Shrani za kasnejše branje.
Prehod od reaktivne k proaktivni, na obveščevalnih podatkih temelječi kibernetski varnosti, ni več izbira, temveč nuja.
mag. Mihael Nagelj, GZS, Združenje za informatiko in telekomunikacije, Sekcija za kibernetsko varnost
Konferenca kibernetske varnosti »Kibernetski cunami – ko val napadov postane realnost«, ki jo je organizirala Sekcija za kibernetsko varnost pri GZS Združenju za informatiko in telekomunikacije, se je med drugim osredotočila na vprašanje, kako bo Zakon o informacijski varnosti (ZInfV-1) spreminjal kibernetsko varnost.
ZInfV-1 namreč predstavlja zakonsko podlago in temeljni okvir za obvladovanje tveganj informacijskih in kibernetskih groženj. Od ključnih subjektov zahteva izvajanje tehničnih, organizacijskih in kadrovskih ukrepov.
Praksa kaže na izredno visok delež vdornih testov, ki se končajo s pridobitvijo administratorskega dostopa.
Pri načrtovanju in izvajanju ukrepov kibernetske varnosti je pomembno, da odgovorimo na vprašanja o temeljih zagotavljanja kibernetske varnosti, svetujejo v Beyond Semiconductor. Vprašati se moramo, ali dobro razumemo, kaj je nevarnost. Potrebujemo odgovor na vprašanje, ali je mogoče realno meriti raven varnosti, ali smo varni, če pri preverjanju nismo ugotovili pomanjkljivosti. Ali bo to zmogel storiti napadalec ob stalnih spremembah groženj in ranljivosti in tudi prihoda novih tehnologij, vključno s prihodom postkvantne kriptografije.
Ukrepi kibernetske varnosti morajo biti učinkoviti, sorazmerni, preverljivi in prilagojeni dejanskim tveganjem. Vključevati morajo vse od podpore vodstva, varnosti kadrov, upravljanja dostopov, varnostnih kopij, kriptografije, do zaščite dobavne verige in fizične varnosti. Vse to pa je treba uresničiti v praksi, poudarjajo v Petrolu. Da bi to dosegli, je treba proces prilagajanja začeti z analizo vrzeli in pregledom začetnega stanja.
V praksi se organizacije soočajo z izzivi razumevanja obsega zakonskih obveznosti, usklajevanja z obstoječimi standardi, zagotavljanja dokazljivosti ukrepov ter sodelovanja z zunanjimi ponudniki. Razumevanje tveganj je ključno za poslovanje organizacij, saj le to lahko privede do pravih ukrepov. Poleg tega zakon zahteva redno preverjanje učinkovitosti ukrepov, odzivanje na incidente in upoštevanje evropskih izvedbenih aktov, kar zahteva stalno prilagajanje in strateško upravljanje informacijske varnosti.
Kako se lotiti analize razkoraka v praksi (vir: Forvis Mazars IT)
Kakovostna analiza stanja je osnova za učinkovite ukrepe
Kdaj je smiselno izvesti revizijo? Podjetje Forvis Mazars IT poudarja, da šele z dobro izvedeno analizo razkoraka vodstvo lahko dobi jasen vpogled v trenutno stanje ukrepov, v oceno tveganj in identificira vrzeli, ki predstavljajo podlago za akcijski načrt. Šele ko so ukrepi uvedeni, je smiselno izvesti revizije, ki naj potrdijo napredek pri zagotavljanju kibernetske varnosti. Izvajanje revizij je še posebej pomembno za zavezance po zakonodaji.
Z uvedbo celovitih preventivnih organizacijskih in tehničnih ukrepov je mogoče pričakovati, da kakovostna izvedba vdornih testov ne bo odkrila kritičnih pomanjkljivosti. Praksa kaže na izredno visok delež vdornih testov, ki se končajo s pridobitvijo administratorskega dostopa, opozarjajo v podjetju Carbonsec. Nujno je razumeti in izvajati dobre prakse politike gesel ne samo za uporabniške temveč tudi servisne račune. Na primeru Kerberoasting napada je bil predstavljen primer grožnje, kjer napadalec lahko pridobi dostop, ki mu omogoča krajo podatkov ali širjenje škodljive kode.
Ves čas je treba delovati preventivno
Sam načrt ukrepov ni dovolj za zagotavljanje kibernetske varnosti. Potrebno je stalno preventivno delovanje. To se začne s procesom raziskovanja kibernetskih groženj in deljenjem informacij o grožnjah. »Bolje ko poznamo napadalce, značilnosti in tehnike njihovih napadov, z odkrivanjem podatkov, ki so jih morda že pridobili, bolje se lahko pripravimo na njihove grožnje in učinkoviteje se lahko odzivamo,« pojasnjujejo v Telekomu Slovenije. Vprašanje je, kako smo na to pripravljeni, ali poznamo svoje šibke točke, ali zaznamo zgodnje poskuse kompromitacije in tipanja po naših sistemih ter uporabnikih, kdo bi nas najverjetneje lahko napadel, ali so občutljivi podatki morda že v rokah hekerjev in ali so ti morda že pritajeni v našem omrežju. Na ta vprašanja nimamo točnega odgovora, ker se vse stalno spreminja in predstavlja neke vrste gibljivo tarčo. Pomembno je, da to spremljamo, drugače bomo lahko zamudili trenutek, ko se bo pojavila ključna informacija in se bo še mogoče pravočasno odzvati ter preprečiti katastrofo. To je pomembno za vsako posamezno organizacijo, še bolj pa za skupine povezanih organizacij in sektorje.
Takšne aktivnosti imenujemo kibernetska obveščevalna dejavnost ali Cyber threat intelligence (CTI). Gre za smiselno povezovanje poznavanja lastnih ranljivosti in šibkosti, našega digitalnega odtisa v javnem kibernetskem prostoru, občutljivih informacij, ki so morda že odtekle ali bile ukradene, z informacijami o kibernetskih grožnjah, akterjih, metodah, ki jih ti uporabljajo, in morebitnih dosedanjih poskusih vdorov.
Ukrepi za omejitev in hitrejše okrevanje (Vir: Inovis)
Deljenje informacij je ključno
Nobena organizacija ni osamljen digitalni otok. Vse imajo partnerje, dobavitelje, kupce, so lahko del skupine ali sektorja. Znotraj sektorja imajo organizacije skupne dejavnosti, lastnosti, podobna tveganja, omejitve in regulatorne zahteve. Organizacije so poslovno, dobaviteljsko in dejansko komunikacijsko povezane, zato ni pomembno samo, kako varna so sama, ampak tudi, kakšna je varnostna drža vseh, ki z njimi sodelujejo. Če pride pri ključnem dobavitelju do kibernetskega incidenta, je to za podjetje pomembno – bodisi kot posredna kibernetska grožnja bodisi kot možen vpliv na poslovanje in dobavo.
Pravočasno deljenje kredibilnih informacij je v interesu vseh vpetih. Pa ne samo strogih tehničnih informacij, kot so IoC (indikatorji kompromitacije), temveč tudi opisnih informacij, znanja, izkušenj in dobrih praks. Deljenje informacij in komuniciranje z različnimi deležniki in javnostmi je žal pogosto šibko in pomena tega se običajno zavemo šele po incidentu. Primer dobre prakse je bil predstavljen skozi projekt ALiEnS-SOC (Artificial Intelligence for Slovenian Electro-Energy Sector Security Operation Centre), namenjen izboljšanju kibernetske odpornosti v elektroenergetskem sektorju v Sloveniji z uporabo napredne umetne inteligence (UI) in pridobivanja ter deljenja obveščevalnih informacij (CTI).
Bolje ko poznamo napadalce, značilnosti in tehnike njihovih napadov, bolje se lahko pripravimo na njihove grožnje
Pri obdelavi in korelaciji ogromnih količin podatkov iz različnih virov je ključna vloga UI, ki omogoča dopolnjevanje in deljenje informacij z upoštevanjem vseh vidikov, kot so vrsta informacij, primernost, namen, od koga in za koga, zaupnost, skladnost, vzajemnost in vrednost.
Uporaba umetne inteligence hitro narašča, kar ni brez tveganj, opozarja Actual IT. Sistem umetne inteligence je treba upravljati kot sistem tveganj in odgovornosti, ne le kot tehnično rešitev. Zahteve standarda ISO 42001 niso dodatna birokracija, ampak zemljevid obvladovanja tveganj uporabe umetne inteligence.
Kako obvladovati vedno več naprav v omrežju?
SIQ izpostavlja vprašanje varnosti naprav, ki jih je v omrežju čedalje več. Narašča tveganje, povezano z internetom stvari, brezžičnimi in povezanimi napravami, pa tudi potreba po integraciji kibernetske varnosti že v zasnovi. Standard EN 18031 določa varnostne zahteve (mehanizme) za naprave: preprečevanje zlorabe omrežja, zaščita uporabniških podatkov/zasebnosti, zaščita finančnih transakcij. S praktičnega vidika skladnost s standardom pomeni, da je v izdelku upoštevan mehanizem dostopa/nadzora, varne posodobitve, šifriranje, preverjanje pristnosti, spremljanje itd. Z uvedbo enotnih varnostnih zahtev proizvajalcem nalaga obveznost, da v vseh fazah – od zasnove in razvoja do proizvodnje in vzdrževanja – zagotovijo zaščito pred kibernetskimi grožnjami ter krepijo zaupanje uporabnikov v digitalne tehnologije prihodnosti. Z uporabo naprav, ki so skladne s standardi varnosti, podjetja lahko znižujejo svoja kibernetska tveganja.
Kaj ko primanjkuje kadrov?
Podjetja se razlikujejo tudi glede svojih lokalnih zmogljivosti za načrtovanje in izvajanje ukrepov. Večina malih in srednjih podjetij (MSP) ne more na ustrezni ravni zagotavljati lastnih virov za obvladovanje kibernetskih tveganj v celotnem življenjskem ciklu kibernetskega incidenta, od zaznave in preprečevanja do odziva in okrevanja. Ponudniki storitev kibernetske varnosti zagotavljajo storitve kibernetske varnosti, ki so zasnovane glede na potrebe posamezne organizacije in temeljijo na izkušnjah, lastnem testiranju in strokovnem znanju z jasnim ciljem: zagotoviti visoko raven zaščite, zanesljivost in dolgoročno varnost poslovanja, pojasnjujejo v T-2.
Kibernetski napadi so največkrat posledica človeškega dejavnika – napak, rutine in zaupanja
Pripravljeni na možnost uspešnega napada
Pomembno vprašanje, ki ga moramo nasloviti na koncu, je, ali so napadalci lahko uspešni in kaj jim omogoča uspešnost. Največkrat so razlogi v človeškem faktorju, napakah zaradi hitrosti dela, pretiranega zaupanja ali rutine, so našteli v podjetju Inovis. Tehnologija ni vsega zmožna, še posebej ob stalnem prilagajanju napadalcev, ki intenzivno uporabljajo napredne tehnologije, vključno z umetno inteligenco, in zagotavljajo stalno prednost pred obrambo. Organizacije morajo zato biti pripravljene tudi na možnost uspešnega kibernetskega napada s preverjenim procesom odzivanja na napad. Ta mora vključiti identifikacijo napada, omejevanje ogroženosti, komuniciranje, dokumentiranje in pripravo na okrevanje. Okrevanje pomeni obnovitev delovanja sistemov in storitev. Po okrevanju je treba raziskati vzroke, se iz njih naučiti, posodobiti ukrepe ter nadgraditi vaje in usposabljanje.
Sodelujoči na konferenci kibernetske varnosti so poudarili pomen pripravljenosti in preventivnega delovanja podjetij. Foto: Tadej Kreft
Prehod od zgolj reaktivne obrambe k proaktivni z organizacijskimi in tehničnimi ukrepi, na obveščevalnih podatkih temelječi kibernetski varnosti in izvajanju stalnega monitoringa ni več izbira, temveč nuja. Organizacija mora preventivno sistematično oceniti tveganja, izpeljati organizacijske in tehnične ukrepe in biti pripravljena na trenutek napada ter sodelovati z okoljem – izmenjvati znanje in informacije. Le tako lahko organizacije bistveno zmanjšajo tveganja pred poskusi vse bolj organiziranih in dobro opremljenih napadalcev.
PODKAST: Kibernetska varnost v podjetjih: novi zakon, pasti in rešitve
Prisluhnite podkastu, v katerem razkrivamo, kako se lahko podjetja učinkovito zaščitijo pred vse pogostejšimi kibernetskimi napadi, katerih škoda v Sloveniji že presega desetine milijonov evrov letno.
Strokovnjaka dr. Uroš Svete, direktor Urada Republike Slovenije za informacijsko varnost, in Milan Gabor, direktor podjetja Viris ter strokovnjak za etično hekanje, pojasnjujeta, zakaj je človeški dejavnik največja ranljivost podjetij, kako v praksi potekajo napadi ter katere napake najpogosteje izkoriščajo hekerji. Predstavljata tudi, kaj prinaša novi zakon o informacijski varnosti ZInfV-1 in katere obveznosti nalaga podjetjem, hkrati pa poudarjata pomen etičnega hekanja kot enega najučinkovitejših načinov za odkrivanje šibkih točk v sistemih, še preden jih izkoristi napadalec.
V pogovoru delita konkretne nasvete, izkušnje in primere iz prakse ter opozarjata, da je vprašanje, ali bi vaš sistem prestal preizkus varnosti, danes bolj aktualno kot kadarkoli prej.
Foto: Tadej Kreft
PODKAST: Kibernetska varnost v podjetjih: novi zakon, pasti in rešitve