1 Juna, 2026
image
Home Blog Right SidebarPage 363

Intervju: Mirsad Ćatić, generalni direktor, Securitas BH

Razlika između mene i ostalih menadžera koji su imali velike firme je to što sam ja krenuo iz tehničke zaštite, tako da je nama tehnika u osnovi, dok su sve druge firme počele sa fizičkom zaštitom, pa su onda dodavale mobilne intervencije, centre i tehniku. To je naša prednost

Razgovarao: Damir Muharemović

E-mail: redakcija@www.asadria.com

a&s Adria: G. Ćatić, jedan ste od najuspješnijih menadžera privatne sigurnosti u regiji. Recite nam nešto o sebi? Kakvi su bili vaši počeci, otkuda ideja o osnivanju firme u ovoj oblasti i ulasku u Securitas grupaciju? 

Ćatić: Na ideju o osnivanju firme nadošao sam dok sam živio u Švedskoj, gdje sam vidio da svaki objekat, i stambeni i komercijalni, ima neku vrstu zaštite. To je bilo za mene nešto novo jer prije rata takvo što u našoj zemlji nije postojalo. Dolazak demokratizacije naveo me je na razmišljanje da bi taj posao mogao zaživjeti i u BiH. Firmu sam, zajedno sa partnerom Šveđaninom, osnovao ‘96. godine u Mostaru. To je bila pogrešna ideja u progrešnom vremenu i na pogrešnom mjestu. U to vrijeme u Mostaru su ljudi još hodali naoružani, a posljedice rata bile su očevidne. Za šest mjeseci uspio sam prodati tek jedan alarm, tako da sam se opet vratio u Švedsku. Zatim je bio pokrenut projekat Start Bosnia, za koji sam predao aplikaciju. Oni su prepoznali moju inicijativu i dobili smo 100.000 maraka uslovnog kredita. Od tog novca moj partner i ja smo otvorili kancelariju u Sarajevu i počeli s radom. Ja sam sâm prodavao i montirao i radio instalaciju i izdavao račune i narudžbenice. Imao sam jednog čovjeka, koji i danas radi sa mnom. Posao je počeo, broj radnika se počeo povećavati, tako da danas imamo cca 1.900 zaposlenih.

a&s Adria: Securitas grupacija najveća je globalna kompanija u oblasti fizičke zaštite sa 320.000 zaposlenih u 53 države svijeta. Podatak je to koji dovoljno govori o snazi iskustva, količini informacija i kvaliteti podrške koji stoje iza imena vaše kompanije. 

Ćatić: Svakako. Securitas AB je kompanija za zaštitu osnovana u Švedskoj davne 1934. godine, a danas su naši klijenti od malih prodavnica do velikih multimilionskih međunarodnih kompanija u cijelom svijetu. Globalno učešće Securitasa na tržištu privatne sigurnosti je oko 11 posto. Poseban naglasak u komunikaciji sa klijentima stavlja se na kombinovanu i specijaliziranu zaštitu, što znači prilagođenu potrebama korisnika. Usluge se ne zaustavljaju samo na tehničkoj i fizičkoj zaštiti kakvu poznajemo već i na zaštiti nuklearnih centrala, aerodroma, bolnica i škola, pa čak i zaštiti lokalnih izvršitelja zakona. Ukupna prodaja u 2014. iznosila je blizu 7,5 milijardi eura. Securitas AB je ulaganjem u kapital Alarm Westa iz Mostara i drugih agencija postao njihov većinski vlasnik u decembru 2010. godine, formirajući Securitas BH d.o.o., a već naredne godine je postao 100% vlasnik naše kompanije. Danas Securitas BH, koji čine dvije agencije za zaštitu lica i objekata: Securitas Mostar i AWG Gama Sigurnost Sarajevo, zajedno sa preduzećem AWG Banja Luka pružaju usluge na teritoriji cijele BiH i za preko 2.500 klijenata osiguravaju više od 5.000 lokacija.

a&s Adria: Kao dio Securitas grupacije, kompanija na čijem ste čelu u kratkom je vremenskom periodu postigla veliki uspjeh u BiH. Ispričajte nam ovu uspješnu priču o Securitasu BH?

Ćatić: Ulazak u Securitas grupaciju bio je izuzetno težak za firmu Alarm West Group, koja je u to vrijeme već bila objedinila nekoliko agencija. Sve se dešavalo u vrijeme recesije kada smo bili veoma zaduženi jer smo mnogo investirali u akvizicije i opremu. U jednom momentu banke su se prepale i nismo mogli dobiti likvidna sredstva, a dugoročne obaveze su se morale brzo vraćati. Došli smo u situaciju da nam nedostaje sredstava, da nam jedna plata kasni, da se obaveze prema dobavljačima ne mogu izmiriti. Tako je i nastala ideja da se izađe na tržište i pronađe partner u fondovima koji su bili spremni uložiti ili u kompanijama koje su željele akvizirati. Kao zainteresovani javio se Securitas. Pregovori su uspješno završeni i to je bio jako dobar potez. Firmi je dosta olakšano, obaveze prema bankama su izmirene i bilo je mnogo lakše fokusirati se na core business.

Mi smo stvarno bili organizovana firma, u pojedinim dijelovima i ispred Securitasa na svjetskom nivou. I danas smo veoma cijenjeni iako smo po obimu mali

a&s Adria: Jeste li morati usvajati Securitasove procedure i u kojoj mjeri? Koje prednosti bivanja dijelom grupacije biste istaknuli kao važne na tržištu?

Ćatić: Ono što bih volio naglasiti i na što sam ponosan jeste to da nismo imali potrebu usvajati nijednu proceduru od Securitasa, osim slanja finansijskih izvještaja, jer smo i prije toga bili organizovana firma, koja je u pojedinim dijelovima i ispred Securitasa na svjetskom nivou. I danas smo veoma cijenjena firma iako smo po obimu mali. Po samim vrstama usluga koje nudimo, načinu na koji radimo i tehnologijama koje koristimo, stvarno smo u vrhu Securitasa i kao mala firma smo prepoznatljivi i na svim sastancima i izvještajima smo na prvim mjestima. Naravno, dosta poslovanja sam i sâm predvodio, jer razlika između mene i ostalih menadžera koji su imali velike firme je to što sam ja krenuo iz tehničke zaštite, tako da je nama tehnika u osnovi, dok su sve druge firme počele sa fizičkom zaštitom, pa su onda dodavale mobilne intervencije, centre i tehniku. To je naša prednost.

a&s Adria: U vezi s ovim, da li postoji saradnja regionalnih članica Securitasa i na koji način se ona provodi?

Ćatić: Dobivši ponudu Securitas grupacije, godinu dana sam obavljao posao Securitasovog tehničkog direktora (CTO) za regiju istočne Evrope, tako da poznajem dobro stanje na regionalnom tržištu. Securitas radi po principu da je znanje globalno, a biznis lokalni. Vođeni time, mi se srećemo na različitim nivoima i na tim sastancima razmjenujemo iskustva, analiziramo slučajeve iz prakse, predstavljaju se alati itd. To je u cilju razmjene znanja, a opet je na svakom direktoru pojedinačno šta će od toga uzeti i primijeniti na lokalnom tržištu. Ako, pak, imamo zajedničke klijente, tu opet nastupamo kolegijalno između različitih nivoa upravljanja različitih zemalja kako bismo ponudili što bolju uslugu itd.

a&s Adria: Koje usluge nudite i na koje vertikale se fokusirate?

Ćatić: Securitas je globalno preduzeće i specifičnost zahtjeva svakog tržišta u 53 zemlje svijeta je uvjetovala razvoj izuzetno širokog spektra usluga. Vertikalno gledajući, ne postoji privredna grana bilo u privatnom ili javnom sektoru u kojoj Securitas ne pruža usluge fizičke i tehničke zaštite, dojavno-operativnog centra i mobilne intervencije, sigurnosnog inženjeringa, obezbjeđenja manifestacija, bliske zaštite ličnosti, transporta novca i dragocjenosti, zaštite podataka i svih drugih usluga koje su potrebne kako bi se ispunili zahtjevi klijenata. Cilj Securitasa je napraviti sigurnosno rješenje za sve aspekte ugroženosti klijenta.

a&s Adria: Jedan od globalnih trendova je sve veći primat tehničke zaštite nad fizičkom. To vodi ka smanjenju broja zaštitara, potrebi za konstantnim uvođenjem novih tehnologijama i usluga, praćenjem trendova putem stalne edukacije i informisanja itd. Kako Securitas BH odgovara na ove izazove? 

Ćatić: Tendencija koja je obilježila proteklih 10-ak godina u svijetu privatne zaštite je svakako i dio poslovnih ciljeva Securitasa. Uvođenje novih proizvoda u zaštiti klijenata na tržištima gdje je Securitas tradicionalno nudio pretežno fizičku zaštitu doprinijelo je povećanju prodaje i zarade. Od osnivanja 1996. naša kompanija je primarno nudila usluge tehničke zaštite. Tokom 20-godišnjeg rada udio prodaje tehnike u odnosu na fizičku zaštitu ostao je konstantan. Na taj način Securitas u BiH je bio u prilici da ulaže i razvija u moderna i kompleksna tehnološka rješenja integrisanih sistema zaštite. Osim toga, Securitas globalno insistira na sigurnosnom rješenju, posebno za velike klijente, koje podrazumijeva, osim angažmana zaštitara, osmišljavanje niza tehnoloških rješenja za specifične lokacije i potrebe klijenata.

a&s Adria: Prema novim izmjenama zakona, privatne kompanije mogu konkurisati na poslove službi sigurnosti u velikim privrednim subjektima ili državnim institucijama. Ovo je podiglo veliku prašinu među menadžerima sigurnosti u službama unutrašnje zaštite, koji smatraju da privatne zaštitarske firme ne mogu odgovoriti zahtjevima specijaliziranih poslova zaštite, poput zaštite medicinskog otpada i sl. Smatrate li da vaši uposlenici mogu pružiti jednak nivo kvalitete kao službe unutrašnje zaštite i zašto?

Ćatić: Ne postoji oblast, privredna grana ili zahtjev za zaštitom koju Securitas nema u svom “kolektivnom pamćenju”, odnosno bazi podataka, iskustava, ponuda i načina rješavanja sigurnosnih zadataka. Ova baza je na raspolaganju svim lokalnim preduzećima. Stoga smo u saradnji sa našim kolegama spremni ući u poslove zaštite zahvaljujući više od 70 godina iskustva u Evropi i 140 u SAD-u. Posebno, jer je politika Securitasa tokom osamdesetih i ranih devedesetih bila “specijalizacija u oblasti zaštite”, pa su pojedinci i države imali izuzetno iskustvo u zaštiti specifičnih i veoma zahtjevnih sektora i klijenata.

a&s Adria: Trenutno možda najveći izazov koji stoji pred zaštitarskim kompanijama, odnosno kvalitetom usluga koje nude, jeste damping cijena. Kako riješiti ovaj problem? 

Ćatić: Cijene na otvorenom tržištu je jako teško regulirati. Za cijenu se treba izboriti kvalitetom, pravljenjem različitih ponuda, partnerskim odnosom prema klijentima. Ono što sam primijetio kroz putovanja u Securitasu da je zaštitarski posao jedan od slabije plaćenih u svijetu i iznosi otprilike 60% od prosječne plaće. Tako je i kod nas. Mi u Securitasu nastojimo da na poslu zaštitari steknu prve rutine i referencu da se kasnije mogu lakše zaposliti. Ja inače nikad nisam savjetovao da se posao zaštitara uzme za čitav život. I bojim se da će jako mnogo vremena proći prije nego što on bude dobro plaćen. Kada je riječ o dampingu cijena, to je na zaštitarima da sami odluče prihvataju li raditi za poslodavce koji ne posluju u skladu sa svim zakonima. Zato treba postojati udruženje uposlenika koji bi mogli i trebali natjerati svoje poslodavce da poštuju zakonske minimume.

Ne postoji oblast, privredna grana ili zahtjev za zaštitom koju Securitas nema u svom “kolektivnom pamćenju”, odnosno bazi podataka, iskustava, ponuda i načina rješavanja sigurnosnih zadataka. Ova baza je na raspolaganju svim lokalnim preduzećima

a&s Adria: Vaše mišljenje o najvećoj kazni hrvatske Agencije za zaštitu tržišnog natjecanja (AZTN) izrečene kompanijama u sektoru zaštitarstva u toj zemlji? 

Ćatić: Jedna od firmi koje su kažnjene je Securitas Hrvatska. Znam da su održali jedan sastanak na kojem su razgovarali o ovim pitanjima, ali da nikakva odluka nije donesena. Ipak, to je dospjelo u javnost i Zakonodavac je izrekao kaznu. Ja ću opet reći da se svako dogovaranje agencija bez učestvovanja asocijacija zaštitara može smatrati monopolističkim. Stoga smatram da određivanje minimalne cijene bez jasnog određivanja drugih pravila jeste nešto što država ne smije dopustiti.

a&s Adria: Postoji ideja o osnivanju Komore zaštitara Bosne i Hercegovine. Smatrate li da je ovo neophodan korak ka ostvarivanju zajedničkih interesa zaštitarskih firmi u postojećim zakonskim okvirima?

Ćatić: Ja sam tu ideju podržavao više od deset godina, ali mislim da dosta kompanija kod nas nije svjesna šta bi ta komora trebala biti. Manje agencije se boje utjecaja većih, javlja se osjećaj nesigurnosti ili ugroženosti ukoliko dođe do njenog osnivanja. Komora zaštitara Bosne i Hercegovine je neophodna kako bi se legalno utjecalo na donošenje zakona, s tim da bih naglasio da treba paziti na to ko s kim razgovara, je imamo zakone na nivou entiteta i Distrikta Brčko. Treba dobro paziti da se pred Zakonodavcem definiše koga ona predstavlja, jer komora koja ne obuhvati sve agencije neće biti relevantna.

a&s Adria: Vaše viđenje stanja tržišta sigurnosti u regiji i na globalnom planu? Koji su nedostaci lokalnih tržišta, na čemu bi se trebalo raditi kako bi se podigla vrijednost i kvalitet usluga privatne sigurnosti, a samim tim i unaprijedila sigurnost u našim društvima?

Ćatić: Prije nekoliko mjeseci imali smo sastanak direktora za finansije Securitasa u svim zemljama Evrope. Na tom sastanku sam rekao da je branša privatne zaštite u BiH stara otprilike 20 godina. Rekao bih da smo ono što je uradila privatna zaštita u Evropi za 90 godina mi uradili za 20. Mi smo ih stigli, ako ne u nekim segmentima i prestigli. Kada kažem prestigli, da ne budem prepotentan, mislim da nas je na to natjeralo okruženje. Dakle, mala zemlja, malo tržište, tako da smo se morali prilagođavati. Morate mnogo brže raditi i djelovati kako biste došli do nekih rezultata. Što se tiče zemalja regije, mislim da i one dobro stoje i da ne zaostaju za svjetskim trendovima.

a&s Adria: Na kraju, šta možemo očekivati od Securitasa u godinama koje su pred nama? Nove usluge, tržišta, uredi? Planirate li izvršiti neke nove akvizicije?

Ćatić: Sa 2.500 klijenata, među kojima su sve velike bankarske i finansijske institucije, ambasade, šoping-centri, škole, fabrike, gradilišta i maloprodaje, Securitas na teritoriji BiH nema previše prostora za kvantitativno širenje usluga. U narednom periodu fokus će biti na unapređenju postojećih ugovora, proširenju i modifikaciji usluga za klijente i proširenju prodaje u oblasti malih korisnika. Nemamo namjeru izlaziti iz core businessa, a to je privatna zaštita, i nemamo namjeru akvizirati. Zato se fokusiramo na sebe, na postojeće kupce, nove proizvode i usluge. To je ono što smo uvijek i radili i što ćemo nastaviti raditi i ubuduće.

Analiza i upravljanje procesima

Proces upravljanja reguliše aktivno upravljanje mjerama zaštite osoba. Na nama je da sve do detalja isplaniramo i pripremimo. Ipak, ni najbolji koncept operacije ne može sve predvidjeti. Kada je mjera jednom pokrenuta, praksa je u mnogo slučajeva pokazala da su uvijek moguća odstupanja

Piše: Džemal Arnautović, instruktor IPSTA-e (International Private Security Training Association)
E-mail: redakcija@asadria.com

Svi procesi koje se odvijaju unutar tima treba nastojati opisati. Sve tokove i djelatnosti neophodno je jednostavno i strukturirano prikazati. Ovisno o načinu rada, u tome se mogu koristiti i specijalni simboli ili geometrijski oblici za pojedinačne korake. U suštini je riječ o procesu: ulaz (input) – djelatnosti/subprocesi – izlaz (output).

Input

Ulaz predstavljaju definisani proizvodi iz prethodnih procesa (npr. zahtjev za ponudu).

Djelatnosti

Pod ovom stavkom opisuju se radne etape ili se one dijele u druge potprocese. Iz ovoga mogu nastati tzv. međuproizvodi, koji su neophodni za nastavak posla.

Output

Definišu se proizvodi koji „napuštaju“ naš opisani proces (npr. gotova ponuda sa grubim konceptom).

Procesi upravljanja prilikom zaštite osoba

Procesi se mogu podijeliti u pomoćne procese i procese upravljanja, pri čemu pomoćni procesi mogu također prije početi, a zatim teći paralelno sa ključnim procesima. Ovisno o organizaciji i načinu rada, procesi se mogu i moraju definisati i svrstati.

Pomoćni procesi su:

  • proces analize (služi za utvrđivanje potrebe za djelovanjem)
  • proces podrške (služi za upravljanje informacijama, resursima i logistikom)
  • proces dorade (izvlačenje pouka)

Ključni procesi su:

  • proces planiranja (služi za planiranje konkretnih ili mogućih mjera)
  • proces upravljanja (služi za vođenje tekuće akcije)

Proces analize

Ovaj proces omogućava vođi operacije da prijevremeno prepozna neophodnu potrebu za djelovanjem, što najčešće protiče neovisno, a dobivene informacije će poslužiti svim članovima tima kao dragocjena baza. Da bi se analiza mogla kvalitetno uraditi, prvo se mora definisati ciljano stanje. Nakon toga aktuelna situacija se mora analizirati te kvalitativno i kvantitativno ocijeniti, za što će nam često biti potrebni i dodatni izvori informacija. Istovremeno, neophodno je pismeno bilježiti razvoj situacije, kako zbog vlastitih mjera sigurnosti, tako i zbog eventualnih aktivnosti protivničke strane.

Evaluacija odstupanja

Pod ovim se misli da je potrebno istražiti uopće potrebu za djelovanjem. Eventualna planiranja se mogu prilagoditi ili u ekstremnom slučaju se moraju pokrenuti trenutne mjere ili samo oglasiti alarmi. Nakon toga dolazimo do tzv. procesa podrške, tokom kojeg se regulišu i na odgovarajući način opisuju sva pitanja vezana za logistiku, resurse i prikupljanje informacija. Kada smo to obuhvatili, spremni smo za fazu planiranja, koja kao ključni proces služi za sveobuhvatno planiranje i pripremu pojedinačnih mjera zaštite osoba. Postupanje je analogno iznad opisanim djelatnostima upravljanja.

Sam proces upravljanja reguliše aktivno upravljanje mjerama zaštite lica. Na nama je da sve do detalja isplaniramo i pripremimo. Ali, ipak ni najbolji koncept operacije ne može sve predvidjeti. Kad je mjera jednom pokrenuta, praksa je u mnogo slučajeva pokazala da su uvijek moguća odstupanja. Ukoliko do njih dođe, neophodno je da vođa operacije preuzme aktivnu inicijativu i upravljanje. Ako je riječ o manjim izmjenama, njih ćemo rješavati „u hodu“ bez prekidanja toka operacija. Ali, ukoliko se radi o velikim izmjenama, potrebno je razmisliti o prekidanju operacije i ponovnom okupljanju tima i njegovu uvođenju u novu fazu planiranja. Također, proces se prekida ako ciljevi nisu postignuti i ako nam je za njihovo izvršenje neophodna nova temeljna odluka. Proces planiranja se najčešće provodi samo jedanput, a proces upravljanja se neprestano ponavlja, zavisno od razvoja situacije.

Proces dorade

U ovom procesu se sva iskustva i spoznaje iz prethodnih operacija sistematski obuhvataju i obrađuju. S jedne strane, iz toga možemo izvući pouke da bismo sljedeći put bolje ili efektivnije uradili zadatke, a s druge strane da se iz detaljnije analize mogu bolje otkriti i utvrditi moguće aktivnosti protivničke strane. Ovaj proces se kod zaštite lica mora provesti za sljedeća tri područja: strategija (koncept operacije, osnovna strategija itd.), taktika (primijenjene mjere zaštite lica), ekonomičnost (budžet, naknadni obračun, mogući potencijal uštede itd). Načelno gledano, mogu se pojaviti dvije vrste odstupanja od aktuelnog, odnosno ciljanog stanja:

Neuobičajena odstupanja – koja se pojavljuju samo jednom ili neredovno, i ona su uglavnom nebitna za načelno poboljšanje kvaliteta. Međutim, s taktičkog gledišta, upravo u ovim odstupanjima dobivamo više mogućnosti da ranije otkrijemo moguće aktivnosti protivničke strane.

Sistematska odstupanja – koja se utvrđuju na temelju frekvencije nastanka. Ona nas u većini slučajeva vode do sveobuhvatne analize radi poboljšanja ili čak standardiziranja toka. Dobijeno znanje i spoznaje moraju doprinijeti poticaju i poboljšanju na svim nivoma, i u cijelom timu, a pogotovo jer se to može odraziti na područja kao što su procesi, operacije/mjere, obuku/trening, te organizaciju i budžet. Rezultat ovog procesa uvijek je izvještaj koji se sastoji od činjenica, konstatacija, pouka i mogućih prijedloga za promjenu.

Zadaci nadzornika sigurnosti u okviru organizacijske strukture

Nadzornik mora pristupiti svakom uposleniku pojedinačno, jer svaki od njih posjeduje različite vještine, strahove i želje. Nekima je potreban strožiji nadzor u odnosu na druge, neki reagiraju na poticaj, a neki na upozorenja i naredbe. Dobar nadzornik ove faktore ne smije ispuštati iz vida ni u kojoj situaciji

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Obavljanje zadataka iz oblasti sigurnosnog nadzora uključuje brojne aktivnosti koje se tiču discipline, motiviranja i unapređenja osoblja i vođenja komunikacije. Svaki od ovih faktora potražuje specifičan set vještina za uspješnu implementaciju. U manjim sigurnosnim odjelima zadaci menadžera sigurnosti se preklapaju s obavezama nadzornika sigurnosti na nivou većih odjela, no između njih obično postoji jasna linija odgovornosti. U tom kontekstu, različite uloge savremenog nadzornika najbolje su sumirane činjenicom da je njegov radni učinak ekvivalent performansi koje ostvare njegovi podređeni.

Nadzornik kao osoba zadužena za neposrednu kontrolu

Zbog toga je jedna od važnijih uloga nadzornika sigurnosti upravo ona koja se tiče obavljanja kontrole. Od najvišeg do najnižeg nivoa nadzornik sigurnosti mora kontinuirano kontrolirati aktivnosti svojih podređenih. Pri tome je lanac odgovornosti sljedeći: direktor sigurnosti kontrolira menadžera sigurnosti, menadžer svoje nižerangirane kolege, dok potonji prate rad nadzornika, koji sam vrši kontrolu rada ostalih uposlenika. U prvom redu, on prati izvršavaju li se zadaci i u kojem roku, te da li se neki od njih zanemaruju ili zapostavljaju. Kontrola pri tome ne smije biti negativno orijentirani proces u kojem nadzornik traži greške i propuste i na njima temelji svoju kritiku. Ovakav stil upravljanja kreira nezadovoljstvo i odbrambeni stav kod uposlenika i treba ga izbjegavati. Umjesto toga, nadzornik se treba fokusirati na adekvatnu realizaciju zadataka i pozitivno komentiranje njihovog izvršavanja, dok se na greške ukazuje na objektivan način.

Rad sa uposlenicima i nadzorna uloga

Kako bi se navedeni proces realizirao na adekvatan način, nadzornik mora pristupiti svakom uposleniku pojedinačno, jer svaki od njih ima različite vještine, strahove i želje. Nekima je potreban strožiji nadzor u odnosu na druge, neki reagiraju na poticaj, a neki na upozorenja i naredbe. Kvalitetan nadzornik ove faktore ne smije ispuštati iz vida ni u kojoj situaciji. Pri obavljanju nadzorne uloge on mora u prvom redu uživati odgovarajući autoritet. Kako je riječ o predstavniku upravljačkih struktura organizacije, njegov autoritet predstavlja zaštitu od pretvaranja u pukog „slabog šefa“ ili „potrčka“ nadređenih. Autoritet koji on uživa kod svojih agenata, istražitelja, uposlenika ili službenika mora biti i disciplinski i naredbodavni, posebno kada je u pitanju raspoređivanje zadataka.

Nadzornik kao medijator

Nadzornik je i veza između uposlenika i sigurnosnog menadžmenta. On djeluje kao zastupnik interesa i stavova menadžmenta u odnosu na podređeno osoblje. Neblagovremeno izvršavanje ove obaveze može imati teške posljedice, jer nadzornik na taj način ne samo da gubi povjerenje uposlenika neprenošenjem poruka menadžmentu nego i za sebe zadržava informacije koje mogu poslužiti rješavanju problema. Istovremeno, ovakva uloga ne smije mu poslužiti kao alibi za izbjegavanje vlastitih odgovornosti, odnosno pozivanje na menadžment prilikom svakog donošenja i realizacije nepopularnih odluka.

Polje djelovanja

Polje unutar kojeg nadzornik sigurnosti može obavljati kontrolu zavisi od više faktora. Jedan je njegova lična vještina u upravljanju aktivnostima osoblja i delegiranju zadataka. Drugi faktor je opis poslova podređenih. Istražitelje koji obavljaju kompleksne zadatke nadzornici moraju više kontrolirati u odnosu na uniformirano osoblje na jednoj lokaciji u jednoj smjeni. U idealnoj situaciji omjer nadzornika i uposlenika pod nadzorom iznosi 1:3, dok ovaj broj u poželjnim i prihvatljivim okolnostima može biti 1:6, odnosno 1:12. Naravno, u određenim situacijama (npr. ako je riječ o kraćem periodu ili homogenoj grupi uposlenika) jedan nadzornik može upravljati aktivnostima i više od 20 uposlenika.

——————————–

Jedinstveni lanac zapovijedanja, funkcionalni nadzor i obuka

Princip jedinstvenog lanca zapovijedanja podrazumijeva da svaki uposlenik odgovara svom nadređenom. U slučaju da nadzornik dozvoli postojanje više od jednog nadređenog, doći će do konflikta i konfuzije u pogledu izvršavanja zadataka, kao i pada radnog učinka. Postoje jedinstvene situacije kada može doći do automatskog preraspoređivanja nadležnosti unutar lanca zapovijedanja. To su, u prvom redu, nepredviđene situacije te okolnosti kada odbijanje nadređenog uposlenika da preuzme odgovornost predstavlja direktno ugrožavanje ciljeva ili reputacije sigurnosnog odjela.

Isto tako, postoje situacije kada neko drugo lice mora obavljati zadatke iz oblasti nadzora osoblja za koje nije direktno nadležno. Naprimjer, operater alarmnog sistema može raditi u noćnoj, a njegov nadzornik u dnevnoj smjeni. U tim situacijama, a prema dogovoru, šef smjene može privremeno preuzeti zadatke nadzornika, makar i uz ograničene kompetencije. Isto važi i za autoritet navedenih lica koja u tim situacijama nemaju disciplinske, nego tek savjetodavne ovlasti. Zbog toga je veoma važna obuka samih nadzornika i obično se preporučuje da oni, prije preuzimanja dužnosti, provedu određeno vrijeme uz odgovarajuću stručnu literaturu ili, još bolje, prođu program obuke ili seminar. Ovi kursevi mogu biti organizirani interno unutar organizacije ili su komercijalno dostupni. Nadzor se definira i kao aktivnost usmjerena ka kontroli obavljanja zadataka i njen najvažniji cilj jeste radni učinak. Kvalitetan nadzornik sigurnosti ovo postiže kontinuiranim nadzorom svojih uposlenika, pri čemu uzima u obzir sve njihove lične razlike i kapacitete. Osim održavanja autoriteta, nadzornik mora biti spreman ponuditi i objektivnu kritiku i pohvalu radnog učinka podređenih. U toj ulozi nadzornik predstavlja ključno lice za dvosmjernu komunikaciju između menadžmenta i osoblja i u tom pažljivom balansiranju leži delikatnost, ali i važnost njegove pozicije.

 

Najčešći mitovi o sigurnosti industrijskih kontrolnih sistema

U prošlom tekstu govorili smo o najčešćim cyber napadima, a ovaj put ćemo se osvrnuti na neke od najčešćih mitova kada je sigurnost industrijskih kontrolnih sistema u pitanju

Piše: Goran Milić
E-mail: redakcija@asadria.com

Sigurnost industrijskih kontrolnih sistema dosad se bazirala na vjerovanju da je fizička izolacija sasvim dovoljna za siguran rad ovakvih sistema. Međutim, primjeri iz prakse pokazuju da tako nešto jednostavno nije istina. Direktor Odjela za buduće tehnologije kompanije Kaspersky Lab Andrey Nikishin objavio je pet najčešćih mitova kada je  sigurnost industrijskih kontrolnih sistema u pitanju. Tradicionalni pristup sigurnosti industrijskih sistema više nije dovoljno efikasan da bi pružio dovoljnu zaštitu, pa rukovodioci sigurnosnih odjeljenja moraju prihvatiti nove paradigme sigurnosne zaštite industrijskih sistema u 21. vijeku.

Naš sistem nije zanimljiv hakerima

Ova izjava u 21. vijeku nije istinita ni za jedan IT sistem, pa makar se on sastojao od samo jednog kompjutera. Mnogo je razloga za to. Prvo, industrijski sistemi ne moraju da budu meta napada da bi postali žrtve. Tako je 80 procenata sigurnosnih incidenata povezanih sa kontrolnim sistemima plod slučajnosti. Nažalost, šteta je bila itekako stvarna. Dobar primjer je crv Slammer, koji je obarao sve sisteme na koje je nailazio, iako nije bio specijalno napisan za industrijske sisteme. Druga česta pojava je izloženost napadu zbog nedovoljno sigurnih operativnih sistema koje ti sistemi koriste. Na osnovu velikog istraživanja Kaspersky Laba može se uočiti da se sve veći broj kompjutera koji koriste SCADA softver suočava s istim zlonamjernim softverima koji napadaju i druge sisteme, uključujući trojance, crve, viruse i druge maliciozne softvere koje iskorištavaju ranjivosti Microsoft operativnih sistema.

Naš sigurnosni sistem ima dovoljno dobru zaštitu

Treba biti svjestan jednostavne činjenice da veliki broj postojećih sigurnosnih sistema ima određene tehničke nedostatke. Navedimo neke od glavnih problema koji muče moderne operativne sisteme. Kao prvo, IEC 61508 certifikacija (SIL) ne uzima u obzir sigurnost. Moderni sistemi za industrijsku sigurnost bazirani su na mikroprocesorima, a konfigurišu se pomoću kompjutera sa Windowsom. Ethernet komunikacija, koja se koristi za integraciju i kontrolu je bazirana na otvorenim nesigurnim protokolima kao što su Modbus TCP ili OPC. Što je još gore, mnogi sigurnosni sistemi i dalje koriste operativne sisteme i Ethernet protokole koji imaju poznate ranjivosti.

Naš sistem nije povezan na internet, pa je i dovoljno siguran

Statistika kaže da industrijski kontrolni sistem prosječno ima 11 direktnih priključaka na internet. Istraživanja provedena u jednoj velikoj energetskoj kompaniji su pokazala da većina zaposlenika smatra da su kontrolni sistemi i poslovna mreža razdvojeni. Međutim, daljnja analiza je utvrdila da je 89% sistema te energetske kompanije zapravo povezano na zajedničku mrežu. Sigurnost poslovnog dijela mreže bila je fokusirana na opšte poslovne procese, a da se pri tome nije obraćala pažnja na sisteme koji upravljaju kritičnim procesima. Pronađene su višestruke konekcije između mreže kompanije i interneta, uključujući intranet kompanije i Wi-Fi konekciju. Na ovaj način kompanija je izložena svim mogućim napadima. Ponovo možemo za primjer uzeti Slammer napad. Ovaj crv je napao različite infrastrukture kao što su hitne službe, kontrole vazdušnog saobraćaja i bankomate. Pri tome je uspio da uspostavi maksimalnu brzinu skeniranja od 55 miliona operacija u sekundi za manje od tri minute. Ironično, jedina stvar koje je usporila Slammer crva je nedostatak mrežne propusnosti na mrežama koje je napao.

Kompjuteri i sistemi za kontrolu nuklearne elektrane Davis-Besse zaraženi su putem T1 linije jednog od podugovarača, pa sigurnosno nadgledanje nije funkcionisalo pet sati. Sjevernoamerički savjet za pouzdanost električne energije utvrdio je postojanje jednog zajedničkog izvora infekcije Slammer crvom. Radilo se o VPN konekciji udaljenog kompjutera. Do zaraze je došlo putem poslovne mreže, a crv se multiplicirao blokirajući SCADA saobraćaj.

Napadači nisu upućeni u rad SCADA/DSC/PLC sistema

Ovo je naročito velika zabluda jer su SCADA softver i sistemi za kontrolu procesa postale obavezne teme na sigurnosnim konferencijama gdje se okupljaju hakeri. Nije teško zaključiti zašto je to tako: digitalni kriminal je već neko vrijeme vrlo unosan posao, pri čemu cijene po kojima se prodaju virusi i ostali maliciozni softveri često premašuju cifre od 80.000 američkih dolara. Svi koji misle da hakeri nisu zainteresovani ili im nedostaju mogućnosti da napadaju industrijske kontrolne sisteme, treba da znaju nekoliko osnovnih činjenica. Maliciozni softveri poput virusa, crva ili drugog špijunskog softvera se kreiraju za vrlo određene napade, mete ili aplikacije. Specifikacije SCADA softvera su dostupne na internetu, ponekad za određenu cijenu, a ponekad čak i potpuno besplatno. Web-pretraživač Shodan omogućava pronalaženje nesigurnih industrijskih uređaja ili cjelokupnih sistema i to na globalnom nivou. Hakeri vrlo dobro znaju da ovakvi sistemi u velikom broju slučajeva operišu u skladu sa fabričkim postavkama i šiframa, pa je tako moguće ostvariti pristup sistemu sa autentifikacijskim podacima kao što su “admin” za korisničko ime i “1234” za šifru.

Firewall je dovoljna zaštita

Analizom 37 firewall rješenja u finansijskom, energetskom, telekomunikacionom, medijskom i automobilskom sektoru utvrđeno je nekoliko vrlo indikativnih činjenica. Tako, naprimjer, gotovo 80 procenata testiranih firewall rješenja ima “any” postavku na ulaznim servisima, te nezaštićen prilaz samom firewallu i „demilitarizovanoj“ zoni mreže (dio mreže u kojoj su firewall pravila nešto blaža kako bi se obezbijedio neometan rad pojedinih servisa). Skoro 70 procenata testiranih firewall rješenja omogućava pristup samom firewallu sa kompjutera izvan mreže koju štite, što je ogroman sigurnosni propust. Kao što se može vidjeti iz samo nekoliko primjera, sigurnost industrijskih sistema je na prilično niskom nivou, te je neophodno što prije podići svjesnost o važnosti njihove zaštite.

Izvori informacija tokom vođenja istrage

U situaciji kada istražitelji u toku istrage pokušavaju utvrditi ko je odgovoran za neki incident ili krivično djelo, naglasak je na utvrđivanju identiteta te osobe. Kada je za istragu najvažnije pitanje gdje, naglasak se stavlja na utvrđivanje mjesta zločina

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Postoji jasna distinkcija između pitanja ko, koje se fokusira na osobe, u odnosu na gdje, kod kojeg je akcenat na lokaciji. Tu za istragu može biti važno više pitanja, od toga gdje se počinitelj nalazi, gdje su dokazi ili gdje je sakriven potencijalni plijen. Isto tako, za istražitelja je važno jasno definirati koji su to izvori informacija koji mu mogu pomoći tokom vođenja istrage.

Finansijske institucije i agencije za nekretnine

Tokom vođenja istrage istražitelji će često morati raditi s bogatim izvorima podataka iz nevladinih izvora, a koji se tiču fizičkih i pravnih lica, lične imovine i nekretnina. Neki od ličnih podataka nisu direktno dostupni, dok je za druge potrebno pribaviti odgovarajuću dokumentaciju nakon pokretanja krivičnog postupka. Banke i kreditne institucije su također važni izvori informacija. Računi daju uvid u finansijsko stanje, datume i vrstu uplata, kao i iznose. Tu su i informacije o novcu koji se podiže, kao i broju napisanih čekova unutar određenog perioda. Banke imaju evidenciju o svim krupnim transakcijama i dragocjenostima pohranjenim u sefove. Isto tako, kreditne informacije istražitelju mogu poslužiti kao izvor podataka o radnom odnosu osumnjičenika, njegovom primarnom izvoru prihoda, imovini i iznosima za koje je navedeno lice zaduženo. Brojni poslovni subjekti imaju i svoje kreditne agencije. Ove institucije mogu ponuditi podatke o svojim klijentima, poput bračnog statusa, imena bračnog druga, broja izdržavanih osoba, bivših i sadašnjih adresa stanovanja i kreditnog rejtinga. Ako se sumnja da je počinjeno krivično djelo povezano s nekretninama, prava adresa za istražitelja su agencije za nekretnine koje mu mogu ponuditi informacije o cijeni iznajmljene ili prodate nekretnine, iznosu transakcija, hipotekama i vlasničkim odnosima.

Osiguravajuća društva i uslužne kompanije

Osiguravajuća društva istražitelju mogu ponuditi informacije o posljednjoj korištenoj adresi, datumu kupovine ili prodaje imovine i iznosu prateće transakcije. Telekomunikacijske kompanije također mogu pružiti pomoć u vidu pretplate i iznosu mjesečnih računa za mobilnu i fiksnu telefoniju. Isto važi i za kompanije koje navedenom licu šalju račune za kablovsku televiziju, električnu energiju, plin i vodu, od kojih je, osim adrese korisnika, moguće dobiti i informacije o korištenju tih usluga u prošlosti. U određenim okolnostima korisno je stupiti u kontakt i sa kompanijama koje nude usluge transporta, posebno u slučaju kada se sumnja na krađu i skrivanje ukradenih predmeta. Slično se može primijeniti i u slučaju udruženja taksi-prijevoznika koji mogu ponuditi informacije o destinaciji putnika i potencijalnim prevoženim predmetima. Rent-a-car agencije su također važne jer omogućavaju uvid u informacije s vozačke dozvole osumnjičenog lica, adresu osobe koja iznajmljuje vozilo, podatke o ovlaštenim licima za korištenje vozila i pređenoj kilometraži. Tu se često mogu naći i različiti brojevi telefona, adrese, opis vozila, podaci o korištenoj kreditnoj kartici prilikom plaćanja i slično.

Sektori zdravstva, obrazovanja i medija

Među destinacijama zanimljivim za istražitelja koji vodi određeni slučaj su i institucije iz oblasti zdravstva, poput bolnica i apoteka. Apoteke istražitelju mogu pružiti uvid u recepte na osnovu kojih se mogu saznati podaci o ljekaru kojeg je osumnjičenik posjećivao, od čega je bolovao i koju vrstu lijekova je koristio, ali i adresa korisnika osiguranja. Slično tome, bolnice posjeduju zdravstvene kartone pacijenata, s podacima o oboljenjima i pratećim tretmanima, kao i zdravstvenom osiguranju. Kao i njihovi zdravstveni pandani, i obrazovne institucije mogu biti izvor važnih informacija za istražitelja, počevši od datuma i mjesta rođenja, do imena i zanimanja njegovih roditelja, radnog mjesta i sl. Institucije visokog obrazovanja poput univerziteta i fakulteta istražitelju mogu ponuditi i informacije o vannastavnim aktivnostima osumnjičenika, njegovim akademskim postignućima, interesima i finansijskom statusu. I mediji mogu biti od koristi i to na način da ponude informacije o svojim pretplatnicima i subjektima koji se reklamiraju u njima, kao i uvid u arhivu članaka u kojim se osumnjičenik potencijalno pojavljivao.

Državne službe

Državne službe na svakom nivou posjeduju veliku količinu informacija koje istražitelj može iskoristiti. Iako za većinu njih postoje ograničenja u pogledu propisa o sigurnosti, do određenih podataka se može doći relativno lahko. Među institucijama koje mogu biti od koristi istražitelju je, npr., poreska uprava, koja posjeduje imena i adrese poreskih obveznika u odnosu na porez na imovinu. Tu su također i informacije u vidu opisa pravnog statusa imovine, iznosa poreza plaćenih na nju, kao i blagovremenosti njihovog plaćanja. Općinske službe za građevinske poslove posjeduju podatke o lokaciji objekata u vlasništvu osumnjičenika, kao i prateće planove i dokumentaciju za njihovu gradnju. Lokalne matične službe također nude uvid u oporuke i matične knjigu vjenčanih, rođenih i umrlih, registar likvidiranih poslovnih subjekata i dr. Ostale javne institucije koje nude uvid u korisne podatke su službe za socijalnu pomoć, koje mogu posjedovati informacije o radnom vijeku osumnjičenika, njegovom stanju socijalne potrebe, zdravstvenom stanju i potencijalnim problemima sa zakonom. Isto važi i za izborne komisije, od kojih je moguće dobiti podatke o porijeklu osumnjičenika, npr. da li je rođen u nekoj stranoj zemlji ili ga neka posebna psihofizička potreba onemogućava da učestvuje u glasačkom procesu. Svi navedeni izvori informacija danas su još lakše dostupni, jer svoje podatke često nude u elektronskoj formi. To omogućava paralelno pretraživanje informacija na više službenih izvora. Ipak, istražiteljima se preporučuje direktno stupanje u kontakt s ovim institucijama kako bi se sam proces istrage predstavio kao ozbiljan proces koji vodi kompetentno lice.

Intervju: Alex Zanga, prodajni menadžer za istočnu Evropu i Skandinaviju, Grundig Security

Grundig je napredovao od dobavljača komponenti do dobavljača videonadzornih sistema. U budućnosti želimo biti ponuđač rješenja. Naša kompanija danas ima tri proizvodne linije: Grundig Connect, Grundig Professional i Grundig Top, čime možemo udovoljiti svim potrebama korisnika, a zajedno sa razvojnim timom u TKH grupaciji razvijamo plan širenja ka drugim sektorima sigurnosnog tržišta

Razgovarao: Damir Muharemović

E-mail: redakcija@www.asadria.com

a&s Adria: Mr. Zanga, hvala vam što ste odvojili vrijeme za naš magazin. Prije nego što uđemo u detalje o Grundigovim sigurnosnim rješenjima, možete li nam dati kratak pregled vašeg dosadašnjeg profesionalnog iskustva i predstaviti nam ulogu koju imate u vašoj kompaniji? 

A. Zanga: Moj rad za kompaniju Grundig počeo je u aprilu 2012. godine. Od prvog radnog dana u Grundigu osjećao sam se veoma uzbuđenim. Odlučio sam se za tu kompaniju jer je u pitanju bila odlična prilika da radim za poznat njemački brend. U mojoj nadležnosti je tržište istočne Evrope i nordijskih zemalja. On podrazumijeva rad sa distributerima i sistem-integratorima, pružanje postprodajnih usluga, rad na projektima itd.

a&s Adria: Grundig je odveć poznata kompanija, čiji počeci datiraju čak do 1930-ih. Ipak, u svojoj historiji imala je brojne poteškoće da zadrži svoju poziciju na tržištu i proširi poslovanje u drugim segmentima. Odjel sigurnosti nije bio izuzetak. Neki bi ustvrdili da je Grundig Security izgubio korak sa videonadzornim tržištem. Koje promjene ste morali preduzeti kako biste vratili i zadržali svoje mjesto na tržištu i kako vidite Grundigovu poziciju danas?

A. Zanga: Zapravo, historija Grundiga kao sigurnosnog brenda započinje 1953. godine. Od tada do 1997. Grundig je kvalitativno bio tržišni lider u industriji sigurnosnih sistema, naročito za velike instalacije i proizvode visoke kvalitete i cijene. Upravo te 1997. godine Plettac akvizira Grundig Electronics za profesionalne sigurnosne aplikacije, što vodi ka nestanku naše kompanije sa sigurnosnog tržišta. Od tog vremena mnogo toga se u ovom poslu promijenilo i bili smo primorani da se prilagodimo. U 2010. godini Grundig se vratio na sigurnosno tržište sa potpuno novim, impresivnim portfolijem proizvoda. Dvije godine kasnije postaje dijelom Dutch holdinga TKH Grupe NV. Ovo partnerstvo dalo nam je snažan podstrek za razvoj i predstavljanje novih proizvoda i tehnologija. Stoga danas, u 2015. godini, mogu slobodno reći da se naša kompanija vratila u igru. Povratkom na tržište sigurnosti Grundig je ponovo postao važan igrač.

a&s Adria: Predstavite nam vaš proizvodni portfolio? Koje vrste proizvoda nudite na tržištu i za koje aplikacije su oni namijenjeni?

A. Zanga: Grundig u svojoj ponudi ima cjelokupan spektar sigurnosnih proizvoda za svaki tržišni segment. U našem portfoliju možete pronaći kamere od 1,3 do 4K rezolucije sa izvrsnom kvalitetom slike. Također, nudimo rješenja za pohranu, profesionalne CCTV monitore i HD-TVI analogne proizvode, a pokrivamo sva vertikalna tržišta. Naprimjer, posjedujemo tri proizvodne linije: Grundig Connect, Grundig Professional i Grundig Top, čime možemo udovoljiti svim potrebama korisnika. Jednostavno rečeno, Grundig Connect nudi osnovne funkcionalnosti, dobru kvalitetu i odličnu cijenu. Grundig Professional pruža kompletne funkcionalnosti, vrhunski kvalitet i razumnu cijenu. I na kraju Grundig Top nudi napredne funkcionalnosti, najbolju specifikaciju i kvalitet za tu cijenu.

a&s Adria: Koje ključne benefite korisnici mogu očekivati od Grundigovih rješenja? Vaša kompanija je implementirala Sonyjevu Xarina (Exmor) i ImmerVisionovu tehnologiju panomorfnih leća. Recite nam nešto više o ovim tehnologijama te šta je Grundig dobio njihovom implementacijom?

A. Zanga: Da, naši tehnološki partneri su zaista od velike važnosti za nas u Grundigu. Prije svega, naše IP kamere sa Sonyjevom Xarina tehnologijom, u kombinaciji sa Exmor senzorima, pružaju odličnu kvalitetu slike, realno oslikane boje, najvišu osjetljivost i iznimno oštru kvalitetu slike. S druge strane, naše panomorfne kamere sa ImmerVisionovom tehnologijom omogućavaju odlične slike u 360 stepeni prikaza koristeći 6 MP rezoluciju, zbog čega mogu zamijeniti nekoliko standardnih IP kamera u nekim aplikacijama. Naprimjer, možete koristiti jednu panomorfnu kameru za osiguravanje malih prodavnica ili apoteka umjesto dvije ili tri standardne kamere.

a&s Adria: Tržište se postepeno kreće ka IP tehnologiji. Istovremeno, prijenos HD signala preko analogne mreže produžava vijek analogne tehnologije i svake godine povećava tržišni udio. Kakva je Grundigova pozicija u tom segmentu? Namjeravate li učiniti potpunu tranziciju ka IP-ju ili ćete ići u smjeru HD-over-Coax rješenja?

A. Zanga: Iako se većina novih instalacija izvodi pomoću IP tehnologija, ipak postoji velika potreba za analognim proizvodima. To je zato što će uvijek postojati neke aplikacije u kojima nije moguće ili nije dozvoljeno implementirati IP mrežu. Mi nudimo proizvode bazirane na dvije tehnologije prijenosa HD signala putem koaksijalnog kabla: Ex-SDI i HD-TVI. Time svi kupci mogu imati Full HD kvalitet slike bez obzira na to koju vrstu kabliranja koriste.

a&s Adria: Posljednja tržišna istraživanja pokazuju da kompanije koje nude cjelovita rješenja povećavaju udio na tržištu, samim tim i profit. Imate li u planu širenje vašeg portfolija ka drugim oblastima sigurnosti? Šta inače možemo očekivati od Grundiga u narednim godinama?

A. Zanga: Grundig je napredovao od dobavljača komponenti do dobavljača videonadzornih sistema. U budućnosti Grundig želi biti ponuđač rješenja. Zajedno sa razvojnim timom u TKH grupaciji razvijamo plan širenja ka drugim sektorima sigurnosnog tržišta. Bit će uzbudljivo vidjeti iznenađenja koja će Grundig prikazati u narednim godinama.

a&s Adria: Danas je integracija jednostavno neophodna. S kojim VMS sistemima su vaši proizvodi kompatibilni i koje standarde ste uspjeli zadovoljiti?

A. Zanga: Većina VMS platformi podržava Grundig. Koristimo ONVIF Profil S protokol, koji podržava 99,9% platformi za upravljanje videom. Svi proizvođači VMS softvera izvršili su integraciju sa Grundigovim IP kamerama.

a&s Adria: Na koja se vertikalna tržišta fokusirate?

A. Zanga: Veoma smo uspješni u maloprodaji, bankarskom sektoru i nadzoru gradova. U posljednje tri godine ovo su nam bila najvažnija vertikalna tržišta. Većinu naših proizvoda ugradili smo upravo u tim vertikalama. Njihov odabir zapravo su izvršili naši partneri, jer su razvili posao na tom polju. Neki od naših partnera rade posao isključivo u maloprodajnom sektoru, drugi samo u bankarskom itd. A mi ih podržavamo na svaki mogući način kako bismo realizirali što više projekata. Ova vrsta timskog rada donosi dobre rezultate i nama i našim partnerima.

a&s Adria: Predstavite nam neke od vaših najznačajnijih projekata, onih koji su bili naročito teški za realizirati ili koji imaju veliku kulturalnu, historijsku ili nacionalnu važnost? 

A. Zanga: Neki od mojih najvrednijih projekata realizirani su upravo u Jadranskoj regiji. Riječ je o rješenjima za SKB banku u Sloveniji i visokosigurnosni zatvor na Kosovu. Proveo sam mnogo vremena da napravim rješenje za krajnjeg korisnika. Oba projekta su uspješno izvedena, a naša oprema radi savršeno. Nažalost, nisam u mogućnosti da govorim o zatvoru na Kosovu, ali ću ukratko predstaviti nekoliko značajki projekta implementiranog u SKB banci u Sloveniji. Poslodavac je zahtijevao videonadzorni sistem koji omogućava visok nivo zaštite klijenata i osoblja, kako unutar tako i izvan prostora banke. U unutrašnjosti je tražena zaštita blagajničkih pultova, prostora za posjetioce i vrata, a vani ATM bankomata, zidova na perimetru i svih ulaza u banku. Kvalitet slike novog sistema trebao je biti dovoljno visok da se može izvršiti identifikacija osoba i omogućiti sigurnosnom osoblju da prepoznaju predmete na blagajnama, kao što su novčanice i važna dokumentacija. Za dizajniranje i instalaciju novog videonadzornog sistema odabran je Grundigov partner u Sloveniji firma VTZ d.o.o. Oni su instalirali 135 unutrašnjih i vanjskih Grundigovih kamera. Izvršni direktor VTZ-a Aleksander Jeras rekao je da su odabrali Grundigove kamere zbog njihove kvalitete i pouzdanosti koju je već ranije prepoznala SKB-ova majčinska kompanija Societe Generale. Novi videonadzorni sistem omogućio je banci nekoliko važnih funkcionalnosti poput omogućavanja operaterima da identifikuju ljude ispred blagajničkog pulta i danonoćnog nadzora pomoću IR LED tehnologije. Sistem je također integrisao sve CCTV uređaje u jednu platformu. SKB banka u Sloveniji bila je jednostavno impresionirana kvalitetom instalacije i slike koju pružaju kamere.

a&s Adria: Recite nam nešto o Grundigovom odnosu prema svojim partnerima, distributerima, preprodavačima… Na koji način im pružate podršku i dajete dodatnu vrijednost? Organizirate li treninge i seminare?

A. Zanga: Briga o kupcu jedna je od naših jačih strana. Uvijek nastojimo biti bliži našim partnerima. To je razlog zašto stalno održavamo treninge i seminare o našim proizvodima. Također se trudimo da ne zaboravimo zabavnu stranu sve toga, pa organizujemo godišnje kampanje za naše partnere, tokom kojih mogu uživati u igranju fudbalskih utakmica, posjeti Oktoberfestu u Njemačkoj ili obilasku muzeja automobila u toj zemlji.

a&s Adria: Vaše mišljenje o tržištu Jadranske regije i Grundigovoj poziciji na ovim prostorima? Jeste li u potrazi za novim partnerima, da li ste zadovoljni udjelom na tržištu, namjeravate li se širiti dalje, koji su najveći izazovi s kojima se suočavate i kakvi su generalno vaši planovi na ovom području?

A. Zanga: Da, Jadranska regija je na trenutno na listi mojih prioriteta. Naravno, ne ide sve tako glatko i jednostavno. Budući da smo evropski proizvođač, ranije smo se suočavali s problemima u pogledu cijena. Ali siguran sam da smo s tom fazom završili uz pomoć naše nove Connect linije proizvoda, s kojom vjerujem da ćemo značajno povećati prodaju. Stoga sam uvijek otvoren za nove poslovne prilike u zemljama Zapadnog Balkana. U samoj regiji sve je više projekata i nadam se da ću upoznati neke nove sistem-integratore.

a&s Adria: Da li vaše nastojanje da unaprijedite poslovanje u Jadranskoj regiji podrazumijeva promociju na sigurnosnim događajima i je li Adria Security Summit, kao najveći regionalni konferencijsko-izložbeni događaj sa blizu 150 prisutnih kompanija, važna prilika da predstavite vašu kompaniju?

A. Zanga: Imao sam sreću da prisustvujem ovogodišnjem Adria Security Summitu. I da budem iskren, bio sam veoma iznenađen odličnom organizacijom. Prisustvovalo je mnoštvo ključnih igrača na regionalnom tržištu. Ugodna i prijateljska atmosfera. Adria Security Summit smatram važnom prilikom za profesionalce iz ove oblasti da se susretnu i razgovaraju o poslovnim prilikama, zato namjeravam prisustvovati i sljedeće godine.

a&s Adria: Kako vidite tržište sigurnosti danas, kako će ono izgledati u godinama koje su pred nama? Koji će biti glavni trendovi?

A. Zanga: Prema mojem mišljenju, sve će ići ka integraciji. I mislim da bi različiti sistemi trebali biti integrisani u jednu platformu. Tržište nam želi pokazati da se svime, pa tako i videonadzorom, kontrolom pristupa, protivpožarnim i protivprovalnim sistemima, može upravljati pomoću jedne snažne platforme. I to sa svom uključenom analitikom i statistikom. Stoga smatram da je upravo to glavni trend u ovom trenutku.

a&s Adria: Šta mislite o ulasku IT kompanija u sigurnost, što posebno ima utjecaja na određene segmente kao što su videoanalitika, integracija itd? Hoće li takav proces doprinijeti većoj interoperabilnosti i unifikaciji sigurnosnih sistema i proizvoda?

A. Zanga: O ovom trendu znam mnogo s obzirom na to da sam i sam nekoliko godina radio za IT kompaniju. Prema mom mišljenju, ovo bi moglo donijeti svježu krv ovom poslu. Bavljenje sigurnošću je prilično konzervativno, tako da bi se time mogli pojaviti novi ljudi, poslovni modeli i, naravno, nove tehnologije. Kao rezultat toga, moći ćemo ponuditi širi portfolio proizvoda, a krajnji korisnik mogao bi imati bolju uslugu.

Značaj uputa u uspješnoj realizaciji operacija

Ukoliko dođemo u opasne situacije kada nas napada protivnička strana, izuzetno je bitno da štićena osoba ima potpuno povjerenje u nas i naše aktivnosti te da se sama može uključiti kao podrška. Svako suprotstavljanje dogovorenim mjerama i metodama može imati pogubne posljedice kako pa nas i naš tim tako i po štićenu osobu

Piše: Džemal Arnautović, instruktor IPSTA-e (International Private Security Training Association)
E-mail: redakcija@asadria.com

Našem timu obavezni smo dati precizne upute kako bi se svi zadaci mogli tačno raspodijeliti najkasnije nakon izrade pismenog koncepta operacije. Često će se događati da za takvo nešto nemamo previše vremena, pa ćemo određene naredbe i prije pismene forme morati izdavati ili putem telefona ili usmeno pojedincima ili cijelom timu. U kasnijoj fazi mora se strogo slijediti koncept operacije i biti detaljno pojašnjen kroz predstavljanje svih pojedinačnih faza i koncepata. Pomoću ciljanih kontrolnih pitanja upućenih našem timu osiguravamo da su sve informacije stigle do primaoca i da su plasirane u željenoj formi. Bitan je i svaki naredni sastanak na kojem možemo okupiti kompletan tim i ponovo ga informisati o eventualno novim informacijama, zadacima i promjenama.

Važnost informisanja

Ukoliko situacija ne omogućava redovna okupljanja tima ili ako su operacije već započele, informacije možemo dijeliti i putem infotable u komandnoj prostoriji, a možemo držati i brifinge sa vođama svih timova kako bi im saopćili naše odluke i naredne korake. Bitno je napomenuti da u mjere zaštite lica mora biti upućen ne samo svaki član našega tima već i naša štićena osoba te sve ostale osobe uključene u operaciju. Ovo je izuzetno važno i ni pod kojim okolnostima se ne smije zanemariti. Štićena osoba mora znati naše namjere i odluke i biti saglasna s načinom njihova provođenja.

Ovo je od posebne važnosti jer ukoliko dođemo u opasne situacije u kojima nas napada protivnička strana, izuzetno je bitno da štićena osoba ima potpuno povjerenje u nas i naše aktivnosti i da se sama može uključiti kao podrška. Svako suprotstavljanje dogovorenim mjerama i metodama može imati pogubne posljedice kako pa nas i naš tim tako i po štićenu osobu. Shodno situaciji, upute koje dajemo mogu biti duže ili kraće i u najboljem slučaju uključuju i zajednički trening mjera u slučaju nužde. Štićenu osobu također moramo uputiti u sljedeća područja:

  • Početak zadatka (odakle sve počinje, međusobna identifikacija, očekivani učinak itd),
  • Saglasnost s programom (tok, termini, hronologija, želje, promjene itd),
  • Dostupnost (kako će štićena osoba dospjeti do nas ili kako ćemo mi doći do nje?),
  • Naše poimanje protivničke strane (ključna mjesta, zone opasnosti itd),
  • Uzajamno alarmiranje (štićena osoba nam također može dati dragocjena upozorenja i upute, prije svega ako se nalazi u njenom uobičajenom okruženju),
  • Ponašanje u slučaju nužde (kako postupamo, koje se ponašanje očekuje od štićene osobe itd),
  • Predstavljanje tima (ko je ko, zadaci i odgovornosti itd).

Revizija

Koncepti koje kreiramo za operacije obično imaju kratak vijek trajanja. Morajmo biti uvijek aktuelni i stalno se prilagođavati situaciji na terenu. Zato trebamo napraviti razliku između stalne i periodične revizije koncepta operacije. Stalno znači da se koncepti neprestano aktualiziraju za vrijeme operacije i tako se održavaju vremenski aktuelnima, dok periodična revizija, koju naređuje vođa operacije ili nadređena služba, služi za utvrđivanje aktuelnosti našeg plana.

Nepredviđeno planiranje

Mjere koje smo preduzeli u zaštiti lica mogu biti adekvatne i akcija može proteći bez problema. Međutim, jasno je da isto tako može imati i slabosti zbog kojih su neophodne izmjene, odnosno dopune. Zbog toga se preporučuje da se već prilikom planiranja izrade koncepti za slučaj eventualnih izmjena. Tako nećemo biti iznenađeni i odmah smo spremni za akciju. Prednost rezervnih odluka leži u tome da su već pripremljene i da se brzo mogu aktivirati, a uspjeh može zavisiti upravo od njih.

Plan nastavka

Iza svakog zadatka slijedi novi ili će uslijediti prekid mjera i raspuštanje tima. Zato zadatke moramo početi što prije izvršavati kako bismo iskoristili vremensku prednost koju na početku uvijek imamo. Završetak također mora biti precizno isplaniran, čime se olakšava njegovo provođenje. Na kraju se moraju izraditi izvještaji, obračunati izdaci i troškovi, kao i plate i naknade.

Prilog: ček-lista

Prikupljanje podataka biografija štićene osobe

Osnovne informacije

  • Ime/prezime/pseudonim/umjetničko ime
  • Adresa: privatna/poslovna
  • Članovi porodice
  • Drugo mjesto stanovanja
  • Telefon: privatni/poslovni/mobitel/faks
  • E-mail

Izgled štićene osobe

  • Spol/boja kose/boja očiju/posebna obilježja/brada/
  • Visina/težina

Zdravstveno stanje

  • Zdravstveni problemi, alergije
  • Ljekar
  • Zubar
  • Krvna grupa
  • Stalno potrebni lijekovi
  • Stalno potrebni tretmani

Identifikacijska sredstva za štićenu osobu

  • Traka za snimanje
  • Intervju putem telefona
  • Video/fotografije
  • Uzorak rukopisa/potpis
  • Otisci prstiju

Bankovni račun

  • Ime
  • Adresa
  • Telefon
  • Kreditne kartice
  • Broj računa

 Ostalo

  • Administrativno osoblje/kontakti u slučaju nužde
  • Hobi
  • Oružje, mjesto skladištenja
  • Zemljopisne karte svih mjesta stanovanja uključujući precizan opis
  • Izvještaji o ranijim prijetnjama štićenoj osobi ili njenim članovima porodice
  • Značajne državne, političke ili druge aktivnosti štićene osobe ili članova porodice

Primjena istražiteljskih strategija

U poslovnom kontekstu ne postoji povod za pokretanjem istrage, izuzev ako se nešto već nije desilo ili se dešava. Mali broj organizacija ima luksuz da pokreće istrage u odsustvu nekih snažnih indicija o ozbiljnim kriminalnim djelima. Prije početka same istrage potrebno je analizirati nekoliko važnih faktora, od upravljanja resursima, preko ometanja operativnih aktivnosti do zaštite ugleda involviranih strana

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Može se kazati da nije preporučljivo pokretati istragu bez odgovarajuće analize da li je uopće došlo do činjenja nedozvoljenog djela. Najvažnija pitanja u vezi s pokretanjem istraga su „ko, kada, zašto, kako i šta“ i, na samom početku, jedino se na posljednje pitanje može odgovoriti s određenom sigurnošću. Koliko-toliko jasna slika o naravi počinjenog djela formira se, naprimjer, po pronalasku izgubljenog novca ili imovine. Zadatak istrage je da ta slika bude što jasnija i u tom procesu se može doći do odgovora na navedenih pet pitanja.

Pitanje „kako“ u kontekstu istrage

Dva primarna podpitanja povezana su s davanjem odgovora na pitanje „kako“ u kontekstu istrage: kako je krivično djelo počinjeno i kako se navedeni slučaj može riješiti, uz privođenje krivca pravdi. Oba pitanja tiču se strategije, odnosno strategije koju je kriminalac primijenio prilikom činjenja djela, i strategije koju istražitelj primjenjuje kako bi ga razotkrio. Potonja u određenoj mjeri često zavisi od strategije u skladu s kojom je djelo počinjeno, odnosno osobu koja, naprimjer, vrši pronevjeru istražitelj teško može privesti pravdi ako ne zna kako ona vrši manipulaciju finansijskim sredstvima. To ne znači da poznavanje načina na koji je počinjeno krivično djelo automatski povlači rješavanje slučaja. Krivično djelo i njegovo razotkrivanje su dvije različite sfere i moraju se tako tretirati.

Metode naučne detekcije i utvrđivanje zločina

Promatranje, postavljanje hipoteze i testiranje predstavljaju srž naučnog metoda i on se može primijeniti i na istrage. Aktivnosti na utvrđivanju načina na koji je neko djelo izvršeno su u svojoj srži istraživačke i podrazumijevaju primjenu metoda pokušaja i greške s ciljem fizičke rekonstrukcije krivičnog djela. Također, one mogu biti i istražiteljske naravi i u tom slučaju se ispituju svi koraci i procesi povezani s zločinom, te traže slabosti u njegovom izvođenju kako bi se lakše došlo do istine. U ovoj fazi istražitelj se prvenstveno bavi rekonstrukcijom samog događaja. To podrazumijeva i sistematsko pretraživanje terena i objekata, ispitivanje aktera, potragu za fizičkim dokazima i praćenje svakog traga koji vodi u određenom smjeru. Istražitelj se mora uživjeti u ulogu kriminalca kako bi mu lakše ušao u trag.

——————————

Strategija rješavanja slučaja i modus operandi

U mnogobrojnim slučajevima strategija korištena za činjenje djela korespondira s onom za njegovo razotkrivanje. U tom kontekstu je važno utvrditi počiniteljev modus operandi, odnosno način na koji se određeno krivično djelo ponavlja u vidu obrasca. Na taj način se, u slučaju počinitelja, utvrđuje konzistentnost u pristupu, što može dovesti i do indiciranja strategije rješavanja slučaja. Ako, naprimjer, neki uposlenik krade sredstva tako da krivotvori dokumentaciju za povrat novca i reklamaciju, istražitelj može očekivati da navedeni uposlenik koristi iste metode činjenja krivičnog djela sve dok ima dojam da se one isplate. Ako neki provalnik preferira upad u stanove tokom dana, istražitelj ga neće zateći u noćnim napadima na poslovne prostore. Kriminalac vrijednost svojih metoda procjenjuje isključivo na temelju uspješno izvedenih poduhvata. Nakon što postigne nekoliko manjih uspjeha, on će biti nesklon promjenama operativnog pristupa, prvenstveno zbog manjka imaginacije, inercije i praznovjerja. Na taj način modus operandi se može definirati kao skup navika, tehnika i specifičnosti u ponašanju počinitelja krivičnog djela.

Odabir adekvatne strategije

Iako u pogledu načina na koji je zločin počinjen postoji faktor predvidivosti i konzistentnosti, isto ne važi i za način na koji će određeni slučaj biti riješen. Strategija činjenja djela umnogome određuje i strategiju njegovog razotkrivanja, ali određena ograničenja su prisutna. Obično postoje brojni načini da se kriminalca privede pravdi ili da se neki slučaj riješi, kao i bezbroj situacija u kojima nešto može pomoći krivo ili na neplaniran način. Prilikom primjene strategije za konkretni slučaj, istražitelj mora razmotriti sljedeće faktore:

  • može li korištena strategija, u slučaju da se pokaže neuspješnom, ugroziti istragu?
  • koja strategija stavlja počinitelja djela u najnezahvalniji položaj nakon što ga se uhapsi?
  • koja strategija je najmanje zahtjevna u pogledu zahtjeva za ljudskim resursima, tehnologijom, potrebom za sofisticiranom opremom itd?
  • za koju strategiju je potrebno najmanje vremena u kontekstu njene primjene?
  • koja strategija je ekonomski najpristupačnija?

Najbolja strategija je, zapravo, ona koja traži najmanje vremena, ljudskih resursa i izdataka. Način na koji istražitelj odgovori na ova pitanja predstavlja direktan odraz njegovih ukupnih kapaciteta i istražiteljskih vještina.

Identifikacija osumnjičenih: pitanje „ko“

Nakon „kako“ jedno od temeljnih pitanja u kontekstu istraga tiče se utvrđivanja identiteta lica koje je odgovorno za činjenje određenog krivičnog djela. Jasno je da se pitanje „ko“ ne mora odnositi samo na krivca, nego i na identitet osobe u koju istražitelj ima povjerenja ili joj može pružiti pomoć tokom vođenja istrage (tehničku podršku ili neki drugi vid pomoći). Identitet osumnjičenika utvrđuje se na više načina: procesom eliminacije, analizom fizičkih dokaza i istražnim ispitivanjem. U većini slučajeva koji se tiču privatnog sektora broj potencijalnih osumnjičenika je relativno mali. Naprimjer, ako je riječ o krađama iz kase, broj osumnjičenih ne može biti veći od broja lica koja uopće imaju pristup toj kasi. Prvi koraci su eliminacija osoba koje nisu mogle počiniti konkretno djelo. Proces eliminacije se vrši sve dok se broj osumnjičenih ne svede na nekoliko ili, još bolje, na jednog osumnjičenika. Ipak, u nekim situacijama proces eliminacije nije potreban i dovoljna je tek adekvatna analiza prikupljenih fizičkih dokaza. Međutim, njihova dostupnost nekada nije dovoljna za utvrđivanje počinitelja, zbog čega se istražitelj služi tehnikom ispitivanja svih lica uključenih u slučaj, od žrtava do svjedoka. On ih, u tom slučaju, ispituje u vezi sa svim detaljima do kojih dođe u toj fazi procesa istrage. Navedene tehnike se rijetko primjenjuju samostalno, što znači da će uspješna istraga vrlo često predstavljati kombinaciju ispitivanja, prikupljanja i analize fizičkih dokaza, praćenja, korištenja informatora, ali i istražiteljeve odlučnosti i sreće. Cjelokupnom procesu istrage se, stoga, mora pristupiti kao nauci, iako ona nikada nije egzaktna.

Sve uloge savremenog direktora sigurnosti

Definicije funkcija u sektoru privatne sigurnosti nisu jasne kao one koje se koriste u javnom sektoru. Naprimjer, pozicija šefa policije unutar policijske hijerarhije na općinskom nivou je jasno utvrđena. S druge strane, u privatnom sektoru se titula „direktora sigurnosti“ koristi relativno slobodno. Nerijetko direktor sigurnosti je i sigurnosni menadžer. Bez obzira na to, ove dvije funkcije se razlikuju, prvenstveno po tome ko je kome nadređeni

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Direktor obično predstavlja najviši rang srednjeg nivoa menadžmenta i njegovi nadređeni najčešće su iz rukovodećeg menadžmenta, poput genaralnog direktora ili zamjenika direktora kompanije, za razliku od menadžera sigurnosti. Bez obzira na njihovu poziciju u hijerarhiji, navedena lica se ne nalaze na ključnim menadžerskim pozicijama. Oni iza sebe moraju imati dovoljno iskustva u rješavanju problema i radu s osobljem, kao i biti dinamični i rezultatima okrenuti pojedinci visokog ličnog integriteta. Direktori sigurnosti zaduženi su za izradu organizacijskih planova, vršenje evaluacije osoblja i zaduženja i usmjeravanje cijelog sektora sigurnosti u željenom pravcu. U tom kontekstu, uloga direktora sigurnosti je višestruka. On istovremeno mora djelovati kao lider, rukovoditelj sa širim profilom, inovator, savjetnik, trener i strateški planer.

Direktor sigurnosti kao lider

U ovoj ulozi direktor sigurnosti se ne bavi direktnim upravljanjem sigurnosnim odjelom, nego djeluje kao lider u odnosu na sigurnosnog menadžera i njegov tim. Bivanje liderom podrazumijeva kreiranje adekvatnog ambijenta, utvrđivanje smjernica i predlaganje alternativnih rješenja za utvrđene probleme, kao i poticanje i ohrabrivanje razvoja podređenih uposlenika. U ovoj funkciji uloga direktora sigurnosti se može opisati prema analogiji s redateljem filma koji izvlači najbolje iz članova svog tima. Najzahtjevniji aspekt funkcije lidera je suzdržavanje od donošenja operativnih odluka. Ako direktor sigurnosti odabere pravi tim i adekvatno ga razvije, prepuštanje autentične odgovornosti njegovim članovima kreira klimu povjerenja i profesionalizma. Isto tako, na ovaj način se jača motiviranost uposlenika, a sam direktor mora posjedovati hrabrost, mudrost i snagu da dopusti podređenim da sami donose odluke i odgovaraju za svoje greške.

Uloga rukovoditelja s visokom vidljivošću i širokim profilom

Kao rukovoditelj unutar kompanije, direktor sigurnosti se identificira sa srednje i visokorangiranim menadžmentom kompanije. Pri tome se direktor sigurnosti ne može tretirati isključivo kao specijalist za oblast sigurnosti, nego, u prvom redu, kao rukovoditelj unutar kompanije, pa tek onda kao neko ko se bavi navedenim sektorom. Analogno tome, direktora sigurnosti se ne može tretirati kao pukog „šefa policije“unutar neke kompanije. Nažalost, sami rukovoditelji ovog sektora se nerijetko ponašaju izolacionistički i drže se isključivo problematike sigurnosnih odjela ili izbjegavaju sastanke najviših rukovoditeljskih tijela. Zbog toga je preporučljivo da se direktori sigurnosti više uključe u navedene aktivnosti jer tako dolaze u direktan kontakt sa svojim kolegama i jačaju vidljivost ne samo sebe kao rukovoditelja nego i cjelokupnog sigurnosnog sektora unutar kompanije. U tom smislu, njihovo držanje, ponašanje i pojava na ovakvim skupovima trebalo bi odražavati njihov jednak status s ostalim najvišim rukovoditeljima kompanije. Isto tako, kvalitetnija vidljivost se ogleda i u dostupnosti direktora sigurnosti uposlenicima na svakom hijerarhijskom nivou i on mora koristiti svaku priliku da razgovara s njima. Na taj način se jača klima povjerenja i lojalnosti unutar sigurnosnog odjela.

Djelovanje direktora sigurnosti u kontekstu širokog profila podrazumijeva da on, osim sigurnosnog, daje svoj doprinos i drugim sektorima unutar kompanije. Aktivnosti tog tipa ne samo da jačaju ugled direktora nego mu omogućavaju i da sarađuje s kolegama s kojim se, inače, često ne bi mogao ni sresti. Naprimjer, direktor sigurnosti kao viši rukovoditelj unutar kompanije može biti uključen u program prijema novih uposlenika, u saradnji sa sektorom ljudskih resursa. Na taj način se grade poslovni odnosi i poznanstva od kojih sektor sigurnosti može samo imati koristi.

Planiranje i utvrđivanje ciljeva

Pravac djelovanja i aktivnosti sigurnosnog odjela utvrđuje se na temelju postavljenih ciljeva, a njih, u pravilu, utvrđuje direktor sigurnosti. Ciljevi se postavljaju u okviru strateškog planiranja i oni su istovremeno i izazovi, te ih se danas ne može tretirati kao autentične ako se mogu isuviše lahko ostvariti. Cilj, za direktora sigurnosti, mora biti poduhvat čija realizacija zahtijeva kontinuiranu iskoristivost svih raspoloživih resursa. On može biti kvalitativan i kvantitativan, odnosno uključivati bilo zamjenu osoblja sigurnosnom opremom radi ostvarivanja uštede ili smanjenja ukupnog procenta izgubljene imovine, ili biti fokusiran na pojedinačne vještine osoblja, poput rezultata koje uposlenici ostvare u streljani.

—————————————–

Direktor sigurnosti kao savjetnik i trener

Zbog svog bogatog iskustva i godina provedenih u sektoru sigurnosti direktor sigurnosti može obavljati uloge savjetnika i trenera, koje mogu biti od velikog značaja za kompaniju. U posljednjih nekoliko godina prisutan je trend štednje, zbog čega je i direktorima sigurnosti na raspolaganju često ostajao minimalni broj uposlenika, čime su oni, na taj način, pretvoreni u svojevrsne interne konsultante. U toj funkciji njihova uloga sastoji se u tome da daju savjete, predlažu alternativna rješenja i pomažu u rješavanju problema. Pri tome, oni sarađuju i sa sigurnosnim menadžerom i ostatkom osoblja. U tom smislu, njihova uloga je više participatorna nego izvršna, iako neki prijedlozi direktora u vezi s posebno teškim problemima mogu biti automatski usvojeni.

Uloga direktora sigurnosti kao trenera u kompaniji je višeslojna. Ona može imati učinak koji se osjeti unutar cijelog sigurnosnog odjela i dovesti do poboljšanja radnih učinaka. U odnosu na samu kompaniju, direktor sigurnosti u ovoj funkciji ima važniju ulogu kao lice koje kreira povoljan ambijent za pitanja obuke iz oblasti sigurnosti. To se odnosi na rad na programima prijema novih uposlenika, programima podizanja svijesti o sigurnosti lii promotivnim kampanjima. S druge strane, u odnosu na sigurnosnog menadžera ili pomoćnika direktora, ova uloga je i funkcionalna jer direktor lično mora obučiti, dati smjernice i razviti odgovarajuće kvalitete svojih neposredno podređenih, s ciljem njihovog pripremanja za buduće preuzimanje direktorske uloge. Sama obuka menadžera ne predstavlja vremenski fiksirani proces, nego kontinuirani razvoj koji traje više godina. U tom kontekstu, obuka sigurnosnog menadžera za preuzimanje uloge budućeg direktora predstavlja jedan od najvažnijih zadataka ove funkcije.

Najpoznatije vrste cyber napada

Nakon nekoliko teoretskih nastavaka naše serije tekstova posvećene IT sigurnosti, došlo je vrijeme da pogledamo neke od najčešćih cyber napada. Listu predvode takozvani DDoS napadi, koji ne samo da su trenutno najčešća vrsta cyber napada već je odbrana od njih izuzetno teška

Izvor: Goran Milić
E-mail: redakcija@asadria.com

Prije nego što objasnimo DDoS napade, potrebno je da upoznamo DoS napade. DoS je skraćenica engleske sintagme Denial of Service, što bi u malo slobodnijem prevodu značilo “uskraćivanje pristupa servisu”. Riječ je o vrlo specifičnoj vrsti napada, jer ne dolazi do uništavanja ili krađe podataka, što je obično slučaj kod drugih vrsta napada. DoS napadač jednostavno onemogućava pristup korisnicima, pri tome ne napadajući same korisnike, već izvor nekog servisa. Najčešće se napada mreža na kojoj servis radi. Pod pojmom “servis” podrazumijeva se bilo koji resurs kojem se pristupa putem mreže, počevši od jednostavne web stranice, pa da bankarskih portala ili servisa za prijavljivanje na neki sistem (Windows, e-mail, VPN i slično).

DoS napadi ne koriste propuste u sistemu, već ga preplavljuju zahtjevima za pristup. S obzirom na to da je zahtjeva toliko da ih sistem ne može sve obraditi, dolazi do privida da je on nedostupan. Sistem je tokom napada operativan, ali mu se ne može pristupiti jer je zauzet. Naravno, zbog velikog opterećenja može doći i do softverskih ili hardverskih kvarova, ali to nije glavni cilj napadača. Prvi veći DoS napad desio se 2000. godine, kada su napadnuti veliki web servisi kao što su Yahoo.com i Buy.com. DoS napadi obično se izvršavaju kada napadač na neki drugi način dobije pristup mreži koju želi da napadne.

DDoS – Distributed Denial of Service

DoS napadi su prilično opasni jer je odbrana od njih teška. Jedini način odbrane je otkrivanje izvora napada. Nažalost, DoS napadi su posljednjih godina podignuti na viši nivo uključivanjem interneta i tzv. zombi aplikacija. Zombi aplikacije su obično virusi koji se rašire na kompjutere širom interneta, ali ostaju pod kontrolom svog kreatora, a on ih onda koristi za napadanje sistema, što je osnova DDoS napada.

Da bismo razumjeli DDoS napade, treba razmišljati u okvirima interneta, odnosno miliona, pa čak i milijardi uređaja koji su spojeni na njega. DDoS napadi obično se izvode sa desetina i stotina hiljada uređaja. Zamislite web-sajt koji u jednom trenutku dobije stotinu hiljada zahtjeva za prikaz web-stranice. Ne postoji hardver na svijetu koji može izdržati takva opterećenja. Jedina odbrana su takozvani distribuirani serveri, koji slično kao i napadač raspoređuju posao na više servera. Naravno, za ovo treba imati velike resurse na raspolaganju, što uglavnom nije slučaj. Napadač DDoS napade najčešće koristi za iznuđivanje. Obično je napadačima potrebno platiti određenu sumu novca da bi prestali s napadima, jer praktično ne postoji odbrana od DDoS napada. Ponekad novac nije glavni motiv, već se određeni internetski servisi napadaju iz drugih razloga – političkih, vojnih i drugih.

Uz DDoS napade vezan je i termin botnet. Riječ je o čitavim mrežama kompjutera koji su zaraženi zombi programima, pa samim tim i pod kontrolom napadača. Upravo se botnetima vrše DDoS napadi. Posebno je opasno to što je neke botnet mreže moguće iznajmiti, tako da napadač uopšte ne mora biti haker. Još jedna česta upotreba botnet mreža je slanje spam maila. Zbog toga ne treba da iznenade podaci da se dnevno na internetu isporuči i do 100 milijardi spam mail poruka, odnosno da je oko 80% komunikacije mailom neželjena pošta.

Phishing

Druga vrsta čestih napada je phishing. Ime ovog napada je nepravilno napisana engleska riječ za pecanje, koje savršeno opisuje ovu vrstu napada. Napadač najčešće žrtvi šalje mail koji izgleda kao legitimni mail nekog drugog entiteta (obično banka, eBay, Amazon ili slično), ali se u njemu nalazi link na neki virus ili drugi maliciozni softver. Phishing napadi se mogu izvoditi i lažnim web-sajtovima, a cilj je uvijek isti – natjerati žrtvu da bez svog znanja instalira neki kompjuterski program.

Iako se može učiniti da su phishing napadi usmjereni na pojedinačne korisnike, može biti i napad na neku veću kompaniju ili organizaciju. Napada se više zaposlenika ili pripadnika organizacije, a dovoljno je da samo jedan od njih klikne na pogrešan link i napadač može ostvariti pristup internoj mreži. Phishing se može koristiti za instalaciju zombi aplikacija i kreiranje botnet mreža.

Odbrana od phishing napada najčešće se vrši obrazovanjem korisnika. Potrebno ih je naučiti da razlikuju lažne i originalne mail poruke i web sajtove, te da obrate pažnju kada klikaju na linkove sumnjivog porijekla. Važnu ulogu igra i redovno održavan softver, te korištenje antivirusnog i drugog zaštitnog softvera.

Malware

Pod pojmom malware objedinjeni su svi kompjuterski programi koji na različit način izvršavaju maliciozne operacije. U tu grupu spadaju virusi, crvi, trojanci, spyware i ostali. Ovi programi mogu iskorištavati sigurnosne propuste u softveru (naprimjer, u web browseru) ili mogu “zaraziti” žrtvin uređaj, te tako postati novi izvor digitalne zaraze.

Druge metode koje se koriste prilikom DDoS napada

Osim jednostavnog zahtjeva za korištenjem resursa multipliciranog sa više hiljada različitih lokacija istovremeno, tokom DDoS napada se koriste i druge vrste napada. Neki od najčešćih su:

Teardrop – slanje neispravnih mrežnih paketa. Kako mrežni hardver mora analizirati svaki mrežni paket, neispravno napisan paket usporava njihov rad;

Buffer overflow – specifična vrsta napada kojim se iskorištavaju propusti u softveru. Specifično napisani mrežni paketi ili pojam u polju za pretragu može dovesti do tzv. buffer overflow greške, u kojoj interne softverske strukture dobivaju više podataka nego što mogu podnijeti, pa prestaju funkcionisati ili funkcionišu pogrešno;

Smurf – napad koji koristi lažne zahtjeve za konekcijom. Kompjuter mora odgovoriti na svaki zahtjev, stvarajući mrežni saobraćaj na koji mrežna kartica uređaja ne može stići da odgovori;

Fizički napad – fizičko presjecanje kabla također se može ubrojiti u DoS napade, jer se prekidanjem mrežne konekcije sprečava dolazak korisnika do resursa, odnosno servisa. Ponovo dolazimo do važnosti fizičke zaštite informatičke opreme, o kojoj smo već govorili.

Primjer DDoS napada

Početkom novembra desio se ozbiljan DDoS napad na servis za enkriptiranje elektronske pošte ProtonMail iz Švicarske. Prilikom napada detektovan je mrežni saobraćaj od 100 GB/s, pa ne samo da je ProtonMail bio nedostupan već je i njihov ISP imao problema. Iza napada je stajala hakerska grupa Armada Collective, koja je tražila otkupninu u iznosu od relativno niskih 6.000 USD. ProtonMail je isplatio zatraženi iznos, ali se napad nastavio, mada Armada Collective tvrdi da oni više nemaju veze sa napadom. ProtonMail koristi oko 500 hiljada korisnika za enkripciju maila po OpenPGP standardu.

IZDANJA

Global Security d.o.o.

Hasiba Brankovića 3, 71000 Sarajevo, Bosna i Hercegovina
Tel: +387 (0)33/788-985
Fax: +387 (0)33/788-986
Web site: www.asadria.com
Marketing: marketing@asadria.com
Pretplata: pretplata@asadria.com
PDV broj: 201142740001
Identifikacioni broj: 4201142740001
ISSN 1986-5

Magazin a&s Adria – stručni magazin za kompletna sigurnosna rješenja – mjesečna je publikacija licencirana od strane kompanije Messe Frankfurt New Era Business Media za Adriatic regiju: Bosnu i Hercegovinu, Crnu Goru, Hrvatsku, Kosovo, Makedoniju, Sloveniju i Srbiju.