Embed Size (px)
Citation preview
UNIVERZITET U BEOGRADUFAKULTET BEZBEDNOSTI
INDUSTRIJSKAINDUSTRIJSKA BEZBEDNOSTBEZBEDNOST
- HRESTOMATIJA –- HRESTOMATIJA –
Beograd, januar 2007.Beograd, januar 2007.
SADRŽAJ
PREDGOVOR.......................................................................................................... 7
1. MOGUĆNOSTI ZA ZAPOSLENJE U BEZBEDNOSTI
UVOD........................................................................................................................... 9
ŠTA JE BEZBEDNOST?.......................................................................................... 10
DISCIPLINE U BEZBEDNOSTI................................................................................. 11
Fizičko obezbeđenje.............................................................................................. 11
Bezbednost informacija......................................................................................... 11
Bezbednost zaposlenih.......................................................................................... 11
Bezbednost informacionih sistema........................................................................ 11
Unutrašnja/nacionalna bezbednost....................................................................... 12
Zaštita kritičnih infrastruktura................................................................................. 12
SPECIJALIZOVANE OBLASTI U BEZBEDNOSTI.................................................. 12
Bankarske i finansijske usluge............................................................................... 13
Komercijalne nekretnine........................................................................................ 13
Kulturno vlasništvo................................................................................................. 14
Obrazovne institucije............................................................................................. 15
Igre na sreću i kockanje......................................................................................... 15
Vladina/industrijska bezbednost............................................................................ 16
Bezbednost u zdravstvu........................................................................................ 16
Bezbednost informacionih sistema........................................................................ 17
Istrage.................................................................................................................... 18
Smeštaj i ugostiteljstvo.......................................................................................... 18
Proizvodnja............................................................................................................ 19
Prevencija gubitaka u maloprodaji......................................................................... 19
2
Bezbednosni inženjering i projektovanje................................................................ 20
Bezbednosna trgovina, oprema i usluge................................................................ 21
Bezbednost transporta........................................................................................... 21
Energetska i nuklearna bezbednost...................................................................... 22
Ostale specijalizovane oblasti................................................................................ 23
2. AKADEMSKI PROGRAMI I KURSEVI U BEZBEDNOSTI
AKADEMSKI PROGRAMI U BEZBEDNOSTI.......................................................... 24
SERTIFIKATI............................................................................................................. 24
SJEDINJENE AMERIČKE DRŽAVE......................................................................... 26
AUSTRALIJA............................................................................................................ 30
BRAZIL...................................................................................................................... 30
VELIKA BRITANIJA.................................................................................................. 30
BEZBEDNOST I STRUČNA SPREMA..................................................................... 31
Učenici i studenti.................................................................................................... 31
Visoka stručna sprema.......................................................................................... 32
Sertifikacioni programi........................................................................................... 33
Stručne prakse....................................................................................................... 33
Istraživački rad....................................................................................................... 34
3. SMERNICE ZA RUKOVODIOCE BEZBEDNOSTI
REZIME..................................................................................................................... 35
LANAC ODGOVORNOSTI........................................................................................ 35
MODEL FUNKCIJE................................................................................................... 36
MODEL PROFILA RUKOVODIOCA BEZBEDNOSTI.............................................. 36
KLJUČNE NADLEŽNOSTI........................................................................................ 38
3
Ključni faktori uspeha............................................................................................. 38
Razvoj strategije.................................................................................................... 39
Prikupljanje informacija i procena rizika................................................................. 39
Pripravnost organizacije........................................................................................ 39
Sprečavanje incidenata......................................................................................... 39
Bezbednost ljudi, poslovanja, informacija i reputacije............................................40
Reakcija, upravljanje i obnova posle incidenata.................................................... 40
Odnosi sa investitorima, javnošću i vlastima......................................................... 40
KLJUČNE SPOSOBNOSTI....................................................................................... 40
ISKUSTVO................................................................................................................. 42
OBRAZOVANJE....................................................................................................... 42
PRILOG..................................................................................................................... 42
4. BEZBEDNOST INFORMACIJA
POJAM BEZBEDNOSTI INFORMACIJA.................................................................. 44
OSNOVNI POJMOVI................................................................................................. 44
Bezbednosne provere osoblja............................................................................... 46
Fizička bezbednost................................................................................................ 47
Bezbednost podataka............................................................................................ 47
Bezbednost informacionih sistema – INFOSEC.................................................... 48
Bezbednost pristupa treće strane i spoljne saradnje............................................. 48
POJAM I ZNAČAJ POSLOVNIH INFORMACIJA..................................................... 49
Zaštita poslovnih podataka i poslovnih dokumenata............................................. 51
4
5. KRITIČNE INFRASTRUKTURE
REZIME..................................................................................................................... 55
UVOD......................................................................................................................... 56
ISTORIJAT................................................................................................................ 56
Šta je kritična infrastruktura?................................................................................. 56
Kojim objektima kritične infrastrukture je potrebna zaštita?................................... 62
Kopneni transport: Rečni prelazi............................................................................ 63
Transportni sistemi: Kontrola vazdušnog saobraćaja (ATC)..................................63
Razmatranja.......................................................................................................... 64
ANALIZA................................................................................................................... 64
PRILOZI..................................................................................................................... 67
Šta je infrastruktura?.............................................................................................. 67
Kako su se kriterijumi i komponente kritičneInfrastrukture razvijali tokom vremena................................................................... 68
Tabela 1. Šta tokom vremena konstituiše kritičnu infrastrukturu........................... 69
Razmena informacija............................................................................................. 70
Tabela 2. Centri za analizu i razmenu informacija................................................. 71
6. BIOMETRIJA
UVOD......................................................................................................................... 72
Karakteristične ljudske osobine............................................................................. 72
Varijante biometrijskih tehnologija......................................................................... 72
Biometrijski proces................................................................................................. 73
Identifikacija i verifikacija....................................................................................... 74
PKI i Smart kartice................................................................................................. 74
IDENTIFIKACIJA OTISAKA PRSTIJU..................................................................... 75
5
Uzimanje otiska..................................................................................................... 75
Tehnike upoređivanja............................................................................................ 76
Klasifikacija otisaka................................................................................................ 76
ODABIR BIOMETRIJSKIH REŠENJA...................................................................... 78
Procena rizika........................................................................................................ 78
Industrijska rešenja................................................................................................ 79
Strateško testiranje................................................................................................ 79
Metodologije testiranja........................................................................................... 80
Lični parametri pristupa......................................................................................... 80
Multi-tehnologije..................................................................................................... 81
BIOMETRIJSKA REVOLUCIJA................................................................................ 81
Biometrija u upotrebi.............................................................................................. 82
Nacionalna ID rešenja........................................................................................... 82
Industrijski standardi.............................................................................................. 83
Tržišna predviđanja............................................................................................... 83
OSTALE TEHNOLOGIJE.......................................................................................... 84
Prepoznavanje lica................................................................................................ 84
Tehnike skeniranja glasa....................................................................................... 85
Fokusiranje očiju.................................................................................................... 86
Upotreba biometrije danas..................................................................................... 87
Budući razvoj......................................................................................................... 87
6
PREDGOVOR
Industrijska bezbednost u najširem smislu predstavlja koncept postojeće prakse bezbednosnog menadžmenta u svim oblastima primene ove discipline. Kao budućim (diplomiranim) menadžerima bezbednosti, studentima Fakulteta bezbednosti – smera Bezbednost, sledeći prikaz prakse bezbednosnog menadžmenta treba da posluži kao nadgradnja usvojenih teorijskih znanja iz oblasti bezbednosnog menadžmenta.
Ova hrestomatija prikazuje odabrane oblasti bezbednosnog menadžmenta koje su prihvaćene kao standard svuda u svetu i koje su aktivno pokrivene i kod nas. Tako, veći deo materijala potiče iz uputstava i pravilnika Američkog društva za industrijsku bezbednost (ASIS International), najstarije i najveće međunarodne asocijacije kompanija i pojedinaca koji su profesionalno u bezbednosti. O prihvaćenosti ovih standarda najbolje govori činjenica da je jedan broj kompanija za privatno obezbeđenje u Republici Srbiji već prihvatio Etički kodeks ASIS-a, kao i većina kompanija zemalja u okruženju, dok su u Evropskoj uniji, osim standarda koje pruža Konfederacija evropskih usluga u oblasti bezbednosti (CoESS), ASIS-ovi standardi podjednako zastupljeni.
Suština odabranih tekstova je približavanje studentima koncepta bezbednosti kakav postoji na zapadu, iz razloga objektivnog sagledavanja problematike bezbednosti na način na koji se to čini svuda u svetu. Prikazani tekstovi nastali su kao rezultat dugogodišnje prakse u bezbednosti koja je prikazana kao uobičajena i svakodnevna profesija koja je svuda prihvaćena kao neizbežan segment društvenog života.
Hrestomatija je podeljena na šest celina:
Mogućnosti za zaposlenje u bezbednosti
Prvi deo, osim nekih opštih pojmova koji se odnose na pozicije menadžera bezbednosti, sadrži osnovne karakteristike industrije bezbednosti u trenutnom kontekstu (imajući u vidu dinamiku ovog sektora – razvoj industrije bezbednosti, njen odnos s policijskim poslovima, kao i odnos između javnog i privatnog sektora), kratak prikaz disciplina u oblasti bezbednosti, kao i detaljniji prikaz specijalizovanih oblasti i uslova za ulazak u te oblasti. Iako su ove discipline i specijalizovane oblasti prikazane kroz praksu koja postoji u Sjedinjenim Državama, ne treba izgubiti iz vida globalni karakter industrije bezbednosti, kao i činjenicu da je i ova praksa zasnovana u velikoj meri na iskustvima drugih zemalja, posebno evropskih.
Akademski programi i kursevi u bezbednosti
Drugi deo prikazuje akademske programe koji se primenjuju u svetu, i to za skoro sve postojeće specijalizovane oblasti i discipline u bezbednosti. Osim toga, akcenat je stavljen na kursevima i pratećim sertifikatima iz ovih oblasti, posebno na sertifikatima koji su priznati kao standardni u svetu. U ovom delu pružen je i informativni (nije potrebno za ispit) spisak odabranih studijskih programa iz oblasti bezbednosti, kao i razne mogućnosti koje se pružaju studentima na studijskim programima iz bezbednosti, kao što su stručne prakse, seminari, istraživački rad, uslovi za zaposlenje i sl.
7
Smernice za rukovodioce bezbednosti
Treći deo, koji je od izuzetne važnosti za studente, su opšte smernice za rukovodioce bezbednosti, koje obuhvataju položaj rukovodilaca bezbednosti u najvišem menadžmentu današnjih organizacija, profil rukovodioca bezbednosti, potrebne veštine i znanja, nadležnosti i odgovornosti, kao i potrebno obrazovanje i iskustvo za obavljanje ovog posla. Ovde je takođe pružen okvirni model profila rukovodioca bezbednosti u organizaciji, sa posebnim naglaskom na specifičnim veštinama i sposobnostima koje su karakteristične za ovu funkciju.
Bezbednost informacija
Četvrti deo, koji pokriva oblast bezbednosti informacija, potreban je studentima zbog razumevanja važnosti zaštite i odgovornog odnosa prema informacijama i informacionim sistemima u organizaciji. Osim osnovnih pojmova koji su potrebni svakom menadžeru bezbednosti, posebno su prikazani bezbednost poslovnih podataka i informacija, načini njihove zaštite i značaj standardizacije ovog segmenta savremenog poslovanja.
Kritične infrastrukture
Peti deo, kritične infrastrukture, predstavlja posebno zanimljivu oblast bezbednosti, pre svega zbog činjenice da su u Srbiji na poslovima bezbednosti u sistemima kritičnih infrastruktura zaposleni menadžeri bezbednosti koji su diplomirali upravo na Fakultetu bezbednosti. U izveštaju stručne službe za istraživanja Kongresa SAD o kritičnim infrastrukturama prikazan je razvoj definicija kritičnih infrastruktura, kao i razvoj samih infrastruktura i njihovog značaja po nacionalnu bezbednost, posebno u periodu posle 11. septembra 2001. godine. Posebno su prikazane kratke procene rizika za dve kritične infrastrukture u SAD.
Biometrija
O značaju biometrijske tehnologije za bezbednost ne treba puno govoriti, posebno zbog sve raširenije primene biometrije u sistemima tehničkog obezbeđenja. Studenti treba da budu upoznati sa opštim pravilima i načinima funkcionisanja ovih sistema, kao i sa postojećim i najrasprostranjenijim vrstama ovih sistema, njihovim odabirom, primenom i tendencijama budućeg razvoja.
Ova hrestomatija nastala je kao alternativa odgovarajućoj literaturi za predmet Industrijska bezbednost, i kao takva će tek da bude dopunjena i izmenjena. Zbog vremenskog ograničenja za prevođenje i pripremu hrestomatije, svaka primedba i predlog po pitanju nedostataka biće više nego dragoceni.
8
1. MOGUĆNOSTI ZA ZAPOSLENJE U OBLASTI BEZBEDNOSTI1
UVOD
Mogućnosti za zaposlenje u sektoru bezbednosti su ogromne i obuhvataju izuzetno širok i raznovrstan opseg različitih poslova koji se na direktan ili indirektan način odnose na bezbednost u najširem smislu. Industrijska bezbednost, kao praktični koncept, osim poslova fizičkog i tehničkog obezbeđenja, obuhvata i poslove koji se na specifičan način odnose na nacionalnu bezbednost. Naime, ti poslovi su u službi nacionalne bezbednosti.
Dok su informacije koje su sadržane ovde od interesa za svakoga ko želi više da nauči o oblasti bezbednosti, one su primarno pripremljene za sledeće kategorije pojedinaca:
• Pojedince koji žele da steknu diplomu iz bezbednosnog menadžmenta, zaštite imovine ili slične discipline.
• Pojedince koji ulaze u oblast bezbednosti nakon sticanja diplome iz bezbednosnog menadžmenta, zaštite imovine ili slične discipline.
• Pojedince koji su već angažovani u oblasti bezbednosti, a koji žele da steknu poziciju u menadžmentu nakon sticanja diplome iz bezbednosnog menadžmenta, zaštite imovine ili slične discipline.
• Pojedince koji prelaze sa drugih poslova u oblast javne ili privatne bezbednosti, a koji žele da steknu poziciju u menadžmentu.
Ovaj priručnik bio je temeljno revidiran u kontekstu novog bezbednosnog okruženja koje postoji kao rezultat napada od 11. septembra 2001. godine i pratećih događaja.
Ovde su prikupljene informacije iz brojnih specijalizovanih oblasti u bezbednosti, kako bi se čitaocu pružila jasna slika o preduslovima za rad na nadzornim i nenadzornim pozicijama menadžmenta u tim specijalizovanim oblastima. Osim podataka koji se odnose na ulazni nivo menadžmenta, date su i informacije koje se odnose na nadležnosti menadžmenta srednjeg nivoa, kao i zaposlenih na ostalim poslovima u ovim specijalizovanim oblastima bezbednosti.
Ukoliko nije drugačije navedeno, u razmatranju ovih specijalizovanih oblasti biće korišćena sledeća terminologija:
• Menadžment se odnosi na aktivnosti na drugom i višim nivoima nadzora.
• Ne-menadžment se odnosi na nenadzorne pozicije, prvi nivo nadzora i pozicije osoblja.
• Ulazni nivo odnosi se na nadzorne i nenadzorne pozicije menadžmenta.
• Srednji nivo odnosi se na pozicije menadžmenta i ne-menadžmenta u ograncima, oblastima, regionima ili odeljenjima.
• Izvršni nivo odnosi se na pozicije menadžmenta koje su u nadležnosti korporativnih i agencijskih aktivnosti.
1 Career Opportunities in Security, © 2005 ASIS International, 1625 Prince Street, Alexandria.
9
ŠTA JE BEZBEDNOST?
Dinamična industrija
Bezbednost je jedna od profesionalnih karijera koja se u globalnim okvirima najbrže razvila u poslednjih nekoliko godina. Zaposlenje u oblasti bezbednosti pruža mnogobrojne mogućnosti, koje se nalaze u rasponu od pozicija ulaznog nivoa za radnike obezbeđenja do istražitelja specijalizovanih u posebnim oblastima, i menadžera i direktora sektora bezbednosti u vodećim korporacijama i organizacijama širom sveta. Zahtev za unapređenjem bezbednosti pojačan je zbog pojava kao što su krađe informacija, nasilje na radnom mestu, terorizam i privredni kriminal. Industrija bezbednosti u SAD, na primer, je poslovanje od 100 milijardi dolara koje i dalje raste. Mogućnosti postoje na svim nivoima u okviru industrije bezbednosti. Svi poslovi, bez obzira na njihovu veličinu, razmatraju bezbednost u odnosu na pretnje kao što su prevare, krađe, kompjuterski upadi, industrijska špijunaža ili nasilje na radnom mestu. Sve organizacije treba da se zaštite od aktivnosti koje ugrožavaju njihovo normalno funkcionisanje. Svaka specijalnost u oblasti bezbednosti poseduje sopstvene zahteve i pitanja. Krađe su i dalje problemi u maloprodajama, dok su bolnice suočene s povredama prava na privatnost, a hoteli s preispitivanjem procedura zaštite od požara u skladu sa bezbednosnim zahtevima. Osim toga, državna i privatna industrija razlikuju se u bezbednosnim potrebama. Pojedinci koji žele da se zaposle u specijalizovanoj oblasti bezbednosti treba da budu upoznati s najnovijim trendovima, problemima i pitanjima u okviru te specijalnosti.
Raznovrsna industrija
U današnjem suženom korporativnom svetu i promenljivom okruženju, presudno za studente i pojedince koji žele promene u karijeri je da su u stanju da identifkuju mogućnosti na tržištu bezbednosti. Žene, manjine i fizički ograničene osobe postali su vredni resursi za organizacije kojima su potrebni profesionalci u bezbednosti. Studenti koji žele karijeru u oblasti bezbednosti treba da završe kurseve iz bezbednosti, računarstva, elektronike, poslovnog menadžmenta, prava, policijskih nauka, informacionog menadžmenta i menadžmenta ljudskih resursa. Ovde su prikupljene informacije iz različitih specijalizovanih oblasti bezbednosti kako bi pružile studentima bolju predstavu o uslovima i zahtevima za ulazak u posebnu industriju. Osim informacija koje su potrebne za ulazni nivo menadžmenta, pružene su i informacije o demografskim podacima vezanim za profesionalce u bezbednosti u svakoj industriji, kao i zahtevi za ulazak na pozicije menadžmenta.
Postojeće ili angažovano obezbeđenje
Postojeće osoblje bezbednosti zapošljavaju direktno organizacije čija se imovina štiti. Opšte pravilo je da se funkcije postojećeg obezbeđenja pojavljuju u poslovanjima, institucijama i agencijama koje su dovoljno velike da mogu da garantuju da se poklanja pažnja punom radnom vremenu po pitanju zaštite imovine. Industrija usluga obezbeđenja pruža bezbednosne proizvode i usluge pod ugovorom raznim organizacijama. Nabavljači opreme obuhvataju širok opseg firmi koje prodaju, vrše instalaciju i održavaju opremu za kontrolu pristupa, detekciju upada, bezbednosno osvetljenje i CCTV sisteme. Postoje i druge firme koje rade pod ugovorom, a koje pružaju uniformisane radnike obezbeđenja, vrše istrage, sprovode procene rizika,
10
projektuju sisteme obezbeđenja, prevoze vredne isporuke, štite visokorizično osoblje i pružaju druge usluge obezbeđenja.
Sprovođenje zakona naspram obezbeđenja
Sprovođenje zakona usmereno je na reakciju na kriminal, kao i na sprovođenje javnih zakona i propisa. Profesionalci u bezbednosti, s druge strane, više deluju proaktivno i usmereni su na identifikovanje i sprečavanje problema pre nego što se oni pojave. Osim toga, radnici obezbeđenja će u većini slučajeva da se bave zaštitom imovine i sprovođenjem organizacionih politika i procedura, nego sprovođenjem krivičnih propisa.
Javne ili privatne arene
Mnogi misle da je polje bezbednosti sinonim privatnom sektoru, i u velikoj meri to je tačno. Međutim, postoje mnoge mogućnosti bezbednosti u vladinim agencijama, a posebno na federalnom nivou. Osoblje javnog sektora bezbednosti sprovodi mnoge slične funkcije kao i njihove kolege u privatnom sektoru.
DISCIPLINE U BEZBEDNOSTI
Polje bezbednosti podeljeno je na veći broj specijalizovanih disciplina. U velikoj organizaciji, profesionalac u bezbednosti može da radi puno radno vreme u jednoj od tih disciplina. U manjim organizacijama, profesionalac u bezbednosti možda će morati da poseduje određeno znanje u svakoj od disciplina. Ove discipline mogu da se nađu u većini specijalizovanih oblasti bezbednosti.
Fizičko obezbeđenje fokusira se na ljude, imovinu i objekte kroz angažovanje radnika obezbeđenja, upotrebu sistema obezbeđenja i bezbednosnih procedura. Osoblje fizičkog obezbeđenja nadgleda postojeće ili angažovane operacije obezbeđenja, identifikuje zahteve sistema obezbeđenja, procenjuje unutrašnje ili spoljašnje pretnje po imovinu i razvija politiku, planove, procedure i fizičku zaštitu za borbu protiv ovih pretnji. Fizičko obezbeđenje može da obuhvati upotrebu barijera, alarma, brava, sistema za kontrolu pristupa, bezbednosno osvetljenje, CCTV sisteme i ostale bezbednosne tehnologije.
Bezbednost informacija obuhvata čuvanje osetljivih informacija. Iako se bezbednost informacija tradicionalno vezuje za zaštitu poverljivih informacija vlade, ona takođe može da obuhvati privatne podatke, informacije o imovini, ugovorne informacije i intelektualno vlasništvo. Bezbednost informacija bavi se pitanjima kao što su: ko može da pristupi podacima i kako se podaci čuvaju, kontrolišu, obeležavaju, razmenjuju i odlažu.
Bezbednost zaposlenih bavi se obezbeđivanjem integriteta i pouzdanosti radne snage organizacije. Bezbednost zaposlenih obuhvata bezbednosne provere prošlosti zaposlenih, testiranje zaposlenih na droge i ostale tehnike proveravanja pre zaposlenja, kao i procenu rezultata i dodeljivanje bezbednosnih ovlašćenja i drugih privilegija za pristup informacijama.
Bezbednost informacionih sistema obuhvata održavanje poverljivosti, pouzdanosti i dostupnosti podataka koji su napravljeni, čuvani, obrađeni i/ili koji se prenose putem automatizovanih informacionih sistema. Zaposleni na ovim poslovima razvijaju
11
procedure i zaštitu od hakera i drugih neautorizovanih pokušaja pristupa podacima, zaštitu od virusa i ostalih pretnji po informacione sisteme.
Unutrašnja/nacionalna bezbednost. U nasleđu 11. septembra 2001. godine došlo je do sve većeg naglašavanja pojma "unutrašnja bezbednost", koji se primenjuje na aktivnosti koje su u rasponu od, ali ne i ograničeni na, zaštitu vazdušnog prostora, pa sve do reakcije na hemijske ili biološke napade, kao i od zaštite od kompjuterskih napada do obezbeđenja železničkih pruga i pomorskih luka od terorističkih napada. Nažalost, veoma je malo saglasnosti oko toga šta ovaj pojam tačno označava. Pošto "unutrašnja bezbednost" ima tako široku konotaciju, ovde će da se posmatra pre kao sve aktuelnija preklapajuća disciplina nego kao specijalnost u bezbednosti.
Zaštita kritičnih infrastruktura je još jedna preklapajuća specijalnost koja se pojavljuje poslednjih nekoliko godina. Mnogi bi je opisali kao zaštitu informacionih sistema koji kontrolišu elemente infrastrukture, kao što su naftovodi, telekomunikacioni sistemi i nuklearne elektrane, od terorističkih napada. Drugi je posmatraju kao zaštitu ne samo informacionih sistema koji upravljaju i kontrolišu infrastrukturu, već i samih infrastruktura, bez obzira da li su u pitanju most, telefonska centrala ili fabrika prehrambenih proizvoda. Zbog promenljivih konotacija zaštite kritične infrastrukture i širokog opsega infrastrukture, ona se ovde takođe tretira pre kao aktuelna preklapajuća disciplina nego kao specijalnost u bezbednosti.
SPECIJALIZOVANE OBLASTI U BEZBEDNOSTI
Za prosečnog čoveka ideja o karijeri u bezbednosti možda neće da bude privlačna. Tendencija kod većine ljudi je da misle samo na uniformisane radnike obezbeđenja u patroli, nadgledanju alarma ili prilikom kontrole pristupa objektu. Oni pojedinci koje interesuje karijera profesionalca u bezbednosti treba da znaju da takođe postoji širok opseg administrativnih, tehničkih, nadzornih i menadžerskih mogućnosti u oblasti bezbednosti.
Za ulazak u oblast bezbednosti na ulaznom nivou ne-menadžmenta postoje neki tipični preduslovi. Oni obuhvataju srednjoškolsko ili više obrazovanje, nepostojanje krivičnog dosijea, starost preko 18 godina, i posedovanje opšteg znanja ili iskustva u bezbednosti. Na primer, mnoge države zahtevaju određeni nivo obuke pre nego što se pojedinac zaposli kao naoružani ili nenaoružani radnik obezbeđenja. Mnoge od dužnosti koje pojedinci na ovim pozicijama sprovode u većini slučajeva će da budu slične, bez obzira na sektor industrije bezbednosti u kojoj je pojedinac zaposlen. Ove dužnosti mogu da obuhvataju aktivnosti kao što su redovne patrole, odnosi s javnošću, kontrola pristupa objektima, i pisanje osnovnih izveštaja.
Dužnosti na ulaznom nivou pozicija menadžmenta mogu značajno da variraju, u zavisnosti od specijalnosti. Dužnosti na pozicijama srednjeg nivoa, u zavisnosti od specijalnosti, mogu da obuhvate klasične nadležnosti kao što su planiranje, organizacija, selekcija kadra, kontrola, budžet, koordinacija, predstavljanje, usmeravanje i pisanje izveštaja. Osim ovih funkcija, pozicije srednjeg nivoa mogu da obuhvate nadležnosti koje su specifične za pojedine specijalnosti.
Sledeće oblasti predstavljaju neke od specijalnosti u oblasti bezbednosti. Svaka specijalizovana oblast pruža kraći opis specijalnosti pored preduslova za ulazak na nadzorne i nenadzorne pozicije menadžmenta u tim specijalnostima. Osim podataka
12
o ulaznom nivou, postoje informacije koje se odnose na dužnosti srednjeg nivoa menadžmenta i ne-menadžmenta u tim specijalnostima.
Bankarske i finansijske usluge
Karijera u ovoj oblasti obuhvata poslove koji se odnose na bankarstvo (uključujući rad u filijalama, sa hipotekama, kreditnim karticama, internet bankarstvo, komercijalne i potrošačke kredite), berzu, osiguravajuće kompanije i ostale finansijske institucije. Kao ključna komponenta kritične infrastrukture svake države, industrija finansijskih usluga regulisana je od strane raznih vladinih agencija. Direktori i menadžeri bezbednosti finansijskih institucija moraju da se suoče sa širokim opsegom izazova kao što su krađe, prevare, nasilje na radnom mestu, bezbednost informacija, istrage, zaštita rukovodilaca, kontinuitet poslovanja i fizička bezbednost, kako bi adekvatno zaštitili svoje institucije. Menadžeri bezbednosti moraju da budu efektivni lideri u okviru svojih organizacija i moraju da budu u stanju da uspešno utiču na promene.
Zbog sve veće kompleksnosti industrije finansijskih usluga, kompanije i dalje traže najbolje iz agencija za sprovođenje zakona, sa koledža i univerziteta, kao i iz drugih kompanija privatnog sektora, kako u okviru tako i izvan sektora finansijskih usluga.
Ulazni nivo
Pozicije menadžmenta u finansijskim uslugama generalno zahtevaju diplomu iz poslovanja, finansija ili krivičnog prava od akreditovane institucije, kao i tri do pet godina radnog iskustva ili u sprovođenju zakona ili u bezbednosti. Opseg plata za pozicije ulaznog nivoa je od 35.000 do 65.000 američkih dolara godišnje, u zavisnosti od mnogih faktora.
Srednji nivo
Pozicije menadžmenta, za koje je potrebna stručnost u više disciplina u bezbednosti, generalno zahtevaju diplomu osnovnih studija u odgovarajućoj disciplini, kao i tri do sedam godina uspešnog posla u oblasti. Često su poželjni i profesionalni sertifikati kao CPP2 i CFE, kao indikator profesionalizma i kvalifikacija. Opseg plata za pozicije menadžmenta srednjeg nivoa je od 40.000 do 100.000 dolara.
Komercijalne nekretnine
Bezbednost u industriji komercijalnih nekretnina pruža mogućnosti ne samo za visoke komercijalne kancelarijske zgrade, već i za stambene prostore i tržne centre. Komercijalne nekretnine obuhvataju sve od okruženja u kojem ljudi provode njihovo radno vreme, pa do mesta gde žive i gde kupuju. Svako od ovih mesta nosi sa sobom izazove i aspekte sa kojima se, pošto nisu jedinstveni za industriju bezbednosti, mora suočiti na odgovarajući i isplativ način. U svakom slučaju, bez obzira na konkretno mesto, primarni fokus je na zaštiti osoblja i imovine. Ovo se postiže snažnom vezom sa lokalnom policijom, poznavanjem zahteva za odabir kadra, kao i elektronskim sistemima obezbeđenja. Sve ranjive tačke određenog objekta moraju da budu identifikovane i zaštićene odgovarajućim resursima.
Ulazni nivo
2 Za informacije o sertifikatima pogledati poglavlje "Akademski programi i kursevi u bezbednosti".
13
Pozicije menadžmenta generalno zahtevaju diplomu iz bezbednosti ili krivičnog prava od akreditovane institucije, kao i jednu do tri godine iskustva u sprovođenju zakona ili bezbednosti. Opseg plata za pozicije ulaznog nivoa je od 40.000 do 50.000 dolara, u zavisnosti od mnogih faktora.
Srednji nivo
Pozicije menadžmenta, za koje je potrebna stručnost u više disciplina u bezbednosti, generalno zahtevaju diplomu osnovnih studija iz krivičnog prava ili iz odgovarajuće discipline, kao i pet do sedam godina uspešnog posla u oblasti. Često su poželjni i profesionalni sertifikati kao CPP i CFE, kao indikator profesionalizma i kvalifikacija.
Kulturno vlasništvo
Zajednički imenitelj muzejskog i kulturnog vlasništva je jedinstven doprinos javnosti kroz prikupljanje, čuvanje i predstavljanje dela svetske baštine. U njih su uračunati kako državni tako i privatni muzeji antropologije, istorije umetnosti i prirodnjački muzeji, akvarijumi, botaničke bašte, galerije, istorijski spomenici, planetarijumi, naučni i tehnološki centri, zoološki vrtovi, biblioteke i arhivi.
Usluge zaštite i bezbednosti kulturnog vlasništva pružaju mogućnosti za bezbednosne funkcije (radnici obezbeđenja, istražitelji, supervizori i menadžeri), tehničke usluge (specijalisti za fizičko i elektronsko obezbeđenje), specijaliste za zaštitu od požara, usluge zaštite zdravlja, administrativne usluge (plate, odabir, obuka) i usluge za posetioce.
Ulazni nivo
Za pozicije menadžmenta poželjna je diploma strukovnih ili osnovnih akademskih studija. Prihvatljive su i oblasti studija koje se odnose na polje zaštite i/ili polje društvenih i humanističkih nauka. Prethodno radno iskustvo u javnim uslugama ili u edukativnom turizmu je takođe poželjno. Opseg plata generalno se kreće između 20.000 i 40.000 dolara godišnje.
Srednji nivo
Za pozicije menadžmenta poželjna je diploma osnovnih akademskih studija koja odgovara izabranoj karijeri:
Operativni menadžeri = bezbednost ili krivično pravoTehnički menadžeri = elektrotehničke naukeZdravstvena zaštita = medicinske naukeAdministrativni = društvene nauke ili poslovanje
Obično je preduslov za pozicije srednjeg nivoa menadžmenta tri do pet godina radnog iskustva u datoj ili sličnoj oblasti.
14
Bezbednost obrazovnih institucija
Primarni cilj programa bezbednosti u obrazovnoj instituciji je edukacija populacije u školama i kampusima o potencijalnom kriminalu unutar i izvan institucije. Centralne teme programa prevencije kriminala u kampusima su svest, samozaštita i prevencija. Bezbednost u obrazovnim institucijama postala je aktuelno pitanje tokom 90-ih godina prošlog veka. Sa povećanjem publiciteta oko kriminala u kampusima, ovaj trend će najverovatnije da se nastavi. Nivo nasilja unutar i oko obrazovnih institucija doveo je do potrebe za bezbednošću u javnim i privatnim školama, kako osnovnim, tako i srednjim. Mnoge obrazovne institucije koriste lokalna policijska odeljenja za čiji rad je potrebna obuka policijske akademije ili odgovarajući sertifikat. Zainteresovani učenici koledža mogu da uđu u ovu oblast kroz rad sa pola radnog vremena u odeljenjima bezbednosti kampusa.
Ulazni nivo
Pozicije menadžmenta ne zahtevaju akademsko zvanje; međutim, diploma, opšte iskustvo u bezbednosti, specijalizovano iskustvo i profesionalni sertifikati su poželjni. Opseg plata kreće se od 40.000 do 50.000 dolara godišnje.
Srednji nivo
Pozicije menadžmenta takođe ne zahtevaju akademsko zvanje; međutim, diploma, opšte iskustvo u bezbednosti, specijalizovano iskustvo i profesionalni sertifikati su poželjni.
Igre na sreću i kockanje
Kako svet igara ne prestaje da raste i da se menja, tako jedna stvar ostaje ista, a to je da su igre na sreću u suštini zabava. Sa naprednom tehnologijom u industriji igara i kockanja, kao i ogromnim rastom same industrije, pojavljuju se nove nadležnosti i mogućnosti za profesionalce u bezbednosti. Zabavna vrednost igara traži od profesionalaca u bezbednosti da pruže adekvatnu bezbednost dok u isto vreme dozvoljavaju gostima i igračima da uživaju u ovom okruženju.
Ulazni nivo
Za pozicije menadžmenta potrebna je srednjoškolska ili ekvivalentna diploma, i najmanje jedna godina iskustva u sprovođenju zakona, obezbeđenju ili na poslovima u sistemima za nadzor, uz sertifikat obuke za upravljanje u kriznim situacijama i dozvolom za nošenje vatrenog oružja, ukoliko je moguće. Poželjno je prethodno iskustvo u igrama na sreću. Opseg plata kreće se od 16.500 do 31.000 dolara, u zavisnosti od kvalifikacija, sertifikata, dozvola i nadležnosti.
Srednji nivo
Za poziciju menadžmenta potrebno je najmanje dve do tri godine rada u sprovođenju zakona, obezbeđenju kazina ili na poslovima u sistemima za nadzor, kao i sertifikat obuke za upravljanje u kriznim situacijama i dozvola za nošenje vatrenog oružja, ukoliko je moguće. Poželjna je diploma iz krivičnog prava ili slične oblasti, kao i sertifikat CPP.
15
Vladina/industrijska bezbednost
Profesionalci u vladinoj/industrijskoj bezbednosti zaduženi su za zaštitu raznih posebnih kategorija poverljivih informacija, a u skladu sa Programom nacionalne industrijske bezbednosti (NISP). NISP je bezbednosno partnerstvo između vlade SAD i industrije, koje je stvoreno zbog zaštite poverljivih informacija federalne vlasti koje se daju ugovaračima i pojedincima koji dobijaju posebne dozvole vlade. Zaposleni unutar ove specijalnosti moraju da ispune ove zahteve, da poštuju ograničenja i ostale mere zaštite u okvirima relevantnih zakona i Zakonika o federalnim propisima, koje su potrebne za sprečavanje neautorizovanog pristupa poverljivim informacijama koje vladina ministarstva i agencije pružaju ugovaračima.
Ulazni nivo
Za pozicije menadžmenta potrebna je diploma akreditovane institucije, kao i tri do pet godina iskustva u vladinom ili industrijskom sektoru, poželjno na supervizorskim pozicijama. Neophodna specijalizovana obuka ili iskustvo obuhvataju uspešnu primenu bezbednosnih propisa i poznavanje bezbednosnih budžetskih pitanja. Poželjni su profesionalni sertifikati ili dokumentovani zapis o profesionalnim aktivnostima u bezbednosti ili obuci i edukaciji. Ostali preduslovi obuhvataju provereno iskustvo u rešavanju problema i odnosu s klijentima. Opseg plata je između 55.000 i 75.000 dolara, u zavisnosti od mnogo faktora.
Srednji nivo
Za pozicije menadžmenta potrebna je diploma osnovnih akademskih ili viših studija akreditovane institucije, kao i pet do deset godina iskustva u vladinom ili industrijskom sektoru bezbednosti sa supervizorskim ili prethodnim menadžerskim iskustvom. Neophodna specijalizovana obuka ili iskustvo obuhvataju profesionalne sertifikate (CPP, PCI, PSP, ISP, CFE i dr.), ili dokumentovani zapis o profesionalnoj obuci u bezbednosti koju sprovodi vlada. Ostali poželjni preduslovi obuhvataju provereno iskustvo u rešavanju problema, razvoju politike, odnosima s klijentima, uspešnoj primeni propisa iz bezbednosti i razvoju budžeta.
Bezbednost u zdravstvu
Bezbednost u oblasti zdravstva pruža mogućnosti ne samo u bolnicama, nego i u domovima zdravlja, klinikama i domovima za brigu o licima. Ova oblast je višestrana i izazovna, i obuhvata rad sa nepokretnim, emocionalno i mentalno ometenim licima i njihovim porodicama, kao i obezbeđivanje radnji, parkirališta, apoteka i rad u hitnim službama. Istraga zaposlenih igra presudnu ulogu u zaštiti. Radno okruženje je orijentisano na zaštitu i usluživanje pacijenta, a takođe može da obuhvati upravljanje u kriznim situacijama. Mogućnosti za zaposlenje obuhvataju poslove bezbednosnog nadzora, direktora za bezbednost ili odnose s javnošću u interakciji s medicinskim radnicima, kao i s pacijentima.
Ulazni nivo
Za pozicije menadžmenta potrebna je diploma iz bezbednosti ili slične oblasti, ili ekvivalentno iskustvo. Potrebne su dve godine iskustva na poslovima bezbednosnog nadzora, a poželjno je i iskustvo u bezbednosti u zdravstvu ili odnosu s klijentima.
16
Osim toga, poželjni su obuka i iskustvo u poslovnom menadžmentu i ljudskim resursima. Opseg plata je od 30.000 do 50.000 dolara.
Srednji nivo
Za pozicije menadžmenta potrebna je diploma osnovnih studija iz bezbednosti ili slične oblasti, ili ekvivalentno iskustvo. Potrebno je pet godina iskustva u bezbednosnom nadzoru ili na pozicijama menadžmenta ulaznog nivoa, a poželjno je i iskustvo u bezbednosti u zdravstvu ili odnosu s klijentima. Osim toga, poželjni su obuka i iskustvo u poslovnom menadžmentu i ljudskim resursima. Poželjni su sertifikati CHPA i CPP.
Bezbednost informacionih sistema
Bezbednost informacionih sistema (ISS) je važno i sve veće polje bezbednosti koje oslikava današnju zavisnost od podataka, Interneta i elektronskog poslovanja. Profesionalci za bezbednost informacionih sistema odgovorni su za zaštitu hardvera, softvera i poslovnih procesa uz istovremeno obezbeđivanje da autorizovani korisnici poštuju utvrđene bezbednosne politike i procedure.
U zavisnosti od zaduženja, profesionalci za bezbednost informacionih sistema takođe će da budu direktno ili indirektno odgovorni za kontinuitet poslovanja i planiranje obnove posle vanrednih situacija u njihovim organizacijama. Tehnička kompleksnost sistema bezbednosti zahteva detaljno poznavanje pretnji po računarske operacije, mreže (uključujući TCP/IP, UDP i ICMP protokole), kao i zaštite unutrašnjeg i mrežnog perimetra. Profesionalci za bezbednost sistema moraju da poznaju uobičajenu zaštitu kao što su firewall, detekcija/sprečavanje upada, antivirus programi, kontrola pristupa ruterima, i metodi za kontrolu napada kroz svih sedam slojeva ISO modela za povezivanje otvorenih sistema (OSI). Profesionalac za bezbednost sistema imaće mogućnost zaposlenja kako u komercijalnim, tako i u vladinim organizacijama; većina mogućnosti za zaposlenje u vladi zahtevaće bezbednosna ovlašćenja koja odgovaraju osetljivosti organizacije i podataka koji se obrađuju.
Ulazni nivo
Za menadžere je tradicionalno potrebna četvorogodišnja diploma iz računarstva ili slične oblasti, najmanje četiri godine iskustva u bezbednosti sistema i dokaz o uspehu u ovoj oblasti. Poželjni sertifikati obuhvataju CPP, CISSP i/ili SANS GIAC. Dodatni sertifikati vezani za oblast prodaje pojedinih bezbednosnih proizvoda su takođe poželjni. Tipični poslovi su bezbednosni analitičar, bezbednosni konsultant, specijalista za bezbednost mreža i rukovodilac tima za bezbednost. Opseg plata je od 40.000 do 80.000 dolara, u zavisnosti od organizacije i lokacije.
Srednji nivo
Za menadžere je potrebna četvorogodišnja diploma (ili viša, u zavisnosti od organizacije), najmanje deset godina iskustva na pozicijama direktne bezbednosti kompjutera i dokaz o uspehu u najmanje dva različita tipa organizacije. Poželjni sertifikati obuhvataju CPP, CISSP, SANS GIAC i ostale sertifikate koji se odnose na industriju i prodaju. Neki menadžeri srednjeg nivoa skoro su dodali veštine IT provera u uslove za zaposlenje, što stavlja naglasak na programe usaglašavanja. Nazivi
17
poslova su menadžer bezbednosti mreža, menadžer za zaštitu informacija, rukovodilac bezbednosti informacija, ili menadžer za IT provere.
Istrage
Proces istraživanja je bitna funkcija kako u javnom, tako i u privatnom sektoru. To je veoma široka oblast koja obuhvata mnoge specijalnosti. Provera prošlosti je veoma bitan aspekt koji obuhvata prikupljanje informacija koje mogu da se koriste zbog utvrđivanja nivoa poverenja koji može da se garantuje pojedincu. U slučaju organizacije generalno se koristi termin "dužno poverenje" koji se primenjuje neposredno pre spajanja organizacija, prisvajanja ili uspostavljanja značajnih poslovnih sporazuma. U komercijalnom sektoru istražitelji utvrđuju činjenice u slučajevima krađa, kršenja pravila i procedura od strane zaposlenih, zloupotrebe računarskih sistema, sabotaža, pretnji i potencijalnog nasilja na radnom mestu. Takođe istražuju prevare, nemar, zolupotrebe, finansijske zloupotrebe i kršenje korporativne etike. Istražitelji koriste razna sredstva i tehnike kao što su intervjui, prikupljanje i obrada podataka, fizički i tehnički nadzor, računarska forenzika, pretraživanje baza podataka i algoritmi za analizu kriminala. Kao kod većine mera bezbednosti, efektivni programi istraga služe istovremeno kao prevencija kriminala i kao reakcija na počinjeno krivično delo.
Ulazni nivo
Za pozicije menadžmenta generalno je poželjna četvorogodišnja diploma. Krivično pravo i kriminologija su primarni, mada se prihvata i diploma iz poslovanja. Dvogodišnja diploma može da pomogne pojedincu koji želi poziciju ulaznog nivoa. U zavisnosti od pozicije, nije potrebno prethodno iskustvo, dok su za specijalizovane oblasti potrebne najmanje jedna do dve godine u odgovarajućoj oblasti. Razmatra se iskustvo u policiji ili bezbednosnim istragama. Opseg plata je između 35.000 i 55.000 dolara, u zavisnosti od mnogo faktora.
Srednji nivo
Pozicije menadžmenta, koje zahtevaju stručnost u različitim istragama i poslovnim disciplinama, generalno zahtevaju diplomu u odgovarajućoj disciplini, kao i pet ili više godina iskazanog uspeha u oblasti. Često su poželjni profesionalni sertifikati kao što su PCI i CFE, kao indikator profesionalizma i kvalifikacija. Menadžeri za istrage srednjeg nivoa mogu da očekuju opseg plata od 60.000 do 85.000 dolara.
Smeštaj i ugostiteljstvo
Od terorističkih napada iz 2001. godine, ugostiteljstvo je povećalo svoje interesovanje i izdvojilo dodatne resurse za funkciju bezbednosti. Vlasnici hotela i menadžeri svesni su potrebe za zaštitom svojih gostiju i imovine, pre svega zbog toga da bi se njihov smeštaj smatrao sigurnim. Kako bi ovo ispunili, stavljen je naglasak na odabir i angažovanje iskusnih i stručnih profesionalaca u bezbednosti. Primarno usmerenje bezbednosti u smeštaju i ugostiteljstvu je zaštita života, i sekundarno, zaštita imovine. Pozicije u hotelskoj bezbednosti generalno su dobro plaćene i uključuju brojne dodatne olakšice. Radno okruženje je profesionalno, zahtevno i kompleksno, dok rutinske dužnosti obuhvataju ekstenzivnu interakciju sa gostima i zaposlenima. Bezbednost u ugostiteljstvu polako se razvija u oblast koja obećava, uz mogućnosti za zaposlenje koje nastavljaju da se šire.
18
Ulazni nivo
Za pozicije menadžmenta često je potreban sertifikat iz bezbednosnog menadžmenta i/ili diploma osnovnih studija, kao i jedna do tri godine opšteg zaposlenja, plus jedna godina specijalizovanog zaposlenja u bezbednosti u ovoj oblasti. Poželjan je CLSS, ali ne i obavezan. Opseg plata, koji varira u zavisnosti od veličine imovine, je od 35.000 do 50.000 dolara.
Srednji nivo
Za pozicije menadžmenta potrebna je diploma osnovnih studija, tri do pet godina opšteg zaposlenja, plus jedna godina specijalizovanog zaposlenja u ovoj oblasti bezbednosti. Osim toga, uspešni menadžeri treba da poznaju rad na računarima, i da poseduju odlične interpersonalne veštine. Poželjni su CLSD i CPP.
Proizvodnja
Sve što se proizvede može da bude prodato direktno korisnicima, distributerima ili velikoprodajama. Profesionalci u bezbednosti u proizvodnji odgovorni su za pitanja koja obuhvataju ne samo transakcije, već i pitanja transporta, naručivanja i nabavke sirovih materijala, kao i zaštitu resursa od gubitka ili krađe. Proizvođači su sve više svesni potencijalnih gubitaka, tako da prevencija gubitaka može da se postigne samo kroz zapošljavanje kompetentnih direktora i menadžera za bezbednost koji mogu da pomognu u integrisanju funkcije bezbednosti u sve operacije, umesto njene izolacije iz celokupnog procesa. U zavisnosti od proizvodnje, pojedinci u ovoj specijalnosti mogu da rade u raznim okruženjima, uključujući izlaganje raznim vremenskim uslovima i rad u postrojenjima sa hemijskim procesima.
Ulazni nivo
Za pozicije menadžmenta generalno je potrebna najmanje diploma strukovnih studija, a često i diploma osnovnih studija. Za većinu pozicija potrebno je dve i više godina opšteg iskustva u bezbednosti, a ali i određena specijalizovana obuka i iskustvo. Poželjan je CPP za mnoge pozicije. Opseg plata za većinu pozicija je od 30.000 do 50.000 dolara godišnje.
Srednji nivo
Za pozicije menadžmenta generalno je potrebna diploma osnovnih studija i pet i više godina opšteg iskustva u bezbednosti, kao i određena specijalizovana obuka i iskustvo. Potreban je i poželjan CPP za većinu pozicija.
Prevencija gubitaka u maloprodaji
Uobičajena percepcija u javnosti funkcije prevencije gubitaka u maloprodaji je da je ona primarno usmerena na odabir detektiva u radnjama i pojedinaca koji hvataju lopove. Dok je s jedne strane tačno da veliki broj maloprodaja angažuje detektive za svoje radnje kako bi sprečili i uhvatili lopove, odgovornosti profesionalca za prevenciju gubitaka i uloga koju oni igraju u ukupnom profitu kompanije čini ovu poziciju jednom od najkritičnijih funkcija u maloprodajnim organizacijama. Ove kompanije suočavaju se s krađama i prevarama kako iz unutrašnjih, tako i iz spoljnih
19
izvora. Pozicije ulaznog nivoa generalno obuhvataju sprečavanje prikrivenih krađa, kontrolu prevencije gubitaka i bezbednosti, kao i mnoge druge funkcije koje mogu da dovedu do brzog napredovanja do profitabilnijih pozicija odgovornosti. Pozicije na prevenciji gubitaka u maloprodajama često pružaju dragoceno iskustvo, dok je posao na određeno na ovoj poziciji odličan za studente. Menadžeri za prevenciju gubitaka odgovorni su za nadgledanje detektiva u maloprodajama, kao i za otkrivanje i rešavanje unutrašnjih krađa. U zavisnosti od veličine radnje i kompanije, menadžer za prevenciju gubitaka može da bude odgovoran za ove funkcije u jednoj radnji, ili za nadgledanje prevencije gubitaka na više lokacija u okviru lanca radnji.
Ulazni nivo
Za pozicije menadžmenta generalno je potrebna diploma akreditovane institucije, kao i tri do pet godina iskustva u prevenciji gubitaka u maloprodaji. Opseg plata je od 25.000 do 38.000 dolara, u zavisnosti od mnogih faktora.
Srednji nivo
Za pozicije menadžmenta, koje zahtevaju stručnost u više disciplina u bezbednosti, potrebna je diploma iz odgovarajuće discipline, kao i pet do osam godina uspešno obavljenog posla u oblasti koja odgovara ovoj funkciji. Poželjni su CPP i CFE kursevi.
Bezbednosni inženjering i projektovanje
Arhitekte i inženjeri zaduženi su za stvaranje okruženja u kojima ljudi žive i rade. Ova okruženja stvaraju se u zavisnosti od programskih, budžetskih, zakonskih i estetskih zahteva. Do danas, bezbednost je često bila inkorporisana u projektovanje kao naknadni zahtev. Danas, menadžeri znaju da moraju da računaju na rad sa stručnjacima koji znaju da projektuju sistem bezbednosti u novom objektu ili u renoviranim starijim objektima. Troškovi ugradnje sistema bezbednosti, kao i svaki drugi sistem u objektu, razmatraju se nakon što je objekat izgrađen ili renoviran. Neadekvatna bezbednost u današnjem svetu povećava potencijal za gubitke, tako da redukcija gubitaka može da se postigne kroz zapošljavanje profesionalnih arhitekata i inženjera koji su stručni u oblasti bezbednosti. Ova stručnost može da pomogne u integrisanju funkcije bezbednosti u okruženje u koceptualnoj fazi uz upotrebu tehničko-tehnoloških inovacija. Potrebno je utvrditi funkcionalne zahteve i pustiti stručnjake da razrade opcije.
Ulazni nivo
Pozicije bezbednosnog konsultanta u firmama za arhitekturu/inženjering, kao i za arhitekte i inženjere, zahtevaju najmanje diplomu osnovnih studija. Većina funkcija koje se odnose na pozicije bezbednosti zahtevaju minimalno iskustvo u ovoj oblasti. Osim ovoga, poželjni su obuka u bezbednosnom projektovanju/inženjeringu, kao i određena specijalizovana obuka. Opseg plata za većinu pozicija je od 30.000 do 60.000 dolara.
Srednji nivo
Za pozicije je generalno potrebna diploma osnovnih studija i pet do sedam godina iskustva u bezbednosti i/ili projektovanju izvan oblasti studija, kao i neke dodatne specijalizovane obuke ili iskustvo. Profesionalne licence za inženjere i arhitekte u
20
velikoj meri utiču na pozicije srednjeg nivoa, dok je PSP sertifikat poželjan zbog garantovanja stručnosti. Licencirani i sertifikovani profesionalci imaju globalni pogled na projekte, što im dozvoljava da bolje integrišu bezbednost sa ostalim elementima projektovanja građevina i objekata. CPP nije zahtev, ali je poželjan.
Bezbednosna trgovina, oprema i usluge
Ova specijalnost u bezbednosti može da bude stimulativna, izazovna i finansijski isplativa. Nove pretnje i brzi razvoj tehnologija pokrenuli su pojavu novih proizvoda i usluga u bezbednosti, i kao rezultat je došlo do porasta broja kompanija koje nude razne usluge bezbednosti. Pozicije u prodaji mogu da variraju od proizvoda kao što su barijere, alarmni sistemi, sofisticirana biometrija, CCTV sistemi, oprema za biološku detekciju i softvera za procenu rizika, pa sve do uniformisanih usluga obezbeđenja. Osoblje u prodaji i uslugama može da bude zaposleno od strane proizvođača opreme koji prodaje određene proizvode, ili od strane nezavisnog dilera koji predstavlja razne proizvode. Pozicije ulaznog nivoa mogu da obuhvate prodaju, ispitivanje tržišta, predstavljanje proizvoda i pružanje informacija za potrebe vlasti. Odgovornosti u srednjem nivou menadžmenta mogu da obuhvate usmeravanje i motivisanje zaposlenih, organizovanje prodaja i marketinških kampanja, priprema i predstavljanje ponuda, vođenje sastanaka i predstavljanje na sajmovima.
Ulazni nivo
Za pozicije menadžmenta može da bude potrebna srednjoškolska diploma, u zavisnosti od obima i prirode posla. Preporučuje se široko obrazovanje i iskustvo u oblastima računovodstva, industrijskog inženjeringa, menadžmenta, marketinga, ljudskih resursa, komunikacija, statistike i radnih odnosa. Priroda i obim poželjnog obrazovanja i iskustva i opseg plata na pozicijama ulaznog nivoa mogu da variraju u zavisnosti od vrste proizvoda ili usluge koja se pruža, obima prodaje i drugih faktora.
Srednji nivo
Za pozicije menadžmenta potrebno je iskustvo za sprovođenje širokog opsega funkcija koje su navedene za ulazni nivo. Ovde su veoma važni sposobnost za efikasan rad s ljudima i sposobnost verbalnog i pisanog predstavljanja informacija.
Bezbednost transporta
Bezbednost u transportu proširena je na sve vrste prevoza ljudi i roba, uključujući aviosaobraćaj, kamione, autobuse, železnički transport i vodeni transport. Ovo se dalje deli na prevoznike, infrastrukture, pošiljke, prijem robe, turizam i poslovna putovanja. Infrastruktura obuhvata luke, aerodrome, hangare, skladišta, putničke terminale, autoputeve i postrojenja za transfer kontejnera. Ovo je višestrana i izazovna oblast koja je vezana za sam centar ekonomije – transportni sistem. Danas, terorizam i krađa tovara predstavljaju veću pretnju po globalni lanac nabavke nego ikada ranije, putnici osećaju tenziju zbog povećanog obezbeđenja, avionske kompanije i aerodromi povećavaju svoju bezbednost zbog sprečavanja terorističkih napada, luke i terminali preduzimaju korake na kontroli pristupa, a železničke i kompanije za kopneni transport sprovode bezbednosne politike koje umanjuju rizike. S druge strane, sofisticirane krađe tovara pojavljuju se u svim oblicima. Profesionalci u bezbednosti transporta nalaze se pred izazovom zahteva za zaštitu kritične transportne infrastrukture bez ometanja slobodnog protoka roba i putnika. Ova
21
industrija zapošljava profesionalce kako u državnim, tako i u privatnim organizacijama.
Ulazni nivo
Za pozicije menadžmenta potrebna je dvogodišnja ili četvorogodišnja diploma iz bezbednosti ili sprovođenja zakona, u zavisnosti od pozicije. Za mnoga mesta poželjno je iskustvo u istragama, ukoliko ne i potrebna. Iskustvo u obezbeđivanju tovara i poznavanje sistema obezbeđenja kao što su CCTV i sistemi detekcije upada, mogu takođe da budu zahtev. Poželjan je rad u distribuciji i logistici za kompanije koje se bave poslovnim ili turističkim putovanjima. Opseg plata je od 30.000 do 50.000 dolara.
Srednji nivo
Pozicije menadžmenta tipično zahtevaju diplomu osnovnih studija ili ekvivalentno profesionalno iskustvo. U zavisnosti od prirode pozicije, takođe može da se traži iskustvo u istragama, sistemima obezbeđenja, snagama bezbednosti i operacijama bezbednosti tovara. Poželjan je i rad u distribuciji i logistici, kao i operativno iskustvo u javnim ili privatnim sistemima za putovanja. Takođe je poželjno poznavanje bezbednosnih inicijativa federalne vlasti.
Energetska i nuklearna bezbednost
Ovi sistemi obuhvataju proizvodnju nafte, vode, struje i nuklearne energije. Iako se izvori energije razlikuju, postoje uobičajena postrojenja za sve ove operacije. Električni izvori obuhvataju fosilna goriva (naftu, gas i ugalj), vodu i nuklearne generatore. Svako postrojenje održava sisteme prenosa i distribucije koji olakšavaju transport struje, goriva i/ili vode na veće distance, kao i sisteme manjih naftovoda i električnih instalacija koji su dizajnirani zbog distribucije do krajnjih korisnika. Profesionalci u bezbednosti ovih postrojenja preduzimaju neophodne mere i dužnosti za zaštitu ljudi, imovine, informacija i drugih objekata u slučaju kriminala, prirodnih nesreća, tehnoloških katastrofa, nedostatka resursa, građanskih nemira, rata ili terorističkih aktivnosti.
Ulazni nivo
Za pozicije menadžmenta generalno je potrebna diploma iz bezbednosti, pet godina iskustva u bezbednosti ili sprovođenju zakona. Opseg plata kreće se između 50.000 i 70.000 dolara. Takođe je potreban CPP kurs.
Srednji nivo
Za pozicije menadžmenta generalno je potrebna diploma osnovnih studija, pre svega iz bezbednosti i administracije, kao i 10 godina iskustva na poslovima bezbednosti ili u sprovođenju zakona. Potreban je CPP sertifikat.
22
Ostale specijalizovane oblasti
1. Bezbednost u poljoprivredi
2. Bezbednost u građevinarstvu
3. Planiranje u vanrednim situacijama
4. Krizni menadžment
5. Zaštita rukovodilaca
6. Bezbednost državne i lokalnih vlasti
7. Bezbednost hrane
8. Osiguranje
9. Naftna, gasna i hemijska bezbednost
10.Farmaceutska bezbednost
11.Stambena bezbednost
12.Bezbednosni konsalting
13.Edukacija i obuka u bezbednosti
14.Obezbeđenje posebnih događaja
15.Telekomunikaciona bezbednost
16. Bezbednost u veleprodaji i skladištenju
23
2. AKADEMSKI PROGRAMI I KURSEVI U BEZBEDNOSTI3
AKADEMSKI PROGRAMI U BEZBEDNOSTI4
Određeni broj koledža i univerziteta nudi studijske programe u bezbednosti, što obuhvata strukovne studije, osnovne akademske studije, kao i diplomske akademske studije. Neke od ovih studija nude usmeravanja u oblastima bezbednosnog menadžmenta, zaštite imovine ili sličnim disciplinama, dok druge nude specijalizovane oblasti, niže kurseve ili serije kurseva iz oblasti bezbednosti. Neke institucije, posebno na nivou fakulteta, pružaju vikend seminare po odabranim temama iz oblasti bezbednosti. Bezbednost je poslovna funkcija, tako da ona nije podgrupa ili oblast koja se izdvojila iz sistema krivičnog prava. Studenti koji žele da se zaposle u oblasti bezbednosti treba da pohađaju kurseve iz bezbednosnog menadžmenta, poslovanja, računarstva, prava, studija terorizma, upravljanja u vanrednim situacijama, informacionog menadžmenta i menadžmenta ljudskim resursima.
Studenti takođe treba da obavljaju stručnu praksu, saradnju ili radne studijske programe kod poslodavaca u bezbednosti. Osim toga, studenti treba da nađu profesionalce u bezbednosti koji rade u specijalizovanoj oblasti ili disciplini koju žele da završe, i tako nauče više o specijalnosti kroz aktivnosti kao što su stručne posete i konkretni poslovi.
SERTIFIKATI
Sertifikati iz ASIS International (ASIS)
Sertifikacija je značajna dobrovoljna investicija u budućnost profesionalca u bezbednosti, i ona pruža kvalitet na sve konkurentnijem tržištu poslova bezbednosti. Kompanije, ugovarači i vlasti danas preduzimaju dodatne korake kako bi obezbedili da unajmljuju ili rade s pojedincima koji poseduju potrebne kvalitetne veštine i znanja. Sertifikacije iz ASIS-a su sredstvo koje pruža podršku i kredibilitet u vođenju organizacije u svetu profesionalaca u bezbednosti. Što se tiče pojedinaca, sertifikati mogu da budu od velikog značaja prilikom konkurisanja za ugovore, prijavljivanja na posao ili prelaska u privatni sektor.
Sertifikati su objektivna sredstva za razlikovanje kompetentnih profesionalaca u bezbednosti od onih koji tvrde da to jesu. Tri sertifikata iz ASIS-a ispunjavaju striktne, međunarodno priznate zahteve za edukaciju, iskustvo i ispite. Sertifikati pružaju pojedincima sledeće:
• Demonstriranje znanja i veština
• Posedovanje direktnog profesionalnog kredibiliteta
• Razlikovanje od drugih
• Unapređenje ličnog i profesionalnog razvoja
• Povećanje potencijala za zarađivanje
3 Academic Institutions Offering Degrees and/or Courses in Security, © 2005 ASIS International, 1625 Prince Street, Alexandria.4 Career Opportunities in Security, © 2005 ASIS International, 1625 Prince Street, Alexandria.
24
ASIS pruža tri sertifikaciona programa:
Sertifikat za profesionalca u bezbednosti (CPP) je stručni naziv koji se daje pojedincima čija je primarna odgovornost u bezbednosnom menadžmentu i koji su pokazali visoko znanje u bezbednosnim rešenjima i najbolju poslovnu praksu. Profesionalac u bezbednosti mora da ima devet godina iskustva u bezbednosti, od toga najmanje tri godine na odgovornoj funkciji u bezbednosti; ili diplomu osnovnih studija i sedam godina iskustva, od toga tri na odgovornoj funkciji. Pojedinci koji ispune pomenute uslove moraju zatim da polažu ispit.
Sertifikat za profesionalnog istražitelja (PCI) je tehničko zvanje koje se dodeljuje pojedincima čija je primarna odgovornost vođenje istraga, i koji su pokazali sveobuhvatno operativno znanje i sposobnosti u ovoj oblasti. Profesionalni istražitelj mora da poseduje diplomu srednje škole ili ekvivalentnu diplomu, kao i pet godina iskustva u istragama, od toga dve godine u menadžmentu. Potrebno je položiti ispit.
Profesionalac za fizičko obezbeđenje (PSP) je tehničko određenje koje se dodeljuje onim pojedincima čija je primarna odgovornost sprovođenje ispitivanja fizičkog obezbeđenja, projektovanje integrisanih sistema obezbeđenja ili instalacija, rukovođenje ili održavanje tih sistema, i koji su pokazali sveobuhvatno operativno znanje i sposobnosti u ovoj oblasti. Potrebna je diploma srednje škole ili ekvivalentna diploma, kao i pet godina iskustva u oblasti fizičke bezbednosti. Takođe je potrebno položiti ispit.
Ostali sertifikati
Osim pomenutih, postoji i određeni broj specijalizovanih sertifikata u bezbednosti i srodnim oblastima, a koje pružaju druge organizacije. Ovde je pomenuto nekoliko sertifikata koji se odnose na ovu industriju:
1. Istražitelj prevara (Certified Fraud Examiner, CFE) – Asocijacija sertifikovanih istražitelja prevara;
2. Administrator za zdravstvenu zaštitu (Certified Healthcare Protection Administrator, CHPA) – Međunarodna asocijacija profesionalaca u zaštiti zdravlja;
3. Profesionalac za bezbednost informacionih sistema (Certified Information Systems Security Professional, CISSP) – Međunarodni konzorcijum za bezbednost informacionih sistema;
4. Supervizor za bezbednost smeštaja (Certified Lodging Security Supervisor, CLSS) i Direktor bezbednosti smeštaja (Certified Lodging Security Director, CLSD) – Obrazovni institut Asocijacije američkih hotela i ugostitelja;
5. Sertifikat za zaštitu globalnih informacija (Global Information Assurance Certificate, GIAC) – SANS Institut;
6. Profesionalac u industrijskoj bezbednosti (Industrial Security Professional, ISP) – Nacionalno udruženje za klasifikacije.
Sledeći spisak akademskih programa i kurseva je čisto informativan i obuhvaćeni su samo oni programi i kursevi koji u sebi sadrže nastavni program iz oblasti
25
bezbednosti. Programi koji se odnose na kriminologiju ili krivično pravo nisu obuhvaćeni ukoliko u okviru njih nije ponuđena specijalnost iz bezbednosti.
Ovde su prevashodno prikazani programi i kursevi koji se pružaju u Sjedinjenim Američkim Državama, kao i u Velikoj Britaniji, Australiji i Brazilu. Obuhvaćeni su svi državni univerziteti, kao i veći fakulteti. Od skora se na nekim fakultetima u SAD pružaju kursevi iz "unutrašnje bezbednosti" (ekvivalent nacionalnoj bezbednosti), a takođe je osnovan Nacionalni akademski konzorcijum za unutrašnju bezbednost koji nije ograničen samo na edukaciju i obuku, već obuhvata i naučno istraživanje, razvoj tehnologije i programe usluga.
Skraćenice koje se koriste su sledeće:
AA – Associate of Arts (Osnovne strukovne studije)AAS – Associate in Applied Science (Osnovne strukovne studije primenjenih nauka)BA – Bachelor of Arts (Osnovne akademske studije – društvene nauke)BS – Bachelor of Science (Osnovne akademske studije – prirodne i tehničke nauke)MA – Master of Arts (Diplomske akademske studije – društvene nauke)MS – Master of Science (Diplomske akademske studije - prirodne i tehničke nauke)
SJEDINJENE AMERIČKE DRŽAVE
BS i MS iz pravosuđa i javne bezbednosti – Ponuđeni su kursevi iz bezbednosti.
BA i BS iz krivičnog prava – Ponuđeni su kursevi privatne bezbednosti.
MS iz tehnologije – Program tehnologije bezbednosnog inženjeringa (projektovanje tehničkih sistema bezbednosti).
BS iz globalne bezbednosti i studija obaveštajnog rada – Program nudi specijalizaciju iz globalnog obaveštajnog rada. Ovaj program napravljen je za buduće profesionalce u bezbednosti i obaveštajnom radu koji imaju široko shvatanje globalnih odnosa u politici, ekonomiji, nauci i tehnologiji, između ostalog.
MS iz krivičnog prava – Ponuđeni su predmeti iz korporativnog kriminala.
BS i MS iz krivičnog prava – Ovaj program pruža diplomu pojedincima koji žele sveobuhvatno obrazovanje za profesiju u policiji, kazneno-popravnim ustanovama, sudovima i bezbednosnoj administraciji.
AA iz pravosuđa – Osim što ima Akademiju bezbednosti koja obuhvata većinu sertifikata za one koji žele da rade kao radnici obezbeđenja (upotreba vatrenog oružja, palica, suzavca, pružanje prve pomoći), takođe je pružen i program iz bezbednosnog menadžmenta.
AA iz bezbednosti računarskih i informacionih sistema.
AA iz krivičnog prava – Ovaj program napravljen je zbog nadogradnje veština i znanja zaposlenih u krivičnom pravosuđu i privatnom sektoru, kao i zbog pružanja programa za zaposlenje u sledećim oblastima: kazneno-popravne ustanove, istrage i policijske patrole.
26
MA iz međunarodnih studija, MA iz unutrašnje bezbednosti, Master iz globalnih studija, Sertifikat iz unutrašnje bezbednosti – Osim kurseva iz oblasti političkih nauka, prava, ekonomije, istorije, sociologije i prirodnih nauka, pruža se i višedimenzionalni pristup u razumevanju bezbednosnog okruženja novog doba svetske politike.
MAS iz bezbednosnog menadžmenta i tehnološkog menadžmenta, MPS iz organizacije – Usmerenje iz organizacione bezbednosti, MAS iz bezbednosnog menadžmenta i organizacione bezbednosti.
MS iz krivičnog prava – Master program ima usmerenje za bezbednosni menadžment.
MA iz krivičnog prava – Master program ima usmerenja iz bezbednosnog menadžmenta i kompjuterskih prevara.
AA i BA iz unutrašnje bezbednosti – Program iz unutrašnje bezbednosti pruža solidnu osnovu iz planiranja, sprovođenja i upravljanja funkcijama bezbednosti u organizaciji.
BS iz risk menadžmenta i osiguranja, Sertifikat iz obezbeđenja – Osim opšte diplome iz kriminologije, moguće je dobiti dvostruku master diplomu, kao i sertifikate za rad u kazneno-popravnim ustanovama, policiji i bezbednosnoj administraciji.
BS iz kriminologije – Centar za proučavanje međunarodnog finansijskog kriminala je akademski istraživački centar čija je misija pružanje akademskih smernica, istraživanja i analiza, akademskih simpozijuma, nadzor i konsalting o pranju novca, korporativnoj bezbednosti, inostranim finansijama, kompjuterskom kriminalu, organizovanom kriminalu i međunarodnom finansijskom kriminalu.
BS i MS iz krivičnog prava, BS iz forenzičkih nauka, AAS iz bezbednosnog menadžmenta.
MS iz međunarodnih odnosa – Postoje kursevi koji se odnose na međunarodnu bezbednost.
BS, MBA i doktorske studije iz risk menadžmenta i osiguranja – Studentima se pruža okvir za razumevanje menadžmenta rizika u poslovanju. Posebno, risk menadžment obuhvata identifikaciju rizika, analizu rizika, kontrolu rizika i finansiranje. Program je napravljen tako da olakša razumevanje raznih aspekata risk menadžmenta i osiguranja, i da pruži priliku za primenu dobijenih znanja u poslovnim situacijama. Doktorski program napravljen je tako da pripremi studente za podučavanje i istraživanje na univerzitetima i koledžima i za pozicije u vladinim institucijama i u poslovanju.
AAS iz industrijske i poslovne bezbednosti – Studenti koji žele karijeru u poslovima obezbeđenja i mesta supervizora mogu da dobiju diplomu nakon završetka 64-časovnog programa. Pozicije za ovo zvanje obuhvataju korporativnu i industrijsku bezbednost, prevenciju gubitaka i risk menadžment. Studenti imaju obuku iz oblasti sprovođenja zakona, zaštite od požara, prve pomoći, itd. Ključni kursevi obuhvataju industrijsku zaštitu od požara i krivične istrage.
27
BA iz privatne bezbednosti/menadžmenta u prevenciji gubitaka, MS iz krivičnog prava – Ovi studijski programi nude studentima široku osnovu znanja putem profesionalnih kurseva kao što su privatne bezbednosne istrage, bezbednosna organizacija i upravljanje, bezbednosna i analiza rizika, između ostalog. Master program nudi predavanja koja se odnose na bezbednost.
MS iz zaštite informacija – Odnosi se na tehničke i netehničke oblasti zaštite informacija. Studije su usmerene na zaštitu poverljivosti, integriteta i dostupnosti informacija.
BA/BS i MA/MS iz prevencije gubitaka i zaštite – Program obuhvata obuku iz oblasti prevencije gubitaka, uključujući obezbeđenje, zaštitu od požara, industrijsku bezbednost, bezbednost saobraćaja, risk menadžment i hitne medicinske usluge. Takođe postoje i master programi.
AA iz javne i industrijske bezbednosti – Program pruža pripremu za novo interdisciplinarno polje koje konsoliduje dužnosti policijskih, bezbednosnih i službenika vatrogasnih službi. Takođe postoje onlajn kursevi, kao i antiteroristički programi.
MS iz bezbednosti mreža – Diploma je namenjena profesionalcima u informacionim sistemima koji žele da unaprede i poboljšaju veštine i karijeru u oblasti bezbednosti informacionih mreža.
Sertifikat iz bezbednosnog menadžmenta – Ovaj program nastao je kao rezultat terorističkih napada od 11. septembra 2001. godine. Sastoji se iz serije međusobno povezanih kurseva koji su namenjeni borbi protiv specifičnih pretnji po ljude, imovinu i poslovanje organizacija.
MS iz javnog menadžmenta, MS iz menadžmenta u računarskim sistemima – Postoje specijalizacije iz oblasti međunarodne bezbednosti i bezbednosti računarskih sistema.
Sertifikat iz upravljanja u vanrednim situacijama i kontinuiteta organizacije – Ovaj sertifikat omogućava prolaznost do master diplome iz menadžmenta. Obuhvata četiri kursa: Društveni i psihološki elementi nasilja na radnom mestu; Uvod u organizacioni risk i krizni menadžment u javnom i privatnom sektoru; Menadžment u javnim vanrednim situacijama – Struktura, sistemi i ciljevi; i Planiranje, usaglašenost i strategija za vanredne situacije i upravljanje kontinuitetom sistema.
MS iz računarskih informacionih sistema – Koncentrisan na bezbednosne zahteve u okviru informacionih sistema.
BS iz poslovanja – Menadžment u krivičnom pravu je program koji pruža mogućnost za zaposlenje u odeljenjima za korporativnu bezbednost i zaštitu vodećih korporacija, kao i u lokalnim, državnim i federalnim agencijama za sprovođenje zakona.
BS i MS iz krivičnog prava – Pruža diplomu iz oblasti bezbednosnog menadžmenta.
BA/BS i MS iz krivičnog prava – Diploma iz oblasti krivičnog prava sa naglaskom na sektoru privatne bezbednosti.
28
MS iz odbrane i strateških studija – Primarni cilj programa je pružanje profesionalnog obrazovanja za studente koji žele karijeru u oblasti politike nacionalne bezbednosti, analize odbrane, kontrole naoružanja i sl.
MA iz bezbednosnog menadžmenta, Diploma iz organizacionog i poslovnog bezbednosnog menadžmenta – Program pruža glavno usmerenje na bezbednosni menadžment, kao i sertifikacioni program iz iste oblasti.
BS iz oblasti zaštite – Ovaj program priprema studente za razne poslove koji se odnose na zaštitu u industriji, vladi i privatnom sektoru. Naglasak je na zaštiti zaposlenih i isplativosti. Diplomirani studenti mogu da rade u oblastima kao što su kontrola gubitaka, risk menadžment, institucionalna zaštita i konsalting.
BA iz krivičnog prava, Master program iz administrativnih nauka – Koncentracija je na administraciji privatne bezbednosti, uz mogućnost sertifikacionog programa iz oblasti privatne bezbednosti. Takođe postoji master program, kao i sertifikati iz unutrašnje bezbednosti.
AA, BA, MA iz krivičnog prava, Diploma iz bezbednosne tehnologije i obaveštajnog rada – Zajednički program odseka za krivično pravo i odseka tehnološkog inženjerstva.
Industrijska elektronika i mrežna tehnologija, Elektronski sistemi obezbeđenja – Program elektronskih sistema obezbeđenja pruža studentima veštine koje su neophodne za instalaciju, konfiguraciju, održavanje i popravku hardvera i softvera sistema za detekciju upada, nadzor i kontrolu pristupa. Studenti dobijaju uvid u ključne elemente zaštite postrojenja i drugih objekata od nepoželjnog upada.
AAS iz krivičnopravne bezbednosti, AS iz privrednog kriminala – Programi su napravljeni zbog razvijanja stručnosti iz prevencije gubitaka i kontrole kriminala, a zbog ulaska u sektor privatne bezbednosti kao profesionalaca u industrijskoj, privrednoj i institucionalnoj bezbednosti i sličnim oblastima. Studenti na programu privrednog kriminala proučavaju osnovne teme krivičnog prava, kao što su krivični zakon, privatna bezbednost i kriminologija, uz usmeravanje na tehnologiji preko više kompjuterskih kurseva.
AA i BS iz bezbednosnog menadžmenta, MS iz menadžmenta u zaštiti.
MS iz krivičnog prava – Osim master diplome ponuđene su i specijalizacije u istraživanju prevara i bezbednosnoj administraciji.
BS iz sistema obezbeđenja – Laboratorije sistema obezbeđenja poseduju 4 specijalizovane laboratorije za nastavu i istraživanje za kontrolu pristupa, CCTV sisteme, računarsku forenziku i detekciju upada.
BS iz krivičnog prava, BS iz istraga u privrednom kriminalu – Program kombinuje studije krivičnog prava i računovodstva i računarstva kako bi se budućim praktičarima pružilo razumevanje sve većih problema poslovnih prevara i kompjuterskog kriminala. Master program kombinuje oblasti menadžmenta, tehnologije, analitičke veštine i znanje i razumevanje ekonomskog kriminala iz globalne perspektive.
BS iz bezbednosti – Kursevi iz industrijske, poslovne i bezbednosti na nivou vlasti.
29
BS iz administracije krivičnog prava – Predavanja iz oblasti bezbednosne administracije i industrijske bezbednosti.
Informacioni sistemi i tehnologije – Pruža kurseve iz kompjuterske forenzike, bezbednosti informacija i sertifikovani program za menadžera bezbednosti informacija.
AA iz pravosuđa, Sertifikat iz industrijske i privredne bezbednosti, Sertifikat iz fizičke bezbednosti.
Master iz strateškog planiranja u kritičnim infrastrukturama – Program za rukovodioce koji su nadležni za zaštitu kritičnih infrastruktura i hitnih službi. Namenjen je zvaničnicima u javnim i privatnim infrastrukturama, upravljanju u vanrednim situacijama, kao i u unutrašnjoj bezbednosti.
AUSTRALIJA
BS iz bezbednosti, MS i doktorske studije iz oblasti nauka bezbednosti, Sertifikat iz bezbednosnog menadžmenta – BS kurs stavlja naglasak na funkciju bezbednosne tehnologije u zaštiti imovine, i podržan je odgovarajućim predavanjima iz prava i etike. Osim toga, ponuđeni su i sertifikat, diploma, zvanje mastera i doktora nauka bezbednosti.
BRAZIL
AA iz bezbednosnog menadžmenta – Pruža diplomu iz oblasti bezbednosnog menadžmenta (u pitanju je prvi kurs iz bezbednosnog menadžmenta koji je priznat od strane brazilskog Ministarstva kulture i obrazovanja). U pitanju je dvogodišnji kurs sa naglaskom na menadžmentu, bezbednosnoj administraciji, planiranju, VIP obezbeđenju, prevenciji gubitaka, fizičkoj i elektronskoj bezbednosti i sistemima, obuci, istragama i analizi rizika.
VELIKA BRITANIJA
MS iz menadžmenta u korporativnoj bezbednosti – Cilj je pružanje menadžerima u korporativnoj bezbednosti neophodnog znanja i ekspertize zbog uvođenja viših standarda bezbednosti koji su potrebni modernom poslovanju, bez obzira da li se radi o javnom ili privatnom sektoru.
MS iz bezbednosti i organizacionog risk menadžmenta, Onlajn kursevi iz bezbednosnog menadžmenta i risk i kriznog menadžmenta.
MA iz bezbednosnog menadžmenta – Ovaj program pruža sveobuhvatni program bezbednosnog menadžmenta putem kojeg se unapređuju znanje, veštine i kvalifikacije u okviru promenljive oblasti bezbednosti. Program pruža mogućnosti za menadžere bezbednosti i nespecijaliste koji žele da steknu stručnost i visoku kvalifikaciju u specijalizovanoj oblasti bezbednosnog menadžmenta.
BEZBEDNOST I STRUČNA SPREMA5
5 Hertig, A. Christopher, Charting an Academic Course, Security Management, December 2002, © 2002 ASIS International, 1625 Prince Street, Alexandria.
30
Učenici i studenti
Svaka vrsta obrazovne ponude mora, kao i svaki proizvod, da skupi dovoljno mušterija kako bi opstala na tržištu. Zbog toga, ukoliko su kursevi iz bezbednosti skloni uspehu, upoznavanje učenika i studenata sa bezbednošću kao perspektivnom karijerom mora da bude unapređeno i u srednjim školama i na fakultetima.
Da bi se to okončalo, ASIS International je 2001. godine povećao broj članova iz redova učenika i studenata. Volonteri ASIS-a na međunarodnom i lokalnom niovu držali su prezentacije učenicima srednjih škola i fakulteta o prednostima koje im pruža članstvo, i zatim im delili pristupnice. Na primer, predstavnici iz Filadelfije održali su Dan zanimanja, gde su upoznali učenike sa industrijom bezbednosti i sa vrstama poslova koje obavljaju menadžeri bezbednosti. O tome da je ova inicijativa bila uspešna, govori podatak da se broj članova iz srednjih škola i sa fakulteta u ASIS-u povećao za 250% u 2001/02. godini.
Jednom kada učenici dođu u ASIS ili bilo koje drugo udruženje, moraju da dobiju aktivnu ulogu. Na primer, 2001. godine je ASIS-ov Savet za prevenciju kriminala i gubitaka oformio komitet učenika, u okviru inicijative za povećanje broja mladih članova u svojim redovima. Komitet, koga su činili studenti fakulteta za krivično pravo John Jay (NYC), Leksingtonovog Eastern Kentucky univerziteta i Univerziteta Nju Džersi, pomagao je članovima saveta u određenim projektima. Savet se nada da će na kraju studenti dobiti akademska priznanja za svoje aktivnosti u komitetu.
Drugi podsticaj za učestvovanje u organizacijama za obezbeđenje obuhvata dodatne programe usmerene na učenike i studente, a vezani su za 48. godišnji seminar i sajam ASIS-a u Filadelfiji koji je održan septembra 2001. godine. ASIS-ov akademski program u Savetu za fakultete i univerzitete održao je informativni sastanak, okrugli sto pod imenom "Danas članovi studenti: Sutra profesionalci u bezbednosti", orijentaciju u karijeri menadžera bezbednosti i druge aktivnosti. Međunarodna fondacija zaposlenih u zaštiti (IFPO) obezbedila je studentima članovima hranu i smeštaj u zamenu za pomoć na sajmu.
Druga inicijativa je Godišnje takmičenje studentskih radova, uz sponzorstvo Saveta za akademske programe ASIS-a i podršku ASIS Fondacije, koje omogućava da studenti i njihove institucije budu prepoznati. Pobednički radovi dobijaju finansijske nagrade, dok su oni najbolji objavljeni u časopisu Security Journal.
Interdisciplinarni pristup
Organizacije za bezbednost takođe treba da informišu buduće stručnjake za krivično pravo i kriminalistiku, kako bi ih edukovali o privatnom sektoru kao karijeri. Ovo je bitno pre svega zbog činjenice da samo par knjiga o krivičnom pravu pruža neke informacije o nadležnostima privatnog sektora. Većina tekstova o krivičnim istragama odnosi se na Pinkertonovu detektivsku agenciju (19. vek).
Očigledno je da izdavači i urednici tekstova iz krivičnog prava i kriminalistike moraju da budu edukovani pre studenata. Organizacije bezbednosti moraju da nađu rešenje za prevazilaženje ove praznine. Jedna od mogućnosti može da bude predstavljanje uloge ovih disiciplina u privatnom sektoru bezbednosti, i to Akademiji nauka krivičnog
31
prava i Američkom kriminološkom društvu. Druga opcija bi bila slanje masovnih obaveštenja izdavačima.
Obezbeđivanje svog pristupa na kampusima je presudno za regrutovanje studenata i za prepoznavanje kako akademskih građana, tako i potencijalnih poslodavaca. Osoblje koje predaje bezbednost takođe treba da bude promovisano. Da bi se ovo obezbedilo, IFPO je pokrenuo program školarina za profesore, koji mogu da se prijave i primaju školarinu za sertifikat IFPO ili za Program bezbednosne supervizije.
Visoka stručna sprema
Već šest godina, godišnji ASIS-ov akademski-profesionalni simpozijum okuplja edukatore i profesionalce oko razvijanja bezbednosti u akademsku disciplinu. Svake godine druga tema daje se učesnicima, kao što je izrada plana i programa za kurs iz bezbednosti poslovanja, ili smernica za akreditaciju akademskih programa iz bezbednosti. Posle simpozijuma, učesnici nastavljaju svoj rad putem elektronske pošte i telefona sve dok se godišnji cilj ne ostvari. Sadržaji prethodnog simpozijuma šalju se na ASIS Online, sajt organizacije.
Jedna od vodećih filozofskih promena koju simpozijum želi da promoviše je spajanje bezbednosti sa programima za diplomu iz poslovanja, radije nego samo sa krivičnim pravom. Ovaj cilj oslikava ASIS-ov stav da je bezbednost u funkciji poslovanja i da su članovi ASIS-a profesionalci u poslovanju sa nadležnostima u bezbednosti.
Diploma iz bezbednosti poslovanja može da pomogne osobama na nivou kontrole i menadžmenta koje su već radile bez master diplome. Manje je poželjno da studenti upišu ove studije posle škole nego da prvo dobiju iskustvo, ali školarina je jedan od načina da se ovo prevaziđe.
Internet
Simpozijum je takođe naglasio da je jedan od mehanizama učestvovanja u ovim programima i Internet. Vebster Univerzitet je 1. januara 2002. godine započeo eminentni onlajn Master program iz organizacione i poslovne bezbednosti (OBSM). Ovaj kurs, koji je nastao kao rezultat dugogodišnjeg partnerstva između Vebstera i ASIS-a, cilja menadžere bezbednosti koji žele specijalizovanu diplomu iz bezbednosti u kontekstu poslovanja.
Plan i program ovog kursa, koji ne obuhvata krivičnopravna pitanja, zasnovan je na postojećem ASIS/Vebster programu koji pruža OBSM u devet kampusa u SAD. Osoblje programa, uglavnom iz Vebsterovog osoblja, poseduje značajne profesionalne atribute, kao što su menadžeri bezbednosti i direktori u organizacijama kao što su američko Ministarstvo odbrane, FBI, NSA, kao i zdravstvo i polje nuklearne energije.
Kentaki Eastern Univerzitet skoro je uveo 36-časovni onlajn Master program za profesionalce u zaštiti, PPZ, bezbednosti, osiguranju, ljudskim resursima i sličnim oblastima. Kursevi obuhvataju administraciju za prevenciju gubitaka, kompenzaciju za zaposlene, zakon o radu, pripravnost i odgovor u vanrednim situacijama, bezbednosni menadžment, kontrolu prevencije gubitaka, risk menadžment i druga pitanja.
32
Veliki broj uspešnih kurseva na daljinu, poznati kao dopunski kursevi, postoje na Univerzitetu u Lečesteru i na Mičigen Državnom Univerzitetu. Takođe postoje brojni onlajn i CD-ROM kursevi dostupni preko ASIS-a i IFPO, koji nudi kurseve za sertifikovane službenike zaštite i sertifikovane supervizore bezbednosti. Do sada je više od 13.000 ljudi iz 42 države dobilo ove diplome.
Sertifikacioni programi
Akademski sertifikacioni programi nastavljaju da upoznaju studente sa poljem bezbednosti i njihovim unapređivanjem u više akademske stručnjake. Koledž Jork, na primer, pruža akademski kurs iz zaštite imovine. Ovo je postala atraktivna opcija za studente menadžmenta u sportu ili kompjuterskim informacionim sistemima, kao i za one iz krivičnog prava. Da bi ovaj program mogao da napreduje, mora se osigurati da su kursevi adekvatno predstavljeni i da studenti pohađaju kurseve u normalnim etapama.
Ovi programi primamljivi su za zaposlene koji treba da završe gomilu kurseva da bi dostigli i iskustvo i diplomu. Ostali profesionalci koji žele promenu posla i karijere mogu ove kurseve maksimalno da iskoriste.
Postoje brojni profesionalni sertifikacioni programi u raznim sektorima bezbednosti. Na primer, Udruženje sertifikovanih istraživača prevara sponzoriše sertifikovani program za istraživanje prevara (CFE), koji usavršava zaposlene za otkrivanje, prevenciju i istraživanje širokog opsega prevara. Takođe, poznat je i ASIS-ov sertifikacioni program za profesionalce u bezbednosti (CPP), koji je nastao 1974. godine.
Postoji mnogo koristi od akademskog prihvatanja profesionalnih sertifikacionih programa. Ovi programi podržavaju i podupiru akademske napore na mnogo načina. Na primer, odnos onih koji su pali i onih koji su položili ispite mogu da pokažu obrazovnim institucijama koliko je kvalitetan njihov program. Takođe, ovi programi mogu da popune nedostatak doktorata u disciplinama bezbednosti, ukoliko su prihvaćeni kao alternativne diplome master nivou.
Profesionalni sertifikacioni programi mogu da imaju koristi od onlajn akademskih kurseva. Na primer, nivo fakultetske diplome može biti povezan sa ovim programima. Tako bi studenti mogli da dobiju akademske diplome, završe kurs i dobiju sertifikat u isto vreme.
Stručne prakse
Prakse povezuju akademsku teoriju sa aktuelnom profesionalnom praksom. Studenti koji pohađaju praksu dobijaju kompletnije obrazovanje. Povratne informacije koje profesori dobijaju od studentskih praksi obezbeđuju da fakulteti budu u toku sa industrijskim trendovima. Osim toga, prakse pomažu, do određenog nivoa, u zapošljavanju, i to na korist i poslodavca i regrutovanog studenta.
Istraživački rad
Bezbednost ne može da bude prihvaćena kao akademska disciplina sve dok više ne bude smatrana za polje zanimanja koje se bavi isključivo implementacijom
33
bezbednosnih mera, i to bez dokazivanja njihove efektivnosti. Ključna komponenta svake prepoznate akademske discipline je istraživanje radi jačanja najbolje prakse i eliminisanja one koja nije korisna. Takođe je važno da postoji priznat naučni časopis koji bi objavljivao ovakva istraživanja.
Vodeći čaosopisi na ovom polju su Journal of Security Administration, koji izlazi dva puta godišnje, a izdavač je Sektor za bezbednost i prevenciju kriminala Akademije krivičnopravnih nauka, i Security Journal, koji izlazi četiri puta godišnje, a izdavači su Perpetuity Press i ASIS.
Trenutni nedostatak akademskih istraživanja u bezbednosti izazvan je mnogim faktorima, uključujući poteškoće koje prate vođenje društvenih istraživanja sa eksperimentalnom i kontrolnom grupom. Samo par okruženja može da pruži "laboratorijske" uslove za naučna ispitivanja u ovoj oblasti.
Problematičan je i nedostatak finansijskih sredstava u bezbednosti. Finansijskih sredstava ima, ali ne za istraživanja koja obuhvataju sektor privatne bezbednosti. Na primer, jedno istraživanje je ispitivalo uticaj uličnog osvetljenja na smanjenje kriminala na javnim mestima, ali niko nije istraživao odnos između osvetljenja i kriminala na mestima koja su zaštićena.
Rešenje ovog problema može da se nalazi u stvaranju medijskog programa koji bi promovisao istraživanja Skarman centra Lečester Univerziteta, Univerziteta u Kentakiju i drugih visokoškolskih institucija. Ovo takođe može da se reši postavljanjem akademskih istraživačkih radova na Internet prezentacije udruženja profesionalaca u bezbednosti, kako bi se studentima i istraživačima omogućio lak i brz pristup takvim informacijama. Ovo su već uradili IFPO i ASIS.
Bezbednost tek treba da dostigne svoje ciljeve – one o akademskom priznavanju i ustanovljenim, akreditovanim programima koji bi postojali na univerzitetima. Da bi se dostigli ovi ciljevi, studentima bezbednost mora da bude ponuđena kao karijera pre nego što upišu koledž ili univerzitet, kao i prilika da upotpune postdiplomske studije. Takođe treba konstantno da se sprovode istraživanja i objavljivanje radova akademskog nivoa kako bi se dokazala vrednost bezbednosti kao nezavisne naučne discipline.
34
3. SMERNICE ZA RUKOVODIOCE BEZBEDNOSTI6
REZIME
Rizično okruženje današnjeg poslovanja postalo je sve opasnije, kompleksnije i međuzavisno, kako na unutrašnjem, tako i na globalnom planu. Efektivno upravljanje ovim okruženjima je fundamentalni zahtev poslovanja. Odbori direktora, deoničari, ključni partneri i javnost s razlogom očekuju da organizacije identifikuju i predvide oblasti rizika i da u skladu s tim postave konzistentnu strategiju za sve funkcije kako bi ublažile ili umanjile te rizike. Osim toga, postoji očekivanje da će menadžment da reaguje veoma efektivno na one događaje i incidente koji predstavljaju pretnju po kapacitet organizacije. Proaktivna strategija za umanjivanje rizika od gubitka na kraju pruža pozitivan uticaj na profitabilnost, i to je u nadležnosti organizacionog rukovođenja višeg menadžmenta i izvršnih odbora.
Suština ovog priručnika je da su veštine i stručnosti presudne za aktivnu zaštitu i da je efektivna reakcija na okruženje modernih pretnji kritičnija nego ikada ranije. Efektivno rukovođenje unutar najviših nivoa organizacije i njihove bezbednosne funkcije su imperativ. Reputacija organizacije, neometan rad i pouzdanost tehničke infrastrukture i normalnih poslovnih procesa, zaštita fizičkih i finansijskih kapaciteta, bezbednost zaposlenih i poverenje partnera, u određenoj meri zavise od efikasnosti odgovornog i pouzdanog višeg rukovodioca bezbednosti (CSO).
Ono što je ranije nedostajalo organizaciji je jedna pozicija u višem menadžmentu odgovorna za izradu, uticaj i usmeravanje strategije zaštite celokupne organizacije. U mnogim organizacijama, odgovornost je podeljena, uglavnom između nekoliko menadžera u raznim odeljenjima, sa potencijalno suprotstavljenim ciljevima.
Raznovrsnost današnjih rizika dolazi u kompleksnoj matrici međusobno povezanih pretnji, ranjivosti i udara, zbog čega je potrebno uspostaviti mere za zaštitu koje su takođe međusobno zavisne. Sposobnost uticanja na poslovnu strategiju i suočavanje s pitanjima izloženosti unutrašnjim rizicima zahteva da se rukovodilac bezbednosti nalazi na odgovarajućem nivou u organizaciji. Ovo može da se postigne kroz restruktuiranje i usmeravanje postojećih napora kroz ovu jedinstvenu funkciju višeg menadžmenta, i eliminisanjem suvišnih i ograničenih interesa koji mogu da postoje u vertikalnim strukturama organizacije.
LANAC ODGOVORNOSTI
Odluka o odgovarajućem izveštavanju za poziciju CSO treba da se dobije iz procene postojeće organizacione strukture. Snažno se preporučuje da ova pozicija izveštava većinu najviših rukovodilaca organizacije, kako bi se osigurala jaka veza sa Odborom direktora i njihovim operativnim odeljenjima. Relativna pozicija u hijerarhiji je signal ne samo posvećenosti i podrške top menadžmenta, već i legitimiteta koji je dodeljen programu bezbednosti u organizaciji.
6 Chief Security Officer (CSO) Guideline, © 2004 ASIS International, 1625 Prince Street, Alexandria. Najbolji prevod CSO glasio bi Rukovodilac bezbednosti ili Šef bezbednosti, na srpskom jeziku. U suštini, ova pozicija predstavlja poziciju menadžera bezbednosti u najvišem menadžmentu organizacije.
35
MODEL FUNKCIJE
Model predstavljen u ovom delu prikazuje opseg programa zaštite organizacije koji obuhvata funkcionalne oblasti odgovornosti, ključne procese i diskusiju o radnim elementima koji mogu da se nađu unutar organizacije. Dok "vlasništvo" u striktnom pogledu nije presudno, strategijska odgovornost i efektivni uticaj jesu. Rukovodstvo može da ima formu saveta za bezbednost ili ulogu tekuće menadžerske i budžetske odgovornosti za sve funkcije bezbednosti. Kulturni i poslovni model u radu u organizaciji usmeravaće odluke prema uspostavljanju najboljeg pristupa. Koncept organizacione vizije i misije zaštite je suština ovih smernica.
MODEL PROFILA RUKOVODIOCA BEZBEDNOSTI
Rizici
• Ljudski resursi i intelektualno vlasništvo
• Etika i reputacija
• Finansijska sredstva
• IT sistemi
• Lanac transporta, distribucije i nabavke
• Zakonski, regulatorni i Generalni savet
• Fizički i postrojenja
• Životna sredina, zdravlje i sigurnost
Potencijalni procesi i usluge
• Politika globalne bezbednosti i administrativne procedure
• Tehnologija i zaštita infrastrukture
• Informacioni risk menadžment
• Kontinuitet poslovanja, krizni menadžment i odgovor
• Risk edukacija zaposlenih
• Istražne i forenzičke usluge
• Bezbedno funkcionisanje radnog mesta
• Odgovarajuća zaštita poslovnog procesa
36
• Transfer rizika i osiguranja
• Procena, evaluacija i provera rizika
• Zaštita rukovodstva
• Istrage prošlosti i poverenja
• Poslovno usmerenje i bezbednosna usaglašenost
• Spoljni i odnosi sa vlastima
• Poslovna obaveštajna i kontraobaveštjna podrška
Potrebne veštine
Menadžer odnosima
• Razvija, utiče i ohrabruje odnose zasnovane na poverenju sa rukovodiocima poslovnih jedinica, vladinim zvaničnicima i profesionalnim organizacijama. Deluje kao savetnik za sve klijente organizacije.
Vođenje menadžment tima
• Izgrađuje, motiviše i vodi profesionalni tim koji je posvećen organizacionoj kulturi, koji reaguje na poslovne potrebe i koji je posvećen integritetu i profesionalizmu.
Stručnost
• Pruža ili nadgleda pružanje tehničke ekspertize koja odgovara rizicima i isplativosti neophodnih usluga bezbednosti.
Član rukovodstva
• Pruža intelektualno vođstvo i aktivnu podršku rukovodećem timu organizacije kako bi osigurao da su viši menadžment i Odbor upoznati sa rizicima.
Risk menadžer
• Identifikuje, analizira i komunicira o poslovnim i bezbednosnim rizicima po organizaciju.
Strateg
• Razvija globalnu strategiju za bezbednost koja je povezana sa verovatnim rizicima i u saradnji sa partnerima organizacije.
Kreativno rešavanje problema
37
• Podržava konkurentnost i povećava vrednost kroz obezbeđivanje da organizacija učestvuje u poslovnim procesima za umanjivanje rizika. Deluje kao pokretač pozitivnih promena zbog zaštite organizacije.
KLJUČNE NADLEŽNOSTI
Rukovodilac bezbednosti je ravnopravan partner u rukovodećoj infrastrukturi organizacije. Ukoliko sveobuhvatna procena bilo koje od oblasti rizika koje su spomenute u modelu, podrži potrebu za specifičnom bezbednosnom ulogom, dodeljivanje visoke odgovornosti će da omogući bolje integrisanu strategiju bezbednosti sa manje udvajanja funkcija i uz manje troškove za organizaciju.
Ključna nadležnost je menadžment efektivnim radnim odnosima između grupa klijenata. Ove smernice preporučuju da odgovornost za zaštitu poslovanja u prvoj liniji treba da padne na menadžere svake operativne jedinice sa odgovarajućom organizacionom funkcijom bezbednosti koja pruža procenu rizika, politiku i infrastrukturu za podršku.
Ovaj model zahteva višeg rukovodioca koji može da predvodi i omogući poslovanje u kontekstu sprovođenja politike i pravovremene detekcije i izveštavanja o rizicima. Efektivno sprovođenje poslovnih procesa traži od pojedinca da kreativno rešava probleme i da bude lider koji je u stanju da uklopi razumnu kontrolu sa efikasnim i produktivnim poslovnim procesima.
Takođe je neophodno da pojedinac na poziciju donese stručnost po određenim pitanjima. Rukovođenje višestranim programom bezbednosti zahteva opšte znanje, ali je moguće da će on/ona da dođu sa iskustvom u poslovanju, na rukovodećim funkcijama ili nekim elementima poslova bezbednosti. Kredibilitet tima i vizija stvaranja integrisane strategije zavisi od sposobnosti rukovodioca bezbednosti da razume, ceni i usmeri razne misije vezane za bezbednost.
Ključni faktori uspeha
• Sposobnost izgradnje održivih povoljnosti kroz pragmatična i inovativna bezbednosna rešenja.
• Demonstriran integritet i sposobnost pridržavanja principa pod unutrašnjim i/ili spoljnim pritiskom.
• Visokokvalitetne analitičke veštine, menadžersko iskustvo i odlične sposobnosti u upravljanju odnosima.
• Kvalitetno iskustvo u strateškom planiranju i/ili razvoju politike na najvišem nivou.
• Sposobnost predviđanja, uticanja i podrške organizaciji u proceni i brzom prilagođavanju na promenljive uslove i trendove (unutrašnje i spoljne) koji su od značaja za usmerenje organizacije.
• Efikasnost u predstavljanju preporučenih tokova aktivnosti za inovativne reakcije usmerene na poslovanje.
• Predanost profesionalizmu i demonstrirana orijentacija prema uspešnom razvoju zaposlenih.
38
Razvoj strategije
Ključna odgovornost rukovodioca bezbednosti je razvoj i sprovođenje strategije koja demonstrira procese razumevanja prirode i verovatnoće katastrofičnih i događaja koji predstavljaju značajan rizik po bezbednost. Strategija mora da naglasi u detalje planove za prevenciju i pripremu za nepoželjne događaje, uključujući svest, obuku, vežbe i metodologije za ugradnju savremenih bezbednosnih programa i procesa u organizaciju. Strategija takođe treba da pokrije operacije za kontinuitet poslovanja od bilo kog napada ili katastrofe. Rukovodilac bezbednosti mora da bude u stanju da jasno predstavi ovu strategiju, troškove i slične efekte najvišim nivoima organizacije i Odboru direktora i njegovim operativnim odeljenjima.
Prikupljanje informacija i procena rizika
CSO je nadležan i odgovoran za prikupljanje i procenu informacija koje se odnose na razvoj širokog spektra događaja koji se odnose na bezbednost, koje su specifične za organizaciju i njene operacije, a koje mogu značajno da utiču na bezbednost zaposlenih i profit ili reputaciju organizacije. Osim toga, CSO mora logički da utvrdi verovatnoću pojavljivanja ovih bezbednosnih incidenata, i da razvije odgovarajuće preventivne strategije koje su kompatibilne sa poslovnim odlukama i unutrašnjom kontrolom. Informacije korisne za razvoj ovih procena i preventivnih strategija mogu da se dobiju iz različitih izvora, uključujući zapise same organizacije, državnih agencija, agencija za sprovođenje zakona, novinskih organizacija, postojećih bezbednosnih tela i dr. Rukovodilac bezbednosti treba da razume i da bude upoznat sa veštinama ljudi i tehnološkom podrškom koji će da pomognu ovom procesu, kao i da poseduje konceptualne i veštine kritičkog razmišljanja zbog pravljenja prioriteta između rizika i razvoja odgovarajućih preventivnih strategija za celu organizaciju.
Pripravnost organizacije
CSO je nadležan i odgovoran za osiguravanje da je preduzeće pripremljeno za mogućnost napada, katastrofe ili sličnog bezbednosnog incidenta (prevare, izmene, itd.). Ovo obuhvata razvoj i vođenje planova i programa za obuku, kao i vežbi. Proces redovnog periodičnog preispitivanja i procene spremnosti organizacije za slučaj napada ili određenog događaja je ključna odgovornost rukovodioca bezbednosti.
Sprečavanje incidenata
Još jedna ključna nadležnost/odgovornost rukovodioca bezbednosti je analiza informacija i koordinacija aktivnosti sa osobama unutar i izvan organizacije zbog predviđanja i sprečavanja napada ili katastrofe. Ovo znači sposobnost uspešnog nezavisnog funkcionisanja u hiperaktivnim, matričnim okruženjima, što zahteva visoku toleranciju na neizvesnost i pozitivne političke veštine zbog završetka programa i projekata.
CSO takođe mora da identifikuje i razume prirodu bezbednosnih rizika u poslovnom okruženju, kao i primenu odgovarajuće finansijske i menadžerske kontrole zbog ublažavanja tih rizika. Ovo takođe zahteva od rukovodioca bezbednosti da zna kad i kako da zatraži podršku risk menadžmenta, unutrašnje kontrole, spoljnih resursa, zakonskih, ljudskih resursa i drugih funkcija u organizaciji koje su takođe uključene u ublažavanje raznih rizika po poslovanje.
39
Bezbednost ljudi, poslovanja, informacija i reputacije
Zaštita integriteta, ljudi, procesa i imovine kompanije od oštećenja i gubitaka je takođe ključna odgovornost rukovodioca bezbednosti. Iako je važno zaštititi finansijska i fizička sredstva kompanije (novac, objekti i oprema), CSO takođe mora da bude posebno stručan u suočavanju sa potencijalnim rizicima koji se odnose na gubitak reputacije, intelektualno vlasništvo i poslovne tajne. Ljudi obuhvataju menadžment i direktore, zaposlene, klijente i sve one koje je organizacija dužna da štiti.
Reakcija, upravljanje i obnova posle incidenta
U slučaju napada ili katastrofe, CSO će da bude odgovoran za koordinaciju napora u okviru organizacije na obnovi kritičnih sistema i pružanju objekata i sredstava koji se organizaciji neophodni za funkcionisanje.
Rukovodilac bezbednosti će da koordiniše sa unutrašnjim i spoljnim resursima kako bi osigurao je pružena adekvatna medicinska, finansijska i bliska podrška zaposlenima, klijentima i drugima koji su pogođeni katastrofom ili napadom na organizaciju. CSO će da koordiniše sa lokalnim, državnim, federalnim i međunarodnim agencijama ukoliko je potrebno.
Odnosi sa investitorima, javnošću i vlastima
CSO mora blisko da koordiniše sa onima koji su odgovorni za odnose sa investitorima, odnose s javnošću, finansije, ljudske resurse, operacije i odnose s vlastima. Osim toga, od rukovodioca bezbednosti može da se zahteva da učestvuje u razvoju medijskih intervjua i svedočenja pred državnim regulatornim agencijama.
KLJUČNE SPOSOBNOSTI
Generalno, CSO mora da bude više strateški nego taktički orijentisan. Osim toga, on mora da poseduje izuzetno kvalitetne poslovne i interpersonalne veštine. Pozicija rukovodioca bezbednosti zahteva izuzetno visok nivo emocionalne zrelosti, kao i sposobnost razumnog i smirenog donošenja odgovarajućeg rešenja teških etičkih i kriznih situacija. Sposobnost analiziranja, shvatanja i objašnjenja predloga bezbednosnih inicijativa višim rukovodiocima i članovima Odbora biće ključni zahtev za ovu poziciju. Najverovatnije će strateške, poslovne i interpersonalne sposobnosti rukovodioca bezbednosti da budu od veće važnosti nego tehničke veštine u bezbednosti, od kojih su mnoge dostupne preko stručnjaka za unutrašnja pitanja ili preko spoljnih savetnika.
Još jedna veoma važna sposobnost je jasno komuniciranje, verbalno i pisano. Interakcija sa višim rukovodiocima i članovima Odbora znači da pojedinac mora da bude opušten u predstavljanju i postavljanju pitanja i pokretanju izazova koji se odnose na predloge i preporuke onoga što predstavlja.
Rukovodilac bezbednosti mora da poseduje veštine i sposobnosti kako bi uspešno postigao sledeće:
40
• Odnos i komunikaciju sa višim rukovodiocima, Odborom direktora i njegovim operativnim odljenjima.
• Razumevanje strateškog smera i ciljeva poslovanja, kao i načina za povezivanje bezbednosnih potreba sa ciljevima i zadacima organizacije. Ovo znači sposobnost uspostavljanja vizije globalnih i individualnih poslovnih programa bezbednosti i izgradnja podrške za njihovo sprovođenje i dalji razvoj.
• Razumevanje i procena uticaja promena u oblastima ekonomije, geopolitike, organizacionog projektovanja i tehnologije, i načina na koji se one odnose na potencijalne pretnje i rizike po organizaciju.
• Osiguravanje da se bezbednosni incidenti i slični etički problemi istražuju i rešavaju bez daljih ometanja, i da se sve to sprovodi na pošten i objektivan način u skladu sa organizacionim vrednostima i kodeksom poslovnog ponašanja.
• Olakšavanje upotrebe tradicionalnih i naprednih tehnika planiranja scenarija u proceni rizika i pretnji po organizaciju.
• Razumevanje na koji se način uspešno povezuju i razvijaju radni odnosi sa ključnim pojedincima širom organizacije.
• Promovisanje organizacionog učenja i razmene znanja kroz uutrašnje i spoljne informacione resurse, a u skladu sa organizacionom kulturom.
• Politička oštroumnost, a ne politička motivisanost.
• Realno shvatanje potrebe za procenom uticaja finansija, zaposlenih ili klijenata na bilo koji plan ili preporuku.
• Funkcionisanje kao integralnog dela višeg menadžment tima uz razmatranje troškova planiranja i ulaganja.
• Razvoj bezbednosne kulture širom organizacije na način na koji to odgovara poslovanju i kulturi organizacije.
Opis idealnog rukovodioca bezbednosti takođe treba da obuhavti sledeće lične osobine:
• Strateška orijentacija uz sposobnost taktičkog delovanja, ukoliko je potrebno.
• Proverene veštine koje su poželjne u matričnom okruženju.
• Globalna perspektiva, multikulturalno razumevanje i pristup.
• Solidno usmerenje na detalje, ukoliko je potrebno.
• Odlične konceptualne i veštine kritičkog razmišljanja.
• Visok integritet.
• Emocionalna zrelost.
• Čvrsto pregovaranje i izgradnja konsenzusa.
• Jasno razumevanje principa procesa menadžmenta.
• Sposobnost interakcije na svim nivoima organizacije, i osetljivost na pitanja koja se odnose na odeljenja/organizaciju.
• Pokretanje promena.
41
ISKUSTVO
Doprinos prethodnog iskustva na sposobnost procenjivanja i utvrđivanja faktora uspeha u kulturi organizacije biće kritični za proces odabira. Demonstrirano iskustvo je ključno u ovom slučaju.
Širok i raznovrstan spektar veština, obrazovanje i iskustvo mogu da se zahtevaju u zavisnosti od analize pozicije koju vrši organizacija koja želi da zaposli rukovodioca bezbednosti. Rukovodilac će da bude pokretač promena, sposoban da ubrzo bude prepoznat kao visoko pouzdan resurs najvišeg nivoa.
U zavisnosti od položaja organizacije na tržištu, kao i od opsega posla, možda će da bude potrebno pokazati međunarodno iskustvo, uz dodatno vrednovanje poznavanja jednog ili više stranih jezika.
Rukovodilac mora da poseduje raznovrsno iskustvo koje će da dozvoli organizaciji da proceni da li će uspešno rešeni izazovi iz prethodnog iskustva moći da utiču na isti ishod u budućnosti. Poželjni kandidat biće spreman menadžer sa saradničkim predispozicijama i provereni timski igrač i poslovni partner.
OBRAZOVANJE
Rukovodilac bezbednosti je pozicija višeg menadžmenta. Kao i kod prethodnih zahteva, postoje značajna očekivanja i po pitanju obrazovanja. Univerzitetske diplome visoko se vrednuju u svakoj industriji i predstavljaju poslovnu vezu koja će najverovatnije da stvori poboljšanu sliku o rukovodiocu bezbednosti u mnogim kompanijama. Diplome iz prava, poslovanja, finansija, bezbednosnog menadžmenta, menadžmenta informacionih sistema ili krivičnog prava su dobar način predstavljanja i potrebno je razmotriti ih, kao što je to slučaj sa sertifikatima iz bezbednosti i sličnih oblasti.
Kvalifikacije za posao i obrazovne kvalifikacije moraju da se usklade sa organizacionom kulturom. Tipična situacija je da će kvalitet, vrsta iskustva i ostale kvalifikacije koje se direktno odnose na zaposlenje, biti najpoželjniji za organizaciju koja želi da zaposli rukovodioca bezbednosti.
PRILOG
Opis modela pozicije
Svrha pozicije
Rukovodilac bezbednosti služi kao rukovodilac koji je odgovoran za identifikaciju, razvoj, sprovođenje i upravljanje organizacionim [globalnim]7 bezbednosnim strategijama i programima.
7 Delovi u zagradi zavise od opsega i ciljeva svake organizacije pojedinačno.
42
Ključne odgovornosti/nadležnosti
• U saradnji sa izvršnim telom, usmerava razvoj efektivne strategije za ublažavanje rizika, održava kontinuitet operacija i štiti organizaciju.
• Usmerava domaće [i međunarodno] osoblje ka identifikaciji, razvoju, sprovođenju i održavanju bezbednosnih procesa, prakse i politika širom organizacije, a zbog smanjivanja rizika, reakcije na incidente, i ograničenja izloženosti i nedostataka u svim oblastima informacionih, finansijskih, fizičkih, ličnih i reputacionih rizika.
• Istražuje i koristi savremena tehnološka rešenja i inovativne tehnike bezbednosnog menadžmenta zbog zaštite imovine organizacije, uključujući intelektualno vlasništvo. Uspostavlja odgovarajuće standarde i kontrolu rizika.
• Razvija odnose na visokom nivou sa policijom [i međunarodnim ekvivalentima], državnim službama bezbednosti [i međunarodnim bezbednosnim agencijama], obaveštajnim službama i privatnim sektorom u bezbednosti [i na globalnom nivou].
• Preko potčinjenih menadžera, koordiniše i sprovodi obezbeđenje objekata, operacije i aktivnosti zbog pružanja zaštite rukovodiocima, menadžerima, zaposlenima, klijentima, partnerima, posetiocima itd. i fizičkoj i informacionoj imovini, uz optimalno angažovanje osoblja i opreme.
Ključne veštine i sposobnosti
• Rukovodeće veštine zbog pružanja smernica menadžmentu i profesionalnom osoblju unutar organizacije.
• Sposobnost razvijanja konsenzusa u okviru organizacione klime različitih operativnih aktivnosti i često suprotstavljenih propisa koje nameću agencije koje imaju regulatornu nadležnost.
• Sposobnost efektivnog komuniciranja sa svim nivoima organizacije, uključujući izvršni menadžment i odeljenja Odbora direktora o statusu bezbednosti organizacije.
• Emocionalna zrelost zbog razumevanja efekta i osetljivosti pitanja bezbednosti.
Smernice za kvalifikacije
• Najmanje 3-5 godina direktnog iskustva na rukovodećoj poziciji. Demonstrirana sposobnost razvoja i upravljanja funkcionalnim sredstvima i budžetom.
• Akademsko zvanje ili ekvivalent u oblasti studija koji je relevantan za ovu poziciju i najmanje 10-15 godina iskustva u sektoru privatne korporativne bezbednosti ili sličnoj organizaciji javnog sektora.
• [Demonstrirano iskustvo i rad u međunarodnoj areni bezbednosti na poslovima koji su vezani za bezbednost].
43
4. BEZBEDNOST INFORMACIJA8
POJAM BEZBEDNOSTI INFORMACIJA
Sistem bezbednosti informacija obuhvata ljude, procese, organizaciju i tehnologiju, odnosno to je sistem koji se sastoji iz uravnoteženog skupa mera zaštite: bezbednosne provere osoblja, fizičke bezbednosti, bezbednosti podataka, bezbednosti informacionih sistema; koordinisanog uvođenja formalnih procedura kao što su procena rizika, sertifikacija osoblja i opreme, kao i akreditacija tehničkih sistema za primenu u određenom segmentu poslovnog procesa. Uravnoteženost i koordinacija bitnih mera i postupaka postižu se organizacijom i upravljanjem bezbednošću informacija.
OSNOVNI POJMOVI
Pre opisa i objašnjenja bezbednosnih mera potrebno je definisati osnovne pojmove koji se koriste u ovom tekstu, tj. definisati šta su to podatak, informacija, informacioni sistem, itd.
Podatak je skup prepoznatljivih simbola koji su zapisani na određenom nosiocu.
Informacija je podatak s određenim značenjem, odnosno saznanje koje se može preneti u bilo kom obliku (pisanom, audio, vizuelnom, elektronskom ili nekom drugom).
Informacioni sistem je svaki sistem uz pomoć kojeg se prikupljaju, unose, čuvaju, obrađuju, prikazuju, uzimaju i šalju informacije tako da budu dostupne i upotrebljive svakome ko ima pravo da ih koristi.
Informaciona oprema su svi fizički uređaji i/ili sredstva koji čine informacioni sistem.
Bezbednost informacija se definiše kao očuvanje:
• poverljivosti – obezbeđivanje da je informacija dostupna samo onim licima koja imaju ovlašćeni pristup,
• integriteta – zaštita postojanja, tačnosti i kompletnosti informacije kao i metoda za njihovu obradu,
• raspoloživosti – obezbeđivanje da autorizovani korisnici imaju mogućnost pristupa informaciji i pripadajućim sredstvima kad god je to potrebno.
Zaštita je skup mera za očuvanje bezbednosti.
Nadzor je proveravanje funkcionisanja sistema zaštite.
Odgovornost je ponašanje prema unapred utvrđenom skupu pravila.
Ovlašćenje je pravo postupanja u utvrđenim okvirima.
8 Standard ISO 17799, Informacione tehnologije – Pravila prakse za upravljanje bezbednošću informacija, ISO/IEC, 2000.
44
Vlasnici podataka odgovorni su za sva postupanja s podacima koji su u njihovoj nadležnosti, tokom životnog ciklusa podataka. Pritom, postupanje s podacima podrazumeva nastanak, obradu, unos i arhiviranje podataka.
Informaciona infrastruktura obuhvata svu infrastrukturu u određenom državnom telu ili organizaciji koja na bilo koji način utiče na osobine poverljivosti, raspoloživosti ili integriteta podataka, i u okviru koje podaci nastaju, obrađuju se ili unose.
Vlasnici informacione infrastrukture odgovorni su za planiranje i sprovođenje organizacionih i tehničkih mera u skladu s važećim propisima koji se odnose na bezbednost informacija.
Pravo pristupa i pravo na upotrebu informacionih resursa određuju se isključivo po načelu poslovne potrebe, a ne po hijerarhijskom konceptu ranga radnog mesta.
Bezbednosna akreditacija
Akreditacija je uopšteno postupak u kojem nadležno nezavisno akreditaciono telo zvanično potvrđuje pravnom ili fizičkom licu da je sposobno da obavlja određene poslove. Bezbednosna akreditacija se odnosi na proveru sposobnosti pravnih lica za sprovođenje procesa bezbednosti informacija, u skladu sa odgovarajućim propisima bezbednosti informacija. Proces bezbednosti informacija sastoji se iz niza utvrđenih mera i metoda koje su ugrađene u obliku organizacionih i tehničkih kontrola u poslovne procese određenog pravnog lica ili državnog tela.
Bezbednosno akreditaciono telo
Akreditaciono telo je nezavisno pravno lice ovlašćeno zakonom ili akreditovano od strane određenog centralnog akreditacionog tela, koja vrši proveru sposobnosti pravnih lica za sprovođenje procesa bezbednosti informacija u okviru sopstvenog poslovnog procesa.
Potvrda o bezbednosnoj akreditaciji
Akreditaciono telo uopšteno izdaje potvrdu o akreditaciji pravnom ili fizičkom licu za koje se utvrdi da ispunjava zahteve akreditacionog procesa. Potvrda o bezbednosnoj akreditaciji označava ispunjavanje propisanih zahteva procesa bezbednosti informacija od strane određenog pravnog lica ili državnog tela. Potvrda o akreditaciji izdaje se uvek na ograničeni vremenski rok. Uobičajeni rokovi za bezbednosne akreditacije su dve, četiri i pet godina. Istekom akreditacionog roka sprovodi se ponovna provera, koja osim propisanih zahteva procesa bezbednosti informacija ima za cilj da utvrdi i kvalitet upravljanja životnim ciklusom podataka, informacione infrastrukture, fizičke bezbednosti i osoblja. Potvrdom o bezbednosnoj akreditaciji daje se ovlašćenje za obavljanje određenih poslova.
Bezbednosni sertifikat
Sertifikat je uopšteno potvrda o usklađenosti određenog proizvoda, procesa ili usluge s nacionalnim propisom ili formalnim tehničkim zahtevima za proizvode, procese ili usluge. Bezbednosni sertifikat odnosi se na lica, proizvode ili sisteme bezbednosti informacija. Bezbednosnim sertifikovanjem se omogućava korišćenje pojedinih
45
tržišnih proizvoda u propisanim uslovima s ciljem sistematske realizacije projekata informacione infrastrukture. Na primer, proizvod fabrike X, model Y, tip Z verzija W, može da se koristi za razmenu podataka u državnim organima do stepena tajnosti "službena tajna – tajno".
Bezbednosno sertifikaciono telo
Sertifikaciono telo ili telo za ocenu usklađenosti je laboratorija koja je nezavisna od dobavljača, telo za potvrđivanje, nadzorno ili drugo telo koje učestvuje u postupku ocenjivanja usklađenosti. Bezbednosna sertifikacija obično se organizuje u centralnim državnim telima za bezbednost komunikacija (NCSA – National Communications Security Authority). Temeljan posao bezbednosnog sertifikacionog tela je formiranje i redovno ažuriranje spiska sertifikovanih proizvoda za upotrebu u nacionalnom sistemu bezbednosti informacija. Postupci sprovođenja sertifikacije sastoje se od laboratorijskih provera i/ili preuzimanja određenih međunarodnih spiskova sertifikata po utvrđenoj metodologiji. Liste sertifikovanih proizvoda koriste se u procesu bezbednosne akreditacije.
Tela javne vlasti su državna tela, tela jedinica lokalne i pokrajinske samouprave, pravnog lica s javnim ovlašćenjima i drugih lica na koje su prenesena javna ovlašćenja.
Bezbednosne provere osoblja
Bezbednosna provera osoblja, osim primarnih mera kojima se procenjuje mogućnost dodeljivanja ovlašćenja, podrazumeva i aktivnu brigu oko usmeravanja, edukacije i kontrole ispravnog postupanja svakog pojedinca.
Bezbednosna provera osoblja pre svega obuhvata procenu da li se za nekog pojedinca u pogledu lojalnosti, poverljivosti, pouzdanosti i verodostojnosti može dati ovlašćenje za pristup poverljivim informacijama, a da to ne predstavlja neprihvatljiv rizik za bezbednost informacije. Procena proističe kao rezultat obavljene bezbednosne provere (provere pouzdanosti) onih lica čije zapošljavanje ili napredovanje podrazumeva pristup poverljivim informacijama. Bezbednosnu proveru je potrebno sprovoditi i za ugovorne strane i za lica koja su samo privremeno u kontaktu s poverljivim informacijama. Bezbednosne provere sprovode se u opsegu koji je propisan za dostupan nivo poverljivosti, kao i uz znanje i pristanak osobe koja se proverava.
Bezbednosna provera osoblja podrazumeva i pravovremenu bezbednosnu informisanost, obrazovanje i obuku. Osoblje treba da bude upoznato sa svojim bezbednosnim obavezama i propisanim postupcima, i mora da bude redovno informisano o bezbednosnoj politici. Mora takođe da bude upoznato i sa službenom procedurom izveštavanja za slučaj bezbednosnih incidenata ili nepravilnosti, ali i sa sankcijama za bezbednosne prekršaje.
Putem programa bezbednosnog obrazovanja potrebno je razviti svest o bezbednosnim pretnjama i brizi za informaciju, kao i sposobnost pružanja podrške bezbednosnoj politici tokom obavljanja svog redovnog posla.
46
Fizička bezbednost
Fizička bezbednost obuhvata primenu fizičkih i tehničkih mera zaštite na mestima, u zgradama i prostorijama koje zahtevaju zaštitu od gubitaka ili kompromitacije poverljivih informacija. Uloga ovih mera je sprečavanje nedopuštenog i nasilnog ulaska neovlašćenih lica, zatim odvraćanje, otkrivanje i reagovanje na delovanje neovlašćenih lica.
Definisanje obima fizičkih i tehničkih mera zaštite treba da bude usklađeno sa stepenom tajnosti podataka, verovatnoćom pretnje i količinom informacija kojima je potrebna zaštita. U prostorijama u kojima se rukuje poverljivim podacima utvrđuju se načela klasifikacije prostora na bezbednosne zone i administrativne zone. Fizička bezbednost sprovodi se ugradnjom fizičkih barijera, sistema za detekciju neovlašćenog pristupa, kao i sistema za kontrolu ulaska i izlaska. Fizička bezbednost sprovodi se dalje angažovanjem službe obezbeđenja i vršenjem pretresa, pratnje i nadzora posetilaca.
Bezbednost podataka
Bezbednost podataka se ostvaruje na osnovu zakona, sistematskom primenom propisanih bezbednosnih i zaštitnih mera i postupaka za ovlašćeno prikupljanje, obradu, upotrebu i čuvanje, sprečavanje i oporavak od gubitka, ili neovlašćeno objavljivanje podataka.
Prvi i osnovni korak u ostvarivanju bezbednosti podataka je klasifikacija podataka u odnosu na stepen rizika i potrebne mere za njihovu zaštitu. Klasifikacija podataka propisana je zakonima i pratećim izvršnim propisima koji zajedno omogućavaju jedinstveno određivanje naziva klase ili razreda podatka, odgovarajućih obaveznih oznaka i njima odgovarajućih postupaka, metoda, sredstava i izvršitelja, ali i pravne sankcije za svako odstupanje od propisanog postupka unutar klase i unutar određenog pravnog prostora. Klasifikacija treba da bude istog stepena kojeg je najviši poverljivi deo, ali treba izbegavati i preteranu i preoskudnu klasifikaciju u interesu efikasne bezbednosti. Klasifikacija sama po sebi nije zaštita, već smernica koja ukazuje na potrebu za posebnim merama za rukovanje i zaštitu. Klasifikovana informacija mora da se zaštiti kroz svoj ciklus trajanja do nivoa koji je u skladu s njenim nivoom klasifikacije. S njom je potrebno rukovati na način da je odgovarajuće označena, jasno određena kao klasifikovana i da ostaje klasifikovana samo onoliko dugo koliko je to potrebno. Odgovornost za dodelu klasifikacije i njeno periodično revidiranje treba da ostane u okviru određenog vlasnika informacije. Po isteku potrebe za klasifikacijom potrebno je izvršiti deklasifikaciju. Oznaka neklasifikovano ili nepostojanje bilo kakve klasifikacione oznake ne podrazumeva poimanje tog podatka kao javnog i ne predstavlja odobrenje za njegovo objavljivanje. Objavljivanje neklasifikovanih podataka mora da se izvrši putem posebno propisanih formalnih procedura.
U poslovnom procesu (kancelarijsko poslovanje) bezbednost podataka podrazumeva postojanje bezbednosnih procedura za prijem, upotrebu, unos, arhiviranje, uništavanje, distribuciju, umnožavanje, prepisivanje, prevođenje, izdavanje, uvid i objavljivanje podataka. Bezbednosne procedure uključuju i postojanje sistema evidencije kontrole pristupa i izvršenih radnji, kao i o kretanju i lokaciji podataka.
47
Bezbednost informacionih sistema – INFOSEC
Bezbednost informacionih sistema (INFOSEC) podrazumeva bezbednost podataka na elektronskim medijima i računarima (COMPUSEC), bezbednost podataka u sistemima za prenos podataka (COMSEC) i obezbeđenje informacione infrastrukture u posebnim kategorijama prostora od različitih vrsta pasivnog ili aktivnog prisluškivanja (TECSEC).
Bezbednost informacionih sistema obuhvata primenu mera za zaštitu podataka koji su u obradi, ili su uneseni, ili je u toku njihov prenos, od gubitka poverljivosti, integriteta i raspoloživosti, kao i zbog sprečavanja gubitaka integriteta ili raspoloživosti samih sistema. Bezbednosne mere uključuju mehanizme i procedure koji treba da budu sprovedeni u svrhu odvraćanja, prevencije, detekcije i oporavka od uticaja incidenata koji deluju na poverljivost, integritet i raspoloživost podataka i pratećih sistemskih usluga i resursa, uključujući i izveštavanje o bezbednosnim incidentima.
Bezbednost informacionih sistema je dinamičan proces tokom celog životnog ciklusa sistema, pa je potrebno razmotriti ga od faze njegovog planiranja, razvoja, sprovođenja, operativnosti i rasta do rashodovanja i uništavanja prema potrebi. To je zapravo proces upravljanja rizikom koji se koristi za procenu, nadgledanje, ukidanje, izbegavanje ili prihvatanje rizika. Upravljanje rizikom je veština koja stavlja u ravnotežu troškove primene dodatnih bezbednosnih protivmera zbog koristi koja iz toga proističe. Svrha procesa upravljanja rizikom je osiguranje trajne funkcionalnosti bezbednosnih ciljeva poverljivosti, integriteta i raspoloživosti podataka.
Životni ciklus informacionog sistema neizbežno prati i dokumentacija koja se odnosi na bezbednost. Ona podrazumeva uzajamno delovanje između svih strana uključenih u rad informacionog sistema, od korisnika preko tela odgovornih za planiranje, implementaciju i operativnost, do tela za pružanje bezbednosne akreditacije za rad. U dokumentaciju koja se odnosi na bezbednost spadaju elaborat o bezbednosti, bezbednosna ocena, uputstva za operativnu upotrebu sistema, i na kraju saglasnost za upotrebu sistema. Bezbednosna akreditacija sistema odrediće da je dostignut zadovoljavajući nivo zaštite informacionog sistema i da on treba da se održava.
Uopšteno, može da se kaže da bezbednost informacionih sistema obuhvata sve ono što i bezbednost informacija u širem smislu, samo primenjeno u užim tehnološkim okvirima.
Bezbednost pristupa trećih strana i spoljne saradnje
Pristup trećih strana obuhvata uobičajene postupke nabavke, razvoja i održavanja opreme, u okviru čega postoji razmena određenih podataka o organizaciji i/ili tehnologiji između državnog tela i ponuđača. Pritom, odgovornost za obradu podataka ostaje u nadležnosti državnog tela (npr. razvoj ili kupovina programa za praćenje poslovanja za potrebe državnog tela). Spoljna saradnja je dublji oblik saradnje u kojoj spoljni poslovni subjekat ima odgovornost za obradu podataka određenog državnog tela (npr. iznajmljivanje usluge za obradu podataka u nekom segmentu poslovanja državnog tela, kao što su plate ili stvaranje neke druge namenske baze podataka i sl.).
48
U okviru svakog pristupa trećih strana, a naročito u okviru spoljne saradnje, potrebno je izvršiti identifikaciju rizika. Procena rizika obuhvata elemente kao što su način pregovaranja i odobravanja poverljivih ugovora, način pristupa spoljnjeg osoblja opremi i prostoru, utvrđivanje razloga i potreba za pristup, potreba sprovođenja bezbednosne provere kompanije i njenog osoblja, izbor vrste ugovora, utvrđivanje bezbednosnih zahteva u ugovorima, razrada procedura za razmenu poverljivih podataka i sl.
U okviru ovog područja bezbednosti pojavljuju se i neke savremene kategorije, čiji je smisao i dalje bezbednost saradnje s trećim stranama. To su različite inicijative za prevenciju monopola u pojedinim područjima državne nabavke, s obzirom na činjenicu da monopoli mogu da izazovu ozbiljne bezbednosne posledice. Najznačajnija takva inicijativa danas je inicijativa za ravnopravni tretman programske podrške otvorenog izvornog koda od strane države (Open Source Software – OSS, različite verzije operativnih sistema zasnovanih na Linuxu i prateće programske aplikacije). U ovom području postoji formalna inicijativa EU i formalno ocenjivanje uspešnosti OSS inicijative potencijalnih zemalja pristupnica EU. U području izgradnje informaciono-komunikaconih sistema, usled liberalizacije tržišta telekomunikacija, ali i uopšte zbog kvaliteta razvoja projekata, nužno je u državu uvesti praksu ugovora o nivou usluge (SLA – Service Level Agreement). Takvi ugovori obuhvataju sporazum s provajderom usluga o kvalitetu, prioritetima, rokovima, odgovornostima i sl., a posledica su složenog poslovnog odnosa u kojem se radi o kompleksnim uslugama ili uslugama koje realizuje više kompanija, od kojih poslednja u nizu sklapa ugovor s krajnjim korisnikom, u ovom slučaju sa državom.
POJAM I ZNAČAJ POSLOVNIH INFORMACIJA9
U svim oblastima svog delovanja čovek svoju aktivnost svesno usmerava ka cilju koji želi da dostigne koristeći se raznim vrstama saznanja. Analizom postojećeg saznanja - podatka i njegovom upotrebom, podatak dobija novu kvalitativnu vrednost i postaje informacija. Informacija se transformiše u bitan element procesa upravljanja, u širem smislu, sistema sa kojim je povezana. Valjana informacija u pravom trenutku i na pravom mestu može doneti neverovatnu prednost i moć onome ko je poseduje.
Informacija je postala jedna vrsta robe, robe koja ima svoju upotrebnu vrednost a samim tim i cenu, roba koja se prodaje i kupuje. Šta više, u modernom poslovanju informacija, po nekima, predstavlja najvredniju robu. Naime, u uslovima kompjuterizacije i komunikacijskog buma, informacijama se trguje kao sa svakom drugom robom na vrlo jednostavan način. Međutim, njena specifičnost u odnosu na ostale vrste roba ogleda se u tome što joj sa korišćenjem vrednost uglavnom ne opada već raste, i što onaj ko je proda ne ostaje bez nje.
Vrednost informacije vezuje se za odlučivanje i upravljanje konkretnim sistemom. Informacija se procenjuje na osnovu rezultata koji se pomoću nje ostvaruju. Razni korisnici, pa čak i jedan isti, mogu imati različitu korist od iste informacije, što zavisi od ličnog iskustva i znanja, postojanja prethodnih informacija, od trenutka u kom su je dobili, od načina kako su je dobili, mogućnosti da se iskoristi kao i okruženja.
Vrednost, odnosno upotrebljivost poslovne informacije, kojom se raspolaže, u prvom redu zavisi od:
9 Milošević, Milan: Zaštita poslovnih podataka i dokumenata, Pravni informator, www.informator.co.yu.
49
– njene aktuelnosti,– njene tačnosti,– njene pouzdanosti,– njene trajnosti,– njene raspoloživosti, i– mere u kojoj zadovoljava potrebe korisnika.
Aktuelna ili blagovremena poslovna informacija obezbeđuje donošenje odluke u pravo vreme. Aktuelnost informacija najbolje može da se obezbedi savremenim informacionim sistemom, primenom računara i efikasnom obradom podataka i da se na taj način znatno poveća njihova vrednost. S tim u vezi treba naglasiti da se informacione tehnologije (IT) u savremenim organizacijama koriste u izvršnim i upravljačkim procesima. U domenu izvršnih procesa automatizuju se rutinske operacije, dok u upravljačkim procesima IT obezbeđuje podršku za donošenje upravljačkih odluka.
Vrednost informacija zavisi i od toga koliko su tačne. Tačnost je odnos broja tačnih i ukupno prikupljenih informacija u određenom vremenskom periodu. Ako se rade finansijske poslovne informacije moraju biti apsolutno tačne. U svim ostalim slučajevima dozvoljena su manja odstupanja, koja zavise od toga kolika tačnost se zahteva i koliko je rukovodna struktura spremna da uloži vremena i sredstava. Uslovno se većim izdvajanjem sredstava i resursa preduzeća mogu dobiti tačnije informacije.
Zahtevi za tačnošću i blagovremenošću informacija mogu često međusobno da isključe jedno drugo. Naime, dešava se da tačne, ali zakasnele informacije nemaju više upotrebnu vrednost zbog toga što su bile vremenski ograničene, zato što im je istekao “rok upotrebljivosti”.
Informacija je i vremenski definisana, pa iste informacije imaju različito značenje istim ljudima u različitim vremenima. Pouzdanost se može shvatiti kao stepen poverenja u informaciju i treba je razlikovati od trajnosti, jer informacija može da bude pouzdana ali ne i trajna i obrnuto.
Važna osobina informacije je i njena raspoloživost. Ona mora da bude dostupna samo rukovodiocu - direktoru i užem krugu njegovih saradnika. Što se tiče pojma raspoloživosti, poseban tretman imaju informacije koje se smatraju poslovnom tajnom.
Na kraju, informacija koja je ispunila sve prethodne uslove, a ne treba preduzeću, (ne zadovoljava njegove potrebe) za rukovodne strukture nema nikakvu upotrebnu vrednost. Ista informacija ima različito značenje različitim ljudima u zavisnosti od njihovog obrazovanja i iskustva.
Termin “informacija” sve se više koristi u značenju znanja koje može da se upotrebi, znanja da se predvidi šta će se desiti ako se neka akcija preduzme i znanja koje je samo po sebi moć. Sve ovo znači da je neophodno brzo i na vreme dolaziti do pravih poslovnih informacija, koristiti ih i pretvarati u profit. Kad posao nametne potrebu za određenim informacijama, onda je skoro nemoguće ispuniti zahteve. Da bi se to uspešno realizovalo, neophodno je imati unapred razvijen efikasan sistem poslovnih informacija. Sistem poslovnih informacija kojim rukovodstvo raspolaže treba da mu
50
obezbedi efikasnost upravljanja preduzećem. To zahteva organizovanost i sistematski rad, a ne “ad hoc” akcije od slučaja do slučaja.
Konačno interne informacije o kadrovskom, materijalno-tehničkom i finansijskom potencijalu preduzeća ukazuju na stepen sposobnosti da se iskoristi deo mogućnosti na tržištu. Informacije koje se koriste u svakodnevnoj aktivnosti treba da omoguće neposredno reagovanje na zbivanja u sredini.
Sistem poslovnih informacija u okviru preduzeća mora da sadrži sledeće elemente:
1. prikupljanje i provera podataka iz izvora koji se nalaze u i van preduzeća,2. smeštaj i čuvanje, odnosno “memorizacija” podataka za kasniju upotrebu
prema potrebi,3. pronalaženje i obrada uskladištenih podataka, koji na ovaj način postaju
poslovne informacije, i4. distribucija i korišćenje poslovnih informacija za donošenje odluke.
Posebno se treba čuvati neproverenih i pogrešnih podataka i informacija. Kod njih teško da se može upotrebiti matematika, jer zbir nula ovde daje veoma opasan broj. Obrada, skladištenje i zaštita od ovih informacija, odnosno dezinformacija, je veoma važna stavka u poslovanju preduzeća.
U lancu aktivnosti koje preduzeće obavlja u sklopu svoje poslovne politike, a koji za krajnji cilj imaju što bolji plasman proizvoda i usluga, značajno mesto zauzima dobro poznavanje kupca. Poslovni sistem informacija, o kojem smo govorili, između ostalog, ima zadatak da u potpunosti sakupi sve neophodne informacije o klijentima kojima će preduzeće ponuditi svoju robu ili uslugu. Te informacije moraju biti veoma detaljne i iscrpne, jer se samo na osnovu njih dobija prava slika o kupcu.
Generalno kod sklapanja posla preduzeće kontaktira sa dve vrste klijenata: novim i starim. To određuje pristup samom poslu. Kada se počinje poslovna saradnja sa novim klijentom, neophodno je proveriti odakle je, adresu sedišta preduzeća, bonitet, da li su korektni u ispunjavanju svojih obaveza, kao i koliko su zadovoljni njihovi postojeći poslovni partneri. Nekada je nepotrebno proveravati postojanje i sedište ako su u pitanju velika i poznata preduzeća, ali u svakom slučaju treba proveriti obavezno bonitet i unutrašnje stanje takvog preduzeća. Kod malih i srednjih, a posebno tržištu nepoznatih preduzeća treba krajnje oprezno pristupiti poslu.
Iz prethodno iznetog se vidi da je informacija dragocena roba koju nije lako dobiti, upotrebiti i što je još važnije - sačuvati. Zbog toga je veoma važno na pravi način i odgovarajućim sredstvima zaštiti informaciju u bilo kom obliku.
Zaštita poslovnih podataka i poslovnih dokumenata
Zaštićenost informacija od zloupotreba maksimalno povećava poslovne mogućnosti kompanija. S tim u vezi, postoje generalno dva načina zaštite važnih poslovnih podataka i informacija.
Jedan način zaštite važnih poslovnih podataka i informacija je, nazovimo ga, bezbednosno-organizacioni i on u sebi sadrži poznavanje i poštovanje pravila kulture
51
poslovne zaštite, pravnu regulativu svega toga i adekvatnu organizaciju i sistematizaciju radnih mesta.
Drugi način zaštite važnih poslovnih podataka i informacija se ostvaruje pravilnim izborom i korišćenjem tehničkih i elektronskih sredstava za obezbeđenje, kontrolu pristupa i nadzor objekata preduzeća, kao i efikasnom upotrebom zaposlenih koji rade poslove fizičke zaštite.
Neophodno je znati da samo korišćenje tehničke i elektronske zaštite bez dobro osposobljenih radnika fizičkog obezbeđenja i obrnuto, ne daje prave rezultate u procesu zaštite. Jedino kompletan sistem zaštite, kontrole pristupa i nadzora prostorija i objekata preduzeća daje prave rezultate i ostvaruje cilj zbog čega je projektovan. Drugi oblik zaštite ujedno ima dvojnu funkciju, pored zaštite poslovnih podataka i informacija, služi i za zaštitu osnovnih sredstava, robe i proizvoda preduzeća od inkriminisanih radnji.
Prvi stepen zaštite, možda i najvažniji, je da se kod zaposlenih, a naročito kod rukovodstva eliminiše “urođena” želja da se sa svima priča o poslovnim uspesima i neuspesima. Nisu tu u pitanju samo razgovori koji se vode u poslovnim prostorijama, nego i oni neformalni razgovori u restoranu, prodavnici, na ulici, u autobusu i pijaci. Ljudi se često zaboravljaju pa u toku svojih razgovora iznose poverljive podatke i informacije.
Problem koji se tu javlja je tačno odrediti šta znači poverljiv podatak i informacija. Možemo reći da je to generalno gledano sve ono što se odnosi na poslovanje preduzeće, sa tim što postoje važni (poverljivi) i manje važni (manje poverljivi) podaci i informacije. Svesno ili nesvesno iznošenje ovih informacija može imati veoma teške posledice pogotovo ako dođu do onoga ko zna da ih iskoristi. Nije problem u jednom ili dva podatka, ali oni se i ne koriste pojedinačno nego kao delići od kojih se sklapa celina. Dakle, veoma je važno da se, između ostalog, na sastancima stalno naglašava značaj informacija, da se ukazuje na štetne posledice koje preduzeće i svaki od zaposlenih može imati ako dođe do neovlašćenog otkrivanja ovih informacija.
Svakako da za preduzeće najveći značaj ima poslovna tajna. U cilju institucionalizacije poslovne tajne i što bolje zaštite poverljivih informacija veoma je važna izrada Internog akta o poslovnoj tajni, koji treba predočiti svim zaposlenima. Postojanje posebnog dokumenta kojim se predviđa zaštita informacija i sankcije za one koji postupaju protivno njegovim odredbama, sigurno će uticati na povećan stepen opreznosti zaposlenih. U svakom slučaju, da bi se uspešno štitile od nelegalnog korišćenja informacije moraju biti klasifikovane. Klasifikacija mora biti izvršena po stepenu poverljivosti odnosno tajnosti, takođe se moraju razraditi i standardizovati postupci sa dokumentima u zavisnosti od klase poverljivosti podataka.
S tim u vezi treba naglasiti da Uredba o kancelarijskom poslovanju organa državne uprave (“Sl. glasnik RS” br. 80/92) reguliše postupak evidencije dokumenata u državnim organima. Naročito se, članom 10. propisuje obaveza funkcionera koji rukovodi organom državne uprave da posebno evidentira dokumenata koja su označena nekim stepenom poverljivosti (državna tajna, vojna tajna ili službena tajna), propiše način postupanja sa njima i utvri mere njihove zaštite.
52
Da bi se do kraja ostvarila zaštita poslovne tajne, preduzeće mora da ima i interni akt - Odluku o poslovnoj tajni. Ona detaljno razrađuje isprave i podatke koje predstavljaju poslovnu tajnu. Poželjno je izvršiti i kategorizaciju stepena poslovne tajne, iz razloga praktične primene Odluke. Odluka o poslovnoj tajni mora sadržati i odredbe o odgovornosti lica koja dolaze u dodir sa poslovnom tajnom, kao i obaveze svih zaposlenih u oblasti čuvanja poslovne tajne (vidi prilog).
Kod zaštite informacija vrlo je važno poštovati “pravilo najmanja ovlašćenja” (rule of the least privilege), odnosno, obezbediti da zaposleni imaju ovlašćenja samo za pristup informacijama koje im omogućavaju da izvrše dobijeni zadatak, a nikako šire od toga. Takođe, pravo pristupa podacima, informacijama i dokumentaciji po principu “minimum ovlašćenja” treba dozvoliti samo kadrovima kojima je to radno potrebno.
Pored toga, ako su u pitanju poslovne tajne prvog stepena potrebno je uz dokumenta koja se odnose na konkretni projekat uraditi i omot predmeta koji se sastoji iz prve strane na kojoj je jasno napisano da je u pitanju dokumenat stepenovan poslovnom tajnom prvog stepena, kao i izvod iz Pravilnika o poslovnoj tajni, koji se odnosi na taj prvi stepen, a na drugoj strani spisak lica, datum i po čijem nalogu su upoznata sa sadržajem dokumenta. Na osnovu ovakvog pristupa sužava se krug zaposlenih koji dolaze u kontakt sa dokumentima, a ujedno se i ustrojava tačna evidencija lica koja su radila ili bila upoznata sa sadržajem dokumenata.
U slučaju dostave dokumenata, koji predstavljaju poslovnu tajnu, van preduzeća, mora postojati ustaljena procedura. Dokumenti se moraju dostavljati uz potpis i ličnu dostavu, sa napomenom o važnosti dokumenta.
Podatke koji se nalaze u glavama ljudi najteže je štititi, jer tu nikakve tehničke mere nisu primenljive. Ovakve informacije, odnosno podaci štite se, kako je delimično i rečeno: organizacionim, edukativnim i pravno-preventivnim merama.
Organizacione mere kao i mere kadrovske politike spadaju u grupu netehničkih mera i od njih uvek treba početi jer deluju kao samostalan i delotvoran instrument u pravcu preventivnog odvraćanja od nedozvoljenih aktivnosti, ali isto tako predstavljaju sponu koja sva ostala sredstva, mere i postupke zaštite povezuju u jedinstveni zaštitni mehanizam. Ove mere se odnose na samu organizaciju procesa rada i distribuciju podataka po svim nivoima (horizontalnim i vertikalnim) upravljanja preduzeća.
O edukativnim merama već je bilo reči, ali je važno napomenuti da one moraju da prožimaju sve aktivnosti preduzeća i da su usmerene na podizanje opšteg nivoa poslovne, a u sklopu toga i kulture poslovne zaštite. Naime, nema sumnje da u zaštiti poverljivosti informacija bezbednosna kultura ima važnu ulogu, posebno bezbednost u kulturi komunikacije, jer ako se preko telefona ne saopštavaju poverljive informacije nikakvo prisluškivanje telefonskih veza ne daje rezultate.
Pravno-preventivne mere moraju biti sadržane u svakom dokumentu koji donosi preduzeće. Statut preduzeća mora sadržati osnovne napomene o zaštiti informacija koje će predstavljati osnovu za donošenje Pravilnika o poslovnoj tajni. Znači da Pravilnik o poslovnoj tajni treba da uredi način rada sa poverljivom dokumentacijom i da odredi sankcije za sve koji rade suprotno njegovim odredbama.
Sa aspekta zaštite informacija i podataka nezaobilazna tema je i zaštita kompjutera, kako od neovlašćenog pristupa podacima i informacijama, tako i od krađe hardvera.
53
Ova oblast rada bezbednosno zaštitne komponente po svom obimnu i značaju, uveliko prevazilazi prostor koji joj se može posvetiti u ovom radu. Isti principi koji važe za zaštitu podataka, primenjuju se i kod zaštite kompjutera i informacionih sistema, s tim što je ovde pristup daleko složeniji, jer zahteva dobro poznavanje hardvera, softvera i procedura rada od strane odgovornog lica, a u cilju zaštite.
U zaštiti ovog vida informacija posebno je važno standardizovati postupke i ugraditi ih u organizaciju i organizacionu kulturu kako bi bezbednosna klima u jednoj organizaciji bila povoljna. Standardizacija postupaka obezbeđuje preduslove za ponašanje u skladu sa postavljenim ciljem zaštite informacija. Standardizacija propisuje norme koje moraju biti zadovoljene. Na primer, ISO 17799:2000 i britanski standard BS 7799 (British Standard 7799) regulisali su pitanje zaštite informacija u informacionim sistemima. Iako se radi o standardu koji se bavi zaštitom informacija u informacionim sistemima, njegove norme se mogu primeniti i na sve ostale nosioce informacija, od pisanih do govornih.
54
5. KRITIČNE INFRASTRUKTURE10
REZIME
Predlog za uspostavljanje Ministarstva unutrašnje bezbednosti SAD obuhvata funkcije čiji zadatak obuhvata koordinaciju politike i akcija usmerenih na zaštitu nacionalne kritične infrastrukture. Međutim, predlog nije utvrdio kriterijume za određivanje koje infrastrukture treba da se smatraju kritičnim.
U poslednjih nekoliko godina, veći broj dokumenata koji se odnosio na zaštitu kritične infrastrukture ponudio je opšte definicije kritičnih infrastruktura i pružio kratke spiskove onoga što kritične infrastrukture obuhvataju. Međutim, nijedan od ovih spiskova ne može da se smatra definitivnim. U međuvremenu, došlo je do ekspanzije kriterijuma za utvrđivanje šta može da bude kritična inrastruktura, i koje infrastrukture se tako kvalifikuju. Prvobitno se smatralo da su kritične infrastrukture one čijim bi se produženim ometanjem rada izazvala značajna vojna i ekonomska odstupanja. Kritične infrastrukture danas obuhvataju i nacionalne spomenike, jer bi se u slučaju napada na njih izazvali veliki gubici života, ili bi došlo do uticaja na moral građana. One takođe obuhvataju hemijsku industriju. Dok može da se raspravlja o tome zašto hemijska industrija nije bila ranije na spisku koji je posmatrao samo vojnu i ekonomsku bezbednost, čini se da je ona naknadno ubačena primarno zbog toga što pojedinačne hemijske fabrike mogu da postanu izvor materijala koji može da se koristi kao oružje za masovno uništenje, ili čijim bi se oštećenjem izazvale značajne pretnje po bezbednost zajednice koja se nalazi u okruženju.
Fluidna definicija onoga što konstituiše kritičnu infrastrukturu može da iskomplikuje planiranje politike i prateće aktivnosti. U najmanju ruku, sve veći spisak infrastruktura kojima je potrebna zaštita, zahtevaće od federalnih vlasti da naprave prioritete u odnosu na napore koje ulažu. Na kraju, federalne vlasti treba da umanje posledice bilo kog budućeg terorističkog napada na nacionalne kritične infrastrukture, tako što će da razmotre kakve posledice to mogu da budu i koja je verovatnoća njihovog pojavljivanja.
Postoje brojni načini na koje vlasti mogu da prave prioritete. Prvo, nisu svi elementi kritične infrastrukture kritični. Neophodna su dodatna istraživanja za identifikovanje onih elemenata koji su najkritičniji. Ostali pristupi treba da obuhvate fokusiranje na slabosti koje se pružaju kroz više infrastruktura, na međuzavisnoti u kojima napad na jednu infrastrukturu može da utiče na druge, na geografske lokacije na kojima može da se nalazi više objekata kritične infrastrukture, ili fokusiranje na one infrastrukture koje pripadaju isključivo federalnim vlastima, ili od kojih federalne vlasti zavise.
Nacionalna strategija za unutrašnju bezbednost, koja je usvojena jula 2002. godine, kaže da će federalne vlasti da utvrde prioritete za zaštitu kritične infrastrukture na osnovu konzistentne metodologije i pristupa koji će da dozvoli balansiranje između troškova i očekivanih koristi. Međutim, Strategija ne razmatra pitanje o tome kakva ta metodologija treba da bude.
10 Moteff J., Copeland C., Fischer J., Critical Infrastructures: What Makes an Infrastructure Critical?, Congressional Research Service ˜ The Library of Congress, Report for Congress, Received through the CRS Web, Order Code RL31556, Updated January 29, 2003.
55
UVOD
Sekcija II predloga za uspostavljanje Ministarstva unutrašnje bezbednosti iz juna 2002. godine navodi nadležnosti Podsekretara Ministarstva za analizu informacija i zaštitu infrastrukture. Ove nadležnosti obuhvataju:
• Sveobuhvatnu procenu slabosti ključnih resursa i kritičnih infrastruktura u Sjedinjenim Državama;
• …identifikovanje prioriteta zaštite i pratećih zaštitnih mera…;• Razvoj sveobuhvatnog nacionalnog plana za obezbeđivanje ključnih resursa
i kritične infrastrukture u Sjedinjenim Državama; i• Preduzimanje neophodnih mera za zaštitu ključnih resursa i kritičnih
infrastruktura u Sjedinjenim Državama…11
Kritična infrastruktura nije definisana nigde u zakonodavstvu koje je predložila Administracija. Međutim, drugi dokumenti, uključujući prethodno zakonodavstvo, definisali su kritičnu infrastrukturu i pružili spisak infrastruktura koje ulaze u okvire ovih definicija. Sledeća diskusija preispituje način na koji su se definicije (i spisak ilustrativnih primera) širile vremenom, i kakav uticaj ovo može da ima na razvoj i sprovođenje politike zaštite kritične infrastrukture.
ISTORIJAT
Šta je kritična infrastruktura?
Pre nego što je "kritična infrastruktura" postala termin od interesovanja za rasprave o terorizmu i unutrašnjoj bezbednosti, naizgled sličan pojam "infrastruktura" bio je subjekt rasprava kreatora javne politike. Tokom 1980-ih, na primer, diskutovalo se o tome da li je došlo do nacionalne krize u stanju američke infrastrukture – puteva, mostova, brana, sistemima otpadnih voda, itd. Bez ikakvih standarda ili zajedničke definicije, koncept infrastrukture u kontekstu politike bio je fluidan, na način na koji tako izgleda danas. (Za više podataka o ranijim definicijama i raspravama po pitanju "infrastrukture", pogledati Priloge, Šta je infrastruktura?, u ovom izveštaju).
U skorije vreme, nakon što je unutrašnjoj bezbednosti dodeljen najviši nacionalni prioritet, pojam "kritična infrastruktura" razvio se u vodeće političko pitanje. Dokumenti koji se bave zaštitom kritične infrastrukture pružaju veliki broj definicija o tome šta čini infrastrukturu kritičnom.
Izvršna naredba 1301012, koju je potpisao predsednik Klinton 1996. godine, a koja uspostavlja Predsedničku komisiju za zaštitu kritične infrastrukture, aludira na ono što određenu infrastrukturu čini kritičnom:
"Određene nacionalne infrastrukture koje su toliko vitalne da bi ometanje njihovog rada ili uništenje imalo efekat oslabljivanja odbrambene ili ekonomske sigurnosti Sjedinjenih Država."13
11 Za više informacija o raznim aspektima ovog predloga, kao i o reakciji Kongresa, pogledati Homeland Security na Internet prezentaciji CRS [http://www.crs.gov/].12 Executive Order 13010 - Critical Infrastructure Protection. Federal Register, July 17, 1996. Vol. 61, No. 138. pp 37347-37350. Referenca je na strani 37347.13 Ibid. str. 37347.
56
Prema ovoj Izvršnoj naredbi, ove infrastrukture su obuhvatale:
• telekomunikacije;14
• sistemi električne energije;• skladištenje i transport nafte i gasa;• bankarstvo i finansije;• transport;• sistemi vodenog snabdevanja;• hitne službe (medicinske, policijske, vatrogasne i za spasavanje); i• kontinuitet vlasti.
Uz upotrebu jezika iz ove Izvršne naredbe, konačni izveštaj Komisije15 Predsedniku definiše kritičnu infrastrukturu u Rečniku pojmova kao:
"Infrastruktura toliko vitalna da bi njeno onesposobljavanje ili uništenje imalo efekat oslabljivanja odbrambene ili ekonomske sigurnosti."
Pružene su i prateće definicije:
Infrastrukture: Okvir međuzavisnih mreža i sistema koji obuhvataju određene industrije, institucije (uključujući ljude i procedure) i kapacitete za distribuciju koji pruža pouzdan protok proizvoda i usluga koji su neophodni za odbrambenu i ekonomsku sigurnost Sjedinjenih Država, neometano funkcionisanje vlasti na svim nivoima, i društva u celini.
Oslabljenost: Stanje odbrambene ili ekonomske sigurnosti koje karakteriše neefikasnost.
Odbrambena sigurnost: Stanje u kojem su život i lična sigurnost građana, kako u zemlji, tako i u inostranstvu, zaštićeni, a suverenitet, politička sloboda i nezavisnost Sjedinjenih Država, zajedno s njenim vrednostima, institucijama i očuvanom teritorijom održani.
Ekonomska sigurnost: Stanje u kojem nacionalna dobra i usluge mogu uspešno da konkurišu na globalnim tržištima, dok se istovremeno održava ili uvećava dohodak građana.
Izveštaj Komisije takođe je definisao infrastrukture svakog sektora koji je spomenut u Izvršnoj naredbi.
Bankarstvo i finansije: Entiteti kao što su maloprodaje i komercijalne organizacije, investicione institucije, odbori za razmenu, trgovačke kuće i sistemi rezervi, i pridružene operativne organizacije, vladine operacije i aktivnosti podrške koje su uključene u sve aspekte monetarnih transakcija, uključujući čuvanje zbog štednje, investicije zbog dobiti, razmenu zbog isplata i isplate u formi zajmova i drugih finansijskih instrumenata.
Sistemi električne energije: Elektrane i mreže za prenos i distribuciju koji stvaraju i opskrbljuju električnom energijom krajnje korisnike tako da oni postižu i održavaju 14 Kroz ceo izveštaj, sektori koji su identifikovani kao kritični biće boldovani kada se prvi put pojavljuju.15 President’s Commission on Critical Infrastructure Protection, Critical Foundations: Protecting America’s Infrastructure, October 1997.
57
nominalnu funkcionalnost, uključujući transport i skladištenje goriva koje je neophodno za ovaj sistem.
Hitne službe: Medicinske, policijske, vatrogasne službe i sistemi za spasavanje, kao i osoblje koje je na raspolaganju onda kada su pojedinac ili zajednica suočeni s vanrednom situacijom. Ove usluge se uglavnom pružaju na lokalnom nivou. Osim toga, državni i federalni planovi imaju funkciju u pružanju podrške prilikom reagovanja i obnove.
Proizvodnja, skladištenje i transport nafte i gasa: Postrojenja za proizvodnju i čuvanje prirodnog gasa, sirove i prerađene nafte, i naftnih goriva, postrojenja za rafinisanje i procesuiranje ovih goriva, i naftovodi, brodovi, kamioni i železnički sistemi za transport ovih proizvoda iz njihovog izvora do sistema koji zavise od nafte i gasa u jednom od njihovih primenljivih oblika.
Informacije i komunikacije: Kompjuterska i telekomunikaciona oprema, softver, procesi i ljudi koji podržavaju:
• Procesuiranje, skladištenje i prenos podataka i informacija;• Procese i ljude koji od podataka stvaraju informacije, a od informacija znanje;• Same podatke i informacije.
Transport: Sistemi za fizičku distribuciju koji su kritični za podršku nacionalnoj bezbednosti i ekonomskom blagostanju, uključujući sisteme nacionalnog vazdušnog prostora, vazdušne linije, vazduhoplove i aerodrome; puteve i autoputeve, kopnena vozila; luke, vodene puteve i plovila; javni saobraćaj, železnički i autobuski; cevovode, uključujući prirodni gas, naftu i druge opasne materijale; transportnu i putničku železnicu; i usluge dostavljanja.
Sistemi za snabdevanje vodom: Izvori vode, rezervoari i postrojenja za skladištenje, vodovod i drugi transportni sistemi, sistemi za filtraciju, čišćenje i obradu vode, cevovodi, rashladni sistemi i drugi mehanizmi isporuke koji obezbeđuju domaću i industrijsku primenu, uključujući sisteme za rad sa izlivima, otpadnim vodama, kao i zaštitu od požara.
Kao odgovor na izveštaj Komisije, predsednik Klinton potpisao je 22. maja 1998. godine Predsedničku direktivu br. 63 (PDD-63).16 Direktiva je definisala kritične inrastrukture kao "one fizičke i kiber sisteme koji su vitalni za minimalno funkcionisanje privrede i vlade."17 Prema Direktivi, ovo je obuhvatalo, ali nije bilo
16 The Clinton Administration’s Policy on Critical Infrastructure Protection: Presidential Decision Directive No. 63, White Paper, May 22, 1998.17 Razliku između fizičke i kiber (sajber) bezbednosti je gotovo nemoguće odrediti i jasno definisati. Na primer, fizička sredstva u infrastrukturi električne energije tipično će da obuhvataju generatore, turbine i ostalu opremu koja se nalazi u njoj, kao i distribucionu mrežu. Međutim, kompjuterski hardver i komunikacione linije koje pomažu u kontroli stvaranja i protoka struje mogu da smatraju fizičkim ili sajber sredstvima. Podaci koji se prenose i skladište u kompjuterima i prenose komunikacionim linijama, kao i softver koji se koristi za obradu i kontrolu tih podataka se uglavnom smatraju sajber sredstvima. Fizička bezbednost obično znači zaštitu fizičkih sredstava (uključujući kompjutersku opremu) od oštećenja izazvanog fizičkom silom kao što su eksplozija, udaraca, vetra, vatre i sl. Sajber bezbednost može takođe da označava fizičku zaštitu sajber sredstava. Međutim, sajber bezbednost označava zaštitu i fizičkih i sajber sredstava od operativnog pada, ili od neovlašćenog kompjuterskog pristupa (uključujući i udaljeni pristup) operativnom softveru ili podacima. Pružanje fizičke i sajber bezbednosti kritičnim infrastrukturama zahteva širok opseg napora koji mogu da variraju (od ugradnje fizičkih barijera do firewall softvera), dok različiti pojedinci ili politike mogu da govore o drugim
58
ograničeno na, telekomunikacije, energiju, bankarstvo i finansije, transport, vodene sisteme i hitne službe.
Direktiva je takođe usmerila određene agencije da odrede kontakte u pomenutim, kao i u sledećim sektorima:
• Inteligentni transportni sistemi;• Usluge kontinuiteta vlasti;• Usluge javnog zdravlja (uključujući sprečavanje, nadzor, laboratorijske
usluge); i• Usluge ličnog zdravlja.
Takođe je identifikovala kritične infrastrukture koje su primarna odgovornost federalnih vlasti:
• Policija i postojeće službe obezbeđenja;• Obaveštajne službe;• Spoljni poslovi; i• Nacionalna odbrana.
Direktiva takođe postavlja cilj po kojem za narednih pet godina država treba da bude u stanju da zaštiti nacionalne kritične infrastrukture od namernih napada koji bi značajno umanjili mogućnosti:
• Federalnih vlasti da sprovode vitalne misije nacionalne bezbednosti i da obezbede opšte javno zdravlje i sigurnost;
• Državnih i lokalnih vlasti da održavaju red i da pružaju minimum neophodnih javnih usluga; i
• Privatnog sektora da obezbedi adekvatno funkcionisanje privrede i pružanje vitalnih telekomunikacija, energije, finansijskih i transportnih usluga.
"Svako ometanje rada ili manipulacija ovim kritičnim funkcijama moraju da budu kratkog trajanja, slabe frekvencije, upravljivi, geografski izolovani i minimalno štetni po blagostanje Sjedinjenih Država."18
Prva verzija Nacionalnog plana za kritičnu infrastrukturu (na koji se takođe poziva PDD-63)19 definisala je kritične infrastrukture kao "one sisteme i objekte – kako fizičke tako i virtualne – koji su toliko vitalni za državu da bi njihovo oštećenje ili uništenje imalo oslabljujući efekat po nacionalnu bezbednost, nacionalnu ekonomsku sigurnost i/ili nacionalno javno zdravlje i sigurnost."20 Dok je Plan koncentrisan na sajber-bezbednost federalnih kritičnih infrastruktura, usmeren je na one infrastrukture koje se pominju u Direktivi.
U nasleđu napada od 11. septembra 2001. godine, predsednik Buš potpisao je novu Izvršnu naredbu koja se odnosi na zaštitu kritične infrastrukture. Izvršna naredba
aktivnostima.18 Ibid. str. 2.19 Defending America’s Cyberspace: National Plan for Information Systems Protection. Version 1.0. An Invitation to a Dialogue. White House. 2000.20 Ibid. Executive Summary. str. 1. Sekcija 1016 USA Patriot Zakona (P.L.107-56), usvojenog 16. oktobra 2001. godine, koristi suštinski istu definiciju.
59
13228,21 koja je potpisana 8. oktobra 2001. godine, uspostavlja Kancelariju unutrašnje bezbednosti i Savet unutrašnje bezbednosti. Neki od zadataka Kancelarije su:
"koordinisanje napora na zaštiti kritičnih infrastruktura i saradnja sa federalnim, državnim i lokalnim agencijama i privatnim telima na:
• Jačanju mera za zaštitu proizvodnje i prenosa energije, usluga distribucije i kritičnih postrojenja; ostalih postrojenja; telekomunikacija; postrojenja koja proizvode, koriste, skladište ili odlažu nuklearni materijal;
• Koordinisanju napora na zaštiti kritičnih javnih i privatnih informacionih sistema;
• Osiguravanju da su posebni događaji koje su viši zvaničnici odredili kao događaje od nacionalnog značaja, budu zaštićeni;
• Zaštiti transportnih sistema u okviru Sjedinjenih Država, uključujući železnicu, autoputeve, luke i vodene puteve, i aerodrome i civilne vazduhoplove;
• Zaštiti poljoprivrede i sistema za pružanje vode i hrane za ljudsku upotrebu i potrošnju"22
U drugoj Izvršnoj naredbi 1323123, koja je potpisana 16. oktobra 2001. godine, predsednik je uspostavio Odbor za zaštitu kritične infrastrukture. Iako sam naziv ovog tela može da nagovesti širok mandat, zadaci su usmereni primarno na nacionalnu informacionu infrastrukturu. Međutim, Naredba se takođe poziva na značaj informacionih sistema za druge kritične infrastrukture kao što su "telekomunikacije, energija, finansijske usluge, proizvodnja, voda, transport, zdravstvena zaštita i hitne službe."24
Ova Izvršna naredba takođe ponavlja cilj uspostavljen u PDD-63, mada u ograničenom kontekstu zaštite od napada na nacionalnu informacionu infrastrukturu kod koje su "sva ometanja do kojih dođe retka, minimalnog trajanja i upravljiva, i izazivaju najmanju moguću štetu."25
Ubrzo nakon što je Administracija izdala ove Izvršne naredbe, Kongres je usvojio zakon USA PATRIOT. Sekcija 1016 ovog zakona, nazvana Zakon o zaštiti kritičnih infrastruktura 2001, definiše kritične infrastrukture kao:
"…sistemi i sredstva, fizički ili virtuelni, koji su toliko vitalni za Sjedinjene Države da bi njihovo onesposobljavanje ili uništenje imalo oslabljujući efekat po bezbednost, nacionalnu ekonomsku bezbednost, nacionalno javno zdravlje i sigurnost, ili bilo koju kombinaciju ovih pitanja."26
Na početku sekcije 1016, zakonodavstvo spominje tipove infrastruktura koje je Kongres nameravao da obuhvati ovom definicijom: informacije, telekomunikacije, energija, finansijske usluge, voda i transport.
21 Executive Order 13228—Establishing the Office of Homeland Security and the Homeland Security Council. Federal Register, Vol. 66, No. 196, October 8, 2001. str. 51812- 51817.22 Ibid. Section 3 (e) (i), (ii), (iv), (v) and (vi), str. 5183-5184.23 Executive Order 13231—Critical Infrastructure Protection in the Information Age. Federal Register, Vol. 86, No. 202. October 18, 2001. str. 53063-53071.24 Ibid. Section 1 (a), str. 53063.25 Ibid. Section 1 (b), str. 53063.26 H.R. 3162-130 (P.L. 107-56), Section 1016(e). Dva predloga Kongresa kojima se uspostavlja Ministarstvo unutrašnje bezbednosti (H.R. 5005 and S. 2452) koriste ovu definiciju.
60
Iako nacrt zakona koji je predložio predsednik za uspostavljanje Ministarstva unutrašnje bezbednosti nije definisao kritične infrastrukture, pridruženi dokument27
otišao je u detalje. Iako nije pružio formalnu definiciju, tekst usputno opisuje kritične infrastrukture kao "ona sredstva, sisteme i funkcije koje su vitalne za nacionalnu bezbednost, vlast, javno zdravlje i sigurnost, ekonomiju i nacionalni moral."28
Tekst takođe ističe da će Ministarstvo da izgradi i održava sveobuhvatnu procenu nacionalnih sektora infrastrukture:
• hrana;
• voda;
• poljoprivreda;
• zdravstvo i hitne službe;
• energija (električna, nuklearna, nafta i gas, brane);
• transport (vazdušni, putni, železnički, pomorski, vodeni);
• informacije i telekomunikacije;
• bankarstvo i finansije;
• hemijska industrija;
• odbrambena industrija;
• poštanske usluge; i
• nacionalni spomenici i obeležja.29
Administracija je 16. jula 2002. godine objavila svoju Nacionalnu strategiju unutrašnje bezbednosti.30 Na početku Strategije, kritična infrastruktura definisana je kao i u prethodno pomenutom dokumentu (uključujući i nacionalni moral).31 U drugoj sekciji, koja se bavi kritičnim infrastrukturama, Strategija se poziva na definiciju iz PATRIOT zakona.32 Nacionalna strategija pominje malo drugačiji spisak specifičnih infrastruktura, i pravi razliku između sistema javnog zdravlja i sistema za vanredne situacije i izbacuje nacionalne spomenike i obeležja. Ova kategorija je izbačena zbog toga što Strategija pravi razliku između kritičnih infrastruktura i ključnih objekata. Ključni objekti definisani su kao pojedinačne mete čije "uništenje ne bi ugrozilo vitalne sisteme, ali bi moglo da izazove lokalne efekte uništenja ili bi moglo u značajnoj meri da naruši nacionalni moral i poverenje." Takvi objekti obuhvataju istorijske spomenike i obeležja i druge lokalne objekte sa destruktivnim potencijalom ili visokom vrednošću za zajednicu, kao što su škole, sudovi i mostovi. Iako su ovi objekti više u nadležnosti državnih i lokalnih vlasti kad je u pitanju zaštita, Strategija pruža federalnu podršku tim vlastima u zaštiti ključnih objekata.
27 The Department of Homeland Security. June 2002. White House.28 Ibid. str. 15.29 Ibid. str. 15.30 Office of the President. Office of Homeland Security. National Strategy for Homeland Security. July 2002.31 Ibid. str. ix32 Ibid. str. 30.
61
Kojim objektima kritične infrastrukture je potrebna zaštita?
Nakon što je identifikovala šta može da se smatra kritičnom infrastrukturom, strategija zaštite mora da odredi koji elementi infrastrukture su kritični po njenu funkciju ili predstavljaju najveću opasnost po život i imovinu. Nisu svi objekti kritični, dok neki to mogu da budu više od drugih. Međutim, veličina i kompleksnost ovih infrastruktura mogu od identifikovanja koji su objekti infrastrukture kritični da napravi izuzetno težak zadatak.
Na primer, skorašnji izveštaj Nacionalnog saveta za istraživanje opisuje veličinu američkog unutrašnjeg transportnog sistema na sledeći način:
Američki sistem autoputeva sastoji se iz 4 miliona međusobno povezanih milja asfaltiranih puteva, uključujući 45.000 milja međudržavnih puteva i 600.000 mostova. Mreža železničkog transporta proširena je na više od 300.000 milja, dok putnički i gradski železnički sistemi obuhvataju oko 10.000 milja. Civilna avijacija ima oko 500 komercijalnih aerodroma i još 14.000 manjih aerodroma po celoj državi. Ove mreže takođe poseduju mnoge fiksne objekte kao što su terminali, navigaciona podrška, objekti za održavanje i operativni kontrolni centri.33
Iz ovog opisa transportnih sistema je izostavljena ogromna infrastruktura vodenog transporta, koja obuhvata pomorske, vodene puteve na kopnu, luke i plovila.
Slišno, infrastruktura električne energije obuhvata 92.000 električnih generatora (uključujući one koje rade pomoću fosilnih goriva, zatim nuklearne i hidroelektrične jedinice), 300.000 milja linija za prenos, i 150 kontrolnih centara koji regulišu protok električne energije. Nacionalna vodna infrastruktura obuhvata 75.000 brana i rezervoara, hiljade milja cevi i vodovoda, 168.000 postrojenja za vodu za piće i 16.000 javnih postrojenja za preradu otpadnih voda. Hemijska industrija obuhvata hiljade hemijskih postrojenja u kojima se rukuje opasnim i toksičnim supstancama.34
Na sreću, razumna količina informacija koje mogu da se koriste za kategorizaciju infrastruktura već je dostupna na federalnom nivou. Na primer, Federalna administracija za autoputeve klasifikuje autoputeve po tipovima i daje ogromnu statistiku o njima. Neke od ovih informacija mogu da budu veoma korisne u diskusiji o tome koji su delovi transportne infrastrukture najkritičniji. Nacionalni sistem autoputeva, kategorija puteva koja obuhvata međudržavni sistem autoputeva, čini samo 4% ukupnog broja milja nacionalnih javnih puteva, ali zato podnosi preko 44% svih putovanja.35 Slična situacija postoji i u aviosaobraćaju. Od 546 komercijalnih aerodroma koji su pružali svoje usluge u aprilu 2001. godine, tačno 70% svih ukrcavanja putnika dogodilo se na samo 31 aerodromu.36
33 National Research Council. Transportation Research Board. TRB Special Report 270. Deterrence, Protection, and Preparation--The New Transportation Security Imperative. July 2, 2002. Available in preprint form at [http://www.trb.org/]34 Za više informacija o ovim infrastrukturama, pogledati CRS Terrorism Briefing Book, Prevention: Security Enhancements. [http://www.congress.gov/brbk/html/ebter1.shtml]35 Federalna administracija za autoputeve. Our Nations Highways: 2000. [http://www.fhwa.dot.gov/ohim]. str.18.36 Transportation Research Board. Aviation Gridlock: Phase II: Airport Capacity and Infrastructure. Transportation Research E-Circular. [http://trb.org/trb/publications/circulars/ec032/ec032.pdf]. May 2001. str. 5.
62
Ovde slede dve kratke diskusije koje razmatraju kako sredstva fizičkog transporta i transportni sistemi mogu da se posmatraju u kontekstu da li su, ili nisu kritični. Diskusija je takođe relevantna i za druge infrastrukture.
Kopneni transport: Rečni prelazi
Postoji 10 putnih mostova preko reke Potomak u okviru Vašington D.C. oblasti. Dva mosta, Woodrow Wilson i American Legion su deo međudržavnog sistema sutoputeva, kao i most na 14. ulici i most Theodore Roosevelt. Ostali mostovi su Memorial, Key i Chain most. Poslednje, ali takođe važne komponente ove oblasne transportne infrastrukture su železnički i metro mostovi koji se pružaju paralelno s mostom na 14. ulici. Osim ovih, postoji još jedan dodatni prelaz, a to je metro tunel. U kontekstu nacionalne bezbednosti, koji od ovih prelaza su kritični? Na prvi pogled, većina će najverovatnije da identifikuje Woodrow Wilson most kao najkritičniju infrastrukturu u oblasti. On je najopterećeniji, i preko njega vodi međudržavni autoput 95, koji je najmasovniji autoput na istočnoj obali oko Vašingtona. Međutim, ukoliko ovaj most bude onesposobljen za prelaz na određeno vreme, koliko će lokalna privreda i međudržavna trgovina da izgube zbog toga? Odgovor na osnovu iskustva sa većim saobraćajnim nesrećama i sličnim vanrednim situacijama je da će na kraći rok situacija verovatno da bude haotična. Na duži period, saobraćaj će da se prilagodi na više načina. Međudržavna trgovina, na primer, preusmerila bi se na druge puteve koji idu kroz ovu oblast, ili direktno kroz sam grad. Ovi putevi su duži, dok njihovo veliko opterećenje utiče na povećanje troškova i smanjenu efikasnost. Svi dodatni troškovi dodaju se na troškove prevoza u regionu koji je pogođen. U svakom slučaju, nemogućnost upotrebe jednog ili više mostova najverovatnije će da bude prevaziđena, uz određene poteškoće.
Teže pitanje pojavljuje se u slučaju da je onesposobljeni most železnički ili metro most. Prelaz preko tunela je rezervna varijanta za metro sistem, dok klasične železničke linije jedva mogu da podnesu normalan protok kroz tunele, barem u nekim delovima dnevnog saobraćanja. Železnički prelaz koristi većina Amtrak vozova na istočnoj obali, Virginia Rail Express, kao i veći broj teretnih vozova. Najbliža alternativa nalazi se 40 milja zapadno. Očigledno je da ovo nije odgovarajuća zamena za usluge putničke železnice kojoj je destinacija Vašington. Za teretne vozove ovo izgleda kao manji problem, međutim, gubitak ovog železničkog koridora na bilo koji vremenski period značajno bi pogodio isporuke mnogih dobara, od kojih samo neka mogu da se prevoze kamionima ili drugim alternativnim sredstvima transporta. Zbog toga, utvrđivanje šta je "kritično" u velikoj meri zavisi od nečijeg ugla posmatranja.
Transportni sistemi: Kontrola vazdušnog saobraćaja (ATC)37
Sistem kontrole vazdušnog saobraćaja je drugi primer problema definisanja kritične transportne infrastrukture. ATC sistem je ogroman, kompleksan i visoko integrisan sistem koji je izuzetno zavistan od tehnologije. ATC sistem poseduje 40.921 operativni objekat svakog tipa, i 36.349 zaposlenih. Najznačajniji od svih ovih objekata su 21 centar za kontrolu vazdušnih linija (ARTCC), 496 kontrolnih tornjeva, 75 stanica za vazduhoplovne usluge i 61 automatizovana stanica za vazduhoplovne usluge. Samo kroz ARTCC je prošlo 7 miliona aviona tokom januara i februara 2002.
37 Informacije o ATC-u u ovom delu su dobijene od Federalne administracije za aviosaobraćaj, maj 2002., dostupno na [http://www.ama500.jccbi.gov/factbook/].
63
godine. Zbog bezbednosnih razloga u ove sisteme je ugrađeno više sistema za podršku.
U svojoj strukturi, visoko integrisani sistem kao što je ATC sigurno ima više zajedničkog sa tlekomunikacionim kritičnim infrastrukturama nego s tradicionalnim transportnim sistemima. U suštini, to je više komandni i kontrolni sistem za nacionalni vazdušni saobraćaj. Avioni danas mogu da lete bez navođenja, dok mnogi od njih koriste i vizuelno navođenje, međutim, sistemi aviosaobraćaja ne mogu da funkcionišu bez ATC sistema.
ATC sistem je strateški sistem i blisko je povezan sa vojnim ATC sistemom, čak postoji i određena saradnja sa Ministarstvom odbrane. Razmišljalo se i o tome kako bi ATC sistemi funkcionisali u vreme rata, tako da su mnogi planovi koji su razvijani za ovaj proces napravljeni tako da imaju primenu u borbi protiv terorizma.
Moguće je, međutim, pokrenuti pitanje o tome koji pojedinačni delovi ATC su kritični. Sistem, na primer, može da funkcioniše bez centara za kontrolu vazdušnih linija. Međutim, u tom slučaju pokrivanje je značajno smanjeno u pogođenoj oblasti i vazdušni saobraćaj je dramatično usporen. Dugoročni gubitak takve usluge sigurno bi izazvao dalja ometanja i mogao bi da dovede do većih onesposobljavanja trgovine u pogođenom regionu. Gubitak radara ili drugog objekta za praćenje letova na većem aerodromu u pojedinom trenutku bi, u zavisnosti od okolnosti, bio ili bez posledica ili katastrofičan.
Razmatranja
Najočiglednija prednost transportnog sistema SAD u kontekstu terorističke pretnje je njegova preteranost. Iako su transportni sistemi često zagušeni u urbanim oblastima, obično postoje alternativni transportni putevi koji u tim slučajevima mogu da se upotrebe. Postoji par primera u kojima to nije slučaj, i ovo su najverovatnije prave "kritične" tačke transportne infrastrukture. Isto važi i za druge infrastrukture.
ANALIZA
Nijedna od definicija onoga što čini kritičnu infrastrukturu, a koje su se čule tokom godina, ne može da se smatra rigoroznom. One donekle pokrivaju ovo pitanje, ali ostavljaju dosta prostora za interpretaciju koja se infrastruktura uklapa u definiciju. Pojedinačni sektori su takođe navedeni, ali su ilustrativni i predstavljeni kao primeri, ali ne čine iscrpan spisak. Osim toga, kako vreme prolazi, opšta definicija kritičnih infrastruktura proširila se sa onoga što je vitalno za nacionalnu odbranu i ekonomsku sigurnost i kontinuitet vlasti, na ono što je vitalno za javno zdravlje i sigurnost, i na kraju, na ono što je vitalno po nacionalni moral. Sve zajedno, spisak infrastruktura kojima je potrebna zaštita proširena je sa onih koje su primarno neophodne za funkciju nacionalne odbrane i privrede (npr. transport, energetika, bankarstvo i finansije) na specifične infrastrukture koje mogu da se koriste za izazivanje masovnog uništenja i/ili smrti (npr. proizvodnja, transport i skladištenje nuklearnih materijala, određenih bioloških agenasa i opasnih ili toksičnih hemikalija), ali koje mogu ili ne moraju da budu kritični elementi u nacionalnoj odbrani ili privredi. Spisak nastavlja da se širi i obuhvata one segmente koji su od značaja za pojedinačne zajednice, kao i nacionalne spomenike i obeležja (Nacionalna strategija unutrašnje bezbednosti). Bez rigoroznijih procesa za identifikovanje kritične infrastrukture, spisak će da nastavi da se menja i dopunjuje.
64
Da li je bitno ukoliko spisak infrastruktura ostane fluidan? Jedan od mogućih problema je da nejasno razumevanje onoga što čini kritičnu infrastrukturu može da vodi do nejasnih i difuznih politika i akcija. U najmanju ruku, sve veći spisak infrastruktura kojima je potrebna zaštita znači i veliku odgovornost na strani federalne vlasti. Zakoni o kojima se raspravlja, kao i Nacionalna strategija, traže od federalne vlasti da se bavi svakom kritičnom infrastrukturom ponaosob, da podržava i osvežava baze podataka o slabostima, da integriše baze podataka sa analizama pretnji, da prati incidente u svakoj od infrastruktura, i da objavljuje upozorenja onda kada je to potrebno. Samo ovo će da zahteva vreme i resurse. Dok, s jedne strane, troškovi ubacivanja dodatnih infrastruktura na spisak mogu da budu marginalni, oni neće da budu nula. Federalna vlast može takođe da bude pozvana da finansijski podrži preduzimanje neophodnih mera zaštite, ne samo za infrastrukture koje su u vlasništvu i upotrebi države i lokalnih vlasti, već i za privatne infrastrukture.38
Međutim, još uvek nije jasno kolika je veličina potrebnih ili dostupnih resursa. Sigurno će da bude potrebno napraviti prioritete za preraspodelu ograničenih resursa na način na koji mogu da se umanje efekti bilo kog budućeg terorističkog napada na nacionalnu infrastrukturu. Administracija se posredno osvrće na postavljanje prioriteta kroz celu Nacionalnu strategiju.
U suštini, problem s kojim se federalna vlast suočava je umanjivanje, uz ograničenu količinu resursa, očekivanog udara na nacionalnu kritičnu infrastrukturu bilo kog budućeg terorističkog napada. Efekti mogu da se mere izgubljenim životima, ekonomskom preraspodelom, gubitkom vojnih kapaciteta, gubitkom nacionalnog morala (izmerenog na izborima), ili njihovom kombinacijom. Očekivani efekti utvrđuju se određivanjem verovatnoće pojavljivanja nekog događaja. Ovo je važno pošto političari moraju da izbalansiraju one scenarije sa malom verovatnoćom događanja, ali koji, ukoliko do njih dođe, mogu da budu katastrofični, sa scenarijima koji su manje katastrofični, ali lakše mogu da se dogode.
Postoje brojni načini na koje političari mogu da naprave prioritete. Kao što je pomenuto, neki elementi unutar kritične infrastrukture su mnogo kritičniji od drugih. Neki elementi, ili segmenti infrastruktura, mogu slabo da se koriste ili da budu višak. Ukoliko su ovi segmenti nedostupni, njihov gubitak bio bi nezgodan, ali takav gubitak bi teško mogao da bude destruktivan. Zbog toga bi jedna opcija bila fokusiranje na identifikaciju pravih kritičnih sredstava i njihovo jačanje u odnosu na napad ili umanjivanje njihovog gubitka, ili kroz izradu viška ili kroz preraspodelu ili izmenu (kako bi se smanjila zajednička oštećenja) tokom vremena.
Još jedan način za određivanje prioriteta prilikom preraspodele resursa je identifikovanje ranjivosti ili rešenja koja se prostiru kroz više različitih infrastruktura. Do određene granice, informacioni sistemi su zajednička slabost mnogih drugih infrastruktura. Rešenja za ranjivosti informacionih sistema mogu da se primenjuju generalno, bez obzira da li je u pitanju uspostavljanje ili sprovođenje najbolje prakse ili razvoj bezbednijeg softvera. Druga tehnologija koja prožima više od jedne infrastrukture su udaljeni kontrolni sistemi. Velika pažnja već je usmerena na slabosti
38 Op. cit. National Strategy. str. 33-34. Strategija kaže da će plan za zaštitu nacionalnih infrastruktura da opiše načine na koje će da se koriste instrumenti politike za podizanje nivoa bezbednosti. Ovo može da obuhvati federalne kredite državama i lokalnim vlastima, i možda "zakonodavstvo koje će da pokrene inicijative za prihvatanje mera bezbednosti i investiranje u napredne tehnologije za zaštitu u privatnom sektoru."
65
sistema za nadzornu kontrolu i prikupljanje podataka (SCADA) koji se koriste u energetskim, vodnim, transportnim i hemijskim infrastrukturama.39
Drugi način je identifikovanje međuzavisnosti koje postoje između infrastruktura. Nijedna od pomenutih infrastruktura nije potpuno izolovana od drugih. Proizvodnja energije zavisi od informacionih mreža. Transport zavisi od energije. I jedno i drugo zavise od informacionih mreža. Informacione mreže zavise od energije. Zbog ovih međuzavisnosti, napad na jedan segment infrastrukture može da ima oslabljujući efekat na drugu infrastrukturu. Identifikovanje i usmeravanje na one delove koji povezuju više infrastruktura može da bude isplativ način za ublažavanje potpunog efekta napada. Ovo je jedan od glavnih zadataka Centra za simulaciju i analizu nacionalnih infrastruktura, koji je uspostavljen PATRIOT zakonom40 i kome je dodeljena funkcija zaštite kritičnih infrastruktura novog Ministarstva unutrašnje bezbednosti.
Na sličan način, mogu da postoje geografske lokacije na kojima se nalazi više kritičnih segmenata jedne ili više infrastruktura za koje je potrebno utvrditi prioritete. Jedan od efekata koji se vezuje za napade na Svetski trgovinski centar bio je taj da se u oblasti nalazio veliki broj objekata vezanih za bankarstvo i finansije, električnu energiju i telekomunikacije, od kojih neki nisu imali rezervna sredstva na nekom drugom mestu. Dok su efekti gubitka ovih sredstava lokalizovani na donji Menhetn ili ubrzo uspostavljeni na nekom drugom mestu, ostao je problem prebacivanja kritičnih sredstava za pojedince koji su odgovorni za obezbeđivanje usluga.
Drugi mogući način za utvrđivanje prioriteta, u kontekstu troškova federalnih resursa, je da se federalna vlast više usmeri na one infrastrukture koje su ili u potpunosti u njihovom vlasništvu, ili privatne i lokalne od kojih federalna vlast zavisi za sprovođenje ovih aktivnosti, ili sa kojima federalna vlast ima dugu i blisku saradnju. Ovo znači prepuštanje onim infrastrukturama u kojima federalna vlast nije naročito aktivna, da preuzmu primarnu odgovornost za suočavanje sa sopstvenim slabostima i efektima.
Pošto je definicija kritične infrastrukture široka, a broj onih infrastruktura koje se smatraju kritičnim raste, ograničavanje broja infrastruktura u studijama može a priori da izostavi neke opasne slabosti. U određenom trenutku, međutim, zahtevaće se dodeljivanje prioriteta. Prema Nacionalnoj strategiji unutrašnje bezbednosti, federalna vlast primenjivaće odgovarajuću metodologiju kako bi usmerila svoje napore na najviše prioritete. Strategija dalje navodi da će predstojeći sveobuhvatni plan za zaštitu kritičnih infrastruktura od terorističkih napada da pruži pristup za racionalno balansiranje troškova sa koristima pojačane bezbednosti u odnosu na pretnju. Međutim, Strategija ne daje indikacije o tome kako će ove metodologije i pristupi da izgledaju. Kongres će možda morati da usmeri svoju pažnju na načine koje Administracija predlaže za definisanje prioriteta i koji kriterijumi se za to koriste.
39 Videti CRS Report RL31534, Critical Infrastructure, Remote Control Systems, and the Terrorist Threat, autor Dana Shea.40 Op. Cit. USA Patriot ACT. P.L. 107-56. Sec. 1016.
66
PRILOZI
Šta je infrastruktura?
Pre nego što je "kritična infrastruktura" postala tema interesovanja u raspravama o terorizmu i unutrašnjoj bezbednosti, naizgled sličan pojam "infrastruktura" bio je subjekat rasprava političara. Bez standardne ili saglasne definicije, koncept je u kontekstu politike bio fluidan, kako se čini da je i danas, uključujući i javne i privatne sisteme i usluge. Pre skoro 20 godina, o infrastrukturi se raspravljalo zbog toga što je nacionalna javna infrastruktura prolazila kroz ozbiljne probleme propadanja, tehnološke zastarelosti i nedovoljno kapaciteta za budući razvoj. Za razliku od današnjeg fokusa na obezbeđenje od fizičkih i virtuelnih napada na sisteme, u to vreme fokus je bio na prirodi, obimu i ozbiljno lošem fizičkom stanju, adekvatnoj tehnologiji i kapacitetu javnih sistema, kao i na odlukama vlasti na svim nivoima da prioriteti troškova izađu u susret fizičkim i potrebama menadžmenta.
Javni i privatni izveštaji u to vreme analizirali su i kritikovali ovaj problem, dok su mnogi želeli da definišu pojam "infrastruktura". Jedan od ovih izveštaja, koji je objavio Savet državnih agencija za planiranje, definisao je pojam kao javne usluge i proizvodna postrojenja koja obuhvataju "širok opseg javnih postrojenja i opreme koja je potrebna za pružanje društvenih usluga i podrške privrednim aktivnostima privatnog sektora". Prema ovom izveštaju, infrastruktura obično obuhvata puteve, mostove, vodene i kanalizacione sisteme, aerodrome, luke i javne objekte, dok može da obuhvati škole, zdravstvene ustanove, zatvore, rekreacione objekte, proizvodnju električne energije, protivpožarne službe, deponije otpada i telekomunikacije.41
U izveštaju Kongresu iz 1983. godine o politici koja se odnosi na stanje nacionalne infrastrukture, Kongresna kancelarija za budžet (CBO) analizira sedam kategorija infrastrukture: autoputevi, sistemi javnog saobraćaja, postrojenja za preradu otpadnih voda, vodni izvori, kontrola aviosaobraćaja, aerodromi i opštinski vodni sistemi. Ovi sistemi, prema CBO, "imaju zajedničke karakteristike kapitalnog intenziteta i visokog javnog ulaganja na svim nivoima vlasti. Oni su, štaviše, direktno kritični po aktivnosti nacionalne privrede." CBO naglašava da "koncept infrastrukture može da ima široku primenu i da obuhvati društvene objekte kao što su škole, bolnice i zatvori, a često obuhvata i industrijske kapacitete."42
U izveštaju iz 1988. godine, CBO daje sličnu, ali dopunjenu kategorizaciju infrastrukture (autoputevi, aviosaobraćaj, javni prevoz, prerada otpadnih voda i vodni transport) na osnovu definicije po kojoj ta postrojenja:
"Pružaju osnovu ili osnovni okvir za nacionalnu privredu, u kojoj federalna politika igra značajnu ulogu…" Ova definicija isključuje neke objekte koji se često smatraju za infrastrukture – kao što su javni smeštaj, državne zgrade, privatne železničke usluge i škole – i neke objekte koji su vezani za životnu sredinu (kao što su otpadi opasnih i toksičnih materijala), gde primarni teret odgovornosti pada na privatna lica.43
41 Vaughan, Roger, and Robert Pollard. REBUILDING AMERICA, VOL. I, PLANNING AND MANAGING PUBLIC WORKS IN THE 1980S. Council of State Planning Agencies. Washington DC, 1984: 1-2.42 U.S. Congressional Budget Office. Public Works Infrastructure: Policy Considerations for the 1980s. April 1983: 1.43 U.S. Congressional Budget Office. New Directions for the Nation’s Public Works. September 1988: xi-xii.
67
Kongres je u mnogo slučajeva uvodio zakone koji su se odnosili na jednu ili više kategorija infrastrukture, kao što su kopneni transport ili vodni resursi, ali je retko to uradio tako sveobuhvatno. Tokom rasprava 80-ih godina o propadanju javnih sistema, Kongres je doneo zakon kojim se uspostavlja Nacionalni savet za unapređenje sistema javnih usluga sa mandatom da analizira i izveštava Kongres i predsednika o stanju javnih infrastrukturnih sistema. Prema sekciji II tog zakona predsednik je dužan da pruži određene informacije o budžetskim sredstvima koja se izdvajaju za javne civilne i vojne kapitalne investicione programe u godišnjem izveštaju o budžetu. Tema ovih analiza trebalo je da bude sveobuhvatna. Prema zakonu, trebalo je da obuhvata "svaki fizički objekat koji se koristi za pružanje usluga ili pruža druge koristi na duži vremenski period" i trebalo je da obuhvati ali da ne bude ograničen na "puteve ili mostove; aerodrome ili vazduhoplovne objekte; sisteme javnog prevoza; preradu otpadnih voda ili slična postrojenja; projekte za vodne resurse; bolnice; postrojenja za obnavljanje resursa; javne ustanove; prostorne ili komunikacione objekte; železničke puteve; i federalne zgrade."44
Nacionalni savet za unapređenje sistema javnih usluga pružio je drugu definiciju infrastruktura i obuhvatio devet kategorija sistema u svojim analizama: autoputeve, ulice, puteve i mostove; aerodrome i piste; javni prevoz; intermodalni transport; snabdevanje vodom; preradu otpadnih voda; vodne izvore; čvrsti otpad; i otpade opasnih materija. Ove kategorije, prema Savetu, imaju jake veze sa privrednim razvojem i generalno imaju tradiciju povezanosti sa javnim sektorom. Postrojenja i objekti imaju visoke troškove i dug ekonomski život. U celini, prema Savetu, usluge koje pružaju "čine nacionalne odbrane, jake privrede i zdravlja i sigurnosti građana."45
Od 1980-ih godina, pažnja političara znatno je pomerena sa razmatranja problema infrastruktura sveobuhvatno i na način na koji je to rađeno u to vreme. Zakonski predlozi generalno su bili okrenuti potrebama pojedinačnih sektora i uz definisanje uloge federalne vlasti, posebno kad su u pitanju finansije. Kao što je spomenuto u izveštaju, pojam "kritične infrastrukture" tek skoro je počeo više da se razvija i da se pojavljuje odvojeno od politika koje se bave pojedinačnim problemima infrastruktura kao što su aerodromi i autoputevi. U svakom slučaju mnoge definicije iz rasprava 1980-ih godina o infrastrukturi – da je ona "direktno kritična po aktivnosti nacionalne ekonomije" i da predstavlja "osnovu nacionalne odbrane" – čuju se i danas u raspravama o procenama infrastruktura i objekata koji su kritični po nacionalnu bezbednost.
Kako su se kriterijumi i komponente kritične infrastrukture razvijali tokom vremena
Tabela prikazuje na koji način su se kriterijumi i komponente kritične infrastrukture razvijali tokom vremena. Kao što je spomenuto u ovom izveštaju, da bi infrastruktura bila smatrana kritičnom, ona mora da bude vitalna za jednu ili više raširenih nacionalnih funkcija. Ta grupa funkcija razvijala se tokom vremena, počevši sa nacionalnom odbranom i ekonomskom sigurnošću, obuhvatala je javno zdravlje i sigurnost, a zatim i nacionalni moral. Ova ekspanzija prikazana je horizontalno, s leva na desno u tabeli ispod. Na sličan način, povećavao se i broj komponenti (ili
44 P.L. 98-501, sec. 203.45 National Council on Public Works Improvement. Fragile Foundations: A Report on America’s Public Works, Final Report to the President and Congress. Washington D.C. February 1988: 33.
68
sektora) koje su bile posebno identifikovane kao kritične infrastrukture. Širenje ovog spiska prikazano je vertikalno, od vrha ka dnu tabele.
Unakrsno obeležavanje, "x", ima ilustrativni karakter i generalno se pojavljuje sa ubacivanjem pojedine infrastrukture na spisak. Na primer, hemijska industrija nije se nalazila ni na jednom spisku kritičnih infrastruktura kada su kriterijumi bili ograničeni na vitalne za nacionalnu odbranu ili ekonomsku sigurnost. Ona se pojavljuje posle 11. septembra 2001. godine, kada je pažnja usmerena sa strategijskog razmišljanja ranije politike na direktnu prevenciju ogromnih pojedinačnih žrtava nekog događaja (više pitanje javnog zdravlja i sigurnosti). To ne znači da hemijska industrija nije važan element privrede, ili da ne postoji jedinstveno postrojenje čiji prestanak rada može da izazove udar na privredu.
Tabela 1. Šta tokom vremena konstituiše kritičnu infrastrukturu
Infrastruktura Kriterijumi za smatranje kritičnom. Vitalna za…
Nacionalnu odbranu
Ekonomsku sigurnost
Javno zdravlje i sigurnost
Moral građana
Telekomunikacije i informacione mreže x x
Energija x x
Bankarstvo/Finansije x
Transport x x
Voda x
Hitne službe x
Vlasti x
Zdravstvene službe x
Nacionalna odbrana x
Obaveštajne službe x
Policija x
Spoljni poslovi x
Nuklearna postrojenja, pored elektrana
x
Posebni događaji x
Hrana/Poljoprivreda x
69
Proizvodnja x
Hemijska industrija x
Odbrambena industrija x
Poštanske usluge x
Nacionalnu spomenici i obeležja x
Razmena informacija
Jedan od najbitnijih preduslova za efektivno učešće privatnog sektora na polju borbe protiv terorizma je svakako neprestana razmena i protok informacija o rizicima i pretnjama po ukupnu bezbednost Sjedinjenih Država. Ovo je od izuzetnog značaja, pošto se zna da se jedan od glavnih propusta koji su izazvali napade od 11. septembra vezuje za neadekvatnu razmenu obaveštajnih podataka između mnogobrojnih bezbednosno-obaveštajnih službi u SAD.
U okviru napora vlade SAD da razmenjuju informacije sa privatnom industrijom, već duže vreme postoji više zvaničnih i nezvaničnih kontakata po ovom pitanju u sferi unutrašnje bezbednosti. Neki od ovih napora obuhvataju i tradicionalne napore vlade koji se tiču otvaranja linija komunikacije između države i privatnog sektora – pružanje državnih usluga, finansiranje, održavanje informacionih konferencija i pružanje programa obuke.
Jedna od inicijativa od posebnog značaja za unutrašnju bezbednost je osnivanje Centara za razmenu i analizu informacija (Information Sharing and Analysis Centers, ISACs). ISACs su uglavnom organizacije ili mreže organizacija privatnog sektora, čije je osnivanje pomogla vlada SAD da bi omogućila širenje informacija u realnom vremenu o pretnjama po kritičnu infrastrukturu. Osim ovoga, ovi centri mogu da služe kao forumi koji bi pomogli koordinaciju napora za identifikovanje i smanjivanje ranjivosti ukupne kritične infrastrukture (Tabela 2.).
Centar za razmenu i analizu informacija za sada ne postoji jedino za sektor koji se odnosi na nuklearnu energiju. Ta funkcija je delom pokrivena u centru za električnu energiju, dok ostale informacije o specifičnim pretnjama po industriju nuklearne energije dolaze prvenstveno preko Komisije za nuklearna pitanja i raznih agencija za sprovođenje zakona, mada su opšte informacije operaterima nuklearnih elektrana dostupne i preko Instituta za nuklearnu energiju i ostalih trgovinskih asocijacija.
Kada su u pitanju odnosi između državnih (javnih) institucija i privatnog sektora po pitanjima bezbednosti kod nas, na tom polju može veoma malo toga da se izdvoji. Osnovni nedostatak vezuje se za nepostojanje zakona koji bi što preciznije regulisao ulogu privatnog sektora u bezbednosti. To pitanje, iako formalne prirode, rešilo bi mnoge probleme na ovom polju. Kada ovo bude rešeno, a nadamo se da će to da se dogodi uskoro, na mnogo lakši način moći će da se priđe rešavanju ostalih pitanja.
70
Tabela 2. Centri za analizu i razmenu informacijau odabranim kritičnim infrastrukturama
Centar (ISAC) Industrijska grupa Primarne aktivnosti
Hemijska industrija
Američki hemijski savet (Chemtrec)
Obezbeđuje javni informacioni servis vatrogasnim službama, policiji i ostalim hitnim službama radi pribavljanja informacija o podršci u incidentima sa hemijskim i opasnim materijama. Održava informacije o sigurnosti materijala i hitne kontakte sa proizvođačima i trgovcima.
Električna energija
Severnoamerički savet za električnu podršku (NERC)
Razmenjuje indikatore pretnji, analize i upozorenja radi podrške učesnicima matičnog sektora u preduzimanju adekvatnih zaštitnih mera. Koordiniše sajber-bezbednost, fizičku i operacionalnu bezbednost preko Komiteta za zaštitu kritične infrastrukture.
Nafta i gas Američki institut za naftu, Američka naftna asocijacija, Nacionalna petrohemijska i rafinerijska asocijacija (kojom upravlja Međunarodna korporacija za primenu nauke)
Održava sveukupnu industrijsku bazu podataka o pretnjama po elektronsku bezbednost, slabostima, incidentima i rešenjima. Obezbeđuje pouzdana mesta za razmenu informacija o bezbednosnim slabostima, kao i o najboljim rešenjima.
Prehrambena industrija
Institut za prehrambeni marketing
Razmenjuje upozorenja (preko Federalnog istražnog biroa, FBI) sa svim učesnicima, prijavljuje incidente, obezbeđuje tehničku ekspertizu za procenu izveštaja, i koordiniše sveukupni industrijski odgovor na napade.
71
6. BIOMETRIJA46
UVOD
Mnogi od nas videli su i čuli su za biometriju, a možda je čak i povezali sa ličnim identifikacionim karticama, kontrolom pristupa putem otisaka prstiju, ili sistemom prepoznavanja lica koji je povezan sa CCTV, ali je samo nekolicina razmišljala o pravom značenju reči "biometrija". Prema najjednostavnijoj definiciji, koja je data u Oxford Enciklopediji, biometrija je nauka koja primenjuje statističke metode na biološke činjenice.
To znači da biometrijska tehnologija teži da stvori jedinstvenu identifikaciju pojedinca kroz statističko merenje njegovih određenih fizičkih osobina ili ponašanja. Ove jedinstvene biometrijske informacije zatim mogu da budu sačuvane u elektronskoj formi, i kasnije iskorišćene za upoređivanje, čime postaju dokaz identifikacije. U teoriji, biometrijski sistemi bi trebalo uvek da budu potpuno precizni, međutim, u praksi to ipak nije tako jednostavno.
Karakteristične ljudske osobine
Koncept biometrijske identifikacije je toliko napredovao da biometrijska industrija danas angažuje vrhunske naučnike iz raznih oblasti, koji proučavaju skoro svaku osobinu čoveka zbog pronalaženja jedinstvenih identifikacionih osobina. Biometrija je u stvari nauka koja uzima zapis jedne od tih osobina, primenjuje je u pažljivo proračunatoj matematičkoj formuli ili algoritmu, i daje rešenje u vidu cifara koje će da budu jedinstvene za tu osobinu određenog pojedinca. Prva istraživanja na ovom polju, početkom osamdesetih godina prošlog veka, bila su usmerena na otiske prstiju i prepoznavanje mrežnjače oka, dok je prva u komercijalnu upotrebu ušla biometrija otisaka prstiju, sredinom osamdesetih. Od ovih pionirskih istraživanja, pa do danas, interesovanje i zahtevi za biometrijom naglo su se povećali, dok su se troškovi ulaganja u biometrijska rešenja, kao rezultat interesovanja, dramatično smanjili. Na primer, čitač otisaka prstiju osamdesetih godina koštao je oko 100 dolara, dok danas može da se nabavi za deset do dvadeset puta manju cenu.
Varijante biometrijskih tehnologija
Iako su neke kompanije koje se bave biometrijom, poklekle zbog nedostatka finansijskih sredstava, još uvek postoji visok nivo proaktivnih i uzbudljivih istraživanja koja se trenutno vode zbog unapređenja postojećih mogućnosti biometrije. Na ovom polju do sada su istraživane sledeće čovekove osobine:
• Otisci prstiju• Geometrija šake• Otisak dlana• Raspored vena ruke• Dinamika stiska šake• Termografija lica• Dvodimenzionalni (2D) prikaz lica
46 Biometrija, Professional Security Systems, br. 9 (jul/avgust 2005), br. 10 (septembar/oktobar 2005), br. 11 (novembar/decembar 2005), br. 12 (januar/februar 2006) i br. 13 (mart/april 2006).
72
• Trodimenzionalni (3D) prikaz lica• Zenica oka• Mrežnjača oka• Glas• Potpis• Dinamika kucanja• DNK• Hod (koračanje)
Istraživanje prepoznavanja mrežnjače oka zastalo je u poslednjih par godina zbog problema oko jačine svetlosti koja je potrebna za proces identifikacije, međutim nove metode identifikacije koje koriste infracrvenu svetlost vraćaju istraživanja na ovom polju u normalu.
Od svih ovih varijanti, trenutno najrasprostranjenija je biometrija otisaka prstiju, pre svega zbog široke primene i malih troškova. Prema Međunarodnoj grupi za biometriju (International Biometrics Group, IBG), biometrijske tehnologije otisaka prstiju već zauzimaju više od 50% ovog tržišta. Sledeće po popularnosti zbog lake ugradnje i isplativosti, su prepoznavanje potpisa i glasa. Prepoznavanje lica, skeniranje šake i skeniranje zenice manje se upotrebljavaju, pre svega zbog složenije ugradnje i većih finansijskih izdvajanja, kao i zbog problema oko zakonitosti upotrebe i privatnosti. Mnoge od ostalih tehnologija su još uvek u razvoju, kao što su prepoznavanje hoda, dinamika stiska šake i 3D prepoznavanje lica.
Pošteno je reći, da u slučaju biometrijskih sistema, iako su neke od tehnologija naprednije i, čini se, preciznije od drugih, još uvek ne postoji "vodeća" tehnologija. To je zbog činjenice da su najbolji kriterijumi utvrđivanja koju tehnologiju koristiti - prikladnost, praktičnost i budžet, tako da izbor sistema zavisi od slučaja do slučaja.
Biometrijski proces
Svaki biometrijski sistem treba da poseduje odgovarajući softver i hardver koji treba da proračunava, uzima, čuva, pronalazi, upoređuje i prepoznaje/odbacuje svaki jedinstveni biometrijski identifikator.
Biometrijski sistemi generalno rade na jedan od dva moguća načina, to jest, vrše identifikaciju ili verifikaciju. U svakom slučaju, inicijalna postavka, unošenje podataka u sistem, je veoma slična u oba slučaja, i zavisi od pravilnog unosa samih podataka. Proces unošenja uspostavlja buduću strukturu biometrijskog sistema, i on se sastoji iz pet delova:
• Unos biometrijskih zapisa (Ubacivanje zapisa jedinstvenih biometrijskih osobina u bazu podataka, gde se često uzima više uzoraka iste osobine pojedinca, zbog fluktuacija, kao što su boja glasa, ili izrazi lica);
• Uzimanje biometrije (Merenje i rastavljanje osnovnih informacija biometrijskog zapisa osobine);
• Obrada biometrije (Konverzija unetih podataka u numeričku informaciju zbog stvaranja jedinstvenog identifikacionog broja određene osobine);
• Proveravanje biometrije (Ponovno unošenje biometrijskih osobina radi utvrđivanja da li je sistem prihvatio i pravilno prepoznao podatak);
73
• Skladištenje biometrije (Trajno unošenje proverenih biometrijskih podataka).
Rezultat ovog procesa su tačne i upotrebljive, elektronski predstavljene kombinacije biometrijskih informacija, koje se nalaze u bazi podataka, kao i na ID/Smart karticama.
Ovo je proces u kome su potpuna saradnja svih onih koji učestvuju u izradi sistema, kao i visoka preciznost u radu na svakoj fazi procesa od najvećeg značaja, zbog toga što će u budućnosti upotreba i pouzdanost sistema da zavise najviše od njih. Međutim, preciznost u radu na svakoj fazi procesa ne zavisi samo od parametara tehnologije i opreme koja će da se koristi, već i od zahteva budućih korisnika sistema.
Ceo proces izrade biometrijskog sistema i njegovog uspostavljanja zahteva mnogo vremena i što detaljnije planiranje. Što se više vremena odvaja na proučavanje biometrije, izbor biometrijske tehnologije, moguće izuzetke ili ograničenja sistema, sam projekat, predviđene troškove i isplativosti, i upoznavanje sa specifičnim ciljevima sistema i zahtevima korisnika, drastično će se povećati efikasnost u odabiru finalnog sistema, a to će doprineti i njegovom lakšem uspostavljanju. Danas su dostupne razne knjige, priručnici, uputstva i softver koji nam daju proverene savete za planiranje i uspostavljanje biometrijskih sistema, koji vode korisnika prema upoređivanju potrebnih informacija i njihovom prebacivanju u jedinstvene identifikacione brojeve koji treba da pruže operativnu kombinaciju parametara za uspostavljanje finalnog sistema.
Identifikacija i verifikacija
Identifikacija – centralna baza biometrijskih podataka upoređuje se sa odgovarajućim osobinama pojedinca, izbacuje se lista najbližih pogodaka iz baze, i uzima prvi na listi kao tačan pogodak. (Poklapanje "1 prema nekoliko")
Verifikacija – biometrija predstavljena elektronski (npr. smart kartica) upoređuje se sa odgovarajućim osobinama pojedinca (koji poseduje smart karticu). (Poklapanje "1 prema 1")
Kao što je već napomenuto, postoji više pravnih, društvenih i pitanja privatnosti koja su se pokrenula pojavom biometrijske tehnologije. Tako se u mnogo slučajeva sistem verifikacije (jednostavno "1 prema 1" poklapanje) pokazao kao društveno prihvatljivije rešenje, pošto se informacije koje se odnose na pojedinca nalaze samo na kartici koju poseduje taj pojedinac, a ne u centralnoj bazi podataka. Ova činjenica je osnova argumentacije protiv uvođenja nacionalnih biometrijskih ID kartica, koje se već planiraju u nekim državama.
PKI i Smart kartice
Eksperti iz ove oblasti ne vide biometriju kao jedino rešenje za kontrolu pristupa. Oni će prvi da postave pitanje: Da li nam je ovde stvarno potrebna biometrija, ili postoji neka druga kombinacija koja će se pokazati efikasnijom? Pod pretpostavkom da je sama tehnologija pouzdana i precizna, problemi će se pojaviti kad god uključimo ljudski faktor, koji je neizbežan u samom procesu stvaranja sistema, a samim tim i najslabija karika u lancu. Problemi izazvani ljudskim greškama, kao što su propusti izazvani umorom, nemarom ili nedostatkom koncentracije, kao i problemi izazvani
74
ljudskom prirodom, kao što su odbijanje saradnje, čista zla namera i kriminalna aktivnost, moraju da budu identifikovani i svedeni na apsolutni minimum, što i predstavlja deo uspostavljanja samog sistema. Međutim, ako poredimo ovakvu situaciju sa postojećim sistemima kontrole pristupa danas, bez biometrije bi problemi ljudskih grešaka bili višestruko veći, dok bi kombinovanje biometrijskih sistema samo unapredilo situaciju. Na primer, danas svaka ID kartica sa fotografijom mora da bude proverena od strane čoveka, koji će ponekad da bude umoran, nemaran ili subjektivan u proceni. S druge strane, slična kartica može da bude elektronski proverena putem PKI (Public Key Infrastrusture) tehnologije ili putem LIB-a, ali ko može da garantuje da je korisnik kartice i njen vlasnik? Upotreba biometrije uz smart kartice ili PKI tehnologiju unaprediće performanse sistema i eliminisaće sve probleme na polju bezbednosti, kontrole pristupa i bezbednosti informacija. Očekuje se da će ove tehnologije biti korišćene zajedno sa biometrijom, dok je industrija već smislila novo ime za ovu kombinaciju – Sinergijske tehnologije.
IDENTIFIKACIJA OTISAKA PRSTIJU
Pošto smo otkrili da se, ne tako iznenađujuće, biometrijske tehnologije razvijaju i da su dostupne još od osamdesetih godina prošlog veka, takođe ne iznenađuje da se ista tehnologija nije samo izuzetno razvila od tada, već se i pretvorila u kompleksnu industriju sa mnogo podgrupa. Generalno, danas znamo da biometrijske tehnologije mogu da nam pruže sredstva za stvaranje jedinstvene identifikacije pojedinca kroz merenje njegovih određenih bioloških karakteristika, kao što su identifikacija na osnovu otisaka prstiju, ili softver za prepoznavanje lica. Međutim, kada posmatramo pojedinačne biometrijske tehnologije, posebno je zanimljivo primetiti da iako sve imaju isti zadatak i cilj, proizvođači, npr. tehnologija za identifikaciju otisaka prstiju, nemaju istu filozofiju i metodologiju u postizanju tog cilja, i naravno, svaki proizvođač veruje da je njegovo rešenje najefektivnije. Ovde ćemo da se bavimo različitim tehnikama koje se koriste u tehnologijama identifikacije otisaka prstiju, kao i nekim prednostima i nedostacima u okviru ovih tehnika.
Logično je da počnemo sa otiscima prstiju, pošto znamo da je u pitanju komercijalno i tehnički najstariji sektor biometrijske industrije. Kao rezultat duge istorije, danas je skoro svima dostupna veoma detaljna dokumentacija o identifikaciji otisaka prstiju, s obzirom da postoji veliki broj firmi na ovom polju. Kako konkurencija raste, ove firme su sve manje tajnovite oko tehničke metodologije koju koriste, kao i oko objašnjavanja rada svojih softvera i uređaja, pre svega zato što na kompetitivnom tržištu moraju da predstavljaju baš te informacije kako bi dokazali svetu i potencijalnim klijentima da je njihov proizvod najbolji. Stoga i ne čudi da je identifikacija otisaka prstiju najrasprostranjenija biometrija u svetu, gde obuhvata preko 50 procenata svih savremenih biometrijskih sistema. Posebno se koristi u policijskim službama, pošto se akcenat na razvoj ove tehnologije stavlja već preko sto godina, otkad je 1893. godine britanska vlada prihvatila činjenicu da ne postoje dve osobe koje imaju iste otiske prstiju. Još od tada kompanije teže razvoju ove tehnologije, možda nas time navodeći da pretpostavimo kako je ovaj sektor skoro savršen. Nažalost, takvo razmišljanje je prenaglo, zato što svaki novi tehnološki korak napred stavlja nove dileme pred tehničare da ih reše.
Uzimanje otiska
Prvobitni otisci prstiju uzimani su putem mastila, čime se dobijala dvodimenzionalna slika. Zatim su korišćene latentne slike otisaka, a danas se koristi 3D skeniranje. Od
75
poslednjih procesa, najduže je korišćeno skeniranje optičkim senzorima, ali se danas takođe koriste i senzori pritiska, termalni senzori, čvrsti senzori i ultrasonični senzori. Kvalitet i preciznost dobijene slike zavisi od brojnih faktora, pre svega tehničkih (parametri opreme i softvera) i bioloških (stanje i orijentacija prsta koji se skenira). Prema stručnjacima, ultrasoničnim metodom dobijaju se najkvalitetniji otisci, pošto se tako dobija visok kontrast između kontura otiska prsta. Putem ovog metoda, kada se prst stavi na skener, na njega deluju serije slabih elektronskih impulsa, koji u zavisnosti od proizvođača opreme, mogu da mere skoro sve karakteristike otiska – rastojanje između papilarnih linija, dubinu između linija, broj nabora, terminus, lukove, petlje, krugove, a kod sistema sa visokom rezolucijom – i lokaciju znojnih pora. Istovremeno, dodatni senzor meri brzinu kojom se prst pomera preko skenera. Ovo omogućava da softver sakupi informacije kako bi se sklopila tačna reprodukcija.
Tehnike upoređivanja
Jednom kada je otisak uzet, ručno ili putem posebnog softverskog programa, on se koristi kako bi se uporedio sa postojećim koji može da se nalazi na smart kartici (poklapanje 1 prema 1, 1:1), ili u bazi podataka (poklapanje 1 prema nekoliko, 1:N). Što je veća baza podataka, veće je i vreme upoređivanja, mada mnogi vodeći proizvođači opreme za identifikaciju otisaka prstiju tvrde kako je vreme provere manje od jedne sekunde, čak i kada baza sadrži stotine hiljada otisaka. Od vremena prvih otisaka uzimanih putem mastila, promenilo se nekoliko tehnika upoređivanja, a danas su u upotrebi metode zasnovane na softverskim algoritamskim verzijama onih manualnih metoda koji su se razvili pre mnogo godina.
Klasifikacija otisaka
Nekoliko kompanija smatra da otisci prstiju mogu da budu kategorizovani, pošto postoji saglasnost oko toga da svaki otisak može da se klasifikuje u jednu od pet ili sedam (u zavisnosti od odabira podele) tipova. Tako bi u teoriji, kada se određeni otisak upoređuje sa bazom podataka, brzina procesa verifikacije bila dramatično veća kada bi 4/5 (ili 4/7) baze podataka bilo u startu eliminisano kao neodgovarajuća, tako što će se jednostavno kategorisati otisak koji se proverava. Ovo izgleda kao izvanredan napredak, ali nažalost, on još uvek treba da se unapređuje. Problem je u tome što ne postoje jasne i precizne smernice za utvrđivanje parametara svake kategorije, dok u testovima velikog broja otisaka, stručnjaci ne mogu da se slože oko kategorije za oko 17% otisaka. Ovo je definitivno neprihvatljiv nivo klasifikacije za bilo koji sistem identifikacije otisaka prstiju. Bilo kako bilo, kada pogledamo unazad, i kada vidimo koliko se napredovalo do sada na ovom polju, možemo sa sigurnošću da očekujemo razvoj i ove metodologije u ne tako dalekoj budućnosti.
Tehnike upoređivanja koje se danas najčešće koriste su razne tehnike procene detalja i tehnike zasnovane na obrascu. Prva, tehnika zasnovana na detaljima, raspoređuje grupu koordinata na unapred određen broj mapiranih geografskih tačaka na otisku prsta, kao što su delte linija, lokacije znojnih pora, ili počeci nabora ili udubljenja. Ove koordinate se zatim pretvaraju u formulu zbog proračuna, čime se dobija jedinstveni, višecifreni ID broj za svaki otisak prsta, koji se zatim upoređuje sa najbližim brojem u upoređivanju 1:N ili sličnim ciframa u upoređivanju 1:1. Parametri moraju da budu fleksibilni, pošto postoji velika verovatnoća da proračun neće da izbaci potpuno isti ID broj svaki put za isti otisak, zbog raznih uticaja, kao što su drugačiji položaj prsta tokom skeniranja, fizičke promene na prstu, elektronske smetnje i brzina pomeranja prsta preko skenera.
76
Drugi najčešći metod je zasnovan na obrascu, i on obuhvata uzimanje slike otiska i njeno direktno upoređivanje sa postojećom kako bi se utvrdio nivo sličnosti. Ovaj proces je očigledno mnogo sporiji za poređenje 1:N, ali je adekvatan za 1:1 verifikaciju sa smart karticom ili čipom koji sadrži samo jednu sliku. Takođe postoji nekoliko drugih metoda koji su zasnovani na varijacijama pomenutih metoda i koji obuhvataju algoritamske proračune broja nabora, rastojanje između nabora ili detaljno pregledanje celog otiska.
Kao i kod svih ostalih tehnologija, i u identifikaciji otisaka prstiju postoje prednosti i nedostaci. Međutim, uzimajući u obzir činjenicu da je ovo trenutno najviše korišćena biometrijska tehnika, prednosti imaju veću težinu od nedostataka, pošto se najveće prednosti odnose na praktičnost, prilagodljivost, lakoću upotrebe, i naravno – cenu.
Prednosti
• Proverena i testirana tehnologija – duga istorija upotrebe u odnosu na ostale biometrije.
• Detalji otisaka prstiju su trajni.• Jeftino rešenje – cene čitača otisaka drastično su pale, sa 100$ pre nekoliko
godina, na 10$ danas.• Razumna prihvatljivost nivoa tačnosti u odnosu na druge biometrije i u odnosu
na cenu.• Nenametljiv, jednostavan i lak za upotrebu.• Brojne moguće primene.• Lak za ugrađivanje u drugu opremu – mobilne telefone, računare, smart
kartice.
Nedostaci
• Nemogućnost prikrivene upotrebe, kao u nadgledanju – potrebna je puna saradnja sa korisnikom kako bi funkcionisao.
• Povezivanje identifikacije otisaka prstiju isključivo sa kriminalom.• Mali deo populacije ne može da ga koristi zbog određenih nesposobnosti.• Loše prepoznavanje zbog trajnih promena na otisku – posekotine, modrice,
bolesti, prljavština ili istrošenost postojećeg otiska.• Loše prepoznavanje zbog dimenzija i orijentacije skeniranog otiska kada se
upoređuje sa postojećim.
Postoji ogromno međunarodno interesovanje za ovu tehnologiju, na skoro svakom nivou i u skoro svakoj oblasti industrije gde identifikacija otisaka prstiju može da bude relativno lako integrisana i isplativa za postojeći sistem obezbeđenja ili kontrolu pristupa. Kao rezultat, postoji veliki broj kompanija svih veličina na svakom kraju sveta, koje su se specijalizovale za dizajn, razvoj, proizvodnju i integraciju biometrijskih tehnologija za identifikaciju otisaka prstiju. Neke su relativno male firme, a neke su industrijski giganti, pojedine su tek ušle u ovu oblast, dok su druge u ovom poslu preko 30 godina. Navešćemo samo deo izbora trenutno najjačih kompanija na ovom polju:
• NEC Electronics Corp – SAD• IDTECK Co. Ltd – Koreja
77
• ISL Informer Systems Ltd – Velika Britanija• Lightuning – Tajvan• BMF Corporation – Japan• Identix – Velika Britanija• Digital Persona – SAD• Fingerprint Cards – Švedska• Idencom – Nemačka• Neurotechnologija Ltd – Litvanija• SAFLINK Corp – SAD• Technoimagia Co. Ltd – Japan• TSSI – Velika Britanija
ODABIR BIOMETRIJSKIH REŠENJA
Početkom 2004. godine Sjedinjene Države stvorile su medijski haos zbog najave da svi posetioci SAD treba da poseduju neku vrstu registrovanih biometrijskih identifikacija do oktobra iste godine. Ovo otkriće izazvalo je veoma snažne reakcije za i protiv širom sveta, a posebno u Velikoj Britaniji i Evropi. Britanska vlada je, međutim, već istraživala mogućnosti izdavanja nacionalnih ID kartica koje sadrže biometrijske podatke, tako da je zbog američke najave ova ideja u Velikoj Britaniji mnogo bliža stvarnosti nego u ostatku sveta.
Takođe, početkom 2004. godine, stanovnici SAD bili su bombardovani televizijskim dokumentarnim emisijama i vestima koje javnost upoznaju sa realnošću biometrije kao dodatka svakodnevnom životu, o CCTV kontroli navijača na fudbalskim utakmicama i tokom uličnih tuča, o zaštiti od zloupotrebe kreditnih kartica kroz upotrebu prepoznavanja glasa ili potpisa, o bezbednosti u kući (upotreba otisaka prstiju kao ključa, zaštita ličnog računara), itd.
Procena rizika
Razumljivo je da, kada je u pitanju ovaj poslovni sektor, van biometrijske industrije postoji veoma mali broj nezavisnih istraživanja na ovu temu. U okviru biometrijskih organizacija znanje i iskustvo se konstantno nadgrađuje, ali su istraživanja, naravno, strogo čuvana. Zbog toga i nastaje problem za potencijalne kupce kojima je potrebna ne samo precizna procena izvodljivosti njihovog projekta, nego i pouzdanost tehnologije koja će da bude korišćena, kao i kompanije koja će da pruži tu tehnologiju. Najčešće postavljana pitanja su:
• Da li je biometrija najefektivnije rešenje?• Koja biometrija je najbolja za moju kompaniju i posao?• Da li to treba da bude kombinacija više biometrija?• Da li je proizvod pouzdan?• Da li je proizvod jednostavan za ugradnju? Jednostavan za upotrebu?• Koji nivo preciznosti nam je potreban?• Da li se proizvod isplati?• Da li postoje dodatni troškovi za projekat?• Koji su etički problemi i problemi privatnosti?• Da li je proizvođač pouzdan – da li vrše isporuku?• Da li je proizvođač upoznat sa stanjem na tržištu?• Da li je proizvođač finansijski stabilan?
78
• Šta je sa dugoročnim planovima, garancijom, novim proizvodima, održavanjem?
Prema Međunarodnoj grupi za biometriju (International Biometrics Group, IBG), preko 90% svih biometrijskih kompanija nije profitabilno. Za potencijalnog partnera bilo koje biometrijske kompanije ovo bi bio ogroman rizik. S druge strane, kako jedna biometrijska kompanija može da se dokaže na tržištu ukoliko nema kupce sa postojećim sistemima? Za rezultat, samo manji broj ovih kompanija dobija najunosnije ugovore, zato što su do sada samo one uspele da se dokažu na tržištu. Do sada je naglasak u ovoj industriji bio na razvoju sopstvene tehnologije, međutim, tek sada neke od ovih primarno naučno-istraživačkih kompanija počinju da shvataju da, ukoliko žele da osvoje klijente, moraju da se dokažu kao komercijalno i finansijski vešte organizacije, sa jasnom predstavom o tržištu i konkurenciji, i sa proizvodima koji će da funkcionišu u realnim situacijama.
Industrijska rešenja
Mnoge od odgovornih kompanija uvidele su da je presudno da ovi problemi budu prevaziđeni kako bi biometrijska industrija krenula napred. Zbog toga one danas proaktivno učestvuju u pronalaženju novih rešenja koja se stalno pojavljuju i razvijaju.
Neke organizacije regrutovale su iskusne vrhunske poslovne stručnjake koji bi ih poveli napred. Druge su videle u problemima novu priliku, i stvorile nove nezavisne organizacije gde su udruženi stručnjaci formirali savetodavne firme koje pružaju nezavisne usluge.
Krajem devedesetih godina, došlo je do razvoja trgovinskih asocijacija, kao što su Međunarodna asocijacija biometrijskih industrija (International Biometrics Industry Association, IBIA) u Vašingtonu, Asocijacija za biometriju (Association for Biometrics, AfB) u Oksfordu, i Evropski biometrijski forum (European Biometrics Forum, EBF) u Dablinu. Sve ove asocijacije danas pružaju savetodavne usluge i pokušavaju da razviju prihvaćene i usaglašene metode testiranja, najbolje standarde za praksu, etičke principe i principe privatnosti, i to uz podršku matičnih država.
Takođe, osnovani su i komiteti koji imaju za cilj usaglašavanje standarda po pitanjima interoperabilnosti proizvoda, kao što su ISO IECJTC1, Biometrijski konzorcijum, i Međunarodni komitet za informacione tehnologije, uz aktivno učešće pojedinaca koji predstavljaju države, asocijacije i industrije.
Strateško testiranje
Mnoge multinacionalne kompanije, kao i države, prepoznale su biometriju kao veoma važan korak napred za globalnu industriju, i zbog toga one ulažu velike sume novca u razvoj i, što je važnije, u testiranje i praktičnu primenu biometrijskih tehnologija. Među njima su i Microsoft, Honeywell, Wells Fargo, kao i mnoge velike bankarske institucije i investitori. Mnoga od ovih ulaganja su do sada bila usmerena na komparativno testiranje performansi raznih biometrijskh tehnologija, zbog nezavisne procene ne samo pouzdanosti i preciznosti, već i zbog utvrđivanja koja od ovih tehnologija bi mogla da postane komercijalno vodeća. Biometrija koja će "najverovatnije da uspe" sa komercijalnog stanovišta, ne mora nužno da bude i ona koja se pokazala najpreciznijom tokom testiranja, nego ona koja ima druge kvalitete bitne za korisnika, kao što su društvena prihvatljivost, mala nametljivost,
79
jednostavnost ugradnje, brzina rada ili troškovi proizvodnje. Bitno je primetiti da interpretacija bilo kog rezultata testiranja može da se razlikuje kada se posmatra sa komercijalnog ili praktičnog aspekta, i kada se posmatra iz naučne i tehničke perspektive. Drugim rečima, ne postoji "najbolja" biometrija. Odabir i uspešna ugradnja biometrijskog sistema je zato skoro potpuno zavisna od kombinacije bitnih elemenata koji treba da budu potpuno razumljivi i utvrđeni za klijente od samog početka.
Metodologije testiranja
U odnosu na nekadašnje stanje u biometrijskoj "areni", kada su proizvođači, pa čak i krajnji korisnici bili "odgovorni" za testiranje, danas postoji nekoliko priznatih organizacija i kuća koje izvode i razvijaju testove za biometrijske proizvode. Glavni cilj industrije je usaglašavanje oko jedinstvenih testova u realnim uslovima, kako bi se procenila pouzdanost i praktičnost bilo kog biometrijskog proizvoda, bez obzira da li se radi o proizvodima za prepoznavanje lica, otisaka prstiju, ili verifikaciju potpisa. Termin koji se koristi za ovu vrstu testiranja je komparativno testiranje, koje funkcioniše po sledećim principima:
• Nemogućnost unošenja (Failure to Enrol, FER): Ovo je termin koji se koristi kada se meri koliko često korisnici ne mogu da unesu originalni biometrijski zapis u sistem. Ovo se javlja kada fizičke karakteristike sprečavaju osobu da unese zapis (npr. bolesti kože, katarakta, protetička pomagala).
• Nemogućnost primanja (Failure to Acquire, FTA): Sistem ne uspeva da identifikuje korisnika odmah po unošenju podatka. Ovo je često izazvano privremenim fizičkim stanjem korisnika (flaster na prstu, promenjen potpis zbog slomljene ruke, itd.).
• Pogrešno prihvatanje (False Acceptance Rate, FAR): Koliko često je neautorizovana osoba prepoznata kao autorizovani korisnik, i tako dobija dozvolu za pristup.
• Pogrešno odbijanje (False Rejection Rate, FRR): Ovaj test meri koliko često sistem ne uspeva da prepozna korisnika koji bi trebalo da bude prepoznat.
• Izjednačeno odstupanje (Equal Error Rate, ERR): Kada se prikaže grafički, ERR predstavlja trenutak kada su lažno odobrenje (FAR) i lažno odbijanje (FRR) izjednačeni – ovaj test se često koristi kao standardno merenje prilikom upoređivanja različitih sistema.
Rezultati ovih testova se predstavljaju u procentima. Oni su posebno važni, i treba da budu veoma pažljivo analizirani, pošto pokazuju ne samo koliko su sistem ili uređaj efektivni, već naglašavaju nedostatke i greške izazvane interakcijom ljudi sa određenom biometrijom.
Lični parametri pristupa
Kada se razmatra ugradnja biometrijskog sistema, važno je da korisnici uz pomoć nabavljača odrede sopstvene parametre pristupa, i to u fazi projektovanja sistema. U nekim slučajevima ovi parametri su ograničeni zbog opreme, dok u pojedinim okolnostima oni mogu da budu određeni kao dodatna mera bezbednosti ili dodatna usluga za mušterije. Na primer, pogrešno prihvatanje (FAR) može da dovede do većih ugrožavanja, dok pogrešno odbijanje (FRR) može da bude prihvaćeno kao manje kritično stanje. S druge strane, jedna ispostava banke može da odredi minimalne parametre za pogrešno prihvatanje, i tako da ponekad odobri pristup
80
neautorizovanim osobama, ali sigurno ne želi da uvredi svoje klijente povećavanjem parametara za pogrešno odbijanje, gde autorizovane mušterije ne bi bile prepoznate kao takve. Ovaj scenario varira u zavisnosti od primene i zahteva, kao i od biometrije koja se koristi, pošto svaka od njih ima različite prednosti i nedostatke.
Multi-tehnologije
Generalno, biometrijska rešenja dramatično su napredovala u poslednje dve decenije, što i dokazuju odgovorni proizvođači tako što dozvoljavaju sebi i svojim proizvodima da budu testirani. Najjednostavnije i najisplativije tehnologije su našle primenu u svakodnevnom životu, kao što su identifikacija otisaka prstiju, dinamičko prepoznavanje potpisa, prepoznavanje glasa, dok komplikovanije i skuplje, kao što su prepoznavanje lica, zenice oka, ili biometrijske kombinacije, počinju da se upotrebljavaju u državnim organizacijama, kao i u organizacijama sa visokim stepenom bezbednosti, kao deo globalne borbe protiv kriminala i terorizma. Zajedničko za obe tehnologije je njihova upotreba uz određene forme bezbednosnih procedura ili uređaja, kao što su PIN ili lozinka, ili ID Smart kartica i PKI tehnologija. Zaključak koji može da se izvuče iz činjenice da postoji sve šira upotreba biometrije, je da sigurno postoje jaki argumenti za upotrebu multi-tehnologije ili multi-biometrijskih sistema, pošto je danas presudno imati neki sekundarni metod u rezervi, za slučaj da iz bilo kojih razloga dođe do kompromisa u bezbednosti ili do smanjenja performansi sistema.
BIOMETRIJSKA REVOLUCIJA
Veoma malo stvari na ovom svetu je tako značajno promenilo naš način života. Neke do te mere da su učinile dramatičan udar po naš kratak životni vek, pa čak i za deceniju. Kada se pojave, sigurno ćemo da primetimo njihovo sve veće prisustvo. Provodimo nekoliko godina preispitujući njihovo postojanje i protivimo se promenama i novim pravilima koje one neizbežno donose. Onda, pre nego što počnemo da ih prihvatamo kao deo svakodnevnice, zaboravimo i da postoje, kao što su to bile struja, radio i televizija, kućni računari i Internet, mobilni telefoni i putovanje avionom. Sve je veći broj ljudi koji predviđaju da će biometrijska tehnologija biti pridodata ovom spisku.
Međunarodna grupa za biometriju (IBG) definiše biometriju kao "automatizovanu upotrebu fizičkih ili bihejvioralnih osobina radi utvrđivanja ili verifikacije identiteta".
Industrija bezbednosti postala je veoma svesna rastućeg potencijala biometrije u poslednjih nekoliko godina, posebno od kada su biometrijske kompanije izazvale ogromno interesovanje od strane izlagača i posetilaca sajmova bezbednosne opreme, kao što je bio IFSEC u Birmingemu. Uprkos tome, većinu ljudi iznenađuje činjenica da istraživanja na polju biometrijskih tehnologija postoje preko 20 godina, i da je to već afirmisana i nezavisna industrija na tom polju. Prvi komercijalni biometrijski sistem bio je dostupan još 1984. godine, i on se odnosio na identifikaciju otisaka prstiju. Tek od skora, zbog realne opasnosti od globalnog terorizma, popularnost biometrije je porasla, pre svega zbog povećanog interesovanja državnih organizacija i korporacija za njom.
Zbog svega navedenog, šira javnost postala je vremenom sve više informisana o biometrijskim istraživanjima, i postala je svesna sve veće dostupnosti i napretka tehnologije. Zbog toga, kao i zbog ponekad nepopularnih pritisaka na industriju
81
biometrije koje su izazvali mediji i filmovi kao što su "Suvišni izveštaj" i "Matriks". Nažalost, ovaj neujednačeni i često netačan i izmišljen protok ograničenih informacija već je izazvao duboke sumnje i osećanje približavanja "Veliki Brat te posmatra" režima i pretnje po ličnu privatnost u javnosti. Međutim, ovo i ne iznenađuje puno, pošto je sve to ono na čemu javnost treba da izgrađuje svoj stav. Da bi biometrijska revolucija uspela, sama industrija, kao i zabrinute države, moraju da ubede svoje građane u suprotno, pošto je saradnja korisnika ključni i kritični element odabira i ugradnje svakog biometrijskog sistema.
Problemi koji prate razvoj biometrije nisu samo oni koji se odnose na otpor prema promenama, već i stigmatizovanje koje već prati neke tipove biometrije. Na primer, davanje otisaka prstiju asocira na kriminalce i kriminalne dosijee u policiji. Osim toga, takođe postoje i društveni i pravni problemi, kao što su zakoni o privatnosti i pravima čoveka, integritet, potencijalna zloupotreba biometrijskih zapisa, pristanak na upotrebu zapisa, kao i tehnički problemi kao što su nivoi tolerancije na pouzdanost i preciznost, testiranje, prihvaćeni standardi, interoperabilnost biometrijske opreme i tako dalje. U međuvremenu, dok se bude raspravljalo o ovim problemima, postojeći sistemi će da ih rešavaju, naglašavajući pritom do tada neotkrivene dodatne koristi i stvoriće isprobane i testirane hronološke podatke koji će da ubrzaju budući razvoj proizvoda, i pomoći će u podršci argumenata za budući odabir biometrijskih sistema.
Biometrija u upotrebi
Uspešni sistemi koji su trenutno u upotrebi, koji su bili predmet diskusije na Sajmu biometrije i pratećoj konferenciji u Vestminsteru (London), obuhvataju i Bornholm Trafikken Ferry usluge u Danskoj. Oni su uveli biometrijsko rešenje za registrovanje dolaska i plaćanje, i to na dobrovoljnoj bazi. U vreme održavanja konferencije, 25% njihovih mušterija je odlučilo da učestvuje, i kao rezultat, vreme za registrovanje dolaska smanjeno je na manje od 15 sekundi, dok su troškovi kompanije bili znatno manji.
Hanoverski zoološki vrt, prema mnogima najbolji evropski tematski zoološki vrt, takođe se okrenuo biometriji kako bi rešio probleme na ulazima koji su primali do 1.000 ljudi po satu na vrhuncu sezone (skoro milion posetilaca svake godine). Njihovo rešenje obuhvata lične sezonske karte za ulazak koje koriste tehnike prepoznavanja lica. U vreme održavanja konferencije imali su skoro 73.000 ulazaka prikazanih na ekranu.
Nacionalna ID rešenja
Prethodna biometrijska rešenja koja su u upotrebi su sigurno manje očigledna od onih rešenja koja se očekuju, kao što su Nacionalne ID kartice, vize ili pasoši. Mnogi nacionalni i državni projekti su u upotrebi u ostalim delovima sveta, kao što su delovi Bliskog Istoka, gde pravni sistemi dozvoljavaju istovremenu primenu, pošto nema ili ima veoma malo pravnih prepreka koje se odnose na ljudska prava ili pitanja privatnosti. Projekti biometrijskih ID kartica, koje sadrže jedinstvene biometrijske informacije pojedinaca su na različitim nivoima razvoja po celom Bliskom Istoku, uključujući Bahrein, Oman, Saudijsku Arabiju, Ujedinjene Arapske Emirate, kao i Jemen, gde polovina populacije već poseduje svoje ID kartice. Pošto se većina ovih projekata planira iz delova, vremenom će cela populacija jedne zemlje imati svoje biometrijske identifikacione dokumente. Međutim, najambiciozniji plan obuhvatio je Nigeriju, gde se računalo da će za period od mesec dana biti registrovano 60 miliona
82
ljudi. Od ovog broja, u periodu od februara do marta 2003. godine, registrovano je impresivnih 52 miliona, što je podatak sa konferencije o biometriji koju je organizovao Elsevier.
Sve do danas, industrija je bila čisto istraživački i investitorski poduhvat, uglavnom putem kombinovanih državnih i univerzitetskih programa u brojnim državama širom sveta, sve s ciljem razvijanja efikasnih i preciznih biometrijskih sistema.
Ono što je danas primarno, pošto su biometrijski proizvodi od istraživanja tokom osamdesetih godina postali stvarnost, to je da su troškovi neizbežno smanjeni, čime se proširila populacija potencijalnih mušterija, dok zahtevi za ovim proizvodima dolaze sa svih strana. Osim toga, same kompanije morale su da postanu komercijalno orijentisane i svesne, a ne samo okrenute istraživanjima, pošto je konačni cilj, naravno, predstavljanje proizvoda na tržištu. Taj period bio je izuzetno težak, gde su brojne biometrijske kompanije ispale iz koloseka, pošto su njihovi investitori i sponzori vremenom presušili, bez izvora dohotka kojim bi ih podržali dok proizvod nije u potpunosti razvijen. Kao što smo već videli, mnogi sistemi danas su u upotrebi širom sveta, sa još više pilot projekata u pripremi, kako za potrebe države, tako i za komercijalnu upotrebu. Uprkos tome, mnoge kompanije nastavljaju da propadaju, pošto se većina svežih ugovora daje malom broju dobro finansiranih ključnih igrača koji su se odlično pripremili za ekonomsku klimu koja prati biometrijsku industriju. Neke od "jačih" kompanija stvaraju sebi prihode lukavim marketingom dodatnih proizvoda svojih istraživanja, potpuno van oblasti biometrije, kako bi finansirale razvoj glavnog projekta.
Industrijski standardi
Kao rezultat implementacije ovih novih biometrijskih sistema, postalo je jasno da su neki industrijski standardi i interoperabilnost neophodni za napredak i jedinstvo biometrijske industrije. Tek u poslednjih nekoliko godina došlo je do okupljanja stručnjaka za biometrijske tehnologije na najvišem nivou, sa svih kontinenata, i stvaranja zajedničkih međunarodnih uputstava za praksu, standarda za proizvode, parametara i terminologije za ovu još uvek mladu industriju. Zbog toga je Međunarodna organizacija za standarde, ISO, i oformila novi komitet, nazvan SC/37, za ovu svrhu.
Tržišna predviđanja
Ovo je veoma bitno vreme za razvoj industrije, pošto je Međunarodna grupa za biometriju (IBG) predvidela da će samo u Evropi biti oko 155 miliona korisnika biometrijskih proizvoda za vize i pasoše, i to do 2007. godine. Postoje brojna predviđanja na nivou tržišta, kao i brojne objavljene statistike, u pogledu monetarnih vrednosti, koje su zasnovane na procenama profesionalnih organizacija kao što su Međunarodna asocijacija biometrijskih industrija (IBIA), Međunarodna grupa za biometriju (IBG) i Frost & Sullivan, od kojih su sve procenile veličinu tržišta od 400 do 600 miliona američkih dolara danas, i predvidele spektakularan rast na 2 do 4 milijarde dolara do 2006. ili 2007. godine. Prikazani grafikon je predviđanje koje je dala IBG.
83
Ukupni dohodak biometrije(u milionima USD)
(Izvor: IBG)
601928
1467
2199
3112
4035
0
1000
2000
3000
4000
5000
2002 2003 2004 2005 2006 2007
U pogledu primene, osim već pomenutih ID kartica, viza i pasoša, postoje brojne, naizgled beskonačne mogućnosti za integraciju biometrije u nove i postojeće bezbednosne i sisteme za kontrolu pristupa. Potencijal ove tehnologije neće biti iskazan sve dok upotreba ne bude sve šira i dok se ne razviju nove kombinacije biometrije sa drugim tehnologijama i industrijama.
Čini se da su, uprkos svim problemima koji treba tek da se reše, koristi tako širokog spektra primene sigurno nadjačali razne primedbe na biometriju do sada. U svetu u kome živimo, brzina, cena, lakoća upotrebe i efikasnost su od najveće važnosti. Smatra se da, ukoliko nam neko ponudi nešto novo, nešto što bi nam olakšalo živote i uštedelo vreme i novac, kao npr. da ne moramo da pamtimo razne LIB-ove i lozinke, da ne moramo da nosimo posebne ključeve, kreditne kartice, pasoše, vozačke dozvole, karte, i da ne moramo da brinemo da ćemo sve to da izgubimo, onda su velike šanse (pod uslovom da su svi problemi vezani za ovo rešeni) da ćemo najverovatnije odmah to i da prihvatimo.
OSTALE TEHNOLOGIJE
Prepoznavanje lica
Danas se vizuelno prepoznavanje često koristi, ali je uglavnom zavisno od ljudske intervencije kojom se razjašnjava da li, na primer, lice odgovara slici na kartici. Posmatrano sa stanovišta obrta kapitala, prema podacima koje je 2003. godine predstavila Međunarodna grupa za biometriju (IBG), skeniranje lica je drugi najveći izvor prihoda biometrijskoj industriji, posle tehnologije skeniranja otisaka prstiju.
Softversko biometrijsko prepoznavanje lica ima za cilj da otkloni potrebu za ljudskim prisustvom u procesu autentifikacije. Ono se obično oslanja na utvrđene algoritme merenja, kojima se interpretiraju karakteristike i sadržaj predstavljenog lica, radi utvrđivanja eventualnog poklapanja sa licima iz fotografske baze podataka, ili sa Foto ID/PIN kartica. Jednostavno rečeno, za svaku sliku se kreira jedinstvena multikarakterna "lozinka" lica. Tehnički, ovo se postiže razvijanjem softvera koji, pomoću proračuna baziranih na odgovarajućim algoritmima, izdvaja i interpretira
84
informacije o svakom licu, služeći se raznim naučnim metodima, kao što su: izdvajanje lokalnih karakteristika (Local features extraction), automatsko procesiranje lica (automatic face processing), Eigenface metod, ili metodi neuralnih mreža (Neural networks methods). Podaci se prikupljaju na osnovu 2D ili 3D slika - statičkih snimaka, kao i živih video zapisa - monohromatskih ili u boji. Takođe se koriste i termogrami, odnosno slike stvorene beleženjem isijavanja toplote iz lica.
Tehnika prepoznavanja lica je, verovatno, jedna od društveno najprihvatljivijih biometrijskih tehnika, pošto su vizuelna interakcija i prepoznavanje metodi kojima se svi služimo u svakodnevnom životu. Ovu tehnologiju je relativno jednostavno integrisati u okvire postojećih sistema, jer fotografije predstavljaju osnovnu formu autentifikacije u našim vozačkim dozvolama, pasošima i ostalim oblicima identifikacionih dokumenata za kontrolu pristupa. Pribavljanje slika se, generalno, ne smatra nametljivošću i narušavanjem privatnosti, pošto smo svi svesni konstantnog prisustva kamera oko nas – u kancelarijama, tržnim centrima i mnogim drugim javnim prostorima.
Izazovi sa kojima se susreće prilikom razvijanja sistema za prepoznavanje lica su, kao što je to slučaj sa većinom biometrijskog softvera, kompleksni i ujedno obuhvataju i ljudske i tehničke aspekte. Ljudsko lice se menja, zahvaljujući delovanju širokog spektra uticaja, kao što su starenje, pigmentacija kože, religiozni ukrasi, bolesti, nošenje naočara, maljavost lica, kao i njegov izraz, od kojih svaki može, govoreći u kontekstu kontrole pristupa, izazvati probleme "narušavanja" i koji mogu zahtevati, ili bazu podataka sa više slika istog subjekta, i/ili redovno ažuriranje slika. Nivoi osvetljenja, vremenski uslovi, ugao snimanja i stepen saradnje subjekta, imaće, takođe, značajan uticaj na performanse softvera. Što se tiče skrivene upotrebe ovog tipa tehnologije, postoje mnoge primedbe koje se odnose na zaštitu privatnosti pojedinaca, tamo gde bi mogli biti identifikovani bez njihovog znanja ili pristanka. Međutim, u navedenim okolnostima, prećenim nizom sličnih ograničenja, u slučaju da pojedinac ne želi da bude identifikovan – automatizovani sistem prepoznavanja lica, sam za sebe, verovatno ne bi bio mnogo efektivno sredstvo.
Tehnike skeniranja glasa
Glas je, verovatno, jedina dostupna biometrijska karakteristika koja omogućava autentifikaciju putem telefona, a metodi njegovog prikupljanja i raspoznavanja su, svakako, nenametljivi i socijalno prihvatljivi. Veruje se da svaka individua ima jedinstven zvučni obrazac – šablon, koji je određen polom, fizičkom građom – kao što su razlike u dužini glasnih žica, obliku usta i nosnih šupljina, i slično, ali i karakteristikama kao što su frekvencija, amplituda, ritam i sl.
Na sličan način, kao i prilikom tehnike prepoznavanja lica, "glasovni otisak" pojedinca se analizira i dodeljuje mu se jedinstveni muliticifarni PIN ili lozinka, pomoću namenski napravljenog softvera. Živi govor se tada poredi sa sačuvanim "glasovnim otiskom", radi autentifikacije. Ovaj metod bi se jednostavno mogao inkorporirati u postojeće telefonske ili audio-zasnovane bezbednosne ili procedure kontrole pristupa, pošto omogućava simultanu autentifikaciju pomoću lozinke i "glasovnog otiska".
Već smo primetili da tehnika prepoznavanja lica ima ujedno i pozitivne i negativne aspekte, posmatrano sa stanovišta njene pouzdanosti i preciznosti. Isti slučaj je i sa tehnikama prepoznavanja glasa. Iako su pojedinci obdareni sposobnošću
85
oponašanja tuđeg glasa, proizvođači tvrde da, generalno, sistemi verifikacije glasa ne mogu biti zavarani mimikrijom i snimcima. Međutim, i dalje postoje tehnička i pitanja koja se tiču radnog okruženja, koja bi trebalo razmotriti, kao što su: mešanje pozadinske buke, varijacije u tonu, koje proističu iz same opreme i, naravno ljudskog činioca – vokalne karakteristike, promene u tonu usled bolesti, stresa, raspoloženja i starosti.
Fokusiranje očiju
Zbog mnogih tehnoloških i socio-humanih razloga, videli smo da tehnike prepoznavanja lica i glasa samostalno ne predstavljaju idealna rešenja. Sa druge strane, tehnike prepoznavanja zenice se danas, uz potrebnu kooperaciju lica nad kojima se vrši identifikacija, a sudeći prema industrijskim testovima, pokazuju kao jedna od najpouzdanijih formi biometrijske identifikacije, u situacijama kada skeniranje može biti izvedeno na distancama manjim od, približno, jednog metra. Iako ima male dimenzije, oko 11mm u prečniku, i uprkos mogućoj pojavi teškoća prilikom fotografisanja, kaže se da je varijacija šablona zenice među različitim ljudima ogromna, pošto je za svaku pojedinačnu zenicu izračunato oko 260 unikatnih svojstava. Ta činjenica, uz stvaranje visokosofisticiranog "pametnog" softvera, doprinela je da test rezultati primene ove tehnologije ukažu na njenu visoku preciznost, što joj daje značajnu prednost u slučajevima gde postoji potreba za pretragom veoma obimne baze podataka, bez pojave netačnih rezultata, uprkos postojanju velikog broja alternativa. U prilog ovoj tehnologiji ide i činjenica da je zenicu moguće locirati na istom mestu kod svih pojedinaca, kao i da je, iako vidljiva spolja, dobro zaštićena od okruženja, što je čini veoma postojanim organom, na kojem tokom života, ima veoma malo, ili nimalo promena. Ugao pod kojim pada svetlost veoma malo utiče na kvalitet slike zenice, a performanse nisu limitirane ni raznim rasnim razlikama između ljudi, kao što su veoma tamna boja očiju, ili uže rastojanje među njima. Dalje, proces identifikacije je jednako uspešan i kroz naočare, kontaktna sočiva i zaštitne maske, a može biti izvedena i u mračnim okruženjima, uz korišćenje infracrvenog osvetljenja.
Postoje, naravno, i neki potencijalni problemi, kao što su određena medicinska stanja (npr. formiranje katarakte), a smetnju performansama mogu predstavljati naočare za sunce, koje imaju efekat ogledala i razna obojena kontaktna sočiva, ali te smetnje, suštinski, zavise od stepena saradnje lica kojeg identifikujemo.
Kao dodatak tehnici prepoznavanja zenice, skeniranje retine prestavlja korak dalje u domenu biometrijskih identifikacionih metoda. Skeniranje retine (mrežnice) se bazira na karakteristikama mreže krvnih sudova koji kroz nju prolaze. Ovaj metod je u prošlosti korišćen u situacijama gde je bilo potrebno ostvariti posebno visok stepen obezbeđenja i, verovatno, ima manje šanse da postane šire primenjivan od skeniranja zenice, posebno zbog toga što se smatra da je u određenoj meri intruzivan i što su, ranijih godina, dok tehnologija još nije bila dovoljno napredna, postojali argumenti koji su ukazivali na potencijalnu štetnost ovog postupka, po oči. Snimanje retine može biti vremenski dosta zahtevnije, u poređenju sa ostalim biometrijskim metodima i zahteva potpunu saradnju lica kojeg identifikujemo. To lice mora gledati kroz specijalno napravljen uređaj, kroz koji se u zenicu pušta svetlost niskog intenziteta, da bi osvetlilo retinu, a zatim se vrši cirkularno skeniranje (360 stepeni). Zahvaljujući lokaciji retine i složenosti postupka, ova tehnologija ima visok stepen preciznosti i stabilnosti(pouzdanosti). Intruzivna priroda opreme za skeniranje
86
retine garantuje dobar fokus i naleganje i, u većoj ili manjoj meri, eliminiše pokušaje neovlašćenog ulaska.
Ni tehnologija skeniranja zenice, niti retine, nisu u tako širokoj upotrebi kao neki slični proizvodi, jer je oprema koja je potrebna veoma sofisticirana i ima usku namenu, a samim tim je i skupa. U svakom slučaju, tehnološki razvoj ide u korist oba navedena metoda, ali kako prepoznavanje zenice bude postajalo sve brže i sve manje intruzivno, a tehnološki pomaci budu omogućavali njeno kombinovanje sa istom opremom koja se koristi za prepoznavanje lica, predviđa se da će ona biti uspešniji metod, od pomenuta dva, u budućnosti.
Upotreba biometrije danas
Savremene banke i prodavnice počele su da primenjuju biometrijsku tehnologiju u okviru svojih delatnosti, za poslove kao što su, npr, verifikacija dužničkog stanja ili kreditnih kartica. Tehnika koja se najčešće primenjuje jeste dinamička verifikacija potpisa, kojom se meri i procenjuje oblik, brzina, pritisak, ugao olovke i tok potpisivanja. Ovaj metod je više orijentisan ka verifikaciji ("da li sam ja taj za koga se predstavljam?"), nego identifikaciji ("ko sam ja?") i posebno je kompatibilan sa poslovima u okviru monetarnih transakcija, potpisivanja dokumenata, potvrdama prispeća i sl. Veoma je nenametljiv i socijalno prihvatljiv, pošto su ljudi već navikli da potpisom dokazuju svoj identitet. Međutim, pošto je krivotvorenje moguće, samostalno, bez dodatnih načina autentifikacije, ovaj metod nije mnogo efektno rešenje.
Geometrija šake takođe predstavlja jednostavnu biometrijsku tehniku, koja se lako može upotrebiti u okviru aplikacija za kontrolu fizičkog pristupa. Razvijeni su algoritmi pomoću kojih softver meri i analizira dimenzije šake, zajedno sa oblikom i dužinom prstiju. Dosadašnja oprema za sprovođenje ove tehnike je bila dosta robusna i skupa, ali danas se to menja, jer potencijalni novi načini primene stavljaju visoke zahteve pred opremu.
Još jedna bihejvioralna biometrijska tehnika vezana za upotrebu ruku, jeste analiza dinamike kucanja na tastaturi. Ovaj metod se zasniva na hipotezi da se svako od nas na jedinstven način služi kompjuterskom tastaturom. Ipak, treba napomenuti da on daje bolje rezultate sa osobama koje su razvile veštinu kucanja na "slepo", kao i onima koje se svakodnevno služe tastaturom, pošto ostali ne pokazuju razvijene jedinstvene lične navike njenog korišćenja. Ova tehnika se zasniva na utvrđivanju doslednosti prilikom pritiskanja tastera, mereći varijable kao što su – dužina pritiska, vreme između dva pritiska, frekventnost grešaka, kao i jačinu udarca/pritiska u taster. Ovo je jeftino biometrijsko rešenje, koje je idealno za softversku kontrolu pristupa računaru, ojačanu istovremenom proverom lozinke.
Budući razvoj
Generalno posmatrano, svaka biometrijska tehnika je dosta neobična, što bi trebalo da ih čini jedinstvenim i sposobnim za identifikaciju pojedinca pomoću određene ljudske osobine. Postoje, međutim, biometrijske tehnologije koje su još uvek u fazi razvijanja, a veoma su interesantne i potencijalno korisne za neke specifične zadatke, pre nego za razne namene za koje su današnje poznate biometrijske tehnologije namenjene.
87
Analiza stiska šake
Holandski univerzitet Twente razvija novi koncept u domenu prepoznavanja dinamike hvatanja. Oni su skovali novu frazu – TAP Pištolj (TAPgun) i prihvatili izazov da izume novi metod zaštite policajaca. Skraćenica TAP znači Take-Away Protection – zaštita od oduzimanja - i namenjena je sprečavanju otimanja policijskih pištolja. Naime, statistički podaci iz 1999. godine, ukazuju na činjenicu da je, od ukupnog broja policajaca koji su poginuli vršeći dužnost, 17% ubijeno iz njihovih službenih pištolja. Prepoznavanje dinamike hvatanja je predloženo upravo kao moguće jedinstveno rešenje, potencijalno delotvornije od ostalih – mehaničkog i elektronskog zaključavanja ili prepoznavanja otisaka prstiju – koja bi se mogla, u određenim situacijama, okrenuti protiv onih koje bi trebalo da štite. Prepoznavanje dinamike hvatanja bi omogućilo pištolju da "prepozna" svog vlasnika, pomoću unapred programiranog senzora, ugrađenog u dršku pištolja. Individualne karakteristike policajca – vlasnika uključuju dinamiku hvatanja, geometriju šake, odraz i dinamiku pritiska. Te osobine bi bile inkorporirane u memoriju senzora, čime bi se onemogućila upotreba pištolja u rukama drugog lica.
Analiza dinamike hoda
Ljudi često mogu da prepoznaju jedni druge i bez gledanja lica, samo na osnovu načina hodanja ili stajanja. Analogno tome, naučnici su počeli da najavljuju da bi prepoznavanje načina hoda, iako još uvek u ranoj fazi razvoja, moglo postati poželjna biometrijska tehnika budućnosti, jer testovi pokazuju postojanje značajnih razlika u načinu hoda, između pojedinaca. Prepoznavanje hoda bi moglo imati mnoge prednosti u odnosu na postojeće biometrijske metode, pošto subjekat ne mora biti svestan pokušaja da se identifikuje, a sama identifikacija bi mogla biti sprovedena izdaleka, bez potrebe da se subjekat suočava sa analitičkim instrumentima, kao što je to slučaj sa većinom metoda vizuelnog prepoznavanja. Trenutna istraživanja su usmerena na sastavljanje do sada najveće baze podataka koja se odnosi isključivo na ovu oblast i koja bi dozvolila dublju interpretaciju slika sekvenci hodanja, uz uzimanje u obzir karakteristika skeleta, gornjeg dela tela, ali i efekata koje bi na način hoda mogla imati razna odeća i obuća, kao i predmeti koje ljudi nose. Očigledno je da je pred naučnicima još uvek dug put i potreba za sprovođenjem velikog broja istraživanja, pre nego što ove zamisli prerastu u nešto konkretno, ali je zanimljivo videti da se, uporedo sa evolucijom biometrijske industrije, i dalje pojavljuju nove ideje i novi biometrijski metodi.
88
