V nenehno spreminjajočem se okolju kibernetskih groženj morajo države imeti prožne in dinamične strategije kibernetske varnosti za vzdrževanje odpornosti proti novim globalnim grožnjam, še posebej v obdobju intenzivne digitalne preobrazbe družbe. S strategijo kibernetske varnosti iz leta 2016 je Slovenija okrepila sistem zagotavljanja kibernetske varnosti, vzpostavila nove rešitve in hkrati odprla pot nadaljnjim izboljšavam.
Nacionalna strategija kibernetske varnosti je načrt ukrepov, namenjen izboljšanju varnosti in odpornosti nacionalnih infrastruktur in storitev. To je pristop, ki na visoki ravni določa vrsto nacionalnih ciljev in prednostnih nalog, ki jih je treba uresničiti v določenem časovnem obdobju. Trenutno je v vseh državah EU nacionalna strategija za kibernetsko varnost glavni politični instrument pri odpravljanju tveganj v kibernetskem prostoru, ki bi lahko ogrozila doseganje ekonomskih in socialnih koristi.
Od zadnje nacionalne strategije je minilo že nekaj časa. Opažamo precejšnjo krepitev zavedanja o kibernetskih tveganjih in pomenu ohranjanja varnosti podatkov, infrastrukture in zagotavljanja storitev. Tudi globalni indeks kibernetske varnosti, ki ga meri OZN, se je občutno popravil.
Prepričanju, da je zavedanja o kibernetskih tveganjih dovolj, pa nasprotujejo kazalniki, ki govorijo o obsegu uvajanja znanih ukrepov v praksi slovenskih podjetij. Sodobne evropske strategije sledijo prepričanju, da je potrebna sprememba v varnostni kulturi, ki zahteva dosledno dnevno izvajanje ukrepov in praks pri menedžmentu, strokovnjakih IT in kibernetske varnosti ali uporabnikih informacijskih tehnologij.
Pomembnejša od same opredelitve ciljev, ki so ponavadi zelo splošni, je izpeljava programskih nalog, ki so konkretnejše ter jih je lažje razumeti in uresničiti v praksi. Za uspešno uresničevanje nalog je nujno tudi sodelovanje akterjev na področju izobraževanja, raziskav in razvoja, podjetij ter organov države. To sodelovanje je treba nujno razviti že v pripravi strategije.
S stanjem kibernetske varnosti v podjetjih ne moremo biti zadovoljni, saj po navedbah lanske raziskave Sursa 18 odstotkov podjetij ne izvaja niti osnovnih ukrepov kibernetske varnosti. Razdrobljenost in pomanjkanje kadrov ne vplivata ugodno na razvoj zavedanja o kibernetskih tveganjih in s tem na razvoj kibernetskih zmogljivosti. V obdobju intenzivne digitalizacije vseh področij bo potrebna visoka raven znanja za vpeljavo organizacijskih in tehničnih ukrepov kibernetske varnosti ob hkratnem razvoju novih storitev. Dosedanje spodbude države z vavčerji za kibernetsko varnost so dodatno pripomogle k razvoju zavedanja in postopnemu izboljševanju stanja uveljavljanja minimalnih ukrepov varnosti. Te spodbude bi morali še okrepiti z dodatnimi možnostmi na področjih tehnoloških in industrijskih zmogljivosti kibernetske varnosti, s spodbujanjem razvoja znanja, spodbujanjem uporabe najboljših praks in organizacijskim združevanjem razdrobljenih virov.
Da bi izboljšali sodelovanje akterjev iz izobraževanja, raziskav in razvoja, podjetij in institucij države, je treba razmisliti:
- kako tudi formalno urediti sodelovanje vseh akterjev pri zagotavljanju kibernetske varnosti,
- kako zagotoviti obveščanje o incidentih tudi tam, kjer to še ne poteka,
- o izmenjavi izkušenj,
- o souporabi zdajšnjih zmogljivosti in
- širšem vključevanju v praktične vaje kibernetske varnosti ali sodelovanju v razvojnih aktivnostih, ki jih ponujajo evropski programi.
V praksi je v nekaj evropskih državah takšno sodelovanje urejeno prek različnih organizacijskih oblik z neposredno spodbudo države.
V projektu Cyber Interreg Europe se deležniki projekta ukvarjajo z vprašanji sprememb ekosistema za delovanje malih in srednjih podjetij (MSP) v sektorju kibernetske varnosti. Takšna podjetja so v večini in pokrivajo vsa področja – od svetovalnih storitev in vzpostavitve formalnih okvirjev zagotavljanja kibernetske varnosti v podjetjih do sistemskih varnostnih pregledov ter penetracijskih testiranj ali izobraževanja in ozaveščanja. Zanje sta pomembni dolgoročnejša razvojna usmerjenost in stabilnost tržnega okolja, predvsem zaradi precejšnjih vlaganj v razvoj in zadrževanje kadra. Razpoložljivost specializiranega kadra in njihovih kompetenc je namreč žgoča težava večine držav in tako je tudi pri nas. Aktivno spodbujanje razvoja kadrov z ukrepi državne politike bi moral biti zato pomemben del sprememb v nacionalni strategiji kibernetske varnosti.
Obdobje, ki je pred nami, bo zahtevalo intenzivno digitalizacijo vseh področij, ki pa ne bo mogoča, če ne bomo uspešno odpravljali določenih omejitev v kibernetski varnosti. Razvoj podjetij v sektorju kibernetske varnosti in specialistov ne bo mogoč brez vlaganj v projekte digitalne preobrazbe, prav tako tudi ne stalno posodabljanje in nadgrajevanje zmogljivosti v državni upravi.
Ali bodo spremembe v nacionalni strategiji kibernetske varnosti in ustrezni akcijski načrti prinesli odgovore na omenjena in druga odprta vprašanja ter ali bodo zagotovljeni tudi ustrezni viri za izpeljavo načrtov, pa bo pokazal čas.