Shrani za kasnejše branje.
Pri zagotavljanju učinkovite kibernetske varnosti je naloga države, da postavi okvir z zakonodajo, podjetja pa morajo z digitalnimi sredstvi ravnati odgovorno.
Darja Kocbek
Zavedanje o pomembnosti kibernetske varnosti se v Sloveniji povečuje tako v gospodarstvu kot v javnem sektorju, ugotavljajo na Uradu Vlade Republike Slovenije za informacijsko varnost (URSIV). »V zadnjih letih smo zgradili temelje za boljše ukrepanje ob kibernetskih incidentih. Sprejeli smo zakonodajni okvir in ga nadgradili z nacionalnim načrtom odzivanja na kibernetske incidente. V skladu za zakonom o informacijski varnosti glavno breme nosita odzivna centra za kibernetsko varnost SI-CERT in SIGOV-CERT. Izboljšano je sodelovanje znotraj Evropske unije na področju kibernetske varnosti,« pojasnjujejo na uradu URSIV.
Sami kot pristojni nacionalni organ za informacijsko varnost skrbijo za redno koordinacijo na področju kibernetske varnosti, vpogled v delovanje in izvajanje zakonsko predpisanih ukrepov pa omogoča inšpekcijski nadzor pri zavezancih. Na področju preventivnih aktivnosti SI-CERT nadaljuje s preventivnimi aktivnostmi v okviru kampanje Varni na internetu, razlagajo na uradu URSIV.
Kljub temu so po njihovih besedah še vedno prisotne vrzeli, zlasti usklajevanje zakonodaje ne dohaja hitro razvijajoče se grožnje, izziv je tudi pridobivanje ustrezno usposobljenega kadra. Na lokalnih in organizacijskih ravneh po ugotovitvah urada URSIV ni dovolj poudarka na preventivi, rednem posodabljanju sistemov ter vzdrževanju zmogljivih in odpornih varnostnih sistemov. Dodatna težava je, da marsikatera organizacija še vedno deluje brez ustreznih načrtov za krizne razmere in brez učinkovitega odzivnega sistema na morebitne napade. »Menimo, da bomo z novim zakonom, ki ureja področje informacijske varnosti, omenjene vrzeli zapolnili in dvignili odpornost informacijsko komunikacijskih sistemov zavezancev,« pravijo na URSIV.
Foto: Depositphotos
V Evropi se v zadnjem času večina podjetij in organizacij ukvarja z direktivo NIS2. Ta krepi varnostne zahteve, ki veljajo za podjetja, ter obravnava varnost dobavnih verig in odnosov z dobavitelji. Slovenija seveda ni pri tem nobena izjema, pravi Boris Krajnc, specialist za kibernetsko varnost in certificirani etični heker v Telekomu Slovenije. Direktiva NIS2 bo namreč za marsikatero organizacijo predstavljala velik izziv na področju kibernetske varnosti, saj bo morala uvesti veliko dodatnih mehanizmov in uskladiti varnostne rešitve skladno z direktivo. »V okviru varnostnih pregledov, ki jih izvajamo v Telekomu Slovenije, žal še vedno ugotavljamo, da veliko podjetij v Sloveniji (tudi v kritični infrastrukturi) ne zagotavlja osnovnih zahtev Zakona o informacijski varnosti (ZInfV). Primerov dobre prakse, kot je varovanje končnih točk (to so delovne postaje, strežniki in naprave v okoljih operativnih tehnologij – OT), kar zagotavljamo našim strankam, ki se zavedajo pomena kibernetske varnosti, je še premalo,« ugotavlja Boris Krajnc.
Da osnovna požarna pregrada in protivirusni program na računalniku žal nista več zadostna zaščita, se po njegovih besedah že kar nekaj časa zaveda večina IT-strokovnjakov, le stežka pa prepričajo vodstvo, da je investicija v naprednejše varnostne rešitve potrebna. Dokler ni težav, si večina rada zatiska oči in upa, da jih hekerji ne bodo našli. V primeru uspešnega kibernetskega napada pa se vedno najdejo sredstva – najprej za plačilo hekerjem, potem pa tudi za sanacijo in nabavo opreme in storitev, ki resnično zagotavlja pravo mero zaščite.
Na področju informacijske varnosti so med gospodarskimi sektorji velike razlike
Ko govorimo o informacijski varnosti, obstajajo velike razlike med gospodarskimi sektorji ter med različno velikimi podjetji, razlaga etični heker in soustanovitelj podjetja Carbonsec Grega Prešeren. Velika podjetja v sektorjih, ki so bili zgodovinsko bolj na udaru hekerjev ter posledično prvi predmet regulativ s področja kibernetske varnosti, po njegovih besedah že dalj časa namenjajo pozornost ter delež sredstev za kibernetsko varnost.
»Razumljivo je, da imajo takšna podjetja precej boljšo tako imenovano kibernetsko varnostno držo. Ukrepi, ki jih zahteva regulativa ali dobra praksa, imajo relativno dober učinek. Ta učinek se s časom povečuje po principu stalnega izboljševanja, ki smo ga navajeni že iz sistemov za upravljanje kakovosti ter je bil prenesen v sisteme za upravljanje kibernetske varnosti,« pojasnjuje Grega Prešeren.
Privzete nastavitve informacijskih sistemov niso učinkovite
Varnostna drža v preostalih, tipično manjših ali nereguliranih podjetjih, je po njegovih ugotovitvah precej slaba. Pogost problem v takih podjetjih je, da za informacijsko varnost nihče ni formalno odgovoren, posledično temu ne morejo nameniti ustreznega časa in tudi nimajo določenega deleža sredstev za investicije. Če bi moral izpostaviti eno stvar, ki ne deluje, bi Prešeren izbral prevelik poudarek na nakupu varnostnih rešitev, premalo prilagoditev v nastavitvah teh ter neizvajanje potrebnih posodobitev in prilagoditev, ki jih zahteva današnji kibernetski prostor. »Žal še vedno velja, da privzete nastavitve informacijskih sistemov, vključno z varnostnimi rešitvami, niso učinkovite. Varnostni testi kažejo, da imajo skrbno nastavljeni varnostni sistemi, čeprav ne najnovejši, večji učinek kot najnovejše varnostne rešitve, če niso skrbno nastavljene,« opozarja Grega Prešeren.
Veliko podjetij kibernetsko varnost še vedno vidi kot strošek in ne kot investicijo.
Na uradu URSIV opozarjajo, da se v Sloveniji ogroženost na področju informacijske varnosti v zadnjih letih povečuje. Eden glavnih razlogov za to je hitro širjenje digitalizacije, kjer so digitalne storitve in podatkovni tokovi bolj prisotni v vsakodnevnem življenju, kar hkrati prinaša tudi večje tveganje za zlorabe. Naraščajo tudi napredne oblike kibernetskih napadov, kot so napadi izsiljevalskih virusov (ransomware), napadi na dobaviteljske verige ter vdiranje v občutljive sisteme kritične infrastrukture. K večji ogroženosti pripomorejo tudi organizirane kibernetske kriminalne skupine in tuje obveščevalne službe, ki iščejo ranljivosti v omrežjih. Ob tem še vedno obstaja relativno nizka ozaveščenost med uporabniki, zlasti v manjših podjetjih, kar skupaj s pomanjkanjem specializiranega kadra povečuje ranljivost na področju informacijske varnosti, ugotavljajo na uradu URSIV.
V porastu so tudi napadi prek dobavnih verig
Grega Prešeren pa pravi, da so včasih odločevalci mislili, da je majhnost Slovenije prednost in zato nismo zanimivi za hekerje. Čeprav je res, da so velika slovenska podjetja po velikosti in prometu primerljiva ali celo manjša od mnogih ameriških družinskih podjetij, statistike žal potrjujejo porast hekerskih aktivnosti v Sloveniji v zadnjih letih, kar se odraža tudi v poročanju medijev. »Za to je več razlogov. Taktike z izsiljevanjem so se izkazale za precej uspešne in dobičkonosne tudi v podjetjih pri nas. Izvedba takšnih napadov je postala zelo hitra in učinkovita, ker se hekerji organizirajo podobno kot (legitimna) podjetja, so specializirani, uporabljajo umetno inteligenco in podobno. V porastu so tudi napadi prek dobavnih verig. To pomeni, da najbolj zaželeni cilji hekerjev ostajajo velika podjetja, vendar se vdor izvede najprej v manjše, tipično manj zaščiteno podjetje, nato pa se razširi po dobavni verigi,« našteva Grega Prešeren. To je glavni razlog, da je potreben nadzor na povezavah informacijskih sistemov med podjetji po dobavni verigi, do zunanjih izvajalcev storitev in vzdrževalcev.
Tudi Boris Krajnc opozarja, da Slovenija na žalost ni tako majhna, da je hekerji ne bi odkrili. V Centru kibernetske varnosti in odpornosti (CKVO) Telekoma Slovenije so v prvih devetih mesecih tega leta obravnavali skoraj štirikrat več varnostnih dogodkov kot v enakem obdobju lani. »To je dovolj zgovoren podatek, ki pove, da ne zaostajamo za drugimi državami. Razlogov je več, so pa na žalost tudi odraz vojne, ki se odvija med Ukrajino in Rusijo. Ob tem je sam tehnološki razvoj izjemno hiter. Živimo v vedno bolj digitaliziranem okolju in brez digitalnih tehnologij ne moremo več niti v podjetjih in proizvodnji, niti pri uporabi javnih storitev ali doma. V internet je povezano vedno več naprav, uporablja ga vedno več ljudi, s tem pa je tudi vedno več priložnosti, ki se jih da izkoristiti – tudi z vidika izkoriščanja pomanjkljivosti informacijske varnosti,« pojasnjuje Krajnc.
Nizka ozaveščenost med uporabniki, zlasti v manjših podjetjih, in pomanjkanje specializiranega kadra povečujeta ranljivost na področju informacijske varnosti.
Pri zagotavljanju učinkovite informacijske varnosti je po pojasnilih urada URSIV naloga države, da postavi okvir z zakonodajo, ki jasno opredeljuje minimalne standarde za vse ključne deležnike. Prav tako je njena odgovornost, da zagotovi delovanje odzivnih centrov (kot sta SI-CERT in SIGOV-CERT), podpira razvoj potrebnega kadra, spodbuja raziskave na področju varnostnih rešitev ter krepi mednarodno sodelovanje na področju kibernetske varnosti.
Podjetja pa morajo odgovorno ravnati z digitalnimi sredstvi – uvesti redne varnostne preglede in posodobitve sistemov, izobraževati zaposlene, ustvariti krizne načrte za obrambo pred napadi ter vzpostaviti mehanizme za hitro odkrivanje in odpravljanje varnostnih incidentov. »Prav tako naj upoštevajo dobre prakse glede upravljanja podatkov in varovanja zasebnosti, kar vključuje tudi vzdrževanje varne komunikacije ter zaščito podatkov tako svojih strank kot poslovnih partnerjev,« pravijo na uradu URSIV.
Da je glavna naloga države regulacija, meni tudi Grega Prešeren. Regulacija s pravšnjim nadzorom se po njegovih besedah že izvaja ter se bo razširila z novim zakonom o informacijski varnosti (ZinfV-1). Naloga podjetij, ki so ali še bodo zavezana po tem zakonu, je oziroma bo, da poskrbijo oziroma bodo morala poskrbeti za skladno upravljanje s kibernetsko varnostjo.
»Zakon od zavezancev zahteva ključne ukrepe, ki jih že predvidevajo mnoga priznana ogrodja za upravljanje s kibernetsko varnostjo, zato podjetja, ki temu sledijo, ne bodo imela večjih težav s skladnostjo. Podjetja, ki pa se s kibernetsko varnostjo do zdaj niso nič ukvarjala, bi lahko imela težave pri vzpostavitvi potrebnih procesov, varnostnih rešitev in storitev in podobno. Verjetno bo velika težava tudi pri iskanju kredibilnih in kvalificiranih kadrov,« meni Grega Prešeren.
V podjetjih v Sloveniji se vse bolj zavedajo ogroženosti
Ker mediji o varnostnih incidentih poročajo že vrsto let, se po njegovih besedah v podjetjih v Sloveniji vse bolj zavedajo ogroženosti. »Prav tako vidimo javne promocijske kampanje za osveščanje o tej problematiki. V večini gospodarskih sektorjev se izmenjujejo informacije o podrobnostih hekerskih napadov v sektorju. Po novem zakonu o informacijski varnosti bo za kibernetsko varnost odgovorno vodstvo podjetja, zaradi česar se bo, kjer to še ni, zavedanje zagotovo dvignilo na ustrezno raven – ne le v vodstvu, temveč med vsemi zaposlenimi,« je prepričan Grega Prešeren.
Na uradu URSIV prav tako ugotavljajo, da zavedanje o ogroženosti pred kibernetskimi napadi v Sloveniji v zadnjih letih narašča, vendar je še vedno precej neenakomerno. Večja podjetja in javne institucije se zavedajo tveganj in imajo vzpostavljene določene mehanizme za zaščito, vključno s stalnim nadzorom nad sistemi in usposabljanjem zaposlenih. Manjša podjetja pa pogosto nimajo zadostnih virov za učinkovito zaščito pred kibernetskimi grožnjami in tudi zavedanje o nujnosti kibernetske varnosti ni vedno na visoki ravni. »Veliko podjetij še vedno vidi kibernetsko varnost kot strošek in ne kot investicijo, zato ni redkost, da šele po incidentu prepoznajo potrebo po dodatni zaščiti,« opozarjajo na uradu URSIV.
Naloge države so regulacija, zagotavljanje delovanja odzivnih centrov, podpora razvoju kadra, spodbujanje raziskav na področju varnostnih rešitev ter krepitev mednarodnega sodelovanja na področju kibernetske varnosti.
Boris Krajnc pojasnjuje, da bo imela država v prihodnosti za dvig ravni kibernetske varnosti kot osnovo direktivo NIS2 in posodobljen ZInfV-1. »Inšpekcijski pregledi na področju kibernetske varnosti, ki jih bo izvajal URSIV, bodo, upam, prispevali k zavedanju podjetij, da informacijska varnost ni le nekaj, kar mora biti zapisano na papirju, temveč nekaj, kar se izvaja v praksi. V večini podjetij tudi ni ustreznega kadra, ki bi lahko ustrezno skrbel za informacijsko varnost. Zato upam tudi, da se bodo kmalu odločili, da tovrstne rešitve zagotovijo s storitvami zunanjih izvajalcev, kot je na primer najem storitev Centra kibernetske varnosti in odpornosti Telekoma Slovenije, kjer 24/7 skrbimo za varnost naših strank. Na ta način podjetja pridobijo stroškovno ugodno rešitev na zelo visoki ravni,« zagotavlja Krajnc.
»Glede na bogate izkušnje, ki jih imam kot izvajalec varnostnih pregledov in predavatelj na področju kibernetske varnosti, ob tem pa sem zelo veliko v stiku s strankami, moram reči, da se v Sloveniji še vedno premalo zavedamo ogroženosti. Na srečo se raven ozaveščenosti dviguje, tako da je vedno več podjetij, ki razumejo, da je kibernetsko varnost potrebno jemati resno, saj na podatkih, s katerimi operirajo, sloni celotno poslovanje. Žal se zanimanje za informacijsko varnost precej poveča, ko se zgodi kakšen odmeven kibernetski napad. Želim si, da bi v prihodnje delali več na preventivi in ne, da se srečamo šele takrat, ko je potrebno odpravljati posledice in ugotavljati vzroke varnostnega incidenta,« razlaga Boris Krajnc.
Hkrati bi bilo treba po njegovi oceni v izobraževalni sistem uvesti programe za razvoj specializiranih strokovnjakov na področju kibernetske varnosti. To področje se namreč izjemno hitro razvija, potrebna so specifična znanja, zato potrebujemo specialiste za posamezne segmente, potrebe po tovrstnih znanjih pa so vedno večje. Strokovnjak informacijske oziroma kibernetske varnosti je zagotovo poklic prihodnosti.
Igor Zorko, podpredsednik GZS, poudraja da »imamo varnost v prometu, imamo varnost pred poplavami, v virtualnem svetu pa tega nimamo. Če v izobraževanje na področju kibernetske varnosti ne bomo vlagali, bomo imeli probleme in nesreče, kot smo jih imeli pri poplavah. Spodbujati bo potrebno prihodnja vlaganja in izobraževanja na tem področju. Niso dovolj samo gasilski avtomobili, ampak tudi gasilci, in to velja tudi za kibernetsko varnost.«