Nujnost dviga zrelostnega nivoja kibernetske varnosti
Organizacije danes potrebujejo celostni nabor storitev in orodij, ki omogočajo prepoznavanje, blokiranje, odkrivanje in odzivanje na napredne kibernetske napade.
Večina slovenskih podjetij se danes do neke mere zaveda pomena kibernetske varnosti svojega poslovnega okolja. Z naprednimi digitalnimi grožnjami se srečujejo preko številnih kanalov – med drugim e-pošte, spletnih mest, okužene programske opreme, naprav in črvov. Najšibkejši člen v varnostni verigi so zaposleni. Kljub temu pa vodstvo podjetja ali organizacije še vedno prevečkrat razmišlja na način, da je njihovo okolje dovolj varno in, da se njim ne more zgoditi nič. Pri tem tudi pogosto pozablja, da je za zagotavljanje ustreznega nivoja kibernetske varnosti odgovorno prav vodstvo samo in ne nek posameznik v IT oddelku ali na oddelku za skladnost poslovanja. Tehnike, ki jih danes uporabljajo napadalci, so čedalje bolj izpopolnjene in usmerjene – organizacije so ciljanje s strani hekerjev. Zato tradicionalne varnostne rešitve, ki temeljijo na silosih, ne morejo zaščititi organizacije pred večkanalnimi grožnjami. Kako torej ustrezno poskrbeti za kibernetsko varnost? Je dovolj upoštevati priporočila varnostnih strokovnjakov, zakonodaje in – v primerih določenih organizacij – regulatorja? To so zgolj osnove …
Zrelostni nivo kibernetske varnosti
Organizacija je živ organizem, ki temelji na ciljni usmerjenosti skupine ljudi, ki ima enake funkcionalne cilje, ob tem pa ne gre pozabiti še na sredstva in procese, ki so temelj posamezne organizacije. Pri oceni zrelostnega nivoja kibernetske varnosti organizacije se upoštevajo trije ključni dejavniki: ljudje, procesi in tehnologija.
Slovenska podjetja so precej konservativna – tako v razmišljanju kot dejanjih, saj so naložbe v informacijsko varnost, redne, a še vedno relativno nizke. Večja težava je drugje. Matjaž Katarinčič, vodja kibernetske varnosti v podjetju Smart Com, trdi, da ima večina podjetij ustrezno infrastrukturo, s katero lahko zagotavlja posamezne faze zrelosti IT-okolja: »V praksi v večini slovenskih podjetij nastane težava ob integraciji varnostnih rešitev z drugimi, že obstoječimi rešitvami v podjetju. Postavljajo se vprašanja, kdo bo z njimi upravljal ter kdo bo skrbel za nadaljnji razvoj in vzdrževanje.« Gospodarska negotovost v preteklosti je vplivala na to, da se danes podjetja soočajo z zmanjševanjem operativnih stroškov oziroma stroškov vzdrževanja rešitev. »V pogodbah, ki opredeljujejo vzdrževanje oziroma upravljanje rešitev, tako ni več nekaterih storitev, »vzetih na zalogo«, s katerimi so IT-ekipe v preteklosti premostile tovrstne težave.«
Varnost je odvisna od vseh
Zavedanje o kibernetski varnosti v okoljih, kjer se uporablja procesna tehnologija (OT), gre predvsem za industrijska okolja, postaja čedalje bolj pomembno, vendar podjetja do pred kratkim v zmanjševanje varnostnih tveganj niso veliko vlagala. Matjaž Katarinčič, opaža, da je večina slovenskih industrijskih podjetij na zrelostni lestvici nekje na sredini. V teh okoljih vse bolj prevladuje avtomatizacija, dodajajo se številni novi gradniki in naprave interneta stvari (IoT), ki se v industrijska okolja ne vključujejo na osnovi strateških usmeritev glede varnosti, ampak zgolj kot gradniki, s katerimi se zagotovi obratovanje proizvodnega procesa.
Dejstvo je, da samo nakup sredstev, torej naprav in programske opreme, še ni dovolj za zagotovitev zmanjšanja varnostnih tveganj. Človek je tako tisti dejavnik, ki s svojim strokovnim znanjem podjetju zagotovi, da doseže višji zrelostni nivo kibernetske varnosti. Vlaganje v zaposlene mora biti ena temeljnih nalog poslovodstva. »Ne moremo pričakovati, da bo nivo znanja zaposlenega v podjetju, ki se ne ukvarja z informacijsko varnostjo, na nivoju eksperta,« pravi Katarinčič in poudarja, da bodo podjetja morala vključevati zunanje strokovnjake, zlasti, ko se bodo soočala z izzivi analiz, obravnave ter sprejetja drugačnih/dodatnih ukrepov ob morebitnem varnostnem incidentu.
V OT-okoljih so zelo pomembni procesi, ki temeljijo na osnovi postopkov neprekinjenega poslovanja. Ti so za organizacije ključni, saj natančno opredeljujejo, kako poteka cikel obratovanja posamezne rešitve, njene zrelosti in integracije z ostalimi rešitvami, kakšni so vplivi, dejavniki, kakšna so tveganja, … Procesi so zaokrožena celota postopkov, ki zaposlenim in sistemom pomagajo, da se ob morebitnih grožnjah organizacija hitreje in učinkoviteje odzove.
Rešitev: obratovalne storitve
Obratovalne storitve dopolnjujejo delovanje specializiranih aplikacij. Z njimi podjetje ali organizacija končnim uporabnikom zagotovi večje zmogljivosti in boljšo uporabniško izkušnjo. Sistemskemu inženirju se ni treba več ukvarjati z nastavitvami določene rešitve ali celo iskanjem napak. Posledično se IT-oddelek osredotoči na strateški nivo zagotavljanja storitev in temeljne kompetence organizacije.
IT oddelki, ki se pogosto ukvarjajo z izpadi storitev, ali pa večino proračuna porabijo za prilagoditve poslovnih aplikacij, med pogostimi razlogi, zakaj kibernetska varnost še ni prišla na vrsto, navajajo tudi pomanjkanje časa ali kadra, kar pa je dvorezen meč, saj lahko organizacija ob incidentu izgubi podatke in ugled.
»V večini primerov težave nastanejo ob vpeljavi novih rešitev, ki jim celo IT-ekipa v podjetju težko sledi. To je pričakovano, saj tudi IT-osebje ne bo nikoli tako specializirano kot osebje ponudnika rešitve ali specialist za posamezno področje. A kibernetska varnost ni iskanje izgovorov, temveč takojšnje in učinkovito ukrepanje,« dodaja Katarinčič.
Konsolidacija in optimizacija
Omejitve, ki se kažejo v proračunu za kibernetsko varnost v IT- in OT-okolju, je treba upoštevati in hkrati preveriti obstoječe rešitve – na kakšen način in katere varnostne grožnje naslavljajo. Večinoma so te rešitve komplementarne in se medsebojno dopolnjujejo. Ob tem je smotrno preveriti, ali lahko z obstoječo rešitvijo organizacija reši še kak drug izziv. S konsolidacijo rešitev lahko organizacija prihrani znatna sredstva, ki jih nameni razvoju in vpeljavi novih rešitev, ki rešujejo težave, za katere v informacijskem sistemu še nima ustrezne rešitve in tako dvigne zrelostni nivo kibernetske varnosti.
Katarinčič izpostavlja, da je treba pri zagotavljanju celovitega odziva na napredne kibernetske grožnje vzpostavljati partnerstva s strokovnjaki za kibernetsko varnost v IT- in OT-okoljih s ciljem izvajanja naprednih storitev obratovanja na vseh nivojih, tako z vidika arhitekture kakor zagotavljanja varnosti IT- in OT-okolja. Organizacije morajo najprej vzpostaviti rešitev za zaznavanje in odkrivanje incidentov, saj bodo takrat spoznale, s kakšnimi grožnjami imajo opravka, ter nato poskrbeti za rešitve za obvladovanje in odpravo varnostnih incidentov, ki jih po potrebi integrirajo v nadzorno-operativni center ali varnostno-operativni center.
Z Matjažem Katarinčičem, se je pogovarjal Jože Polh.
Članek je bil objavljen v časniku Delo, POSEL IN DENAR | Svet IKT, ponedeljek, 1. marec 2021.