Informacijska varnost je danes žgoča tema v poslovnih okoljih. Zakaj?
Uspešnost poslovanja organizacij, tujih ali domačih, je danes ne le podprta, temveč pogojena s stabilnim delovanjem informacijskega sistema. Okrnjenost delovanja njegovih vitalnih funkcij lahko privede do motenega ali povsem ustavljenega izvajanja ključnih poslovnih procesov organizacije. To pa boli. In bolečina ni prav nič manjša v primeru kibernetskega napada, katerega posledice so lahko katastrofalne, na primer ohromitev poslovanja ali izguba podatkov, ugleda in poslovnih partnerjev. Vrednotenje tveganj je že v svoji zasnovi povezano s tehtanjem pogostosti ter verjetnosti uresničitve groženj in z njimi povezanih posledic.
Kako se z zagotavljanjem informacijske varnosti soočajo slovenska podjetja?
Slovenska podjetja si prav tako kot tuja prizadevajo za intenzivnejše povezovanje informacijskih sistemov in njihovih uporabnikov, posledično pa odpirajo tudi nove priložnosti za kibernetske zlorabe. Pri tem poslovna tveganja obvladujejo različno preudarno, celostno in kontinuirano. Pisane strategije ciljev kibernetske varnosti pridobivajo pomen (tudi na državni ravni), podjetja se vse pogosteje odločajo za vzpostavitev sistemov upravljanja informacijske varnosti. Pomemben del nastalega dokumentarnega gradiva podjetja pripisujejo vzpostavljenim procesom in kontrolam preprečevanja varnostnih incidentov. Osebno v pobudah še vedno pogrešam akcijsko noto uresničevanja teh ciljev (kadri, znanja) ter več poudarka na zmogljivostih zaznave in odziva na napredne kibernetske grožnje.
Kako nevarni so v praksi različni napadi in škodljive kode – se domača podjetja pogosto znajdejo med žrtvami ali pa zaradi naše majhnosti za napadalce nismo zanimivi?
Napadalci postajajo vse pametnejši in nevarnejši, saj so dobro založeni z denarnimi spodbudami. Skupen zaslužek celotne palete kibernetskega kriminala – kamor štejemo tudi izsiljevalske viruse, kiberkriminal kot storitev, preprodajo podatkov – je po oceni profesorja kriminologije na Univerzi Surrey Michaela McGuireja, objavljeni v raziskavi »Into The Web of Profit«, v prejšnjem letu po svetu dosegel 1.500 milijard dolarjev. Konkretnih podatkov za Slovenijo ni, saj navadno podjetja javno ne govorijo o tem, da so bila napadena in da je bila ob tem na primer povzročena večmilijonska škoda. Nacionalni odzivni center za kibernetsko varnost SI-CERT v svojem zadnjem poročilu navaja, da je lani obravnaval 2.300 varnostnih incidentov, največ doslej.
Ali je Slovenija nezanimiva?
Lahko bi rekel, da heker ne izbira končne tarče, vendar bi bila to netočna izjava. Pravi napredni napadalec ne cilja v prazno in navadno, žal, tudi ne zgreši. Napadi so vse bolj lokalno organizirani, napadalci opravijo svojo domačo nalogo. Majhna Slovenija vsekakor je na njihovem radarju – kot primera bi lahko poudaril lanski DDoS-napad na banke ter izsiljevalski virus WannaCry. Predvsem zaradi svoje strateško zanimive geolokacije, saj pomeni odlično tarčo za povzročanje kakršnihkoli motenj – političnih, transportnih, gospodarskih in v dobi agresivne digitalizacije predvsem kibernetskih.
Kakšna bi morala biti minimalna varnostna higiena podjetij?
Tehnološko ima večina podjetij minimalne pogoje varnega elektronskega poslovanja že pri roki. V mislih imam nosilne, sistemske in varnostne gradnike informacijskega sistema z vlogo podpore poslovanju. Osebno bi več posluha namenil predvsem pobudam varnostnih inženirjev, ki si že po naravi ves čas prizadevajo ne le za ohranjanje, temveč tudi dvigovanje ravni informacijske varnosti. Operativnim skrbniškim ekipam kakovostnega časa za uresničevanje minimalnih varnostnih zahtev praviloma primanjkuje, torej tudi za pregledovanje, triažo in ukrepanje v primerih identificiranih varnostnih incidentov. Področji, ki sta v organizacijah (pre)pogosto podhranjeni ali nedotaknjeni, sta prav nadzorna in operativna komponenta zagotavljanja informacijske varnosti. Menim, da je organizacijsko nujna vzpostavitev kontinuiranih procesov zaznave in odziva na varnostne incidente, ki bodo kos tudi neljubim situacijam, ko – in ne če – preventiva pade. Ne le na papirju, v poročilih presojevalcem ali pristojnim službam, temveč tudi operativno – v izvajanju.
Večina večjih podjetij skrb za informacijsko varnost zaupa oddelku IT, kaj pa lahko storijo tista, ki informatikov sploh nimajo?
Glavno je zavedanje, da smo v podjetjih za izvajanje informacijske varnosti odgovorni prav vsi zaposleni, ne le oddelek IT. Stalni procesi ozaveščanja in izobraževanja zaposlenih so zato odločilni za dvig ravni informacijske varnosti. Najpogostejši vektor dostave škodljive kode ostaja e-pošta zaposlenemu. Napredne tehnike kibernetskih kriminalcev imajo sposobnost, da zaobidejo vzpostavljene IT-varnostne kontrole. Takrat je na preizkušnji človeški požarni zid, ki je pogosto zadnja organizacijska varovalka pred povzročitvijo poslovne škode. V tem kontekstu sta zato za podjetja, ki so potencialne tarče kibernetskih napadov, odločilna pravočasna zaznava in odziv na hekerske poskuse, tudi uspešne. Za podjetja brez informatikov in specializiranih varnostnih strokovnjakov je najučinkovitejša rešitev najem storitev varnostno-operativnega centra (Security Operations Center – SOC), saj ta stalno preži na pasti naprednih kibernetskih groženj in se zna nanje ustrezno odzvati.
So varnostno-operativni centri nekakšna tržna niša na področju varnostnih rešitev?
Morebiti so tržna niša le v kontekstu ponudnika varnostnih storitev, saj te rešitve nima vsak. Gre namreč za izredno kompleksno in drago naložbo, veliko se vlaga v specializiran kader, vrhunske tehnologije in varnostne procese. V Sloveniji prostora za veliko število varnostno-operativnih centrov ni, za zdajšnje ponudnike ti pomenijo strateške naložbe.
Kaj pravzaprav počne varnostno-operativni center?
Varnostno-operativni center strankam ponuja široko paleto storitev spremljanja, triaže, varnostne forenzike, varnostnega preverjanja in procesov odziva na kibernetske napade. Njegova naloga je, da zazna, torej odkrije in blokira morebitnega, tudi uspešnega napadalca, še preden bi ta lahko povzročil škodo. Anonimizirane statistike večjih ponudnikov varnostnih rešitev kažejo, da je lani v povprečju pri vseh napadenih podjetjih minilo več kot sto dni, preden je bila navzočnost napadalca v omrežju zaznana, pri čemer je po raziskavi inštituta Ponemon škoda kibernetskega napada glede na prejšnje leto zrasla za 23 odstotkov, na vrtoglavih 2,4 milijona dolarjev. V državah EU je povprečje še slabše, napadena podjetja napadalca v povprečju ne odkrijejo 150 dni. Varnostno-operativni center to številko precej zmanjša.
V Sloveniji se je v zadnjih dveh letih pojavilo več varnostno-operativnih centrov. Kako naj podjetje loči med njimi in prepozna kakovost ponudnika?
Pri izbiri ponudnikov najemnih storitev varnostno-operativnega centra svetujem preudarnost. Pomembno je, da je izvajalec kredibilen, torej da lahko ponujene storitve dejansko tudi zagotovi in dostavi. Preveriti je treba potrebne kadrovske zmogljivosti in strokovna znanja ponudnika. Priznan varnostni strokovnjak in Gartnerjev svetovalec Anton Chuvakin vedno znova poudarja, da je v varnostno-operativnem centru veliko bolje imeti vrhunske eksperte in analitike, ki uporabljajo povprečna orodja, kot pa povprečne analitike, ki uporabljajo najnovejša in najdražja orodja. Podjetja naj bodo pozorna še na varnostno-operativne centre, ki so ali bodo zrasli iz centrov pomoči uporabnikom. Taka praksa se morda na prvi pogled zdi smiselna, saj je režim delovanja »24 ur na dan vse dni v tednu« že vzpostavljen, vendar si kaže naliti čistega vina – gre za popolnoma drugo problematiko, druga znanja in predvsem druge odgovornosti.
Zakaj so se varnostno-operativni centri v Sloveniji pojavili šele v zadnjih letih?
Slovenski trg je izredno konservativen. Spomnim se besed ene od strank, ki mi je dejala, da je varnostno-operativni center NIL pravzaprav petelin, ki je prezgodaj zapel. Menim, da smo petelin, ki je zapel, vendar ne prezgodaj, temveč prvi. V tujini taki centri delujejo že vsaj desetletje, in to z razlogom. Kibernetski prostor je povezan, ne pozna klasičnih meja, zato napadalci tudi v primeru simpatične deželice na sončni strani Alp ne delajo izjem. Na NIL smo že navajeni, da smo pogosto prvi, ki orjemo ledino.
Boste svoj varnostno-operativni center torej tržili tudi v tujini, kjer je sicer več konkurence?
Bomo, saj se tako kot z drugimi storitvami vedno želimo pozicionirati tudi v tujini.
Kaj je trenutno vaš največji izziv?
Naši izzivi so povezani s pogosto stereotipnim obvladovanjem celostnega cikla zagotavljanja kibernetske varnosti. Zaščita pred naprednimi in vse pogostejšimi hekerskimi napadi ni nujno enaka naložbi v nova varnostna orodja, ki naj bi čudežno zagotavljala zanesljivo preventivo. Nobena tehnologija ne zagotavlja popolne varnostne imunitete. Je pa mogoče sodobna varnostna orodja ustrezno prilagoditi in uporabljati z največjim možnim izkoristkom. Cikel spremljanja in obravnave varnostnih dogodkov mora biti kontinuiran proces, kjer temeljno vlogo odigrajo specializirani strokovnjaki – analitiki varnostno-operativnih centrov. Vsak napreden kibernetski napad dirigira človek, zato je pomembno, da proces varnostne triaže in obrambe izvajajo pravi varnostni eksperti, ki pa jih ni veliko. Na NIL smo tudi zato ustanovili lastno akademijo za usmerjeno vzgajanje varnostnih analitikov, ki bodo že jutri lahko na voljo za nemoteno organsko rast našega varnostno-operativnega centra.
V svetu že lahko opazimo nov trend, in sicer panožno specializacijo varnostno-operativnih centrov. Ponudniki se denimo osredotočajo na varovanje bančnih okolij, energetike in podobno. Se boste tudi na NIL podobno profilirali ali boste ostali varnostni generiki?
V idealnem svetu bi vsako podjetje najprej moralo imeti svoj varnostno-operativni center, nad tem pa bi morali bedeti sektorski varnostno-operativni centri, ki bi delovali tudi kot izmenjevalci informacij glede groženj, specifičnih za določen sektor. Pri delovanju kompetentnega varnostno-operativnega centra je najprej pomembna ekspertiza oziroma razumevanje logike napadalca. Ta trenutek smo usmerjeni v naše stranke, ne glede na to, v kateri panogi delujejo. Sčasoma, ko bo trg tudi pri nas postal zrelejši, pa bomo svoja znanja dodatno širili še na specializirana okolja.