S uvođenjem novih tehnologija u poslovne procese pojavljuju se i novi rizici u poslovanju, upozoravaju poslovni savjetnici. Krhka je kibernetička sigurnost

Mnoga otvorena pitanja donijela je digitalizacija tvrtkama, koje su u vrlo kratkom razdoblju morale primijeniti najnovije tehnologije, poput automatizacije poslovnih procesa, strojnog učenja i umjetne inteligencije (AI). Jedno od njih je i kibernetička sigurnost, zaštita podataka koji su sad u nadležnosti softverskih robota, tako da jedan robot vlada podacima za koje je ranije bilo odgovorno nekoliko osoba u različitim odjelima tvrtke.

– Kompleksno je pitanje kako zaštititi poslovne podatke, prije svega, potrebno je razumjeti koji su poslovni podaci najviše izloženi i čije bi kompromitiranje imalo najveće posljedice na poslovanje. Osjetljive poslovne i osobne podatke potrebno je identificirati, klasificirati određenim stupnjem povjerljivosti, definirati njihova vlasnika i postaviti minimalne kontrolne mehanizme u smislu prava pristupa, dijeljenja i ostalih mjera zaštita kako bi se rizik od neovlaštenog dijeljenja, mijenjanja i otkrivanja sveo na minimum – objašnjava Bruno Čurčija, direktor Usluga upravljanja rizicima informacijskih sustava PwC-a Hrvatska.

Poželjni alati

No, prema njegovim riječima, zaštitu podataka ne može se gledati samo kroz prizmu dobro postavljenih procesa i procedura kojima će se definirati pravila vezana uz korištenje i zaštitu podataka, a ni samo na temelju toga da su uspostavljeni vlasništvo i odgovornost za provođenje propisanih mjera zaštite ako ne postoje alati i tehnologije kojima se to može provesti.

– Tu govorim, primjerice, o alatima za klasifikaciju podataka koji ne dopuštaju snimanje i/ili dijeljenje ako osoba ne odabere razinu povjerljivosti pa na osnovi toga alat onemogućuje ili preporučuje određene mjere zaštite prije snimanja i/ili dijeljenja. Zatim o alatima koji maskiraju ili anonimiziraju podatke koji se nalaze na neprodukcijskim okolinama (razvojnim, testnim), gdje pristup imaju potencijalni vanjski razvojni programeri i osobe koje testiraju određeni skup podataka u koje inače ne bi imali uvid ili pristup (osobni podaci klijenata, navike kupaca, ugovori, cjenici i katalozi…). Dodatnu higijenu u zaštiti poslovnih podataka u online poslovanju osigurava i povremeno testiranje ranjivosti i razne vrste penetracijskih testiranja kojima je cilj identificirati ranjivosti u vanjskoj i unutarnjoj mreži te pravodobno razotkriti slabosti kako bi kompanija imala vremena sanirati najkritičnije slabosti i napraviti tzv. hardening, odnosno pojačati infrastrukturu kako bi dodatno onemogućila zlonamjernim korisnicima neovlašten pristup, krađu i curenje podataka te druge maliciozne radnje – napominje Čurčija te naglašava da se uvođenjem novih tehnologija u procese poslovanja uvode i novi rizici u poslovanje.

Tako je i kod automatizacije. S obzirom na to da se procesi vežu na softverskog robota koji je, uvjetno rečeno, pojedinac koja ima korisnički račun u nekom IT okružju kompanije, zaštita njegova identiteta od iznimne je važnosti. Posebice zbog činjenice da će taj robot imati veću razinu ovlaštenja i pristupa jer se na njega obično veže više procesa. Tako primjerice, robot može odrađivati određene zadatke iz kadrovskih poslova, obračuna plaća, financija… što je u poslovnoj praksi strogo odvojeno i jedna osoba nema pristup svim navedenim informacijama zbog potencijalnoga konflikta interesa. U tom smislu, iznimno je važno dobro isplanirati zadatke koje će roboti preuzeti i automatizirati te voditi računa o segregaciji dužnosti i zaštiti toga novog identiteta koji se smatra korisnikom s privilegiranim pristupom.

– Savjetujem klijentima da preispitaju modele odlučivanja, odnosno modele koji su programirani da u velikoj količini naizgled nepovezanih podataka nađu smisao i informaciju vrijednu za poslovanje. Pritom se umjetnom inteligencijom (AI) treba baviti konstantno i kontinuirano kako bismo osigurali da će algoritam dobivati kvalitetne inpute, specijalisti pravodobno retrenirati podatkovni model na koji se primjenjuju tehnike strojnog učenja i ukloniti bilo kakvu pristranost iz odlučivanja temeljenih na rezultatima koje neki AI algoritam pruža – ističe Čurčija. Smatra da je prednosti više nego rizika te je potrebno u tvrtkama imati možda i novi kadar i funkcije koje dosad nisu postojale, a koje će razumjeti način na koji funkcioniraju takve tehnologije i njihovu ulogu u poslovnom okružju u kojemu će se implementirati.

Holistički pristup

Filip Jakopović, head of department Apsolona, tvrdi da zaštiti online poslovanja i poslovnih podataka treba pristupiti na holistički način, a prvi korak u tom procesu je razumijevanje i procjena prisutnih rizika.

Nekoliko je ključnih područja na koja treba obratiti pozornost: edukacija zaposlenika i podizanje svijesti o sigurnosti – svi bi korisnici trebali proći obuku o kibernetičkim rizicima s kojima se susreću kao zaposlenici, drugi je upravljanje rizicima i informacijskim sustavom uspostavom okvira za upravljanje rizicima temeljenim na svjetskim standardima poput ISO27001 ili COBIT… Još jedan od ključnih koraka je upravljanje korisničkim računima i pristupom, što uključuje striktno definiranje tko sve može pristupiti sustavu i podacima. Naročitu pozornost potrebno je obratiti na povlaštene korisničke račune, odnosno račune sa specijalnim korisničkim mogućnostima.

– Važni su i mrežna sigurnost i zaštita od zlonamjernoga koda, koja se postiže implementacijom sustava kojima se nadzire dolazni i odlazni mrežni promet i otkriva maliciozan sadržaj na mreži, evidentiranje i praćenje radi otkrivanja sigurnosnih incidenata te pričuvna pohrana svih ključnih podataka. Tvrtke i institucije koje automatiziraju procese trebale bi na poseban način obratiti pozornost na procjenu rizika koji se vežu uz korištenje takve tehnologije. Iako korištenje sustava za automatizaciju načelno smanjuje izloženost podataka korisnicima, veliki rizici ipak su prisutni. Softver za automatizaciju, kako bi obavio zadatak, mora imati pristup određenim sustavima i alatima, kao što su ERP sustavi ili CRM alati, koji sadrže povjerljive podatke. Sama ta činjenica otvara prostor za maliciozna, interna i eksterna djelovanja kojima ti povjerljivi podaci mogu biti otkriveni i time načiniti štetu organizaciji. Stoga je i takvim sustavima potrebno kvalitetno upravljati te uspostaviti mehanizme zaštite – napominje Jakopović.

Plan aktivnosti

Naglašava i da mogućnosti naprednih tehnologija poput strojnog učenja i AI-ja treba iskoristiti. Međutim, parcijalna i stihijska implementacija može prouzročiti štete koje nadilaze koristi. Stoga je Jakopovićev ključni savjet: dubinski pripremiti takve projekte imajući na umu organizaciju kao cjelinu, što rezultira nekim oblikom strategije digitalne transformacije organizacije. Taj proces počinje detaljnim mapiranjem i analizom poslovnih procesa koja rezultira mapiranjem poslovnih potreba organizacije uvođenjem naprednih digitalnih tehnologija. Pritom je važno kvalitetno i temeljito pristupiti toj fazi jer je ključna za daljnje mapiranje mjera i planiranje uvođenja tehnologija.

– Nakon što prepoznaju svoje potrebe, klijentima savjetujemo da sagledaju različite pristupe njihovu rješavanju i dobro procijene troškove i potencijalnu korist. Tako će biti sigurni da je uvođenje odabranih tehnologija u poslovanje opravdano i da ispunjava željene ciljeve. Kako bi uvođenje proteklo bez problema, sve planirane aktivnosti i uvođenja alata treba pretočiti u plan aktivnosti kako bi se izbjegle improvizacije i maksimalno olakšalo ovo ionako stresno razdoblje – ističe Jakopović.

Dodaje da se u konačnici, kad tvrtke implementiraju te alate, veliki naglasak stavlja na organizacijsku kulturu i upravljanje promjenom kako bi uvedene promjene zaista zaživjele.