Ob delu v kriznih razmerah, ko se je pokazala prednost digitalnega poslovanja, se je v poslovnem kontekstu izrazila tudi varnostna problematika, ki je bila doslej večinoma v domeni služb za informatiko. Epidemija COVID-19 je odkrila, da klasični pristopi k varnosti niso več ustrezni. Ti so namreč predvidevali, da so zaposleni zaprti v stavbi in da uporabljajo zaprte informacijske vire.
COVID-19 je razkril, da podjetja, ki so doslej tako uspešno delovala, te zaprtosti naenkrat ne obvladujejo več. Zaposleni so hkrati v poslovnem omrežju in v medmrežju, pri čemer ne razločujejo več strogo med zasebnim in poslovnim, na službene naprave poskušajo nameščati lastne programe, na domače pa prenašajo občutljive poslovne vsebine, kar je recimo posledica razmaha storitev v oblaku.
»Varnostne rešitve, kjer nekateri prodajajo, da se vključi v poslovno omrežje črna škatla, ki bo na omrežju vse zaznavala in preprečila, so posmeh realnemu stanju. Žalostno pa je, da stranke očitno nimajo dovolj znanja, da bi razumele, da takšne rešitve ne bodo delovale. Preprodajalci pa tudi nimajo morale ali pa znanja, da bi strankam to iskreno povedali,« je povedal Blaž Babnik, analitik za kibernetsko varnost v podjetju NIL.
Premik ali zabrisanje roba službene informatike pomeni, da se je treba informacijsko varnost v podjetjih lotiti z drugačnimi prijemi kot v preteklosti.
Kaj so storitve varnostno operativnega centra
Kot pravi Babnik, so danes storitve varnostno operativnega centra (VOC) nadpomenka za skupek varnostnih rešitev, ki so usmerjene v celovito kibernetsko varnost podjetja. »V preteklosti so imela podjetja varnostnega inženirja, ki je pripravljal in nadgrajeval varnostne politike, pregledoval poročila in poročal vodstvu. Vendar to niso bili itijevci. Po drugi strani itijevci ne vidijo širšega poslovnega konteksta. Potem so tu še prodajalci, od katerih hoče vsak širiti svoj portfelj produktov pri stranki. Nihče tega ne pogleda celostno,« je opozoril Babnik.
Ena poglavitnih storitev varnostno operativnega centra je varnostno spremljanje informacijskih sistemov, torej strojne in programske opreme, prek tako imenovanega upravljanega odkrivanja in odzivanja na incidente (MDR – managed detection and reposnse). »Če želimo učinkovito izvajati to storitev, je prvi pogoj, da organizacija dela tudi druge korake na področju varnosti, da sledi dogajanju na omrežju, sistemih in v procesih. Če tega ni, še tako dobra zaznava in odziv ne bosta mogla varovati ranljivih sistemov,« je dejal Babnik.
V preteklosti je kot klasičen model varnosti veljalo, da ponudnik namesti varnostno strojno in programsko opremo ter prepusti sistem uporabniku. Z zmanjševanjem prodajnih provizij so ponudniki tehnologij začeli ponujati še dodatne storitve, a pri tem velikokrat nimajo svojih virov, temveč ponujajo storitve, ki jih zagotavlja proizvajalec. »Če hočeš graditi varnost, moraš poznati organizacijo in prav to je vrednost lokalnih ponudnikov,« je poudaril Babnik.
Zakaj VOC
VOC je v današnjem poslovnem okolju, kjer so se razpasle kibernetske grožnje, postal realnost vsake organizacije, ki se zaveda tveganja. »Na žalost je v Sloveniji zavedanje še vedno relativno nizko in veliko organizacij ravna reaktivno – ko že pride do težave. Prav zato se skupaj z drugimi ponudniki v panogi toliko trudimo dvigniti to zavedanje z željo, da stanje prevesimo na proaktivno stran,« je dejal Erdis Škrgić, direktor prodaje in marketinga v podjetju Unistar LC.
Organizacije lahko do varnostno operativnega centra pridejo na več načinov: zgradijo svoj center, uporabijo zunanje storitve ali uporabijo kombinacijo obeh pristopov.
»Naročniki se večinoma zavedajo, da so z najemom zunanjega VOC veliko bolj prilagodljivi, kot če se odločijo za razvoj notranjih virov, ki so finančno in časovno v splošnem zelo potratni. Vzpostaviti je namreč treba ustrezne procese, visoko usposobljeno ekipo, ki deluje 24/7/365, vložiti v zanesljivo tehnologijo in zadovoljiti vsem regulatornim zahtevam, kar navadno za naročnika ni smiselno,« je pojasnil Škrgić. Zunanje izvajanje VOC ali SOCaaS odpravi omenjene izzive, povezane z internim VOC, hkrati pa močno izboljša tako operativno kot finančno učinkovitost.
Za VOC se potrebuje denar
Varnost nikoli ni bila poceni. To velja tudi v primeru kibernetske varnosti. Kot kaže praksa, je cena za varnost še vedno največja ovira, da se podjetja ne odločajo za večji obseg zunanjega izvajanja storitev VOC ali da poskušajo kombinirati zunanje storitve z internimi investicijami in človeškimi viri. Vendar na ta račun trpi predvsem posel, ki je izpostavljen večjim tveganjem, kot znaša cena informacijske varnosti.
Kot je razložil Babnik, je samostojna vzpostavitev varnostno operativnega centra v podjetju tako rekoč nemogoča. »Pravzaprav ni podjetja, ki bi imelo toliko znanja na kupu, toliko ljudi, ki bi se ukvarjali samo z varnostjo. Že srednje podjetje si težko privošči varnostnega inženirja.«
Če bi hotelo veliko podjetje z recimo dva ali tri tisoč zaposlenimi samo zagotoviti stalno razpoložljivost varnostno operativnega centra, bi potrebovali od pet ljudi za štiriizmensko delo na prvem nivoju, podobno ekipo na drugem nivoju ter seveda vodjo ekipe. »Samo ekipni del VOC, ki bi združeval od 10 do 12 zaposlenih, bi podjetje stal letno približno pol milijona evrov, kadrov pa ni,« je razložil Babnik. Najem storitve za takšno veliko podjetje lahko na letni ravni stane do 150 tisoč evrov.
V primeru storitev VOC največji del investicije ali mesečne naročnine pomenijo licence oziroma vzdrževanje licenc za različne tehnične rešitve, zato je ceno težko znižati. Mesečna cena za celoten nabor tehnologij, na primer sistem za upravljanje varnostnih dogodkov in tveganj (SIEM – security information and event management), odkrivanje in odziv na grožnje v končnih točkah (EDR – Endopint Detection and Response), protivirusna zaščita nove generacije, analiziranje ravnanja uporabnikov, pregledovanje omrežja ..., znaša več tisoč evrov na mesec. Tudi za mala in srednja podjetja, česar preprosto ne zmorejo. V velikih podjetjih so nekoliko na boljšem, saj so v veliko primerih že izvedli naložbe v posamezne tehnološke rešitve, na primer SIEM ali EDR in potrebujejo samo del storitev, na primer spremljanje in odziv na odkrite incidente.
Za mala in srednja podjetja se kot privlačna rešitev kaže pristop, ki so ga ubrali v Telekomu Slovenije. Ponudili so jim standardno storitev VOC, ki deluje na način vse v enem in stane že od nekaj sto evrov na mesec, odvisno od števila uporabljenih računalnikov.
»Ko podjetje enkrat izgubi denar zaradi direktorske prevare, odkupnine v primeru izsiljevalskega virusa ali ko plača strokovnjake, da povrnejo informacijske sisteme v delovanje, takrat spozna, da je nekaj tisoč evrov na letni ravni cenovno najugodnejša rešitev,« je povedal Dalibor Vukovič, produktni vodja in specialist za kibernetsko varnost v Telekomu Slovenije.
Najem zunanje storitve ne gre čez noč
Vpeljava storitev varnostnega centra zunanjega ponudnika je več kot pridobitev uporabniškega imena ter spletnega dostopa do nadzornega sistema. Poskrbeti je namreč treba za namestitev ustrezne tehnologije pri naročniku, urediti notranje procese ter zagotoviti izvajanje stalnega nadzora ter takojšnjega odziva na incidente.
Kot je razložil Uroš Majcen, vodja varnostno operativnega centra v podjetju S & T Slovenija, uvedba poteka v treh fazah – analiza, vpeljava in operativno izvajanje. »Najprej je treba izvesti oceno stanja kibernetske varnosti pri naročniku, kateri so trenutni varnostni mehanizmi, kako so nastavljeni, kako so urejeni procesi, pogledati, ali sta narejena storitveni katalog in analiza poslovnih učinkov,« je razložil Majcen.
Identifikaciji in ovrednotenju šibkih točk, ki poleg tehnologije vključuje tudi pregled procesov in človeških virov, sledi priprava načrta potrebnih aktivnosti za izvajanje storitev, v okviru katerega se opredelijo tudi vloge, odgovornosti in pravila, kako posamezne aktivnosti izvajati, obdelovati incidente in poročati. Temu sledi faza nastavljanja tehnoloških rešitev, na temelju katere se lahko začne storitev operativno izvajati. Zadnje lahko vključuje tudi proaktivno pregledovanje, optimizacijo sistema in nadgrajevanje informacijskega okolja.
Storitve VOC so lahko precej širše
Vpeljava storitev VOC lahko vključuje tudi etično hekanje, s katerim se odkrivajo ranljivosti na različnih ravneh, strokovnjaki pa nato odkrite ranljivosti interpretirajo in predlagajo ukrepe. »Napadalci se pogosto osredotočijo na najšibkejši člen – končne uporabnike, zato jih tudi ustrezno ozavestimo oziroma izobrazimo,« je še povedal Majcen. Kot dobra praksa se je pokazalo ponavljajoče se izvajanje poskusov socialnega inženiringa in spletnih prevar, prek katerih se ugotavlja odziv uporabnikov, pa tudi njihova zrelost in napredek.
V podjetju Sfera IT so v svoje storitve vključili tudi pravno pomoč in krizno komuniciranje. »Ko se zgodi neki incident, vedno potrebuješ odziv. Poleg paketa preventivnih rešitev, načrtovanja in postavljanja varnostne infrastrukture, penetracijskih testov, revizij, certificiranja in forenzike je treba poskrbeti tudi za to, da podjetje pravno zaščitimo in komuniciramo z javnostmi,« je povedal Renato Pulko, direktor podjetja Sfera IT. Pravilni odziv na varnostni incident lahko pomembno zmanjša škodo, tako finančno kot tudi ugled in zaupanje, ki ga sicer podjetje ima na trgu pri kupcih in poslovnih partnerjih.