21 Juna, 2026
image
Home Kategorija Security Services (Page 20)

Security Services

10 sigurnosnih praksi kojih bismo se trebali pridržavati

Cyber sigurnost je vrlo važna tema o kojoj smo mnogo govorili na stranicama ovog magazina, ali zbog ogromnog broja prijetnji koje vrebaju korisnike interneta, nije na odmet podsjećati korisnike kako se treba ponašati u digitalnom svijetu

Izvor: Goran Milić
E-mail: redakcija@asadria.com

S obzirom na veliki broj stvari na koje treba obratiti pažnju tokom korištenja digitalnih alata, teško je sve obuhvatiti u jednom tekstu. Zbog toga smo izdvojili deset najvažnijih sigurnosnih praksi kojih bismo se svi trebali pridržavati. Na taj način ćemo internet učiniti sigurnijim mjestom, kako za nas same tako i za druge korisnike cyber prostora.

  1. Obratite pažnju na socijalni inženjering

Počnimo s najvećom sigurnosnom prijetnjom – socijalnim inženjeringom. Uz pomoć socijalnog inženjeringa hakeri i kradljivci podataka dolaze do povjerljivih informacija. Pri tome često koriste metode phishinga (lažnih web-stranica i e-mail poruka) ili lažnog predstavljanja kako bi žrtve nagovorili da im dobrovoljno predaju povjerljive podatke ili načine na koje mogu doći do njih. Zbog toga je potreban veliki oprez na svakom koraku. Budite sumnjičavi prema telefonskim pozivima, linkovima, e-mail porukama te, zapravo, svim vidovima komunikacije. Kao poslovni korisnik uvijek imajte na umu da većina napada dolazi iznutra. Čak i sigurnosni eksperti mogu biti prevareni, pa je oprez najvažnija metoda borbe protiv zlonamjernih korisnika.

  1. Zaključavajte svoj telefon

Pametni telefoni su postali osnovni komunikacijski uređaji, a pri tome se na njima nalaze i drugi razni povjerljivi podaci: od šifri za web-servise do sigurnosnih pinova za bankarske usluge. Zbog toga je veoma važno da uključite zaključavanje telefona. Čak štaviše, osnovni pinovi sa četiri cifre više se ne smatraju dovoljno sigurnim. Koristite više cifri ili instalirajte dodatne alate za povećanje sigurnosti. Nikako ne koristite pinove kao što su 0000, 1234 ili 9876.

  1. Uključite automatski backup

Ako svakodnevno ne pravite zaštitne kopije važnih podataka, onda oni nisu sigurni. To nikako nije lak zadatak, a posebno se teško sjetiti svakodnevno praviti kopije. Zbog toga iskoristite brojne alate koji vam stoje na raspolaganju za automatsku zaštitu važnih podataka. I Windows i Mac OS imaju ugrađene alate za pravljenje backup kopija, a postoje i mnogi specijalizovani alati, pa čak i web-servisi. Dobar backup je najbolja zaštita od većine cyber napada.

  1. Instalirajte dobar antivirusni i antimalware softver

Baš kao i u slučaju backup alata, veoma je važno da koristite antivirusne i antimalware alate. Postoje rješenja koja imaju sve zaštite u jednom paketu, a možete koristiti i odvojene alate. Ono što je važno je da imate te alate instalirane i da ih redovno koristite. Avast, Avira i nešto noviji 360 Total Security su dobri izbori, a pri tome su besplatni za ličnu upotrebu.

  1. Zaštitite bežični router

Bežični router je prva tačka odbrane kada je u pitanju lokalna mreža. Veće mreže imaju administratore koji se brinu o sigurnosti, ali manje mreže su vaša odgovornost. Obavezno promijenite login podatke za administratora vašeg bežičnog routera. Koristite isključivo WPA2 (AES) enkripciju bežičnog mrežnog saobraćaja. Uključite firewall zaštitu na routeru. Provjerite i ostale sigurnosne postavke. Ako želite da dijelite konekciju s drugim korisnicima koji nisu stalni korisnici vaše mreže, postoje i načini da to uradite na siguran način. Najlakše je kreirati takozvanu „gost“ mrežu, na kojoj korisnici nemaju pristup lokalnoj mreži već samo pristup internetu.

  1. Nikada ne šaljite povjerljive podatke e-mailom bez enkripcije

Povjerljive podatke kao što su bankovni podaci ili poslovne informacije nikada ne šaljite u e-mail porukama koje nisu enkriptovane. Korištenje enkripcije na mail porukama nije jednostavno, ali ako cijenite svoje podatke, potrošićete jedno popodne na konfiguraciju potrebnih alata kao što su PGP ili ProtonMail. A onda ćete zahtijevati od drugih učesnika komunikacije da urade isto, jer bez toga nema sigurne mail komunikacije. U slučaju da vam je to komplikovano ili teško izvodivo, ručno enkriptujte podatke prije slanja. Za to možete iskoristiti alate kao što su: VeraCrypt, 7-Zip ili AxCrypt.

  1. Ne koristite javne otvorene bežične mreže bez VPN konekcije

Nema ništa bolje nego pronaći otvorenu bežičnu mrežu i koristiti internet bez dodatnog troška. Međutim, nema gore stvari koju možete uraditi za sigurnost podataka. Prilikom takve komunikacije svi podaci koje šaljete potpuno su otvoreni za prisluškivanje, pa čak i zlonamjerni korisnici sa niskim tehničkim znanjem mogu čitati vaše mail i druge poruke. Ako već morate koristiti otvorene bežične mreže, onda obavezno koristite VPN ili Virtual Private Network tunele. Riječ je o tehnologiji koja enkriptuje mrežni saobraćaj između vas i druge strane komunikacije, tako da nema mogućnosti prisluškivanja. Brojni web-servisi nude VPN zaštitu internetske komunikacije. Ako ne želite da plaćate za VPN, onda jednostavno nemojte koristiti otvorene bežične mreže. Koristite 3G konekciju, mada ni ona nije potpuno sigurna, ili se jednostavno strpite dok ne dođete do neke mreže kojoj vjerujete.

  1. Koristite Password Manager alate

Dobra šifra je veoma važna, ali je teška za korištenje. Da imate jednu ili dvije, to bi se još i moglo savladati, ali danas prosječan korisnik interneta ima bar desetak različitih šifri, a najčešće i mnogo više. I sve one bi trebale biti kompleksne, dugačke i nikako se ne bi smjele ponavljati. Zbog toga je korištenje Password Manager alata gotovo obavezno, jer značajno olakšavaju teški zadatak upravljanja velikim brojem kompleksnih šifri. LastPass je vjerovatno najpoznatiji, ali postoje i Dashlane, KeePass, 1Password, RoboForm i mnogi drugi.

  1. Koristite dvostruku autentifikaciju

Dvostruka autentifikacija je nova sigurnosna metoda koju danas omogućavaju svi ozbiljni web-servisi. Ako još niste čuli za ovu zaštitu, riječ je o metodi autentifikacije koja osim šifre koristi još jednu provjeru, kao što je slanje sigurnosnog koda na mail ili SMS kako bi servis bio siguran da ste to sigurno vi. Dvostruka autentifikacija je posebno korisna u slučaju danas vrlo čestih hakerskih napada na baze podataka s korisničkim imenima i šiframa. Ako imate uključenu dvostruku autentifikaciju, zlonamjerni korisnici vam ni u kom slučaju ne mogu ukrasti korisnički račun. Obavezno potražite i uključite ovu opciju u svojim web-servisima. Ako je nema, nemojte ni koristiti taj servis.

  1. Redovno provjeravajte sigurnosne postavke i dozvole koje imaju aplikacije

Na kraju, nije dovoljno da samo poštujete sva ova pravila. Sigurnost treba održavati, pa povremeno provjerite poštujete li ovih deset pravila. Usput provjerite da li je softver koji koristite ažuran, te da li su mu sigurnosne postavke dobre. Provjerite koje dozvole imaju vaše mobilne aplikacije, jer se u telefonu nalazi mnogo važnih podataka. Neka vam ova pravila postanu redovna navika. I na kraju, još jednom – budite oprezni, zlonamjerni korisnici su svuda oko nas na internetu.

Kako objekte učiniti sigurnim za naše odabrane goste

Stambene i poslovne zgrade zasigurno spadaju u najzahtjevnije objekte za izradu planova za zaštitu. No kako bismo sebi olakšali takav zadatak, u ovome tekstu pojasnit ćemo šta nam je sve potrebno za izradu uspješnog plana. Možda djeluje trivijalno, ali pripremu za osiguranje zgrade započinjemo izradom odgovarajuće ček-liste, koja mora sadržavati veliki broj podataka

Piše: Džemal Arnautović, instruktor IPSTA-e (International Private Security Training Association)
E-mail: redakcija@asadria.com

Pripremiti i osiguravati velike objekte i općenito objekte u kojima postoji veliki promet ljudi nikada nije lahko. Zgrade su specifične po mnogo čemu i baš svaka pojedinačno zahtijeva izradu detaljnog plana. U sigurnosnom smislu one se razlikuju prema veličini i unutrašnjem i vanskom dizajnu, ali i prema pristupnim putevima te samoj lokaciji. Pripremu za osiguranje zgrade započinjemo izradom odgovarajuće ček-liste, koja mora sadržavati veliki broj podataka. Prvo upisujemo ime, odnosno dio grada u kojem se naša zgrada nalazi i adresu, a zatim dodajemo sve ceste i raskrsnice koje vode prema njoj. Nakon toga upisat ćemo vrstu i namjenu zgrade, oblik, broj spratova i stanara (eventualno i svih uposlenika u zgradi), broj slobodnih prostorija s tačnim površinama, broj i izgled skladišta, parking-prostora, broj ulaza, izgled vanjske i unutrašnje konstrukcije objekta itd.

Vlasnik i upravitelj

Ništa manje bitno nije i ime vlasnika zgrade, njegova adresa stanovanja, kancelarija, broj telefona te osoba za kontakt, koja će nam biti dostupna cijeli dan. Ukoliko zgrada ima upravitelja, navesti njegovo ime, privatnu i poslovnu adresu, privatni i poslovni broj telefona te također osobu za kontakt dostupnu dan i noć. Svaka zgrada ima i svog portira. Potrebno je navesti njegovo ime, adresu i brojeve telefona. Nakon toga prelazimo na opis vanjskog dijela zgrade, gdje navodimo kako izgledaju vanjski zidovi i prozori, omogućavaju li zaštitu privatnosti i posjeduju li mogućnosti zamračivanja. Naravno, ovo je bitno što detaljnije opisati i zbog eventualne odbrane zgrade i prevencije upada, ukoliko to situacija bude zahtijevala. Zatim pišemo izgled i broj vrata, kapija, balkona i verandi, a treba zabilježiti i broj i izgled zasađenih biljaka u blizini fasade. U unutrašnjosti zgrade izuzetno je bitno znati oblik, veličinu i boju zidova i hodnika, te zavesti u dokument i svaki prozor koji vodi prema atriju ili gleda vani. Nakon toga pišemo broj vrata, liftova, kapija i stepenica na svakom spratu. Mnogo upada u zgradu tokom napada ili pljački obavljalo se preko krova. Zato ga moramo opisati, navesti njegovu kvadraturu i konstrukciju, te precizirati o kakvoj vrsti krova je riječ – je li u pitanju ravni ili kosi krov, posjeduje li sljeme ili neki drugi oblik. Naravno, pobrojati i opisati vrata koja izlaze na njega te eventualno prozore. Osim prevencije upada, krovni prozori ili otvori mogu predstavljati i korisan alternativni izvor svjetlosti za unutrašnjosti prostorije. Ukoliko se naša zgrada nalazi u gusto zbijenom bloku zgrada, morat ćemo detaljno navesti i sve eventualne okolne objekte s kojih je moguć prilaz našem krovu.

Krov i ulica

Moramo znati postoji li bilo kakav drugi način za prilaz krovu te na koji način funkcioniraju požarne stepenice. Idealno bi bilo da naš ciljani objekat osmotrimo i s okolnih mjesta ili zgrada – možemo, npr., u susjednom hotelu iznajmiti sobu s balkonom ili verandom i dok pijemo jutarnju kafu, skicirati detaljno vanjski izgled naše štićene zgrade. Ukoliko želimo ostati „nezapaženi“, naš objekat možemo osmotriti i s obližnjih brda, mostova, tornjeva ili drugih uzvisina. Od vanjskih osobenosti još je potrebno razmisliti o rutama ulaska i izlaska iz zgrade, podrumima i alternativnim izlazima, te „snimiti“ koliko je moguće detaljno saobraćaj koji se odvija u blizini. Mnogo atentata je uspjelo, odnosno mnogo odbrambenih tehnika je zakazalo, čak i sa smrtnim ishodom, upravo zato što saobraćaj ispred objekta u kojem je štićena osoba odsjela nije bio adekvatno regulisan. Upasti u gužvu u odsutnim trenucima jedna je od garancija neuspjeha cijelog projekta. Stoga ako smo u poziciji da biramo, za odsjedanje našeg tima i štićene osobe radije ćemo birati zgrade i objekte na periferiji grada nego u samom centru.

Anterfile

Tehnička zaštita objekta

Koliko su bitne fizičke osobine objekata, jednako su bitne i one tehničke. Na nama je da provjerimo i opišemo u detalje sve što čini sistem tehničke zaštite objekta. Dakle, bilježimo svaki alarmni uređaj, uređaj za signalizaciju požara i videonadzor, svaki senzor i kameru, protuprovalna vrata i prozore, uključujući i njihovu klasifikaciju. Zatim provjeravamo način ulaska i izlaska, tj. da li su potrebne iskaznice ili pristupnice i koje vrste za osoblje objekta, vozila, posjetioce, garažu i drugo.

Svaka manje-više poslovna ili stambena zgrada uglavnom ima i svoju osobu zaduženu za sigurnost, a kontakt s njom od izuzetnog je značaja za nas. S tom osobom provjeravamo postoji li u zgradi kontrolno mjesto za skladištenje oružje i eksploziva. Ukoliko postoji takva prostorija, moramo je obići i uvjeriti se u ispravnost njena skladištenja i osiguranja. Potrebno je provjeriti sve ulaze i izlaze iz nje, evidentirati mjesta za utovar i istovar, ulaze za dobavljače, izlaz za slučaj nužde i servisni lift. Također, ta osoba može nam dati informacije o svim naoružanim osobama u zgradi, onim koje imaju dozvolu za nošenje oružja te upoznati nas s postupkom za naoružano osoblje.

Veliki hakerski napad koji je prošao potpuno neprimijećeno

Početkom maja su iz ukradene baze podataka objavljeni milioni e-mail adresa, šifri i brojeva telefona. Napad je izvršen tokom 2015. godine, ali do danas nije jasno odakle su ti podaci došli, niti ko je odgovoran za napad

Izvor: Goran Milić
E-mail: redakcija@asadria.com

Hakeri su 2015. godine u najvećoj tišini ukrali bazu koja je sadržavala podatke o više od 57 miliona ljudi. Krađa je objavljena tek početkom maja 2016, kada su se podaci iz baze podataka našli na prodaji u najtamnijim uglovima Dark weba (naziv za anonimni dio interneta do kojeg se ne dolazi uobičajenim putevima, a na kojem se nalaze informacije osjetljivog sadržaja poput foruma za prodaju ilegalnih roba i usluga, kao što su narkotici, oružje ili podaci s hakiranih kompjuterskih mreža). Podaci su ukradeni između 2012. i 2015. godine, a uključuju korisnička imena, e-mail adrese i šifre sa MD5 hashevima, koje se danas lahko razbijaju. Osim toga, u bazi se mogu pronaći i brojevi mobilnih telefona te Facebook korisnička imena.

Lažni i stvarni napadi

Velika većina e-mail adresa koje se nalaze u bazi povezana je s velikim kompanijama kao što su Apple, Twitter i Google, kao i s vladama zapadnih zemalja i njihovim agencijama. Informacije o ovome došle su samo nekoliko dana nakon objave o drugom napadu na velike mail servise (Google, Yahoo, Outlook i mail.ru), koji se ipak pokazao lažnim. Međutim, napad o kojem govorimo u ovom tekstu itekako je stvaran. Napade je otkrio gray hat haker poznat pod imenom Peace, koji je do baze podataka došao posredstvom ruskih hakera. Dio podataka je proslijedio web-stranici ZDNet, koja je prva izvijestila o napadu, a on kompletnu bazu podataka veličine 4,6 GB prodaje po cijeni oko 400 američkih dolara ili 0,8 bitcoina.

Sigurnosni stručnjak Troy Hunt, koji vodi web-stranicu „Have I Been Pwned“, na kojoj možete vidjeti jesu li vaši podaci žrtva nekog od hakerskih napada, objavio je da je pronašao 52,5 miliona jedinstvenih e-mail adresa, što znači da je velika većina podataka prvi put objavljena, te da je riječ o stvarnoj krađi podataka koji prije nisu bili dostupni.

Odakle je ukradena baza podataka?

Na pitanje iz podnaslova za sada nema odgovora i to je ono što ovoj priči daje posebnu notu zanimljivosti. Hacker Peace navodi da su podaci došli sa web-sajta Zoosk, koji služi za upoznavanje parova, ali on ima „samo“ oko 33 miliona korisnika. Peace kaže da je za napad iskorišten zastarjeli softver na samoj web-stranici, bez specifičnih detalja.

Nakon što je pregledao neke od objavljenih podataka, Zoosk je oštro odbacio ovakve tvrdnje pošto se objavljeni ne slažu s njihovim podacima. Njihov glasnogovornik je naglasio da se nijedan objavljeni podatak ne slaže s podacima u Zooskovoj bazi, odnosno da se samo dio objavljenih e-mail poruka slaže s podacima koje oni posjeduju, te da je to nedovoljno da bi se uspostavila pouzdana veza između dva seta podataka. Troy Hunt je otišao i korak dalje kontaktiravši nekolicinu osoba čije su e-mail adrese objavljene. Samo neki od njih su potvrdili da su koristili Zoosk, dok ih je većina negirala upotrebu tog servisa. Rasmus Poulsen, jedan od ljudi čija je e-mail adresa objavljena, kaže da uopšte nije šokiran ovakvim otkrićem, jer su sigurnosni propusti svakodnevna stvar. Miran je, kaže, jer je implementirao LastPass rješenje za zaštitu svog digitalnog identiteta. Ipak, vrijedi istaći da je Poulsen, kao i mnogi drugi korisnici, koristio istu e-mail adresu i šifru na više različitih servisa, što je jedan od najsigurnijih načina da svoje digitalne podatke pronađete objavljene na Dark webu.

Žrtva ili ne?

Još jedan servis za upoznavanje je uključen u priču. Riječ je o Badoo servisu iz Velike Britanije, koji ima oko 300 miliona korisnika. I njihov glasnogovornik je odbio bilo kakvu vezu s objavljenim podacima. „Badoo nije bio žrtva hakerskog napada i svi naši podaci su sigurni. Pratimo sigurnost našeg sistema i koristimo sva raspoloživa sredstva kako bismo zaštitili naše korisnike. Upoznati smo s ovim hakerskim napadom, ali smo apsolutno sigurni da podaci nisu naši i da naš sistem nije kompromitovan“, kaže se u prilično samouvjerenom saopštenju iz kompanije Badoo. Prema analizi koju je obavio Hunt, oko 88.000 adresa završava sa badoo.com domenom. Dalja analiza je potvrdila da je riječ uglavnom o testnim korisničkim računima, koji su imali iste ili slične podatke. Prema tome, vjerovatno se ne radi o pravim podacima vezanim za kompaniju Badoo. Ovo je potvrdio i Andrey Andreev, osnivač te kompanije, koji kaže da je u ukradenoj bazi podataka oko 19.000 testnih korisničkih računa, koji su bili aktivni samo 30-ak minuta. Prema njemu, takvi korisnički računi se ne mogu koristititi za vanjske servise, tako da od njih hakeri nemaju nikakve koristi.

Međutim, veliki broj e-mail računa ima @mobile.badoo.com ekstenziju, što je znak da je riječ o računima koji su povezani s telefonskim brojevima korisnika koji se koriste za prijavljivanje na Badoo web-stranicu. Andreev je potvrdio da se radi o mehanizmu koji njegova kompanija zaista koristi za bilježenje podataka o svojim korisnicima.

Ko je odgovoran za napad?

Ni Andreev ni glasnogovornik kompanije Badoo nisu mogli odgovoriti na pitanje kako ili zašto su se ovi podaci pojavili u ukradenoj bazi podataka, iako su čvrsti u stavu da njihov sistem nije doživio hakerski napad. Kao još jedan dokaz Andreev navodi da njegova kompanija ne koristi MD5 enkripciju šifri. Baš kao što niko nije potvrdio da su podaci njegovi, odnosno da je njegov sistem hakovan, isto tako niko nije preuzeo odgovornost za uspješan napad, što je prilično čudno u zajednici hakera koji baš vole da se hvale svojim „uspjesima“. Na kraju krajeva, nije posebno bitno ni ko je napadač ni ko je žrtva. Bitno je da su milioni korisničkih računa i šifri na tržnici Dark weba, te da se o napadu ništa nije znalo skoro godinu dana. Šta se prije javne objave dešavalo s podacima, ostaje samo da nagađamo. Baš kao što možemo nagađati da li je bilo još sličnih napada, koji su rezultirali krađama baza s milionima podataka, koje se možda prodaju na Dark webu, a možda i ne, ili ih se koristi za neke druge svrhe.

Najpoznatiji hakerski napad na web-stranicu za upoznavanje

Razotkrivanje podataka sa web-sajta za upoznavanje AshleyMadison.com direktno je uzrokovalo štetu ne samo vlasniku web-servisa već i njegovim korisnicima. Ovaj hakerski napad otkrio je podatke oko 32 miliona korisnika tog web-servisa, a veličina baze podataka iznosila je oko 9,7 GB podataka. I ona je objavljena na ilegalnim digitalnim tržnicama Dark weba, a sadrži podatke i o kreditnim karticama. Hakerska grupa koja stoji iza ovog napada naziva se The Impact Team.

Održavanje pozitivne discipline u sigurnosnim odjelima

Većina sigurnosnih menadžera zna da sama riječ disciplina kod uposlenika nerijetko izaziva snažne emotivne reakcije. Također, veliki broj menadžera nerado se bavi disciplinom jer je u ljudskoj prirodi da se opire i protivi kažnjavanju. Zbog toga je u kompanijama važno usvojiti pozitivan pristup, koji se može nazvati „pozitivna disciplina“

Piše: Semir Kapetanović
E-mail: redakcija@asadria.com

Pozitivna disciplina u osnovi predstavlja obuku koja služi za oblikovanje i osnaživanje uposlenika s ciljem postizanja ciljeva kompanije ili njenog sigurnosnog odjela. Pri tome, kažnjavanje, kao nepopularan aspekt discipline, igra sekundarnu ulogu, odnosno provodi se uz fokus na ciljeve organizacije, a ne na ličnom nivou. Nakon što se akcent stavi na ponašanje i prateći učinak umjesto na konkretnu ličnost, čitav proces dobija konstruktivnu dimenziju, koja je prihvatljivija svim akterima. Sveobuhvatna primjena principa pozitivne discipline pomogla je brojnim menadžerima da otklone probleme u radu s uposlenicima. Kako se ona temelji na preventivnoj naravi, važno je da se disciplinske mjere provode brzo jer se nedostaci koji već postoje kasnije sve teže otklanjaju.

Nadzornik sigurnosti

Najvažniju ulogu u tom procesu ima nadzornik sigurnosti i on odgovornost za disciplinu ne može prebacivati na odjel za ljudske resurse ili direktora sigurnosti. Neki nadzornici izbjegavaju izvršavanje svojih obaveza iz te oblasti jer smatraju da time narušavaju odnose sa svojim podređenim, što nikako ne smije postati praksa. Korektan i objektivan nadzornik u svom odnosu prema uposlenicima zapravo dobija njihovo poštovanje ako se postavi na način da očekuje poštivanje propisa i pravila. U tom slučaju izgradnja autoriteta će predstavljati dovoljnu garanciju poštivanja discipline, bez potrebe da se primjenjuju nepopularne disciplinske mjere. Pri tome je važno imati na umu da je zabluda smatrati da se konstruktivna disciplina odnosi samo na manje učinkovite radnike jer se njom moraju obuhvatiti svi uposlenici. U nekim situacijama se mjere primjenjuju i na uposlenike koji se posebno ističu u radu, jer se kod njih može stvoriti dojam da su praktično nezamjenjivi. Odgovorna osoba mora biti u mogućnosti da prepozna razlike među uposlenicima i najprije stekne njihovo povjerenje i lojalnost, a onda ih i motiviše da postižu više. Ovo u konačnici znači značajno smanjenje problema s disciplinom.

Razgovor s uposlenikom i raspodjela zaduženja

Primjena svake disciplinske mjere počinje razgovorom. Ako im se pristupi uz uvažavanje psiholoških potreba uposlenika i njegovog tretmana kao izgrađene osobe, ovakav razgovor, zapravo, može poslužiti za podizanje nivoa kvaliteta odnosa između nadređene osobe i nižerangiranih uposlenika. Zaposlenik ne smije otići s disciplinskog razgovora uz osjećaj da ga se pogrešno shvatilo, napadalo ili da mu se nametao osjećaj krivice. Primjenom pristupa pozitivne discipline i svijesti da je ona, zapravo, vid korekcije i obuke, uposlenik će ovakav razgovor napustiti s obnovljenim samopouzdanjem i većim poštovanjem za svoje nadređene. U nekim situacijama disciplinski problemi su posljedica pogrešno utvrđenih radnih zadataka i tu krivica leži na menadžmentu, a ne na uposleniku. Oni često proizlaze zbog neizvršavanja zadataka, što može biti posljedica neadekvatne komunikacije među uposlenicima, a ne s nivoom njihovih profesionalnih kompetencija. Zbog toga je važno da kod provođenja discipline i nadređeni prepoznaju svoju odgovornost prilikom jasnog definisanja obaveza uposlenika, kao i njihovog predstavljanja uz korištenje razumljive frazeologije. U tom slučaju, umjesto direktnog naređenja, idealan način za davanje zadataka je molba ili zahtjev, jer to ostavlja prostor da uposlenik ponudi svoje sugestije koje se tiču njegove realizacije.

Pravila vođenja disciplinskog postupka

Postoji više osnovnih pravila vođenja disciplinskih postupaka koja se mogu univerzalno primjenjivati. Najprije je potrebno jasno definisati pravila i zaboraviti na ideju da se neka od njih trebaju podrazumijevati. Mnogi propisi se tiču organizacije i mogu biti novi za uposlenike koji tek zasnivaju radni odnos. Naprimjer, ukoliko postoji propis da čuvari, u slučaju da zaborave svoju, ne smiju nositi posuđene značke, to mora biti institucionalno riješeno. Ovakvi propisi se mogu staviti i na listu koju svaki novi uposlenik mora obavezno potpisati. Jednako važno je provoditi disciplinu izvan nepoželjnih očiju javnosti. Provođenje ovih mjera pred drugim kolegama može biti ponižavajuće za uposlenika na koga se one odnose, što znači da se o disciplini treba razgovarati u okruženju kancelarije, odnosno u četiri oka. Osim toga, ovakav ambijent omogućava lakše vođenje razgovora o prekršaju, pri čemu obje strane trebaju detaljno saslušati jedna drugu. Pri tome je važno zadržati objektivnost i konzistentnost jer, kako je navedeno na početku, konstruktivna disciplina se temelji na kažnjavanju akta, a ne osobe. Nema potrebe navoditi da pri tome treba izbjegavati uvrede ili ponižavanje uposlenika. Isto važi i za nekonzistentnost, koja se ogleda u različitom tretmanu uposlenika za isti prekršaj. Navedene situacije dovode do pojave nepoštovanja i prezira prema menadžmentu organizacije ili odjela i treba ih maksimalno izbjegavati.

Konstruktivna disciplina

Umjesto toga, sigurnosni menadžment treba se fokusirati na edukaciju, odnosno usklađivanju rada uposlenika sa standardima izvršavanja radnih zadataka. Radi lakšeg vođenja evidencije o disciplinskim postupcima, za svakog uposlenika koji je obuhvaćen njima potrebno je voditi odgovarajući dosje. Oni mogu biti korisni prilikom utvrđivanja slučajeva kršenja discipline koji se ponavljaju. Osim toga, vođenje ovih postupaka mora biti organizirano na progresivan način, pri čemu se odgovarajući prekršaji tretiraju proporcionalnim kaznama, kao i praćenjem njihova ponavljanja. Jedan od primjera gradacije u ovom pristupu je sekvenca koja se sastoji od sljedećih elemenata: usmeno savjetovanje, usmena opomena, pisana opomena, opomena pred suspenziju, suspenzija bez isplate dohotka i davanje otkaza. Pri tome se uposleniku u svakoj prilici mora omogućiti da navede i svoje razloge i opravdanja za određeni incident. Na kraju, konstruktivna disciplina nije samo pristup koji se odnosi na uposlenike – njegov važan segment je i samodisciplina na menadžerskoj strani. Te osobe moraju poslužiti kao primjeri drugima, a najbolji način za to je kontrola vlastitih slabosti, predrasuda i negativnih razmišljanja. Nadzornik ili menadžer na taj način kreiraju kvalitetan temelj za saradnju s drugim uposlenicima i otklanjanje njihovih grešaka, a izbjegavaju pojavu loše atmosfere.

Provođenje obuke sigurnosnog osoblja

Nezadovoljavajući radni učinak najčešće je posljedica neadekvatne obuke. Iako se ona često navodi kao jedan od važnijih prioriteta u segmentu upravljanja sigurnošću, nerijetko se dešava da se za nju ne izdvaja dovoljno sredstava ili vremena. Edukacija je segment sigurnosnog menadžmenta kod kojeg cijela stvar nerijetko završava samo na praznim obećanjima

Piše: Mirza Bahić
E-mail: redakcija@asadria.com

Dodatnu poteškoću u kontekstu realizacije obuke predstavlja činjenica da je njena funkcija često pogrešno shvaćena. Standardna definicija edukacije kaže da je to edukativan i informativan proces kojim se želi postići određeni nivo radnog učinka putem promjene pristupa i znanja u vezi s određenom problematikom. Novim uposlenicima se mora staviti do znanja šta menadžment očekuje od njih, zašto se od njih nešto traži i kako se to želi postići. Pri tome sigurnosni odjeli primjenjuju dvije osnovne strategije: obuku uz posao i formalnu obuku.

Pristup organizaciji edukacije

Strukturiranje obuke uz posao sastoji se od prepoznavanja očekivanja u pogledu znanja koja su uposleniku potrebna za izvršavanje određenih radnih zadataka. Ovo prati procjena vremena koje će biti potrebno za stjecanje novih vještina, kao i posvećenost trenera pridržavanju plana realizacije obuke. Najbolji način za praćenje ovog procesa je izrada logičke kontrolne liste, koju će koristiti kako treneri tako i polaznici edukacije. Naprimjer, kod obuke o postupanju u slučaju izbijanja požara u ovoj listi se navode dužina pojedinačnih edukativnih sesija, datum evaluacije te ime i prezime polaznika i trenera. Po njenom okončanju supervizor ovjerava kontrolne liste i potvrđuje okončanje prve faze. Službenici zaduženi za provođenje edukacije uz posao u privatnom sektoru često dobijaju određene bonuse i poticaje za bavljenje obukom paralelno s realizacijom svojih osnovnih zaduženja. Ovi angažmani se moraju dodjeljivati isključivo najboljim uposlenicima u sektoru sigurnosti.

Formalna ili strukturirana obuka

U zavisnosti od nivoa složenosti određene pozicije u sistemu sigurnosti, može se ukazati potreba i za obukom koja se održava u za to posebno predviđenim prostorijama ili učionicama. Pri tome obuku najčešće vode eksperti ili najistaknutiji među profesionalnim trenerima. Osim prezentacija, ovaj vid edukacije može uključivati i tzv. igranje uloga, korištenje videomaterijala, filmova, kompjuterskih programa za testiranje i dr. Kao i kod pripreme za posao, i ovi programi podrazumijevaju korištenje kurikuluma, u kojem se navodi tip edukacije, ime trenera koji pokrivaju određenu materiju, kao i dosjei o polaznicima. Formalna obuka uključuje i testiranje nivoa razumijevanja i usvajanja vještina.

Tipovi edukativnih programa

Sigurnosni menadžment ima obavezu da razradi sveobuhvatnu i raznoliku listu programa obuke za svoje uposlenike. Edukacije se najčešće sastoje od seminara i radionica. Seminari su obično najučinkovitiji ako ih se realizira prema klasifikaciji uposlenika, odnosno podjeli na patrolno i uniformisano osoblje ili, npr., istražitelje u oblasti prevara. Jedan od bitnih aspekata ovih sesija, koje najčešće traju od jednog do tri dana, jeste i motivacija, koja mora biti postavljena kao prioritet u okviru plana rada. Drugi tip obuke su radionice, koje obuhvataju nešto konkretniji djelokrug. Jedan od tipičnih primjera su radionice iz oblasti vođenja ispitivanja. One najčešće traju od pola do jednog dana i obuhvataju principe i tehnike ispitivanja uz tzv. simulacije uloga u kombinaciji s videomaterijalima. Druga vrsta radionica mogu biti one koje se bave pripremom osoblja za svjedočenje na sudu. I one obično traju između pola i jednog dana i uključuju teme poput pripreme dokaza, načina oblačenja i ponašanja prilikom svjedočenja, opažanja „zamki“ i izlaženja na kraj sa stresom. Ostali popularni tipovi radionica za sigurnosno osoblje tiču se obuke iz oblasti pripreme izvještaja i najčešće obuhvataju višesatne analize izvještaja i principa njihove izrade. Na kraju, za višerangirano osoblje tu su raznovrsne obuke u sferi obavljanja radnih zadataka koji se tiču nadzora rada podređenog osoblja. One mogu trajati u rasponu od dvosatnih prezentacija do trodnevnih seminara, a teme se najčešće tiču vođenja disciplinskih postupaka za osoblje i različitih stilova pristupa menadžmentu.

Izrada sigurnosnih smjernica za obuku

Sigurnosne smjernice u vidu priručnika predstavljaju jedan od najvažnijih operativnih alata za potrebe vođenja obuke. Ovaj svojevrsni vodič mora se redovno ažurirati. Na svakoj stranici ovog dokumenta potrebno je navesti mjesec i godinu u kojoj je materijal za obuku prvobitno izrađen i/ili ažuriran. Tematika smjernica se mora temeljiti na relevantnoj sigurnosnoj politici, koja se primjenjuje na nivou kompanije ili odjela. Tu spadaju i opisi poslova, najvažniji kontaktni podaci i proceduralne upute za konkretne incidentne situacije, poput telefonskih dojava o bombama ili nestanka struje u cijelom objektu. U nekim organizacijama ovakav priručnik se tretira kao esencijalni dokument i zato se uposlenicima ograničava pristup njemu, što je apsolutno pogrešno. Ove smjernice moraju biti dostupne svim pripadnicima sigurnosnog osoblja.

———————–

Zadovoljavanje organizacijskih potreba

Tipovi programa obuke u osnovi su ograničeni organizacijskim potrebama same kompanije. Edukativni materijali obično su dostupni kod lokalnih obrazovnih institucija i sigurnosno osoblje je potrebno kontinuirano poticati na njihovo korištenje. Ipak, specifičnim potrebama se mora odgovoriti kroz interno organiziranu edukaciju, koja je uvjetovana potrebom za određenim osobljem. Uloga sigurnosnog menadžmenta u ovom kontekstu je adekvatno obrazlaganje potrebe za organizacijom određenog vida obuke. Pri tome menadžment ne smije ispustiti iz vida same zahtjeve za obukom koji dolaze od osoblja na terenu i u skladu s njima dizajnirati i pripremati prateće materijale. Ako se potrebe za obukom ne identificiraju na adekvatan način, uz jednako pažljivu pripremu materijala, programi mogu biti remek-djela iz oblasti edukacije osoblja i menadžmenta, no njihov potencijal i učinak će u konačnici biti protraćeni kao propuštena prilika za kompaniju i njen sigurnosni odjel.

Istrage ciljanih napada u poslovnom okruženju

Za razliku od javnog sektora, koji se fokusira na krivične prijave, u privatnom sektoru akcent je na sprečavanju ekonomske štete, gubitaka i discipliniranju radne snage. Ipak, jedna vrsta istražnih problema značajno odstupa od navedenih normi. Riječ je o tzv. ciljanim napadima u poslovnom okruženju, koji posljednjih godina dobijaju na važnosti

Piše: Mirza Bahić

E-mail: redakcija@asadria.com

Od početka ‘90-ih u privatnoj istražiteljskoj praksi razvio se pristup poznat kao procjena i upravljanje prijetnjama (TAM). Iako se u početku koristio kao metoda tretmana nasilja na radnom mjestu, zaštite ličnosti i praćenja nasilja u porodici, danas se primjenjuje na globalnom nivou. Od napada 11. septembra 2001. opća načela ovog pristupa se koriste i u borbi protiv terorizma. Jedna od značajnijih aplikacija TAM-a je nasilje na radnom mjestu, i to je segment u kojem njegova primjena može biti od značajne pomoći privatnom istražitelju.

Nasilje na radnom mjestu

Ovaj vid nasilja se dijeli u četiri osnovne kategorije. Prvu čine nasilni akti kriminalaca koji nemaju veze s radnim mjestom. Upadi u poslovne prostore obavljaju se isključivo s ciljem činjenja krivičnih djela kao što su pljačke. Drugi tip je nasilje za koje su odgovorni klijenti, kupci, učenici ili zatvorenici, kao i druge osobe koje od organizacije žele oduzeti sredstva ili usluge. U trećoj kategoriji su bivši zaposlenici koji napadaju svoje nadređene, uposlenike ili menadžere, dok su u četvrtoj osobe u ličnom odnosu s uposlenikom, ali koje nemaju veze sa samom organizacijom. Kod prva dva tipa nasilja moguće je primijeniti standardne strategije prevencije kriminaliteta i one se obično istražuju nakon incidenta, odnosno na reaktivnoj osnovi. S druge strane, kod druge dvije kategorije postoji „ciljano nasilje“, koje je nerijetko predmet pažnje privatnih istražitelja. Takvi napadi su obilježeni planiranjem i jasno definisanim ciljem i izvode se bez bilo kakvih emotivnih poriva. Napade na radnom mjestu menadžeri sigurnosti nerijetko potcijene, tretirajući ih kao prolaznu fazu, pretjeranu reakciju i gotovo normalnu pojavu. Poricanje izvora problema ovog tipa jedan je od glavnih faktora njegove veće zastupljenosti.

Istrage ciljanih napada su složen poduhvat koji ima najmanje dva cilja: jedan se tiče utvrđivanja da li određena situacija predstavlja rizik od izbijanja nasilja, dok je drugi povezan s donošenjem skupa mjera na nivou organizacije koje mogu preduprijediti pojavu incidenata. U tom kontekstu, na nivou kompanije moguće je uspostaviti i tim iskusnih istražitelja koji će se baviti samo ovim segmentom, što podrazumijeva da je najmanje jedan istražitelj dovoljno iskusan u radu s ovim tipom kriminaliteta i da uživa dovoljno snažan autoritet u samoj kompaniji. Pri tome treba izbjegavati situacije u kojima će, bez obzira na iskustvo, samo jedan istražitelj biti zadužen za realizaciju mjera, procedura i politika, jer mu tim može predstavljati presudan resurs u borbi protiv ciljanog nasilja.

Formiranje tima profesionalaca

Kako se u okviru prakse rješavanja kompleksnih problema ciljanih napada javila potreba za multidisciplinarnim pristupom, timovi za borbu protiv ovih pojava s vremenom su počeli okupljati sve raznolikiji skup stručnjaka različitih profila koji sarađuju s istražiteljem. Osim naziva TAM, odnosno „timovi za borbu protiv ciljanih napada“, udomaćili su se i termini poput timova za istraživanje incidenata, timova za procjenu prijetnji ili timova za upravljanje kriznim situacijama. U njima se može naći cijeli spektar različitih profesionalaca, poput predstavnika odjela za ljudske resurse, pravne poslove, sigurnost i upravljanje objektima. Pored profesionalaca regrutiranih unutar same kompanije, timovi za istrage ciljanih napada mogu uključivati i eksterne eksperte. To mogu biti pravni savjetnici, psiholozi i psihijatri za procjenu rizika od izbijanja nasilja, posebni istražitelji i savjetnici, kao i detektivske agencije. Preduvjet za adekvatnu saradnju ovog spektra profesionalaca je postojanje politike za sprečavanje nasilja na radnom mjestu. S njom moraju biti upoznati svi i mora se primjenjivati bez bilo kakvih izuzetaka, što podrazumijeva da će uposlenici koji se ne pridržavaju te politike biti automatski otpušteni s posla. Ovo je jedna od mjera prevencije pojave nasilja na radnom mjestu, jer će potencijalni počinitelj imati svijest da je otkaz jedini mogući ishod u slučaju izazivanja incidenta.

Istražiteljske metode

Za početak članovi istražiteljskog tima moraju ispitati sve informacije o samom počinitelju, počevši od njegove prijave za posao, biografije, obavljenih evaluacija i svjedočenja kolega i/ili podređenih. Korisni dokumenti su i pritužbe, informacije o okončanim obukama i historijat potencijalnih ranijih prekršaja. Druga stavka je istraživanje konteksta zbog kojeg je počinitelj postao predmet interesa TAM tima. Zbog toga je, u prvom redu, važno utvrditi kredibilitet strane koja prijavljuje krivično djelo. Po utvrđivanju kredibilnosti oštećenog lica, navedenu osobu se može iskoristiti kao izvor informacija o počinitelju samog djela te o naravi napada. Detaljniji istraživački postupci uključuju i ispitivanje javno dostupnih informacija o počinitelju, naprimjer njegov pravni status u smislu kažnjavanja za druga djela i historijat potencijalnog sukoba s određenim uposlenikom ili kompanijom, što daje dublji uvid u potencijalni motiv napada. Obavljanje razgovora s osobama koje dobro poznaju napadača također je neizostavan segment istrage. Ako je riječ o prevenciji krivičnog djela, istražitelji moraju preduzeti sve potrebne mjere da potencijalni počinitelj ne sazna da je pod istragom. Pri tome je važno prikupiti sve relevantne informacije o njegovim uvjerenjima, izvorima nezadovoljstva, porodici i socijalnom okruženju. Isto važi i za istragu na terenu jer je (potencijalni) napadač već aktivan unutar jednog konkretnog radnog okruženja i njegova kontrola može biti vrijedan izvor informacija. To se posebno odnosi na kontrolu personalnih računara uposlenika, koji su dobar izvor informacija o motivima i potencijalnim izvorima nezadovoljstva. Konačno, posljednja faza istrage treba uključivati i direktan kontakt s osobom za koju se sumnja da planira napade, uz svijest o riziku koji takav potez nosi. U svakom slučaju, ovaj vid kontakta može pomoći kod pružanja prilike uposleniku da otvoreno iznese svoje frustracije i time dođe do svijesti da problem koji ima ne mora nužno biti riješen nasiljem.

Važnost izrade ček-liste

Ne kaže se džaba u narodu da „budala pamti dok pametan zapisuje“. U svakodnevnom radu trebamo praviti vlastite baze podataka te jednostavne formulare ili ček-liste, koje će nam pružati osnovne informacije o štićenim osobama, ali i podsjećati na eventualne obaveze koje moramo obaviti u toku redovnih aktivnosti.

Piše: Džemal Arnautović, instruktor IPSTA-e (International Private Security Training Association)
E-mail: redakcija@asadria.com

Prije početka pružanja usluga zaštite osoba, a nakon zaključivanja ugovora o određenom radu, praksa nalaže da se kreira interna baza podataka svih štićenih osoba. Da bismo je kreirali, neophodno ju je popuniti podacima, odnosno upoznati se s biografijom naše štićene osobe. Prilikom popunjavanja fajla kreirat ćemo jednostavnu ček-listu, koja će sadržavati ime i prezime, ali i pseudonim te nadimak ili umjetničko ime štićene osobe. Zatim upisujemo privatnu i poslovnu adresu, adresu svih članova porodice te neko drugo mjesto stanovanja.

Ček-lista za štićene osobe

Od komunikacijskih sredstava navodimo sve moguće telefonske brojeve: privatni, poslovni, mobitel, kućni, fiksni telefon, fax te e-mail. Neophodno je upratiti i oglašavanje osobe na socijalnim mrežama: Facebooku, Twiteru ili Instagramu, jer se veliki broj informacija može dobiti upravo posredstvom njih. Dalje, jedna od rubrika treba tretirati izgled štićene osobe, odnosno podatke kao što su: spol, boja kose, boja očiju, posebna obilježja, brada, visina, težina.

Zdravstveno stanje, bankovni računi

Neophodno je, također, imati i podatke o zdravstvenom stanju štićene osobe, jer u slučaju da u toku akcije prebacivanja dođe do ranjavanja, moramo znati šta od metoda i lijekova smijemo koristiti. Rubrika će sadržavati podatke o zdravstvenim problemima i alergijama osobe, krvnoj grupi te lijekovima koje koristi svakodnevno i povremeno, kao i tretmanima. Moramo znati i osnovne podatke o ljekaru i zubaru naše štićene osobe. Potrebno je poznavati i osnovne identifikacijske osobine poput otisaka prstiju ili potpisa i uzorka rukopisa te, ako je moguće, posjedovati videosnimke i fotografije, novinske tekstove i istupe osobe koju štitimo. Naravno, u ček-listu moramo upisati i bankovne račune s imenom, adresama i telefonima banaka te brojem kreditnih kartica.

Administrativno osoblje

Ako su naše štićene osobe iz VIP kategorije, vjerovatno će povesti ili biti u kontaktu sa svojim poslovnim, odnosno administrativnim osobljem. Ukoliko oni ne učestvuju u akciji s nama, ipak je neophodno upoznati ih i ostvariti kontakt u slučaju nužde. Od njih možemo dobiti mnogo korisnih informacija o vrsti oružja i mjestu njegovog skladištenja, izvještajima o ranijim prijetnjama našoj štićenoj osobi ili njenim članovima porodice, značajnim državnim, političkim ili drugim aktivnostima štićene osobe ili članova porodice, a ponekad i informacije o vrsti hobija mogu dobro doći – pogotovo ako su u pitanju streljaštvo, borilačke vještine, karting ili nešto drugo.

Kako provjeriti vozilo

Možda biste pomislili da će formular za automobil biti kraći od onoga za štićene osobe. Ali nije tako. Prijevozno sredstvo ima izuzetnu važnost i igra veliku ulogu u transportu i zaštiti kako štićene osobe tako i našega tima. Istovremeno, automobili su jedna od najčešćih meta napada protivničke strane. Zato ček-lista treba biti velika. Prije svega treba sadržavati osnovne podatke o vozilu kao što su: tip vozila, marka, model, broj vrata, godište, vrsta i broj karoserije te broj tablica. U narednoj rubrici treba opisati vrijeme trajanja i vrstu kontrole vozila (npr. vizuelna provjera bez dodirivanja vozila). Prvo moramo potvrditi da automobil nije promijenio lokaciju. Prije ulaska u vozilo neophodno je ustanoviti postoje li naznake prisilnog ulaska u njega, tj. izvršiti kontrolu okruženja i pokušati detektovati eventualne naznake nekih promjena, otisaka prstiju, novih oštećenja i ogrebotina ili tečnost na tlu. Posebno treba obratiti pažnju na to visi li nešto oko ili ispod auta i to zabilježiti u naš formular. Dalje, pregledamo tlo oko i ispod svake gume, blatobrane, vanjske retrovizore i njihove plastike, branike i šupljine iza njih, plastične trake na karoseriji i da li dihtunzi imaju tragove prijeloma, vrata, haubu motora, prtljažnik i felge. Nakon pregleda sve čekiramo u našem formularu.

Vanjska vizuelna kontrola

Vanjska kontrola automobila podrazumijeva i pregled donje strane vozila. Ona se obično vrši vizuelnim pregledom zavlačenjem ispod vozila ili pregledom pomoću ogledala. Pregledamo motor, mjenjač, sistem auspuha, diferencijal, rezervoar, ovjes, pogonsko ili kardansko vratilo, lonac auspuha i cijev, zadnju osovinu i ovjes te točkove.

Nakon toga vizuelno kontrolišemo prtljažnik: kakav je pod, je li pomjeran, kakav je položaj rezervne gume, poleđina zadnjih sjedišta, da li je pomjerana kutija za alat i postoje li tragovi diranja žica. Kada smo sve to pregledali i zapisali u formular, pristupamo otvaranju automobila i pregledu unutrašnjeg prostora. Tom prilikom pregledamo prednja i zadnja sjedišta, vrata i obloge na vratima, krov, podne prostirke i tepihe, naslonjače za ruke i police za odlaganje te naslone za glavu, osvjetljenje i prekidače za svjetlo. Na prednjoj strani pregledamo kutiju s osiguračima, komandnu tablu, cijevi za ventilaciju, radio, DVD i zvučnike, te upaljač za cigarete i pepeljare.

Spisak opreme vozila

Nakon što se uvjerimo da automobil nije prijetnja po nas i našu štićenu osobu, pristupamo popunjavanju ček-liste opreme. Prije pokretanja vozila moramo se uvjeriti da u njemu nosimo sve što nam može zatrebati, a spisak je prilično dugačak: lanac za vuču ili sajla, rezervna guma, dizalica, kabl za premoštavanje, radiouređaji, rezervni uređaji i baterije, mobiteli s baterijama, aparat za gašenje požara, set prve pomoći, gas-maske, džepne lampe, farovi, rezervni set svih ključeva, geografske karte za određenu oblast, domaća valuta (novčanice i mnogo kovanica), pancirka, svijetleće rakete, lijekovi za štićenu osobu, kovački čekić i željezna poluga, ašov i kese za smeće, radno odijelo i rukavice, kišobran, ručni detektor metala, pirotehnika, teleskopsko ogledalo.

Najopasnije aktuelne sigurnosne prijetnje

Sigurnost nikada nije bila aktuelnija tema, a to posebno važi za IT sektor, u kojem se nove sigurnosne prijetnje pojavljuju gotovo svakodnevno. Iako je nove načine na koje zlonamjerni korisnici mogu ugroziti kompjuterske sisteme nemoguće predvidjeti, evo pregleda najgorih trenutno aktuelnih sigurnosnih prijetnji koje vrebaju nedovoljno zaštićene IT sisteme

Izvor: Goran Milić
E-mail: redakcija@asadria.com

Najizraženija osobina svakog ozbiljnog hakera je upornost. Tamo gdje bi drugi vidjeli samo prepreke i brzo odustali, pravi hakeri vide izazov te na sve moguće načine pokušavaju pronaći način da prevare ili zaobiđu sistem. A spremni su sedmicama i mjesecima istraživati nove metode kako bi uspjeli u svojim namjerama. Svako ko prati cyber sigurnost zna da tehnike koje koriste hakeri svake godine postaju sve sofisticiranije i smjelije. Situacija je već danas veoma složena, a budućnost će donijeti samo još više problema. Evo šta trenutno vreba nedovoljno zaštićene kompjuterske sisteme.

Digitalno iznuđivanje

Sve je počelo napadom na kompaniju Sony 2014. godine. Nije to bio klasičan slučaj iznuđivanja u kojem hakeri enkriptuju sadržaj hard diska i traže otkupninu za otključavanje podataka. Iako su i ovakvi napadi sve češći, digitalno iznuđivanje je druga vrsta napada koja podrazumijeva ucjenjivanje kompanija ili drugih subjekata pod prijetnjom objavljivanja povjerljivih podataka kompanije. Motiv za ovakve napade ne mora nužno biti novac, već i neki drugi ciljevi, a najčešće je riječ o onim političkim. Najveći problem kod ovakvih napada je što backup ili pravljenje rezervnih podataka više nije dovoljno. Naime, u većini slučajeva se od hakerskih napada možete zaštititi redovnim pravljenjem rezervnih kopija podatka. Kod digitalnog iznuđivanja zaštitne kopije ne pomažu jer šteta ne nastaje uništavanjem ili oštećivanjem podataka, već javnim objavljivanjem tajnih podataka. Ove godine je već bilo nekoliko napada na bolnice i objavljivanja podataka o pacijentima, ali se ovi napadi neće zadržati na tome.

Drugi problem je praćenje ovakvih napada. Naime, ako žrtva popusti i plati ucjenu, vrlo je vjerovatno da niko nikada neće saznati za napad. Dva najpoznatija ovakva napada u 2015. su objavljivanje podataka sa web-stranice Ashley Madison, kojim su se služili preljubnici, te napad na InvestBanku Ujedinjenih Arapskih Emirata, kada su objavljeni podaci njihovih klijenata. Digitalno iznuđivanje je jedan od najgorih sigurnosnih napada jer subjekt zbog njega može biti izložen tužbama, novčanim gubicima, otkazima i sličnim problemima.

Napadi koji mijenjaju podatke

Prema izvještajima brojnih sigurnosnih agencija, napadi koji imaju za cilj mijenjanje ili manipulaciju podacima su sljedeća velika cyber sigurnosna opasnost. Najveći problem kod ove vrste podataka je stvaranje nepovjerenja u vlastite podatke. Ako niste sigurni da su vam podaci o poslovanju ispravni, kako možete dalje razvijati svoj posao? Uništavanje ili oštećenje podataka je mnogo lakše detektovati nego promjenu podataka. Na prvi pogled sve je kako treba, sistemi rade, podaci su sigurni. Međutim, ako podaci nisu tačni, sva poslovna i druga inteligencija koja se iz njih kreira postaje upitna. Posljedice neotkrivenih promjena podataka mogu biti nesagledive. Jedan od prvih problema ove vrste se desio tokom Zaljevskog rata, kada je zbog pogrešnih podataka odbrambeni projektil promašio Scud raketu, što je uzrokovalo smrt 28 američkih vojnika. Ova greška u podacima je nastala slučajno, ali je američko vojno rukovodstvo uplašeno mogućnošću da su kineski hakeri ne samo krali planove naoružanja već i mijenjali podatke koji se nalaze u njima.

Chip & Pin napadi

Kad god sigurnosni stručnjaci zatvore jedan vektor napada, hakeri se prilagode i pronađu drugi. Kada su prodavači prestali spremati podatke o kreditnim karticama i transakcijama svojih kupaca u lokalne baze podataka, hakeri su počeli da prisluškuju mrežni saobraćaj. Kada su prodavači enkriptovali podatke koji putuju mrežom, hakeri su instalirali malware softver na pos-kase kako bi došli do podataka prije nego što se enkriptuju. Banke i prodavači sada koriste pametne kartice koje u sebi imaju čipove.

Osim za autentifikaciju same kartice, čipovi kreiraju jednokratne transakcijske kodove koji sprečavaju korištenje kloniranih kartica. Zbog toga će hakerski napadi sa prodavnica od cigle preći na on-line prodavnice, koje ne koriste kartice, a samim tim ni čipove u njima. U Velikoj Britaniji je od 2004. do 2014. godine broj prevara u on-line prodavnicama porastao za 69 procenata. Iako zvaničnih podataka nema, sumnja se da je taj rast u posljednje dvije godine još i veći.

——————————————

IoT zombi botneti

Iako se 2015. godina smatra godinom Internet of Things (IoT) rješenja, automobili konektovani na internet, Barbie lutke i medicinska oprema samo su neki od uređaja koji su napadnuti kroz svoje IoT funkcionalnosti. U 2016. i godinama koje slijede broj IoT uređaja će drastično rasti, a time će se povećati i količina slabosti u ovim sistemima, pa i broj uspješnih napada. Jedan od trendova se već može uočiti, a to je kreiranje tzv. botnet mreža od hakiranih uređaja. Baš kao što se i od kompjutera zaraženim virusima kreiraju mreže koje onda napadaju druge sisteme, tako i IoT uređaji mogu postati moćno oružje. S obzirom na to da je softver na IoT uređajima znatno ograničeniji, pogotovo kada je interakcija s korisnicima u pitanju, ovakve napade je mnogo teže otkriti. Već su zabilježeni slučajevi u kojima su CCTV kamere korištene za kreiranje botnet mreža kojima su kreirani DDoS napadi. Posebno je zabrinjavajuće to što broj IoT uređaja eksponencijalno raste, ali ne postoje zvanični standardni za njihovu komunikaciju, pa je hakerima posao olakšan.

Sve više backdoora

Prošla godina završila je nevjerovatnim otkrićem da je na čak nekoliko vrlo popularnih firewall uređaja kompanije Juniper Networks bio ugrađen backdoor. Priroda tih „zadnjih vrata“, koja su hakerima dozvoljavala da dekriptuju VPN saobraćaj koji prolazi kroz firewall, nagovještava da su hakeri bili na platnom spisku neke države. Razlog je jednostavan – za iskorištavanje tolike količine enkriptovanog mrežnog prometa potrebni su ogromni resursi, a takve može finansirati samo neka država. Iako nije poznato ko stoji iza napada na Juniper Networks opremu, dobro je da se sada zna kako ovako sofisticirana backdoor rješenja izgledaju i djeluju. Zato se očekuje otkrivanje sličnih napada na mrežnu opremu drugih proizvođača hardvera. A najnovija afera u kojoj je FBI tražio od kompanije Apple da im instalira backdoor u iPhone jednog od ubijenih terorista, da bi nakon povlačenja po sudu to Federalni biro za istrage uradio bez pomoći te kompanije, samo potvrđuje činjenicu da će u budućnosti biti mnogo „zadnjih vrata“ u opremi.

Operativna soba, obrasci, grafički prikazi i prezentacije

Postoji veliki broj obrazaca koji se mogu koristiti u svakodnevnom poslu i koji mogu umnogome olakšati naš rad. Nemojte se ustručavati da obrasce koristite i po potrebi ih izmijenite i prilagodite vlastitim i potrebama vašeg tima

Piše: Džemal Arnautović, instruktor IPSTA-e
E-mail: redakcija@asadria.com

Ranije smo govorili da što je veća akcija koju vodimo i tim kojim upravljamo, to će teže biti pravovremeno iznaći sveobuhvatnije rješenje. Nekada ćemo imati više ljudskih i tehničkih resursa, a nekada manje. No, treba znati da empirijske vrijednosti ne znače da ne moramo dosljedno, precizno i disciplinovano upravljati operacijom. Postoji veliki broj obrazaca koji se mogu koristiti u svakodnevnom poslu i koji mogu umnogome olakšati naš rad. Nemojte se ustručavati da obrasce koristite i po potrebi ih izmijenite i prilagodite vlastitim i potrebama vašeg tima. Obrasce držite što je moguće jednostavnijim, a nastojte da uvijek izradite vremenski plan svih aktivnosti, koji će vam pomoći da lakše i uspješnije vodite tim. Sve zadatke, djelomične probleme i odluke uvijek nastojte prikazati grafički.

I format je bitan

Grafički prikaz, osim bolje preglednosti, olakšat će nam i da uočimo eventualne nedostatke, odnosno bolje sagledamo izvodljivost akcije. Imajte na umu da sve što se ne može logično prikazati, u stvarnosti vjerovatno neće ni funkcionisati. Prilikom popunjavanja obrazaca držite se, kad je god moguće, formata A4 i radite, ukoliko je neophodno, s odgovarajućim projektorom. A4 formati su jednostavni za transportovanje, a mogu se svugdje kopirati po potrebi, poslati faksom te skladištiti u registratorima i drugim odlagalištima. Nikad ne radite direktno na samim kartama, nego zalijepite preko njih providne folije i tek onda ucrtajte markiranje. Tako se karte mogu više puta koristiti, a označene informacije se mogu sigurno ukloniti. Mislite uvijek i na tragove koje ostavljate iza sebe. Prečesto je protivnička strana našla informacije u kantama za smeće i na mjestima za skupljanje starog papira i iskoristila ih. Sama prezentacija koju ćemo spremiti za sastanak sa timom mora biti jednostavna, razumljiva i pregledna. Trebala bi sadržavati neke osnovne elemente poput:

  • Cilj/svrha (o čemu se mora odlučiti)
  • Trenutno stanje (osnovne činjenice, uslovi itd.)
  • Prikaz problema
  • Sloboda djelovanja
  • Varijante (sa nekoliko prednosti i nedostataka)
  • Zahtjevi/prijedlozi za osobu koja odlučuje
  • Odluka (mjesto za bilježenje odluke)

I za prezentaciju važe ista pravila: mora biti kratka, jasna, bogata grafičkim prikazima i, naravno, bez grešaka. Vi prezentirate zato što ste najkompetentniji u toj oblasti, stoga se od vas očekuje stručna kompetencija.

Struktura upravljanja

Također, ranije smo govorili i o infrastrukturi, pa smo rekli da ona varira ovisno o situaciji. U praksi to znači da ćemo nekada komandovati akcijom iz udobnih kancelarija, a nekada je voditi iz preinačene hotelske sobe sa stolom i nekoliko stolica ili sa zadnjeg sjedišta vozila. Kako god, komandno mjesto ili centrala za vođenje operacije se mora uspostaviti. Također, neophodno je uspostaviti centralno mjesto prvog kontakta za sva pitanja i koordinaciju unutar tima te logistički centar. Iako to u praksi neće uvijek biti moguće, neophodno je razdvojiti logističke i administrativne centrale tima od mjesta za vođenje i upravljanje. Operativna prostorija mora biti prikladno namještena i svakako odgovarajuće veličine. Idelno bi bilo da njena pozicija bude takva da ima optimalan pregled i da se u svako doba može znati ko se nalazi unutar ili van zgrade.

Uvijek mislite i na odgovarajuću zaštitu, jer je operativna soba mjesto u kojem se skupljaju sve informacije. Ona je lokacija od posebne važnosti za cijeli tim, mjesto je prvog kontakta i dobivanja informacija.

Prostorija upravljanja

Prostorija za upravljanje trebala bi se nalaziti na što je moguće mirnijem mjestu kako bi omogućila proaktivan način rada. Stolovi i stolice u prostoriji trebali bi biti mobilni, a zidovi se trebaju opremiti kartama i drugim informacijama. Prostorija se mora moći prilagoditi kako za kratke tako i za duge sastanke. Aparat za kopiranje, projektor, faks i druga tehnička pomagala bi se također trabali nalaziti u neposrednoj blizini, kao i telefoni i priključak na internet. Prostoriju je neophodno zaštititi od elektronskog prisluškivanja i špijuniranja, te strogo voditi računa o tome ko, kako i šta je napušta. Sve ono što je urađeno tokom boravka u prostoriji i sastanaka vezanih za operacije, strategije i planove se nakon upotrebe mora odnijeti iz prostorije ili uništiti paljenjem ili rezačem papira. Mislite i na kontrolu pristupa vašim prostorijama, kao i vlastitoj zaštiti. Razmislite i o slabim tačkama s obzirom na osoblje zaduženog za čišćenje, kao i druge pružaoce usluga koji imaju pristup prostorijama.

Poslovi i zadaci vezani za operativni centar

Prijava i odjava sa dužnosti (kontrola/obračunavanje radnog vremena)

Informacije o svim aktivnostima protivničke strane

Planovi smjena i operacija

Uvid u zadatak

Koncept operacije

Podjela tima

Tabela s resursima

Informacije o uputama i kratkim sastancima

Dalji tok mjere (aktivnosti štićene osobe)

Logistika i opskrba

Oprema (dodatni materijal i materijal za tim)

Koordinacija ključeva (vozila, soba itd.)

Videonadzor pojedinih područja

Telefonska centrala

Vođenje izvještaja (šta se, kad, kako i gdje desilo uz evaluaciju)

Administracija radiouređaja i sredstava komunikacije (stanica za punjenje itd.)

Administrativna priprema i praćenje mjere

Planiranje i utvrđivanje opisa poslova

Jedan od temeljnih zadataka sigurnosnih odjela je dizajniranje opisa radnih aktivnosti. Opis posla nije samo puki dokument u dosjeu uposlenika nego „živi“ dokument na temelju kojeg sigurnosni odjel prima uposlenike, evaluira ih i upravlja njihovim radom. Jasno definiranje onog što se očekuje od uposlenika predstavlja važan temelj aktivnosti sigurnosnog menadžmenta

Piše: Mirza Bahić
E-mail: redakcija@asadria.com

S obzirom na postojanje jasne veze između snage i učinkovitosti neke organizacije ili odjela i kvaliteta pratećih opisa poslova, ovoj oblasti se mora posvetiti dovoljno pažnje. Kvalitet obavljenog rada na ovom planu može se evaluirati na temelju preciznosti i sveobuhvatnosti opisa radnih zaduženja, podudaranju između kandidata i opisa rada, te nivoa razumijevanja očekivanja uprave među uposlenicima. Od kvalitetnog opisa posla zavisi i mogućnost sigurnosnog odjela da isplanira svoje aktivnosti na planu obuke i vršenja evaluacije učinka uposlenika.

Kreiranje sklada

Sve navedeno je pokazatelj da opis radnih aktivnosti predstavlja važan dokument koji diktira uspješnost odjela, dok njegovo nepostojanje kreira klimu konfuzije, loše radne prakse i subjektivne evaluacije učinka uposlenika. Konačno, na taj način se stvara nesklad na nivou same organizacije. Jedan od načina da se ovo spriječi je temeljitost i preciznost u samom opisu prirode posla i očekivanja menadžmenta. Za početak se mora utvrditi kakav je karakter samog zadatka čije se izvršavanje očekuje od uposlenika kako bi se nakon toga mogao pripremiti i opis traženih kvalifikacija. Navedene kvalifikacije postaju kriteriji za primanje osoblja u radni odnos. Tu je važno uspostaviti kvalitetnu saradnju između odjela za ljudske resurse i sigurnosnog sektora. Prilikom utvrđivanja kvalifikacija treba izbjegavati praksu korištenja generalnih ili nejasnih opisa. Naprimjer, nije dovoljno navesti da kandidati za određenu poziciju moraju imati „univerzitetsku diplomu“ (koje institucije?) i „odgovarajuće iskustvo od tri godine“ (u čemu?). Primjer kvalitetnijeg pristupa na ovom planu je navođenje konkretne tražene akademske kvalifikacije (npr. bakalaureat) uz opis oblasti iz kojih se traži iskustvo, poput prava, administracije ili istražiteljskog rada.

Obuka i evaluacija kao sastavni dio opisa rada

Nisu rijetki slučajevi kada ni sami uposlenici nisu upoznati s opisom posla, a da su već na određenom radnom mjestu. Jedan od pokazatelja loših menadžerskih odluka je raskorak između radnog učinka i očekivanja menadžmenta i ovo nije pojava koja se dešava samo na nižim nivoima. To može dovesti do nezadovoljstva uposlenika, koji će imati pravo na stav da organizacija ili sigurnosni odjel ne valorizira njihove radne rezultate na pravi način. Dodatni problem je činjenica da brojne sigurnosne kompanije danas same organiziraju obuku za svoje osoblje i tome se, usljed nekvalitetno dizajniranog opisa poslova, nerijetko pristupa generički. Naprimjer, svi istražitelji moraju proći obuku iz vođenja intervjua ili ispitivanja i to obuhvata kako stručnjake za detekciju falsifikata tako i eksperte za oblasti otkrivanja prevara, sprečavanja krađa i dr. Kako bi se obuke iz oblasti ove tehnike održale „živim“ i aktuelnim, njih je potrebno periodično obnavljati u vidu radionica. Na njima bi uposlenici, u skladu sa svojim zaduženjima, simulirali situacije s kojim će se suočavati u svom terenskom radu, poput ispitivanja očevidaca ili osumnjičenika. Posebno imenovana osoba unutar sigurnosnog odjela mora biti zadužena za organizaciju obuka, i to u skladu s važećim opisima poslova. Ukoliko to nije izvedivo unutar odjela, može se angažirati i neka eksterna konsultantska kompanija.

Osim obuke, s kvalitetnim dizajniranjem opisa poslova neraskidivo su vezane i evaluacije uposlenika. One povlače i uvođenje disciplinskih mjera protiv uposlenika ako je njihov radni učinak ispod opisom utvrđenog standarda, kao i nagrade u vidu promaknuća za vrhunske radne rezultate. Sve navedeno se mora uskladiti s opisom poslova, čiji su sastavni dio i navedene evaluacije. Naprimjer, istražitelj koji se primarno bavi provjerom biografskih podataka može izvršiti privođenje osoba koje zatekne u vršenju krivičnog djela. Istovremeno, iako su njegove akcije pohvalne, njemu se za to ne može uručiti nagrada ili priznanje jer one nisu definirane u opisu njegovih radnih zadataka. Rezultat je proizvoljnost i haotičnost u segmentu nagrađivanja i/ili kažnjavanja uposlenika, što narušava ugled sigurnosnog odjela.

Opisi poslova kao „živi“ dokumenti

Ako su opisi poslovnih zaduženja temeljni dokumenti za praćenje radnih učinaka neke organizacije ili sigurnosnog odjela, njihova uloga se mora održavati kontinuiranim ažuriranjem u odnosu na rezultate koje daju. Oni moraju reflektirati isključivo aktuelno stanje u kojem se sigurnosni odjel nalazi. Ako osobe koje vode istrage kreditnih prevara sada imaju direktan pristup kreditnoj dokumentaciji, nužno je navesti tu činjenicu u opis posla. Isto tako, ako je matična kompanija izvršila akviziciju manje firme u drugom kraju države, mjesečna službena putovanja bi mogla postati obavezna za sigurnosno osoblje. Rezultat mora biti navođenje službenih putovanja i odsustva u oficijelnom opisu pratećeg posla. Razlog za insistiranje na ovom je jednostavan – jedina konstantna stavka danas su kontinuirane promjene na tržištu, a moderni i savremeni sigurnosni odjeli moraju stalno pratiti šta se dešava i čemu treba posvetiti pažnju. Tu, jasno, spada i ažuriranje opisa poslova. To se u prvom redu odnosi na njihova tri osnova elementa: funkcije, odgovornosti i ovlasti te međusobne odnose. Kvalitetni opisi poslova će, osim ovih elemenata, navesti i ciljeve određene pozicije, njen djelokrug i karakter, poziciju unutar organizacije, organizacijsko okruženje, specifične funkcije, funkcije nadređenih, primarne izazove, ovlasti, međusobne odnose, zaduženja i zahtjeve. Insistiranje na kreiranju kvalitetnih opisa poslova ne bi trebalo biti iznenađujuće ako znamo da se ono temelji na iskustvima u izgradnji razumijevanja, saradnje i vrhunskih radnih rezultata.

To, naravno, ne znači da oni trebaju biti rigidni i da u okviru sigurnosnog odjela u vanrednim situacijama neće biti i izlaska iz sfere onog što je predviđeno opisom rada. Tu je ključna riječ fleksibilnost, uz svijest da se u sigurnosnoj industriji situacija nerijetko mijenja i preko noći, što dovodi do čestih promjena u segmentu opisa radnih zadataka. A zahtjevima tržišta se mora kvalitetno odgovoriti. Zato je u cijeloj organizaciji svijest o ovoj problematici potrebno širiti kako od najnižih tako i do najvišeg menadžerskog nivoa. Pravilno razumijevanje ove oblasti sigurnosnom odjelu može uštediti dovoljno vremena u smislu odsustva potrebe za bavljenjem neželjenim posljedicama po organizaciju. Na taj način se svako u hijerarhijskom lancu može fokusirati na realizaciju radnih zadataka u skladu sa svojim jasno i nedvosmisleno utvrđenim i usvojenim opisom poslova.

IZDANJA

Global Security d.o.o.

Hasiba Brankovića 3, 71000 Sarajevo, Bosna i Hercegovina
Tel: +387 (0)33/788-985
Fax: +387 (0)33/788-986
Web site: www.asadria.com
Marketing: marketing@asadria.com
Pretplata: pretplata@asadria.com
PDV broj: 201142740001
Identifikacioni broj: 4201142740001
ISSN 1986-5

Magazin a&s Adria – stručni magazin za kompletna sigurnosna rješenja – mjesečna je publikacija licencirana od strane kompanije Messe Frankfurt New Era Business Media za Adriatic regiju: Bosnu i Hercegovinu, Crnu Goru, Hrvatsku, Kosovo, Makedoniju, Sloveniju i Srbiju.