Marketingové problémy predmetu s názvom Etický hacking, ktorý je vyučovaný na Fakulte managementu Univerzity Komenského v Bratislave sú obsahom predkladaného príspevku. Východiskom je pochopenie aktuálnosti a potenciál inovatívnosti témy etického hackingu v súvislosti s prácou manažéra a následne priblíženie priebehu výučby tohto predmetu. Vzdelávanie študentov prebieha bezpečne pomocou systému virtualizačného prostredia openStack, v ktorom majú študenti možnosť skúšať a testovať informačné a operačné systémy vrátanie sietí v tzv. „sandboxe“ bez rizika interferencie a poškodenia školskej siete. Marketingová podpora predmetu má za cieľ zvýšiť záujem relevantnej cieľovej skupiny študentov, ktorí po ukončení vysokoškolského vzdelania zhodnotia získané poznatky v praxi a budú komunikovať prospešnosť predmetu u študentov rozhodujúcich sa o výbere predmetu Etický hacking.
Úvod
Etický hacking je v súčasnom globalizovanom svete IS/IT prvkom, ktorý rozhoduje o architektúre IS/ICT v podnikoch. Všetky podniky v súčasnosti spracovávajú citlivé dáta ako napr. osobné údaje, preto podľa legislatívy musia vytvoriť bezpečnostný projekt a musia sa zaoberať manažmentom bezpečnosti. Praktickou stránkou testovania bezpečnosti IS/ICT vo firmách je práve etický hacking. Ide o využívanie bežne dostupných, ako aj menej dostupných techník ako sa dostať do systémov, prípadne ich poškodiť. Manažér nemôže tvrdiť, že jeho informačný systém je bezpečný, pokiaľ nespracoval komplexnú sadu bezpečnostných testov a nevyhodnotil ich z hľadiska závažnosti. V súčasnosti existuje medzinárodný štandard OWASP – Open Web Application Security Project, ktorý definuje postupné kroky, ako vykonávať dané testy (OWASP 2016). Na vykonanie týchto krokov v mene spoločnosti je však potrebný špecialista, tzv. „etický hacker“, ktorý musí disponovať dostatočnými znalosťami v tejto oblasti. Príprava týchto špecialistov vyžaduje nielen teoretické poznatky, ale najmä praktické skúsenosti.
Obsah predmetu
Obsahom predmetu Etický hacking je objasniť zložitosť a rozsah problému zabezpečenia systémov pre spracovanie údajov a poskytovanie informácií s dôrazom na úlohu manažéra v procese budovania a prevádzkovania takýchto systémov (Karovič et al. 2016a, Karovič et al. 2016b). Úvod tvoria všeobecné základy bezpečnosti a vymedzenie pojmu „bezpečný informačný systém“. Ďalej sú rozobrané základné technické a programové prostriedky ochrany IS a špecifiká bezpečnosti v sieťach. Kľúčové sú rozdiely pre zásady bezpečnosti pri procese vzniku IS a zásady bezpečnosti pri prevádzke IS. Ľudský faktor a bezpečnostná kultúra organizácie majú napomôcť pri chápaní úlohy manažéra bezpečnosti v organizácii. Teoretické poznatky sú nakoniec zhrnuté v základných bezpečnostných princípoch (Drahošová a Karovič 2015b). Študent sa taktiež má oboznámiť s úlohou auditu IS. Z týchto tematických okruhov boli v predmete naplánované jednotlivé semináre, ktoré je možné vnímať ako ucelený tematický plán.
Tematický plán predmetu Etický hacking zahŕňa nasledovné oblasti:
1. Úvod do etického hackingu
2. Praktická ukážka nástrojov určených pre penetračné testovanie
3. Praktická ukážka penetračného testu IT bezpečnosti servera
4. Základné princípy počítačových vírusov
5. Demonštrácia monitorovania sietí
6. Možnosti priamych útokov na sieťové zariadenia
7. Demonštrácia možnosti ochrany proti technikám hackerov
8. Personálna bezpečnosť a bezpečnosť biometrických osobných údajov
9. ISO 27001 – systém manažmentu bezpečnosti
10. Zákon č. 122/2013 Z.z. – Zákon o ochrane osobných údajov
11. OWASP – Open Web Application Security Project
13. Sociálne inžinierstvo
14. Trendy v manažmente bezpečnosti
15. Študentský battle v sandboxe
Po úspešnom absolvovaní by mali študenti ovládať základy IT bezpečnosti a mali by byť schopní testovať bezpečnosť IS/ICT vo firme, uplatňovať princípy informačnej bezpečnosti IS/IT vo svojej manažérskej praxi a aktívne pôsobiť v rámci systému riadenia informačnej bezpečnosti vo firme v rôznych fázach vývoja životného cyklu IS/IT.
Inovácia výučby
Inovácia výučby spočíva v použití virtualizačného nástroja simulujúceho reálne sieťové riešenie IS/IKT. Cieľ a prínos výučby je v získaní empirických skúseností vďaka možnosti prakticky vyskúšať techniky útočníka-hackera aj ochrancu-administrátora alebo manažéra bezpečnosti IS/IKT. Na záver semestra bola pre študentov pripravená a odskúšaná malá súťaž, tzv. „študentský battle v sandboxe“. Prvá skupina študentov má za úlohu upraviť a nastaviť zámerne zle zabezpečené technologické riešenia, ktoré boli vytvorené lektorom. Študenti majú k dispozícii komplexnú sieť s aktívnymi sieťovými prvkami a pripravenými aplikáciami, ktoré však nepripravovali oni sami. Druhá, súperiaca skupina študentov má za úlohu hľadať chyby v zabezpečení po opravách prvej skupiny. Obe skupiny študentov predmetu Etický hacking musia realizovať tzv. „black test“ podľa OWASP s nasadením systému Kali Linux (Karovič 2013; Drahošová a Karovič 2015a). Študenti tak majú možnosť reálne otestovať svoje vedomosti a zručnosti a získať tak empirické skúsenosti s ochranou IS/ICT. Práve vďaka praktickým cvičeniam získajú predstavu o penetračných testoch a osvoja si zásady pri riadení bezpečnosti v organizácii.
Marketingové problémy
Etický hacking je nový výberový predmet v učebných osnovách a v súčasnej dobe nie je vyučovaný na žiadnej inej vysokej škole resp. univerzite v Slovenskej republike. Z pohľadu marketingovej teórie je možné považovať tento predmet za produkt, ktorý je zaradený do ponuky ďalších výberových predmetov na Fakulte managementu Univerzity Komenského v Bratislave. Z tejto ponuky si študenti môžu vybrať tie predmety, ktoré sú z ich pohľadu dostatočne atraktívne. Atraktivita predmetu môže byť zložená z rôznych aspektov, ako napríklad: záujem o samotný obsah predmetu a uplatnenie v praxi po ukončení štúdia, záujem o získanie kontaktov na prednášajúcich podieľajúcich sa na výučbe, záujem o získanie hodnotenia resp. kreditov za absolvované štúdium a ďalšie benefity. Výberový predmet sa musí stať dostatočne atraktívnym, pokiaľ má študentov zaujať a tí ho majú uprednostniť pred ďalšími.
Z pohľadu atraktivity témy je možné považovať za zaujímavé zistenie prieskumu Eurobarometra (European Commission 2015) realizovaného v roku 2015 v krajinách Európskej únie, že na Slovensku pokladá počítačovú kriminalitu za problém spoločnosti iba 13% opýtaných Slovákov, pričom za najdôležitejší problém bola označená chudoba (37%), terorizmus (36%) a korupcia (34%). Z tohto pohľadu sa môže javiť problematika hackingu ako špecifická a menej podstatná vo vnímaní celej spoločnosti. O to zaujímavejšie vyznievajú zistenia prieskumu z toho istého roku medzi študentmi Obchodnej fakulty Ekonomickej univerzity v Bratislave (Vokounová 2016), ktorí označili počítačovú kriminalitu za najmenej závažný faktor bezpečnosti spoločnosti (8,5%). Tieto zistenia naznačujú, že téma etického hackingu bude považovaná za menej významná u študentov spoločensko-vedných odborov vo všeobecnosti.
Ďalším faktorom vplývajúcim na atraktivitu predmetu je samotný názov. So slovami „hacking“ „hacker“ sa spája už vo svojej podstate negatívna činnosť, ktorá má byť eliminovaná a od ktorej sa treba dištancovať. Avšak pôvodne sa pod pojmom „hacks“ označovali činnosti na vylepšovanie programov, ktoré mali zvýšiť výkon počítačov. Teda hacking mal pôvodne pozitívny význam. Až neskôr sa začal spájať s aktivitami organizovanými za účelom osobného prospechu (Engebretson 2013). Prívlastok „etický“ dodáva hackingovým aktivitám jasnejší význam. Ide o činnosti a nástroje, ktoré hacker používa za účelom vylepšenia bezpečnosti systémov. Ide o odborníka, ktorý pozná slabé a zraniteľné miesta v systémoch a pri ich ochrane využíva poznatky o správaní útočníkov. Napriek tomu je možné predpokladať, že obsah predmetu Etický hacking bude pre študentov vyvolávať kontroverzné predstavy. Čo však môže byť aj pozitívom, že sa v ponuke ďalších predmetov odlíši.
Pre zvýšenie atraktivity predmetu je potrebné bližšie špecifikovať cieľovú skupinu študentov, ktorým je určený. Primárnu skupinu tvoria študenti so zameraním na manažment informačných systémov. Tejto skupine študentov sa nemusí javiť problematika hackingu ako okrajová a dokonca ani neznáma. Nakoľko ponuka výberových predmetov je pestrá a študenti si ich môžu vyberať aj z ponuky ďalších katedier bolo by zaujímavé uvažovať aj nad oslovením študentov so zameraním na ďalšie funkčné oblasti manažmentu ako napr. marketing, finančný manažment či personálny manažment. Dôvodom je praktické zameranie informačných systémov, ktoré sú súčasťou práce každého manažéra, bez ohľadu na jeho špecializáciu. Podstatným je obsah predmetu a jeho posolstvo pre všetkých študentov/budúcich riadiacich pracovníkov organizácie: Bezpečnosť informačného systému nie je iba otázkou oddelenia informačných systémov. Napríklad marketing firmy sa snaží priblížiť zákazníkovi čo najbližšie, ponúknuť mu hodnotný produkt a to čo pri najmenších nákladoch. Marketéri preto vo svojej práci využívajú databázy, on-line databázy, elektronické obchodovanie, umožňujú zákazníkovi sledovať pohyb objednaného tovaru a platiť za tento tovar bezhotovostne. No v projektoch na priblíženie sa k zákazníkovi zostáva opomenutá bezpečnosť komunikácie a uchovávanie informácií. Únik informácií sa netýka iba malých organizácií. Aj profesionálna internetová spoločnosť Yahoo musela v septembri 2016 priznať, že v roku 2014 došlo k veľkému úniku informácií o najmenej 500 miliónoch užívateľov (Pcrevue.sk 2016). Ponúknutie služieb on-line prístupu do informačných systémov organizácie predstavuje riziko, preto je potrebné počítať s jeho minimalizáciou už na začiatku, pri koncipovaní návrhu rozpočtu projektu vrátane položky bezpečnosť informačného systému. V opačnom prípade môže byť strata súkromia zákazníka spojená s negatívnym postojom a stratou dôvery. Treťou potenciálnou skupinou študentov so záujmom o predmet môžu byť všetci študenti Univerzity Komenského v Bratislave, ktorým umožňuje čl. 21 ods. 5 Študijného poriadku univerzity (2015) zapísať si výberový predmet aj z inej ako domácej fakulty.
Konkrétnym opatrením na zvýšenie záujmu študentov o predmet by mala byť cielená marketingová komunikácia s vyššie uvedenými skupinami študentov. Samotný predmet sa nachádza v ponuke výberových predmetov vo fakultnej ročenke, ktorú študenti dostávajú pri zápise. Na začiatku akademického roka, keď si študenti zostavujú študijný plán by mali dostať informáciu o obsahovej náplni predmetu. Možno pri tom využiť informačné nástenky, elektronickú poštu, letáky. Tiež by bolo možné zorganizovať informačnú prezentáciu predmetu pred zápismi. Veľmi efektívnou formou komunikácie by mohla byť sila hovoreného slova, kedy by študenti po absolvovaní predmetu poskytli referencie spolužiakom. K predmetu by bolo možné vytvoriť komunitnú webovskú stránku alebo stránku na sociálnej sieti a napĺňať jej obsah diskusiami k téme etického hackingu. Na samotnom predmete by mohli participovať odborníci z praxe, čo by mohlo zvýšiť záujem študentov pri získavaní priameho kontaktu s potenciálnymi zamestnávateľmi a uplatnením sa po ukončení štúdia.
Zabezpečenie spätnej väzby k obsahu a forme výučby zo strany študenta by mohlo zvýšiť užitočnosť predmetu a zefektívniť prácu vyučujúcich. Ideálnym stavom by malo byť vytvorenie podmienok na šírenie dobrého povedomia o predmete a jeho prínose, ktoré by sa šírilo spolu s komunikačnými aktivitami vyučujúcich – učiteľov aj zástupcov z praxe.
Záver
V súčasnej dobe je ochrana a zabezpečenie informačného systému respektíve ochrana informácií veľmi zásadnou úlohou manažérov a to nielen v podnikovej sfére. Príprava manažérov na úlohu spojenú s ochranou informácií môže začať už na školách pomocou výučby a to nielen v teoretickej rovine. Predmet Etický hacking pomocou praktického cvičenia, ukážkami techník a premýšľania nad slabými miestami informačných systémov môže napomôcť budúcim manažérom pri riadení bezpečnosti toku informácií v organizáciách (Múčková, Karovič a Krajčík 2015). Výučba predmetu bez použitia virtuálneho prostredia openStack bola veľmi náročnou úlohou a väčšinu ukážok techník a nástrojov nebolo možné realizovať, vzhľadom na zabezpečenie školskej siete. Použitím softvéru openStack bolo dosiahnuté oddelenie systému zabezpečujúceho chod školy a výukového – testovacieho prostredia, v ktorom bolo možné rýchle nasadenie rôznych modelov a testovanie ich bezpečnosti (Openstack, 2016). Najdôležitejším parametrom bolo zabezpečenie oddelenia kritických častí školskej siete od modelov sieti a technológií tvorených vo virtuálnom prostredí openStacku, avšak so zabezpečením prístupu do internetu, čím sme dosiahli, že sa systém javil ako reálny. Prostredie bolo testované jeden semester a výučba prebehla s ohľadom možnosti servera a prispôsobené na jeho funkcionality. Plán budúcej výučby predmetu je orientovaný na zavedenie hybridnej architektúry a testovanie aj iných systémov a architektúr siete.
Marketingové problémy predmetu etický hacking vychádzajú z praktických skúseností s jeho vyučovaním. Súvisia s niekoľkými aspektmi: vnímanie opodstatnenosti témy hackingu u študentov informačných systémov, ale aj študentov ďalších zameraní a formami komunikácie prínosov štúdia predmetu Etický hacking vyplývajúcich z jeho obsahového zamerania. Za kritický faktor v podpore predmetu je možné považovať silu hovoreného slova, marketingovú komunikáciu a spätnú väzbu od študentov.
Literatúra/List of References
[1] Drahošová, M. a Karovič, V., 2015a. Cloud and virtualization in Linux environment. In: CER Comparative European research 2015: International Scientific Conference for PhD students of EU countries [4th]. Londýn, s. 130-33. ISBN 978-0-9928772-8-6. [online]. [cit. 2016-10-13]. Dostupné na: <http://www.sciemcee.org/library/proceedings/cer/cer2015_proceedings02.pdf>
[2] Drahošová, M. a Karovič, V., 2015b. Information security. In: CER Comparative European research 2015 : International Scientific Conference for PhD students of EU countries [4th] – Londýn, s. 134-37. ISBN 978-0-9928772-8-6. [online]. [cit. 2016-10-13]. Dostupné na: <http://www.sciemcee.org/library/proceedings/cer/cer2015_proceedings02.pdf>
[3] Engebretson, P., 2013. The basics of hacking and penetration testing. Ethical hacking and penetration testing made easy. Elsevier, 2013. ISBN 978-0-12-411644-3.
[4] European Commission, 2015. Special Eurobarometer 432, 2015. Europeans´Attitudes Towards Security. [online]. [cit. 2015-08-15]. Dostupné na: <http://ec.europa.eu/public_opinion/archives/ebs/ebs_432_en.pdf>
[5] Karovič, V., 2013. Linux. In: Digital Science Magazine. 2013. ISSN 1339-3782. [online]. [cit. 2016-04-29]. Dostupné na: <http://digitalmag.sk/linux/>
[6] Karovič, V., Karovič, V., Veselý, P., Olšavský, F. a Greguš, M., 2016a. Nasadenie virtualizačného prostredia openstack na výučbové účely. In: Marketing Science and Inspirations. 2016, 11(1), s. 43-52. ISSN 1338-7944.
[7] Karovič, V., Karovič, V., Veselý, P., Olšavský, F. a Greguš, M., 2016b. Nasadenie virtualizačného prostredia openstack na výučbové účely. In: Marketing Science and Inspirations. 2016, 11(2), s. 2-5. ISSN 1338-7944.
[8] Múčková, O., Karovič, V. a Krajčík, M., 2015. Bezpečnosť ako jeden z prvkov integrovaného systému manažérstva. In: Digital Science Magazine. 2015. ISSN 1339-3782. [online]. [cit. 2016-04-29]. Dostupné na: <http://digitalmag.sk/bezpecnost_ako_jeden_z_prvkov/>
[9] Openstack, 2016. OpenStack Docs: Overview and components, 2016. [online]. [cit. 2016-10-13]. Dostupné na: <http://docs.openstack.org/liberty/networking-guide/intro-os-networking-overview.html>
[10] OWASP, 2016. [online]. [cit. 2016-10-13]. Dostupné na: <https://www.owasp.org/index.php/Main_Page>
[11] Pcrevue.sk, 2016. Yahoo potvrdilo veľký únik informácií z roku 2014, 2016. [online]. [cit. 2016-10-13]. Dostupné na: <http://www.pcrevue.sk/a/Yahoo-potvrdilo-velky-unik-informacii-z-roku-2014>
[12] Vnútorný predpis č. 8/2015 Univerzity Komenského v Bratislave, Študijný poriadok
[13] Vokounová, D., 2016. Rebríček hodnôt mladých ľudí a ich postoj k prisťahovalectvu. In: Marketing Science and Inspirations. 2016, 11(4). ISSN 1338-7944.
Kľúčové slová/Key Words
etický hacking, marketing predmetu, sila hovoreného slova, marketingová komunikácia
ethical hacking, marketing of subject, word of mouth, marketing communication
JEL klasifikácia/JEL Classification
I23, M31
Résumé
Marketing problems of subject called Ethical hacking
Marketing problems of subject called ethical hacking, which is taught at the Faculty of Management at Comenius University in Bratislava are listed below. The starting point is to understand the timeline and potential of innovation of topics of ethical hacking in connection with the work of managers elucidated during this teaching subjects. Education of students progresses through the security system OpenStack virtualization environments in which students have the opportunity to test information operating systems including the so-called “Sandbox” without risk of interference damage to the school network. Marketing support of subject aims to increase the interest of relevant target groups of learners who, after completing university education will evaluate the lessons learned in practice, we communicate the usefulness of the object in the student’s Crucial is the choice of subjects Ethical Hacking. A critical factor in promoting the subject can be considered the strength of the spoken word marketing communication tools.
Recenzované/Reviewed
10. november 2016 / 13. november 2016
