Usmerjenost v upravljane storitve za specializirane tehnološke rešitve pomeni korak naprej v učinkovitejšem obvladovanju ključnih procesnih in informacijskih sistemov, med katerimi imajo tisti v organizacijah kritične infrastrukture še posebej pomembno mesto. O priložnostih, ki jih prinašajo novi izzivi na področju kibernetske varnosti, smo se pogovarjali z g. Petrom Ceferinom, tehničnim direktorjem podjetja Smart Com.

 

Opravljate funkcijo tehničnega direktorja, ki v vsaki organizaciji pomeni operativno srce tehnološkega razvoja. Katere strateško razvojne vidike, ki vam bodo v prihodnjem obdobju zagotovili konkurenčne prednosti pred ostalimi organizacijami, bi v vaši organizaciji posebej izpostavili?

 

Naše poslovne usmeritve, ki se odražajo v vseh procesih znotraj organizacije se skozi celotno 32-letno zgodovino delovanja podjetja Smart Com vedno osredotočajo na trg. Pri tem so naročniki v centru naše pozornosti in igrajo pomembno vlogo, saj prisluhnemo njihovim potrebam in zahtevam. Po drugi strani, interno vedno spodbujamo in izvajamo aktivnosti, ki so korak pred neposrednimi zahtevami naročnikov. Saj na konkurenčnem trgu tehnoloških rešitev s področja IT velja pravilo, da konkurenčnost vzdržuješ le tako, da naročnikom ponudiš napredne rešitve in storitve, ki jim pomagajo reševati tudi tiste izzive, ki se jih morda niti še ne zavedajo. Kljub hitremu tehnološkemu razvoju, je pri uvajanju takšnih rešitev vseeno potreben določen čas, da predlogi dozorijo in da se vpeljujejo premišljeno in strukturirano. V naši organizaciji, tako tehnološki razvoj vodimo preko t. i. strateških iniciativ, ki so namenjene oblikovanju novih rešitev in storitev. Te iniciative so dolgoročno zasnovane aktivnosti, ki potekajo v večletnem obdobju. Znotraj njih se oblikujejo razvojni projekti, ki prinašajo konkretne rešitve in storitve.

 

Tako smo identificirali strateške iniciative, ki posegajo na področje kibernetske varnosti, še posebej na področje industrijskih ICS/OT sistemov v kritični infrastrukturi in industrijskih okoljih, namenska privatna brezžična omrežja 5G z integriranimi mehanizmi kibernetske varnosti, ter podatkovni centri v kombinaciji s t. i. hiperkonvergenčno infrastrukturo in pa sisteme avtomatizacije na področju upravljanja komunikacijskih omrežij. Naš tehnološki razvoj usmerjamo na zaznane razmere na trgu, zato smo pred kratkim lansirali obsežnejši nabor t. i. upravljanih storitev, ki jih izvajamo na obeh naših ključnih tehnoloških področjih – kibernetski varnosti in komunikacijskih omrežjih. Vseprisotno pomanjkanje IT strokovnjakov in zavedanje, da zgolj tehnologija ne rešuje izzivov, s katerimi se organizacije srečujejo, nas je vzpodbudilo k razvoju in vzpostavitvi Smart Centra upravljanih storitev. V Centru ekipa kompetentnih strokovnjakov s področja kibernetske varnosti in komunikacijskih omrežij preko razdelanih postopkov zagotavlja in izvaja za naše naročnike prilagojene storitve upravljanja različnih segmentov kibernetske varnosti in omrežnih rešitev. Vse večja kompleksnost IT sistemov bo tako tudi v prihodnje zahtevala še intenzivnejše odzivanje in oblikovanje dodatnih storitev upravljanja. Pri tem moram omeniti, da storitve upravljanja s področja kibernetske varnosti niso nadomestek ali konkurenca storitvam Varnostno operativnih centrov, pač pa gre za komplementarne storitve. V Smart Comu se usmerjamo predvsem v upravljane storitve za specializirane tehnološke rešitve, kot so npr. sistemi za spremljanje in zaznavanje kibernetskih groženj in incidentov v procesnih (OT) in informacijskih (IT) sistemih, s katerimi se navezujemo na delovanje sektorskih Varnostno operativnih centrov. Pravilnost naših usmeritev potrjuje tudi trg in rezultati, ki jih beležimo.

 

V kontekstu glavnih smernic našega tehnološkega razvoja je ravno z vidika povečevanja odpornosti organizacij na kibernetske grožnje ena ključnih usmeritev in priložnosti, ki jo vidimo, usmeritev v zagotavljanje namenskih storitev s področja upravljanja različnih tehnoloških rešitev.

 

Globalno varnostno okolje od nas zahteva popolnoma novo paradigmo zavedanja pomena varnosti delovanja informacijskih okolij. Kje v vaši organizaciji na tem področju vidite glavne priložnosti?

 

V kontekstu glavnih smernic našega tehnološkega razvoja je ravno z vidika povečevanja odpornosti organizacij na kibernetske grožnje ena ključnih usmeritev in priložnosti, ki jo vidimo, usmeritev v zagotavljanje namenskih storitev s področja upravljanja različnih tehnoloških rešitev. Organizacije čedalje več naporov in sredstev usmerjajo v posodobitve in digitalizacijo poslovnih in procesnih sistemov. Po drugi strani pa morajo nasloviti pereče vprašanje, ki je sistemske narave – pomanjkanje kadrov s področja IT tehnologij in kibernetske varnosti. Kot primer lahko navedem področje komunikacijskih omrežij – to področje je bilo pred časom zelo »popularno« in zaželeno področje dela za mlade inženirje. Če se danes na dogodkih s tega področja ozremo naokrog in poskušamo oceniti starostno strukturo strokovnega osebja, lahko hitro ugotovimo, da se ta populacija stara. To pomeni, da je dotok mladih inženirjev premajhen, da bi uravnovesil in zagotovil zadostno število potrebnega kadra za izvajanje obsežnejših in zahtevnih IT operacij, začenši z načrtovanjem in kasneje implementacijo ter upravljanjem. Zato smo ravno zaradi naših dolgoročnih usmeritev uspeli vzpostaviti ter ohranjati ekipo strokovnjakov z obeh področij – omrežij in kibernetske varnosti. Z ekipo tako zagotavljamo strokovni potencial za izvajanje različnih storitev, tudi storitve upravljanja, ki so časovno daljnosežne in zahtevajo ustrezno kritično maso primerno usposobljenega in strokovnega kadra v organizaciji.

 

Kje prepoznavate največje izzive pri integraciji različnih rešitev naprednih omrežij IT, ki podpirajo in so namenjena avtomatizaciji tehnoloških in poslovnih procesov?

 

Izzivi, s katerimi se srečujemo, so čedalje bolj vezani na obsežne možnosti, ki jih trg IT rešitev ponuja. Danes namreč ni več problem tehnologija ali rešitve, ki jih je moč kupiti na trgu, pač pa kako možnosti, ki so na voljo, čimbolj optimalno izkoristiti. Pri tem pa je potrebno vsako novo rešitev gledati in analizirati iz več zornih kotov. Poleg tehnološkega vidika moramo identificirati tudi konkurenčne prednosti, kako rešitev umestiti v specifiko tržnih vertikal, ki jih naslavljamo, ter zagotoviti ustrezen nabor strokovnega kadra za obvladovanje konkretnih tehnoloških rešitev. Te izzive uspešno naslavljamo, saj stalno namenjamo znaten del sredstev za strokovna in tehnološka usposabljanja ter osebni razvoj naših zaposlenih. Saj skrb za profesionalni razvoj naših zaposlenih in upravljanje s kadri obravnavamo kot pomemben element uspešnosti podjetja.

 

Zelo intenzivno se ukvarjamo s področjem kibernetske varnosti, predvsem kako naše tehnološko znanje prenesti v kontekst storitev. Saj opažamo čedalje večji razkorak pri zagotavljanju strokovnega kadra v organizacijah, glede na čedalje večjo kompleksnost pri izvajanju nalog, ki so pomembne za zanesljivo delovanje informacijske tehnologije.

 

Razvoj informacijskih tehnologij, predvsem z uvajanjem storitev 5G, prinaša pomembne spremembe na področju operativnega informacijsko-procesnega okolja. Kje so po vašem mnenju tisti pomembni izzivi, ki jih bomo morali urediti, da bodo ti sistemi še naprej zagotavljali ustrezno neprekinjenost delovanja?

 

Spet se navezujem na vprašanje, kdo in kako bo upravljal z infrastrukturo in tehnologijami v operativnih procesnih okoljih. Velika sprememba je namreč med uporabo 5G tehnologije v javnih omrežjih in uporabo te tehnologije v industrijskih okoljih ali kritični infrastrukturi. V javnih omrežjih je vedno na prvem mestu – koncept CIA (Confidentiality, Integrity, Availability), a v operativnih procesnih okoljih je ta koncept ravno obraten – AIC (Availability, Integrity, Confidentiality). To pomeni, da je na prvem mestu vedno razpoložljivost pred ostalimi elementi. Razpoložljivost pa je odvisna od spleta dejavnikov, med katerimi je ključna odpornost na kibernetske napade in zagotavljanje neprekinjenega delovanja tudi v smislu upravljanja takih omrežij. Kljub temu, da je s tehnološkimi rešitvami 5G že neločljivo povezana kibernetska varnost, je občutek, da smo pri 5G za operativna procesna okolja šele na začetku poti. Vendar ne toliko s tehnološkega vidika, temveč predvsem v smislu potrebnega zavedanja, kot je to že precej časa prisotno v IT okoljih.

 

Kibernetski varnosti namenjate izredno veliko pozornosti. Smo v obsežnem procesu digitalizacije širše družbene skupnosti. Kateri so tisti izzivi, ki jih s tega področja velja posebej izpostaviti?

 

Na področju kibernetske varnosti bi izpostavil predvsem dejstvo, da se bomo različni akterji – naročniki, raziskovalne in akademske institucije ter ponudniki – morali na tem področju še bolje povezovati, čeprav ugotavljam, da je v zadnjih letih že prišlo do pomembnega napredka na tem področju. Je pa to dolgoročen proces, na katerem je treba vztrajati. Pri tem, po našem mnenju, združenja, kot je Slovensko združenje korporativne varnosti, igrajo zelo pomembno vlogo pri krepitvi kibernetske varnosti v širšem družbenem pomenu. Zelo pomembno je tudi, da se lahko konkurenti povezujemo in tudi tako zagotovimo ustrezne vire in znanja na trgu. Krepitev kibernetske varnosti je namreč proces podoben povezovanju zavezniških vojaških enot, saj obramba pred kibernetskimi napadi marsikje že prehaja na področje hibridnega vojskovanja. Nedavna vaja Locked Shields 22, na kateri je sodelovala tudi naša ekipa, je dokaz, kako pomembno je organizirano delovanje in združevanje strokovnega ter organizacijskega potenciala različnih akterjev.

 

Slovensko združenje korporativne varnosti predstavlja zelo pomembno obliko platforme za povezovanje med različnimi akterji, ki delujemo na področju kibernetske varnosti. Nadvse pomembna je tudi možnost, ki jo združenje nudi za izmenjavo pretoka informacij in dobrih praks.

 

Razvojna usmerjenost vaše organizacije ni bila nikoli vprašljiva. Katerim tehnološkim procesom trenutno namenjate največ raziskovalne pozornosti?

 

Zelo intenzivno se ukvarjamo s področjem kibernetske varnosti, predvsem kako naše tehnološko znanje prenesti v kontekst storitev. Saj opažamo čedalje večji razkorak pri zagotavljanju strokovnega kadra v organizacijah, glede na čedalje večjo kompleksnost pri izvajanju nalog, ki so pomembne za zanesljivo delovanje informacijske tehnologije. Z letošnjim letom smo trgu predstavili Smart Center upravljanih storitev, v katerem in okrog katerega poteka največ naših aktivnosti. V Center vlagamo tako razvojna sredstva kot strokovna znanja z namenom zagotoviti našim naročnikom in partnerjem zanesljivo in kakovostno delovanje sistemov s področja kibernetske varnosti in omrežnih tehnologij.

 

Kadrovski potencial in njegovo pomanjkanje je verjetno v zadnjem obdobju tema, ki zaposluje vse nivoje v naših organizacijah. Ste prišli do kakšnih posebnih pristopov, ki vam v podjetju zagotavljajo svež kadrovski potencial z informacijsko-tehničnega področja?

 

Tudi za nas in naš razvoj je ključnega pomena ustrezen kadrovski potencial. Mi smo se s temi izzivi srečevali že dlje časa, zato smo tudi v obdobje vsesplošnega primanjkljaja strokovnega kadra vstopili dobro pripravljeni. Bodoče sodelavce identificiramo že v fazi študija na različnih fakultetah in jim nudimo praktična usposabljanja, prek katerih se spoznajo z našo dejavnostjo. Ključnega pomena pa je, da spoznamo drug drugega, da ugotovimo, ali jim področje, na katerem delujemo predstavlja profesionalni in osebni izziv ter ali se poistovetijo z našimi vrednotami, ki jih živimo v podjetju. Na ta način uspemo tudi zagotavljati zdravo mešanico strokovnega kadra s svežimi idejami na eni strani ter preizkušenimi pristopi na drugi strani.

 

Bi po vaši oceni več sredstev iz paketa za okrevanje po epidemiji morali nameniti krepitvi robustnosti informacijskega okolja v ključnih organizacijah, še posebej tistih, ki upravljajo s kritično infrastrukturo?

 

Če se malo pošalim – teh sredstev ni nikoli dovolj. Dejstvo pa je, da bodo za dvig odpornosti informacijskih okolij, predvsem v sistemih kritične infrastrukture, pri čemer ciljam na operativne procesne sisteme (OT), potrebne večje investicije. Podjetja se tega zavedajo, kar se je potrdilo tudi ob nedavni pripravi vlog za pridobivanje sredstev iz paketa za okrevanje, saj so podjetja ravno s področja kibernetske varnosti pripravila največ projektov. Bojim pa se, da razpisana sredstva ne bodo dovoljšna za obseg potreb, ki jih zaznavamo na trgu.

 

Katere so vaše lastne rešitve, ki zagotavljajo prepoznavnost vaše organizacije kot ponudnika, ki je sposoben učinkovito, zanesljivo ter varno reševati poslovne in tehnološke izzive vaši partnerjev?

 

Smart Com je že vrsto let prepoznaven na področju razvoja rešitev za komunikacijska omrežja ter kibernetsko varnost. Zaradi dolgoročnega sodelovanja z našimi partnerji smo razvili kompetence in poznavanje specifičnih okolij, kot so npr. okolja kritične infrastrukture, industrijskih okolij, finančnih institucij ter sistemov javne uprave. Zato lahko naše rešitve in storitve bistveno bolje optimiziramo in prilagodimo tem okoljem, kar nam naši partnerji tudi priznavajo. Kot tipičen primer bi tukaj navedel rešitve omrežnih sistemov in kibernetske varnosti za področja operativne tehnologije, ki so pomembna za kritično infrastrukturo, kot so elektrogospodarstvo in industrijska okolja.

 

Vrsto let ste kot podporniki prisotni na pomembnem dogodku Dnevi korporativne varnosti. Kaj vam pomeni sodelovanje na dogodku in kako ocenjujete priložnosti nagovarjanja ključne strokovne javnosti, predvsem iz organizacij kritične infrastrukture?

 

Slovensko združenje korporativne varnosti predstavlja zelo pomembno obliko platforme za povezovanje med različnimi akterji, ki delujemo na področju kibernetske varnosti. Nadvse pomembna je tudi možnost, ki jo združenje nudi za izmenjavo pretoka informacij in dobrih praks. Dogodek Dnevi korporativne varnosti pa s poglobljenimi vsebinskimi prispevki predstavlja veliko dodano vrednost, ne samo za člane združenja, ampak tudi za strokovno javnost v širšem pomenu. Tudi organizacije kritične infrastrukture, ki so vključene v dejavnosti združenja pomembno prispevajo k širitvi zavedanja pomena kibernetske varnosti, kar ima velik vpliv na nadaljnjo krepitev in razvoj odpornosti organizacij.

 

Intervju s Petrom Ceferinom je bil objavljen v reviji Korporativna varnost, letnik 2022, maj, št. 29.