Ministrstvo za zunanje zadeve je bilo pred dvema mesecema tarča prefinjenih kibernetskih kriminalcev. Po takratnih besedah zunanje ministrice naj bi šlo za napad iz tretje države, ki naj bi, kot je značilno za vse napredne napade, trajal že dlje časa. Iz medijev smo lahko izvedeli, da so bili fokus napada dokumenti, povezani s Kitajsko in slovensko politiko do Kitajske. V sklopu preiskave naj bi bila zasežena dva sumljiva internetna strežnika, za katera se je pozneje izkazalo, da sta komunicirala s strežniki številnih zunanjih ministrstev po Evropi.
Informacije o dogodku so tudi po dveh mesecih še vedno zelo skope in verjetno bo tako tudi ostalo. Tovrstnim napadom je običajno zelo težko priti do dna, saj je brez ustreznega predhodno nameščenega programja izvajanje povratnega inženiringa sosledja varnostnih dogodkov praktično nemogoče. Državno sponzorirani hekerji imajo na voljo tehnologijo in znanje, ki jim omogočata, da so v omrežju prisotni prikrito, za seboj pa dosledno brišejo vse digitalne sledi.
Napad v sklopu kibernetskega vojskovanja in tako imenovani običajni kibernetski napad sta dva različna koncepta na področju kibernetske varnosti. Čeprav oba vključujeta uporabo digitalnih sredstev za izkoriščanje ranljivosti računalniških sistemov in omrežij, obstajajo med njima ključne razlike. Kibernetska vojna je vrsta vojskovanja, ki vključuje obsežne in usklajene operacije med državami ali pomembnimi subjekti. Glavni cilj kibernetske vojne je pridobiti strateške prednosti, oslabiti obrambo nasprotnika in potencialno vplivati na izid političnih ali vojaških sporov.
Običajni kibernetski napadi pa so praviloma manjšega obsega in ne vključujejo državnih akterjev. Tipično jih izvajajo posamezniki ali manjše skupine in lahko ciljajo na širok spekter žrtev, vključno s posamezniki, podjetji in vladnimi agencijami. Motivacija za običajne kibernetske napade je lahko zelo različna in lahko vključuje finančno korist, aktivizem ali preprosto dokazovanje tehnične spretnosti. V nasprotju s kibernetsko vojno je glavni cilj običajnih kibernetskih napadov pogosto kraja občutljivih informacij, povzročanje motenj v storitvah ali oškodovanje zaradi osebne koristi ali koristi skupine.
Napad na MZZ je sicer neprijeten, a lep primer, da je tudi manjša država lahko žrtev sofisticiranih napadov, sponzoriranih od drugih držav (angl. state-sponsored attacks). Ali gre tu morebiti že za kolateralno škodo kibernetskega vojskovanja nekje drugje, si ta trenutek ne upam ugibati, obstaja pa možnost, da tako ali drugače tudi Slovenija postaja del globalne kibernetske vojne, o kateri sem pisal že v začetku prejšnjega leta, ko smo bili prvič v zgodovini priča kombinaciji klasičnega in kibernetskega vojskovanja. Med drugim sem takrat spregovoril o možnosti prelivanja škodljive programske kode iz cone vojskovanja ter nekaj besed namenil tudi preventivi. Nedavni napad je najverjetneje čisto zadnji alarm za vse, ki si še vedno zatiskajo oči in ne prepoznavajo pomena kibernetske varnosti v dobi pospešene digitalizacije.
Naj gre za kibernetsko vojskovanje ali za »običajen« kibernetski kriminal, posledice so lahko zelo hude. O njihovih razsežnostih ne morem govoriti pavšalno, saj so vezane na posamezno podjetje in posamezen napad. Naloga vsakega podjetja pa je, da zna samo izračunati, kaj za njihovo organizacijo pomeni izgubljen dan poslovanja. Kaj lahko storimo? Optimistično napoved za prihodnost med drugim nakazuje nova evropska direktiva NIS2.
NIS2 opredeljuje vzpostavitev bolj usklajenega in sodelovalnega pristopa k varnosti med svojimi članicami in s tem prinaša potencial za izboljšanje kibernetske varnosti po vsem svetu. Upravljavci kritične infrastrukture, ponudniki bistvenih storitev in ponudniki digitalnih storitev bodo morali glede na zahteve direktive izvajati stroge ukrepe za zagotavljanje kibernetske varnosti, poročati bodo morali o pomembnih incidentih in aktivno sodelovati pri zaščiti digitalnega ekosistema.
Ob upoštevanju navedenih ukrepov lahko direktiva pomaga omiliti kibernetske grožnje in zmanjšati vpliv napadov na globalno digitalno infrastrukturo. Poleg tega poudarja, kako pomembno je izmenjevanje informacij in sodelovanje med državami EU, da bi bolje razumeli nastajajoče grožnje in se zaščitili pred njimi. S tem spodbuja države k sodelovanju na področju razvoja celostnih strategij kibernetske varnosti, pri izmenjavi najboljših praks in gradnji odpornejšega digitalnega ekosistema. Direktiva NIS2 tudi jasno sporoča, da je kibernetska varnost za EU prednostna naloga, in s tem spodbuja tudi druge države, da sprejmejo podobne ukrepe in standarde za izboljšanje svoje kibernetske varnosti.
NIS2 je torej pomemben korak k izboljšanju kibernetske varnosti po vsem svetu ter ustvarjanju varnejšega in odpornejšega digitalnega okolja za vse. V čem pa se nova direktiva razlikuje od stare? Kot eno pomembnejših novosti bi rad omenil spremljanje kibernetske varnosti dobavnih verig, saj je bil ta segment do zdaj nekako izpuščen ali zapostavljen. Govorim o vektorju napada, ki izkorišča zaupanje do dobaviteljev in ga označuje kot slabost.
Kot primer si predstavljajmo podjetje X iz segmenta kritične infrastrukture, ki za svoje delovanje uporablja popolnoma ločeno industrijsko omrežje, kjer so nameščene naprave, ki krmilijo določene procese, na primer korigirajo rečni dotok prek zapornic. Tudi takšne naprave je treba občasno preveriti, programsko posodobiti in podobno. Pogosto je najenostavneje, da se serviser, torej predstavnik dobavitelja teh naprav, ki ni zaposlen v podjetju X, na takšno napravo oddaljeno poveže prek tako imenovane varne povezave. Podjetje X serviserju zaupa in ker ni del podjetja, praviloma ne preverja, kako skrbi za varnost svojih digitalnih sredstev. Varnostne politike serviserjevega podjetja se našega podjetja X ne tičejo, za varnost praviloma skrbijo v njegovem matičnem podjetju. A glej ga, zlomka! Če je okužena naprava serviserja, obstaja velika verjetnost, da bo posledice okužbe na koncu občutilo prav podjetje X, in te so lahko katastrofalne.
To je le en primer izziva kibernetske varnosti v dobavni verigi, ki jo NIS2 zelo lepo rešuje. Podjetja, ki jih bo nova direktiva NIS zavezovala k skladnosti, bodo morala ocenjevati kibernetsko varnost svojih dobaviteljev in ponudnikov storitev prav zato, da bi zmanjšala takšna tveganja. S tem se bo povečala odgovornost podjetij za oceno in spremljanje varnosti svojih partnerjev, kar bo posledično vplivalo tudi na dobavitelje in ponudnike storitev, ki sodelujejo z njimi.
Tudi povezovanje organizacij javne uprave lahko razumemo kot dobavno verigo, saj so prek različnih povezav in protokolov povezane v veliko (vsaj evropsko) mrežo. Kolektivna zavest o pomenu kibernetske varnosti, skrb za lastno varnost in spremljanje varnostne drže organizacij, s katerimi se povezujemo, lahko bistveno pripomorejo k zajezitvi kibernetskega kriminala na globalni ravni.