Kaj je kibernetska odpornost, kako bi jo razložili laiku ali poslovnežu?
Kibernetska odpornost je nadpomenka kibernetske varnosti, saj povezuje tri področja: kibernetsko varnost, neprekinjeno poslovanje in organizacijsko odpornost. S skupnim naslavljanjem omenjenih področij lahko organizacija poveča pripravljenost na nepričakovane dogodke, izboljša svoje delovanje in zmanjša škodo ob morebitnem kibernetskem incidentu.
Med pandemije smo veliko poslušali o odpornosti organizacij proti nepričakovanim dogodkom.
Res je. Pandemija je bila prav takšen dogodek, ki je »izmeril«, kako odporna je posamezna organizacija – ali je lahko učinkovito nadaljevala delo ali ne. Posledice ponekod občutijo še danes.
Tudi kibernetski incident je lahko eden izmed takšnih dogodkov. Kako ravnati?
Ni dovolj, da se zanašamo samo na varnostno tehnologijo, ampak moramo spremeniti razmišljanje. Kibernetska obramba s svojimi varnostnimi rešitvami je sicer potreben, ne pa zadosten pogoj. Narediti moramo korak naprej in razmišljati s stališča, kot da se je incident že zgodil, in se vprašati, ali vemo, kaj narediti v takšnem primeru, ali vemo, ali so naši podatki ostali nedotaknjeni in so varni ter koliko časa bo izpad še trajal. To so vprašanja, ki ne zadevajo samo oddelka IT, ampak predvsem odločevalce.
Kako pa naj se podjetja lotijo kibernetske obrambe in dvignejo raven informacijske varnosti?
Za začetek je dobro vedeti, kje smo. Ocena stanja kibernetske varnosti v organizaciji je prvi korak – ne glede na velikost ali tip podjetja. Gre za oceno s stališča tehnologij, procesov in razpoložljivega osebja, ki jih ima podjetje na voljo za zagotavljanje kibernetske varnosti. Na podlagi ocene stanja se pripravi akcijski načrt, ki mora biti realističen. V njem se opredeli, katere storitve kibernetske varnosti izvaja organizacija sama, katere pa bo zaupala izvajalcu, ki se s tem primarno ukvarja in ima dovolj izkušenj, referenc, hkrati pa razume področje delovanja organizacije.
Zakaj je potrebno poznavanje področja delovanja organizacije?
Varnostna tveganja so različna za različne veje gospodarstva in glede na specifike posamezne organizacije. Kibernetska tveganja med banko, elektrarno ali proizvodnim podjetjem se precej razlikujejo.
Kakšni tipi napadov prežijo na podjetja in kako aktivno iskati napadalce?
Ločimo različne tipe napadov. Pri zelo »glasnih« napadih na primer napadalec pošlje večji količini tarč zlonamerno kodo in upa, da se bo kdo ujel. Potem ga lahko izsiljuje za dešifrirne ključe. Imamo pa tudi vse več napadov, ko napadalec prikrito pride v sistem organizacije, največkrat prek zlorabe bodisi znanih ranljivosti bodisi ranljivosti ničtega dne. V tem primeru je njegov namen pridobivanje informacij, ponavadi tudi okuži sistem z zlonamerno kodo, da prikrije svoje sledi, svoje »delo« pa konča pozneje. Ko tovrstne napadalce, ki so že povzročili škodo, opazimo, je ponavadi že prepozno. Zato je takšne napadalce treba iskati proaktivno in jih čim prej ustaviti. Toda vedeti morate, kaj in kako iskati. Na tem mestu največ organizacij potrebuje znanje specialistov, ki ga lahko zagotovi samo specializiran ponudnik varnostnih storitev.
Kakšen je vaš lastni metodični pristop uvajanja varnostnih politik in gradnje sistema kibernetske odpornosti?
V S & T varnostno-operativnem centru (VOC) se izvajanja storitev lotimo v petih korakih. Prvi korak je ocena stanja kibernetske varnosti. Ta zajema tako procesni del, kot so varnostne politike, tehnologije za varnost ter tudi ljudje. Nato se lotimo izdelave storitvenega kataloga, analize poslovnih učinkov in analize tveganj. Tretji korak je izdelava predloga akcijskega načrta, ki mu sledi izvajanje nalog iz akcijskega načrta. Kot zadnji korak pa svetujemo letno ocenjevanje stanja in analizo učinkov korakov načrta.
Koliko podjetja stane kibernetska odpornost oziroma koliko vložiti v digitalno obrambo?
Odgovor je lahko zelo preprost: storitve za krepitev kibernetske odpornosti bodo organizacijo stale tudi do 30-krat manj kot odprava posledic uspešnega napada. Za točen izračun pa se je treba vprašati, kakšen časovni izpad si lahko privoščimo za kritične storitve in koliko nas takšen izpad stane v finančnem smislu. Na primer, koliko podjetje stane, če se poslovanje ustavi za en dan, ali pa, koliko so vredni podatki zadnjega tedna ali meseca dni. Drugi vidik, ki ga moramo upoštevati, a ga pogosto ne, je cena izgubljenega ugleda ob incidentu in s tem povezani stroški, denimo trajna izguba strank. Ko ima organizacija ta dva podatka jasno ovrednotena, je jasno, da bo naložba v kibernetsko odpornost skoraj zanemarljiva.
Kibernetsko varnost je treba zaupati strokovnjakom. Pa so varnostno-operativni centri (VOC) nujno edini pravi odgovor?
Ne, niso nujno edini odgovor. VOC in njihove storitve so samo del odgovora na vprašanje, kako povečati kibernetsko varnost. Skozi oceno stanja lahko dobimo odgovor, da je pogosto treba storiti še marsikaj drugega. Podjetje, ki zgolj najame storitve varnostno-operativnega centra, s tem goji lažno upanje, da je zagotovilo stoodstotno varnost. Treba je jasno vedeti, kaj želimo od VOC in kako bo povezan s poslovanjem.
Kako VOC sodeluje s ponudniki varnostnih storitev in rešitev ter nacionalnimi varnostnimi centri?
Dober VOC mora biti vpet v ekosistem ponudnikov varnostnih rešitev in storitev. To je odločilnega pomena. Tudi direktiva EU NIS si prizadeva za izmenjavo podatkov o potencialnih grožnjah med deležniki. Nacionalni varnostni centri zagotavljajo dežnik pri takšni izmenjavi informacij, prav tako pa morajo uskladiti primeren odziv ob varnostnih incidentih, ki bi lahko povzročili večje ali celo katastrofalne izpade delov gospodarstva. Temu primerno je bila pri nas sprejeta ustrezna zakonodaja in so bila ustanovljena telesa, ki to zagotavljajo. V bitki za čim boljšo kibernetsko varnost smo vsi deležniki zavezniki.